操作场景 需要自定义违规响应信息的场景。 配置检测到违规内容时的响应方式（返回内容的格式） 参数 说明 开关 响应模版：启用/禁用自定义响应模版 模版内容 设置违规时的响应文本 占位符 支持使用{category}、{explanation}、{engineType}、{score}等占位符

处置建议 基于聚合分析提供的数据，有以下处置建议： 受攻击资产IP立即修改密码。 受攻击资产IP关闭非预期开放的端口。 受攻击资产IP基于漏洞修复方案完成全部漏洞修复。 使用态势感知弱口令检测功能排查网内资产存在的弱口令风险。

本章节主要介绍翼MapReduce的安全增强特性。 翼MR作为一个海量数据管理和分析的平台，具备高安全性。翼MR主要从以下几个方面保障用户的数据和业务运行安全。 网络隔离 整个系统部署在公有云上的虚拟私有云中，提供隔离的网络环境，保证集群的业务、管理的安全性。结合虚拟私有云的子网划分、路由控制、安全组等功能，为用户提供高安全、高可靠的网络隔离环境。 资源隔离 翼MR服务支持资源专属区内部署，专属区内物理资源隔离，用户可以在专属区内灵活地组合计算存储资源，包括专属计算资源+共享存储资源、共享计算资源+专属存储资源、专属计算资源+专属存储资源。 主机安全 翼MR支持与公有云安全服务集成，支持漏洞扫描、安全防护、应用防火墙、堡垒机、网页防篡改等。针对操作系统和端口部分，提供如下安全措施： 操作系统内核安全加固 更新操作系统最新补丁 操作系统权限控制 操作系统端口管理 操作系统协议与端口防攻击 应用安全 通过如下措施保证大数据业务正常运行： 身份鉴别和认证 Web应用安全 访问控制 审计安全 密码安全 数据安全 针对海量用户数据，提供如下措施保障客户数据的机密性、完整性和可用性。 容灾：翼MR支持将数据备份到OBS（对象存储服务）中，支持跨区域的高可靠性。 备份：翼MR支持针对DBService、NameNode、LDAP的元数据备份和对HDFS、HBase的业务数据备份。

本节主要介绍概述 微服务云应用平台（ServiceStage）是面向企业的微服务云应用平台，提供应用发布、部署、监控与运维等一站式解决方案。支持Java、Go、Node.js、Docker、Tomcat等运行环境。支持Apache ServiceComb Java Chassis（Java Chassis）、Spring Cloud、Dubbo、Mesher服务网格等微服务应用，让企业应用上云更简单。 本文档指导您快速了解如何通过ServiceStage创建、部署应用以及如何进行应用运维、服务治理。 控制台说明 ServiceStage控制台说明如下表所示。 表 ServiceStage控制台说明 类别 说明 总览 提供ServiceStage产品总体看板，包含使用教程、应用、环境、组件等信息。 应用管理 应用列表提供应用生命周期管理的功能，如应用创建、新增组件、组件列表、环境视图、组件部署、组件详情页及运维入口等。 应用配置提供配置项管理和密钥管理功能。 环境管理 环境是用于应用部署和运行的计算、网络、中间件等基础资源的集合。提供环境创建、编辑、删除、资源配置（纳管资源、移除资源）等功能，以列表形式展示已创建的环境。 微服务引擎CSE 在微服务引擎CSE界面，进入微服务引擎控制台，可以进行微服务治理相关的操作。 持续交付 提供工程构建、发布等功能。 构建通过构建任务可以一键式生成软件包或者镜像包，实现“源码拉取>编译>打包>归档”的全流程自动化。 发布通过流水线工程可以完成一键部署，实现“源码拉取>编译>打包>归档>部署”的全流程自动化。利于集成环境统一、交付流程标准化。 仓库授权用户可以新建仓库授权，使构建工程、应用组件可以使用授权信息访问软件仓库。 软件中心 提供组织管理、镜像仓库等功能。 镜像仓库提供用于存储、管理Docker容器镜像的场所，可以让您轻松存储、管理Docker容器镜像。 组织管理用于隔离镜像，并为租户下用户指定不同的权限（读取、编辑、管理）。

本文介绍为云主机配置内网域名的最佳实践概述。 背景 内网域名是指仅在VPC内生效的虚拟域名，无需购买和注册，无需备案。云解析服务提供的内网域名功能，可以让您在VPC中拥有权威DNS，且不会将您的DNS记录暴露给互联网，解析性能更高，时延更低，并且可以防护解析劫持。我们可以将VPC内承担内网域名解析功能的DNS称为内网DNS。 内网域名功能支持为VPC内每个云主机创建一个内网域名，实现： 通过内网域名访问VPC内的云主机，无需经过Internet，访问速度更快、安全性更高。 在代码中使用内网域名代替内网IP。当需要进行云主机切换时，只需通过修改内网域名解析记录即可，无需修改代码。 操作场景 本实践为内网DNS典型应用场景，如图所示。 图逻辑组网 方案优势 上图展示了某网站的逻辑组网，在一个VPC内，部署了ECS和RDS。其中： ECS：作为主业务站点和业务入口。 ECS1：作为公共接口。 RDS1：作为数据库，存储业务数据。 ECS2和RDS2：作为备份服务器和数据库。 当该网站在运行过程中，因ECS1故障，需要将业务切换到备份的云主机ECS2时，若云主机没有配置内网域名，则需要通过修改主业务节点ECS的代码来重新设置云主机的内网IP地址。该操作需要中断业务并重新发布网站，耗时耗力。 假如在部署该网站时，我们为云主机申请了内网域名，且代码中设置的是云主机的内网域名，则仅需要通过修改内网域名解析记录即可实现云主机的切换，无需中断业务，也不需要重新发布网站。

透明代理的作用是在客户端与大模型防护系统之间建立一个隧道，在终端直接访问原请求大模型的请求，将转发到大模型防护系统上，由代理服务判定输入内容合规后再转发到真正的大模型接口，并按照配置决定是否对大模型返回的响应进行合规性检测。适用于自建大模型，并用主机安全检测需求的用户场景，终端适用于Linux服务器。 内容安全代理 1. 登录大模型安全卫士实例。 2. 在菜单栏选择“资产中心 > 模型代理 > 透明代理”，单击“添加代理”。 3. 在弹出的窗口中配置代理参数。 参数 说明 代理名称 按照个人习惯填写语义化文本。 代理类型 内容安全请选择“大语言模型”。 协议适配器插件 在下拉框中选择协议适配器插件。 后端地址 根据实际情况填写被代理模型的地址。 策略名称 根据终端所需在选择策略，管理主机策略相关，更多关于策略的内容见主机策略。 强制启用API Key （可选）按需选择是否启用大模型防护系统启动的API认证机制。 API Key标签 当启用API Key时，还需配置API Key标签。API Key标签为模型认证配置中配置的标签。

精准访问控制 当攻击源IP比较分散时，可以通过分析防护事件日志，使用精准访问控制提供的丰富字段和逻辑条件组合，灵活配置访问控制策略实现精准防护，有效降低误拦截。 支持URL、Cookie、Referer、User、Agent、Params、Header等HTTP常见参数和字段的条件组合。 支持包含、等于、大于等于、小于等于、正则匹配等逻辑条件，设置阻断或放行等策略。 说明 当您配置了自定义CC防护，其可能会产生误拦截，建议您通过防护事件日志分析找出攻击特征，配合使用精准访问防护策略实现精准拦截。 支持对创建的规则设置失效时间及优先级。 IP黑白名单 您可以将网站业务已有信任的访问客户端（例如，监控系统、通过内部固定IP或IP段调用的API接口、固定的程序客户端请求等），设置成IP白名单；同时可封禁与业务不相关的IP地址和地址段。 说明 支持添加IPv4、IPv6地址，支持添加IP地址段；支持对创建的规则设置失效时间。 IP黑白名单模块的防护检测逻辑优先级高于其他防护模块，IP黑白名单内部检测逻辑，白名单高于黑名单。

本章节主要介绍ALM19020 HBase容灾等待同步的wal文件数量超过阈值的告警。 告警解释 系统每30秒周期性检测每个HBase服务实例RegionServer等待同步的wal文件数量。该指标可以在RegionServer角色监控界面查看，当检测到某个RegionServer上的等待同步wal文件数量超出阈值（默认连续20次超过默认阈值128）时产生该告警。用户可通过“运维 > 告警 > 阈值设置> 待操作集群 > HBase”修改阈值。当等待同步的wal文件数量小于或等于阈值时，告警消除。 告警属性 告警ID 告警级别 是否自动清除 19020 重要 是 告警参数 参数名称 参数含义 来源 产生告警的集群名称。 服务名 产生告警的服务名称。 角色名 产生告警的角色名称。 主机名 产生告警的主机名。 Trigger Condition 系统当前指标取值满足自定义的告警设置条件。 对系统的影响 RegionServer等待同步的wal文件数量超出阈值，会影响HBase使用的znode超出阈值，影响HBase服务状态。 可能原因 网络异常。 RegionServer的Region分布不均匀。 备集群HBase服务规模过小。 处理步骤 查看告警定位信息 1.在FusionInsight Manager首页，选择“运维 > 告警 > 告警”，选择“告警ID”为“19020”的告警，查看“定位信息”中产生该告警的服务实例和主机名。

本章节主要介绍 ALM29107 Tserver进程内存使用百分比超过阈值的告警。 告警解释 系统每60秒周期性检测Kudu的服务状态，当检测到Kudu Tserver进程内存使用百分比超过阈值，此时产生该告警。 Tserver进程内存使用百分比正常时，系统认为Kudu实例服务恢复，告警清除。 告警属性 告警ID 告警级别 是否自动清除 29107 紧急 是 告警参数 参数名称 参数含义 来源 产生告警的集群名称。 服务名 产生告警的服务名称。 角色名 产生告警的角色名称。 Trigger Condition 系统当前指标取值满足自定义的告警设置条件。 对系统的影响 用户无法使用Kudu服务。 可能原因 存在KuduTserver实例内存使用过高。 处理步骤 处理Kudu实例异常 1. 在FusionInsight Manager首页，选择“运维 > 告警”页面，找到“ALM29107 Tserver进程内存使用百分比超过阈值”告警，查看告警来源。 2. 在“运维 > 告警 > 阈值设置 > Kudu”，找到该告警的阈值，再对比集群KuduTserver实例的内存使用百分比监控项，和阈值对比，查看阈值超过情况，找到内存使用百分比超阈值的节点。 通过增加节点、重新规划任务等方式，处理Tserver节点内存使用百分比过高的问题，或修改阈值。 3. 在“运维 > 告警”页签，查看该告警是否恢复。 是，处理完毕。 否，执行4。

本章节主要介绍ALM14024 租户空间使用率超过阈值的告警。 告警解释 系统每小时周期性检测租户所关联的每个目录的空间使用率（每个目录已使用的空间大小/每个目录分配的空间大小），并把每个目录实际的空间使用率和该目录设置的阈值相比较。当检测到租户所关联的目录空间使用率高于该目录设置的阈值时，产生该告警。 当上报告警的目录的空间使用率小于或等于该目录设置的阈值时，告警恢复。 告警属性 告警ID 告警级别 是否自动清除 14024 次要 是 告警参数 参数名称 参数含义 来源 产生告警的集群名称。 服务名 产生告警的服务名称。 角色名 产生告警的角色名称。 主机名 产生告警的主机名称。 租户名 产生告警的租户名称。 目录名 产生告警的目录名称。 Trigger condition 系统当前指标取值满足自定义的告警设置条件。 对系统的影响 当监控的租户目录空间使用率超过用户自定义设置的阈值时触发该告警，但不影响对该目录继续写入文件。一旦超过该目录分配的最大存储空间，则HDFS写入数据会失败。 可能原因 告警阈值配置不合理。 租户分配的空间容量不合理

本章节主要介绍 ALM26053 Storm Slot使用率超过阈值的告警。 告警解释 系统每60秒周期性检测Slot使用率，并把实际Slot使用率和阈值相比较。当检测到Slot使用率高于阈值时产生该告警。 用户可通过“运维 > 告警 > 阈值设置”修改阈值。 当Slot使用率小于或等于阈值时，告警恢复。 告警属性 告警ID 告警级别 是否自动清除 26053 重要 是 告警参数 参数名称 参数含义 来源 产生告警的集群名称。 服务名 产生告警的服务名称。 角色名 产生告警的角色名称。 主机名 产生告警的主机名。 Trigger condition 系统当前指标取值满足自定义的告警设置条件。 对系统的影响 用户无法执行新的Storm任务。 可能原因 集群中Supervisor处于异常状态。 集群中Supervisor的状态正常，但是处理能力不足。 处理步骤 检查Supervisor状态 1. 选择“集群 > 待操作集群的名称 > 服务 > Storm > 实例”，进入Storm实例管理页面。 2. 查看是否存在状态为“故障”或者是“正在恢复”的Supervisor实例。 是，执行步骤3。 否，执行步骤5。 3. 勾选状态为“故障”或者“正在恢复”的Supervisor角色实例，选择“更多 > 重启实例”，查看是否重启成功。 是，执行步骤4。 否，执行步骤10。 4. 等待一段时间，检查该告警是否恢复。 是，处理完毕。 否，执行步骤5。

本章节主要介绍 ALM14000 HDFS服务不可用。 告警解释 系统每60秒周期性检测NameService的服务状态，当检测到所有的NameService服务都异常时，就会认为HDFS服务不可用，此时产生该告警。 至少一个NameService服务正常后，系统认为HDFS服务恢复，告警清除。 告警属性 告警ID 告警级别 是否自动清除 14000 紧急 是 告警参数 参数名称 参数含义 来源 产生告警的集群名称。 服务名 产生告警的服务名称。 角色名 产生告警的角色名称。 主机名 产生告警的主机名。 对系统的影响 无法为基于HDFS服务的HBase和MapReduce等上层部件提供服务。用户无法读写文件。 可能原因 ZooKeeper服务异常。 所有NameService服务异常。 处理步骤 检查ZooKeeper服务状态 1. 在FusionInsight Manager首页，选择“运维 > 告警 > 告警”页面，查看系统是否上报“ALM13000 ZooKeeper服务不可用”告警。 是，执行步骤 2。 否，执行步骤 4。 2. 参考“ALM13000 ZooKeeper服务不可用”对ZooKeeper服务状态异常进行处理，然后查看ZooKeeper服务的运行状态是否恢复为“良好”。 是，执行步骤 3。 否，执行步骤7。 3. 在“运维 > 告警”页面，查看本告警是否恢复。 是，处理完毕。 否，执行步骤 4。

本小节介绍N100购买类常见问题。 哪些资源池可以支持开通N100？ N100支持的资源池请以管理控制台为准。 开通流程：在选择资源池节点后，您可以登录天翼云官网，按照N100的开通流程进行操作。 影响面：开通N100可能会对您的网络拓扑结构产生一定的影响。在执行开通操作之前，建议您仔细规划，并在可能的情况下在非业务高峰期进行操作，以减少对正常业务的影响。 注意 在开通N100时，请仔细阅读相关的注意事项和配置要求。确保您的网络环境和业务需求符合产品的要求，以便最大程度地发挥防火墙的作用。 如何选择需要购买的产品规格和功能？ 需要用户自行评估业务情况，可通过以下内容进行参考： 规格选择：计算通过N100安全产品的弹性IP总带宽值，不高于N100安全产品各规格限制值。 功能选择：有安全防护需求需开通扩展功能，如病毒过滤、URL过滤及C&C防护。 N100到期后是否可自行续订? 是的，您可以自行发起N100的续订申请，确保您的业务在产品到期后不受到中断。以下是相关的详细信息和操作指南： 续订申请发起：为了确保您的N100服务不中断，建议您在产品到期前至少提前3个工作日主动发起续订申请。续订申请可以通过我们的在线平台或与客户经理联系来完成。 申请时间：提前提交续订申请是至关重要的，这样我们的团队有足够的时间来处理您的请求，确保续订在产品到期之前得以完成。这有助于避免因产品过期而导致的业务中断。 在线平台操作：如果您选择通过在线平台进行续订申请，请登录您的云账户，点击N100产品的续订选项，并按照系统提示完成续订流程。确保在续订过程中提供准确的信息，以避免不必要的延误。 注意事项：在续订申请过程中，请仔细阅读相关条款和条件，确保您了解续订期间可能涉及的费用、服务升级选项等细节。如果有任何疑问，可以咨询客户经理或技术支持团队。 业务影响：请注意，如果未在到期前完成续订申请，可能会导致N100服务中断，影响业务转发。为了避免不必要的风险，请务必按时发起续订申请并遵循相应的操作流程。

本节包含了通用计算增强型C6s弹性云主机的概述、规格、适用场景。 概述 C6s型云主机搭载第二代英特尔® 至强® 可扩展处理器，兼具高性能、高稳定性、低时延、高性价比的特点，适用于互联网、游戏、渲染等场景，特别是对计算及网络稳定性有较高要求的场景。 类型 CPU基频/睿频 CPU型号 ::: C6s 2.6GHz/3.5GHz Intel 6278C 适用场景 适用于互联网、游戏、渲染等场景，特别是对计算及网络稳定性有较高要求的场景。 游戏业务场景：满足游戏行业高性能、高稳定性要求。 渲染场景：优质渲染效果下提供极致性价比。 其他场景：游戏加速器、视频弹幕、建站、APP开发等。 规格 表 C6s型弹性云主机的规格 规格名称 vCPU 内存（GiB） 最大带宽/基准带宽（Gbps） 最大收发包能力（万PPS） 网络连接数（万） 网卡多队列数 网卡个数上限 虚拟化类型 c6s.large.2 2 4 1/1 30 50 2 2 KVM c6s.xlarge.2 4 8 2/2 60 50 2 3 KVM c6s.2xlarge.2 8 16 4/4 120 100 4 4 KVM c6s.3xlarge.2 12 24 5.5/5.5 180 150 4 6 KVM c6s.4xlarge.2 16 32 7.5/7.5 240 150 8 8 KVM c6s.6xlarge.2 24 48 11/11 350 200 8 8 KVM c6s.8xlarge.2 32 64 15/15 450 300 16 8 KVM c6s.12xlarge.2 48 96 22/22 650 400 16 8 KVM c6s.16xlarge.2 64 128 30/30 850 500 32 8 KVM c6s.large.4 2 8 1/1 30 50 2 2 KVM c6s.xlarge.4 4 16 2/2 60 50 2 3 KVM c6s.2xlarge.4 8 32 4/4 120 100 4 4 KVM c6s.3xlarge.4 12 48 5.5/5.5 180 150 4 6 KVM c6s.4xlarge.4 16 64 7.5/7.5 240 150 8 8 KVM c6s.6xlarge.4 24 96 11/11 350 200 8 8 KVM c6s.8xlarge.4 32 128 15/15 450 300 16 8 KVM c6s.12xlarge.4 48 192 22/22 650 400 16 8 KVM c6s.16xlarge.4 64 256 30/30 850 500 32 8 KVM

本地客户端为Linux系统 Linux系统中，通常可以通过traceroute来进行端口可用性探测。traceroute用于跟踪Internet协议（IP）数据包传送到目标地址时经过的路由，通过发送TCP数据包向目标端口进行探测，以检测从数据包源到目标服务器的整个链路上相应端口的连通性情况。 安装traceroute plaintext sudo yum install y traceroute 或 sudo apt install traceroute 常用traceroute命令格式如下所示。 plaintext traceroute [n] T p n：直接使用IP地址而非主机名称（禁用DNS反查）。 T：通过TCP探测。 p：设置探测的端口号。 ：需要探测的端口号，比如80。 ：需要探测的目标服务器地址，比如192.168.XXX.XXX。 测试示例 traceroute的示例命令和返回结果如下。 测试目标IP的22端口连通性是否正常： plaintext traceroute n T p 22 traceroute to XXX.X.XXX.XXX (XXX.X.XXX.XXX), 30 hops max, 60 byte packets 1 X.X.X.X 0.431 ms 0.538 ms 0.702 ms 2 XX.XX.XXX.XXX 0.887 ms 1.030 ms XX.XX.XXX.XXX 1.309 ms 3 XX.XX.XXX.XXX 0.303 ms 0.390 ms XX.XX.XXX.XXX 0.423 ms 4 XX.XX.XXX.XXX 1.120 ms XXX.XXX.XXX.XXX 0.340 ms 0.540 ms 5 XX.XXX.XXX.XXX 1.744 ms XX.XXX.XXX.XXX 1.076 ms 1.232 ms 6 XX.XXX.XXX.XXX 1.832 ms XX.XXX.XXX.XXX 1.763 ms 63.223.XXX.XXX 1.616 ms 7 XX.XXX.XXX.XXX 2.676 ms XX.XXX.XXX.XXX 1.485 ms 1.806 ms 8 XXX.XX.XXX.XXX 2.437 ms 9 XXX.XX.XXX.XXX 6.856 ms 10 11 12 XXX.XXX.XXX.XXX 8.738 ms 13 XXX.XXX.XXX.XXX 8.248 ms 8.231 ms 14 XX.XXX.XXX.XXX 32.305 ms XX.XXX.XXX.XXX 29.877 ms 15 XX.XXX.XXX.XXX 11.950 ms XX.XXX.XXX.XXX 23.853 ms XX.XXX.XXX.XXX 29.831 ms 16 XX.XXX.XXX.XXX 11.007 ms XX.XXX.XXX.XXX 13.615 ms XX.XXX.XXX.XXX 11.956 ms 17 XX.XXX.XXX.XXX 21.578 ms XX.XXX.XXX.XXX 13.236 ms 18 XXX.X.XXX.XXX 12.070 ms !X 当相关端口在某一跳被阻断，则之后各跳均不会有返回数据，据此就可以判断出异常节点。您可以根据相应节点信息，查询IP归属运营商进行问题反馈。

本小节介绍管理文件隔离箱。 主机安全可对检测到的威胁文件进行隔离处理，被成功隔离的文件会添加到“主机安全告警”的“文件隔离箱”中，无法对主机造成威胁。被成功隔离的文件一直保留在文件隔离箱中，您也可以根据自己的需要进行一键恢复。 对应告警事件支持隔离查杀的情况详情请参见主机告警事件支持情况说明。 约束限制 未开启防护不支持告警事件相关操作。 隔离查杀操作 1、登录管理控制台。 2、在页面左上角单击 ，选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、在弹窗界面单击“体验新版”，切换至主机安全服务页面。 4、在左侧导航栏，单击“入侵检测 > 安全告警事件 > 主机安全告警”，进入“主机安全告警”页面。 5、单击支持隔离查杀的告警事件“操作”列的“处理”，选择“隔离查杀”。 说明 对应告警事件支持隔离查杀的情况详情请参见主机告警事件支持情况说明。 6、单击“确认”，对目标告警事件进行隔离查杀。 被成功隔离的文件会添加到“主机安全告警”的“文件隔离箱”中，无法对主机造成威胁。 查看文件隔离箱 1、在“主机安全告警”页面的“安全告警统计”中，单击“已隔离文件”下方的“查看详情”，进入“文件隔离箱”页面。 安全告警统计 2、在文件隔离箱列表中，您可以查看被隔离的文件服务器名称、路径和修改时间。 文件隔离箱

本节主要介绍常见问题。 如何解决新增节点时提示弹性IP不足的问题？ 问题描述 在CCE集群中新增节点时，在“弹性IP”处选择“自动创建”，但创建节点失败，提示弹性IP不足。 解决方法 您可以有两种方法解决弹性IP不足的问题。 方法一：解绑已绑定弹性IP的虚拟机，再重新添加节点。 a. 登录弹性云主机控制台。 b. 在弹性云主机列表中，找到待解绑云服务器，单击云服务器名称。 c. 在打开的弹性云主机详情页中，单击“弹性公网IP”页签，在公网IP列表中单击待解绑IP后的“解绑”，为该云服务器解绑弹性IP，单击“确定”。 d. 返回CCE控制台创建节点页面中，选择“使用已有”重新新增节点的操作。 方法二：提高弹性IP的配额。 天翼云对用户的资源数量和容量做了配额限制。如果资源配额限制满足不了用户的使用需求，可以通过工单系统来提交工单申请，并告知您申请提高配额的理由。 在通过审理之后，我们会更新您的配额并进行通知。 如何快速清理已删除节点上的CCE组件？ 使用场景 若集群中包含纳管节点，删除对应集群和节点不会删除对应的ECS，此时请按照界面提示清理节点上CCE组件。若未按照提示清理节点组件，后续需要清理ECS时，可按照如下操作进行清理。 操作步骤 1登录CCE控制台。 2在左侧导航栏中选择“集群管理 > 节点管理”，在右侧的节点列表中找到要执行操作的纳管节点，在节点的“操作”区域下单击“更多 > 移除”。 3在弹出的“移除纳管节点”对话框中输入"REMOVE"确认移除节点，单击“确认”。 4、认真阅读弹出的“提示”页面内容，按照步骤清理CCE相关资源。 如何加固CCE集群的节点VPC安全组规则？ CCE作为通用的容器平台，安全组规则的设置适用于通用场景。用户可根据安全需求，通过网络控制台的安全组找到CCE集群对应的安全组规则进行安全加固。 安全组查找路径：登录控制台，单击服务列表中的“网络 > 虚拟私有云 VPC”，在网络控制台单击“访问控制 > 安全组”。 其中，控制节点的安全组名称是：{集群名}ccecontrol{随机ID}；用户节点的安全组名称是：{集群名}ccenode{随机ID}。 安全组中必须开启的端口如下： {集群名}ccecontrol{随机ID}： •源地址属于本安全组规则的需全部放通。 •5444、8445、9443、4789端口的规则不能修改。 •5443端口需对VPC网段、容器网段放通。 {集群名}ccenode{随机ID}： •源地址属于本安全组规则的需全部放通。 •4789、10250端口的规则不能修改。 •3000032767端口需对VPC网段、容器网段和ELB的网段放通。

物理机与弹性裸金属是什么关系？ 物理机包含标准裸金属与弹性裸金属两个形态。 标准裸金属具有卓越的计算、存储性能，满足核心应用对高性能及稳定性的需求。同时，可实现与弹性云主机混合组网，为用户提供灵活的业务部署方案。 弹性裸金属具备物理机级别的资源隔离，同时具备云主机的弹性灵活属性，通过将网络和存储等功能卸载到DPU卡上，将通用物理机升级成为具备硬件加速、云盘挂载和启动、支持vpc网络等能力的高性能弹性计算产品。 标准裸金属和弹性裸金属有什么不同点？ 弹性裸金属指搭配智能网卡的物理机，拥有云主机的弹性灵活属性，具备硬件加速、云盘挂载、安全组隔离、弹性多网卡等能力； 标准裸金属指搭配标准物理网卡的物理机，不具备云盘挂载、安全组隔离、弹性多网卡功能。 物理机与传统物理机有什么区别？ 物理机在保留传统物理机的特性和优势的基础上，通过云平台的自动化管理和与其他云资源的集成，提供了更灵活、高效、可扩展的部署和使用方式。 自动化管理： 物理机具备云平台的自动发放和自动运维能力。与传统物理机相比，可以通过云平台进行快速的发放、配置和管理，无需手动进行硬件部署和维护。 灵活性： 物理机可以像虚拟机一样灵活地发放和使用。您可以根据需求快速调整物理机的配置和规模，实现弹性的资源分配，从而满足业务的需求。 直接访问硬件资源： 物理机允许您的应用直接访问物理机的处理器和内存，无需经过虚拟化层，从而降低了虚拟化带来的性能开销。这对于对性能要求较高的应用场景非常重要。 虚拟私有云（VPC）互联： 物理机可以与云平台中的其他资源进行虚拟私有云互联。这意味着您可以在云环境中将物理机与其他虚拟机、云存储等资源进行无缝连接和通信。 文件存储支持： 物理机可以支持对接弹性文件服务，实现数据的共享和访问。与传统物理机相比，物理机可以更方便地与文件存储系统集成，提供更高效的数据共享和存储能力。

弹性云主机 在连接RocketMQ实例之前，需要先购买弹性云主机（Elastic Cloud Server，以下简称ECS），JDK安装、环境变量配置。本文以Linux系统的ECS为例，Windows系统ECS的JDK安装与环境变量配置可自行在互联网查找相关帮助。 1. 登录管理控制台，在左上角单击，选择“计算 > 弹性云主机”，创建一个ECS实例。 具体创建操作，请参考创建弹性云服务器。如果您已有可用的ECS，可重复使用，不需要再次创建。 2. 登录ECS。 3. 安装Java JDK或JRE，并配置JAVAHOME与PATH环境变量，使用执行用户在用户家目录下修改.bashprofile，添加如下行。其中“/opt/java/jdk1.8.0151”为JDK的安装路径，请根据实际情况修改。 export JAVAHOME/opt/java/jdk1.8.0151 export PATH$JAVAHOME/bin:$PATH 执行source .bashprofile命令使修改生效。 说明 ECS虚拟机默认自带的JDK可能不符合要求，例如OpenJDK，需要配置为Oracle的JDK，可至Oracle官方下载页面下载Java Development Kit 1.8.111及以上版本。

步骤二：链路设置 购买完智能网关实例后，控制台会生成一条智能网关实例资源。同时选择硬件版本会向客户发送一台硬件设备。 收到硬件智能接入网关设备后，请按照网络规划将智能接入网关设备接入到本地网络中。设备WAN口通常用于连接互联网线路，使设备可正常访问互联网；设备LAN口通常为用户侧接口，用于下联路由器、交换机或者直接下联PC等终端设备。 根据接线情况，需要对硬件智能网关进行链路设置，从而保证智能网关实例激活成功。 1. 登录天翼云SDWAN控制台，选择“智能网关”，单击目标智能网关实例“操作”列的“链路设置”。 2. 用户根据实际网络拓扑更改默认链路设置或单击“新建链路”，设置其他端口的传输网络。 3. 单击“确定”，保存链路设置。 步骤三：激活智能网关 1. 登录天翼云SDWAN控制台。 2. 选择“智能网关”，单击目标智能网关实例“操作”列的“更多激活”。激活前，请确保设备状态为“在线”。 3. 根据页面提示，选择设备接入方式为“串接”，配置智能网关实例接入天翼云使用的私网网段，私网网段如果存在包含/重复关系，可能会造成路由冲突，请谨慎配置。 4. 单击“确定”，开始激活操作。 5. 激活成功后，业务状态变为“已激活”。 步骤四：配置路由 完成以下操作配置静态路由，使得云上云下能够互通。 1. 登录天翼云SDWAN控制台，选择“智能网关”，单击目标智能网关实例名称，进入智能网关详情页。 2. 在详情页，单击“静态路由 >添加”。 3. 根据页面提示，填写目的网段和下一跳等参数。 4. 单击“确定”，完成静态路由配置。

名称 说明 日志格式 单行日志：采集的日志文件中，如果您希望每一行日志在LTS界面中都显示为一条单独的日志数据，则选择单行日志。 多行日志：采集的日志中包含像java异常的日志，如果您希望多行异常的日志显示为一条日志，正常的日志则每一行都显示为一条单独的日志数据，则选择多行日志，方便您查看日志并且定位问题。 日志时间 系统时间：表示系统当前时间，默认为日志采集时间，每条日志的行首显示日志的采集时间。 说明 日志采集时间：ICAgent采集日志，并且发送到云日志服务的时间。 日志打印时间：系统产生并打印日志的时间。ICAgent采集日志并发送日志到云日志平台的频率为1秒钟。 采集日志时间限制：系统时间的前后24小时内。 时间通配符：用日志打印时间来标识一条日志数据，通过时间通配符来匹配日志，每条日志的行首显示日志的打印时间。 如果日志中的时间格式为：20190101 23:59:59.011，时间通配符应该填写为：YYYYMMDD hh:mm:ss.SSS。 如果日志中的时间格式为：1911 23:59:59.011，时间通配符应该填写为：YYMD hh:mm:ss.SSS。 说明 如果日志中不存在年份信息，则云日志会自动补齐年份数据为当前年份数据。 填写实例 YY year (19) YYYY year (2019) M month (1) MM month (01) D day (1) DD day (01) hh hours (23) mm minutes (59) ss seconds (59) SSS millisecond（999） hpm hours (03PM) h:mmpm hours:minutes (03:04PM) h:mm:sspm hours:minutes:seconds (03:04:05PM) hh:mm:ss ZZZZ (16:05:06 +0100) hh:mm:ss ZZZ (16:05:06 CET) hh:mm:ss ZZ (16:05:06 +01:00) 分行模式 日志格式选择多行日志时，需要选择分行模式，分行模式选择“日志时间”时，是以时间通配符来划分多行日志；当选择“正则模式”时，则以正则表达式划分多行日志。 正则表达式 此配置是用来标识一条日志数据的正则表达式。日志格式选择“多行日志”格式后且“分行模式”已选择“正则模式”后需要设置。

接口功能介绍 通过该接口可实现对直播流的禁推和解禁。 使用说明 单个用户一分钟限制调用10000次，并发不超过100。 如果使用该接口，需要提前先联系天翼云运营开启域名禁推开关。 禁推场景下，最长支持封禁时长为14天。 接口详情 请求方式：post 请求路径：/live/stream/forbidresumestream 请求参数 参数名 类型 名称 是否必填 说明 ::: action int 操作类型 是 2（解禁）；3（禁推） endtime int 任务结束时间戳 否 单位秒。若操作类型 2（解禁）时，不生效; 若操作类型 3（禁播）时，必填，为禁播结束时间。 streamlist list 流对象列表 是 streamlist[].domain string 域名名称 是 streamlist[].appname string 发布点 是 streamlist[].streamname string 流名 是 响应参数 参数名 类型 说明 ::: code int 状态码。成功时为100000 message string 描述信息。成功时为success 示例 请求路径： 请求示例1：禁播 { "action": 3, "endtime": 1652168400, "streamlist": [ { "domain": "ctyun.cn", "appname": "xxxxx", "streamname": "xxxxx" } ] } 正常响应示例 { "code": 100000, "message": "success" }

现象二 访问网站时，返回的不是“现象一”所示的页面，而是其他的404页面。 原因 ：网站页面不存在或已删除。 解决办法 ：请排查网站问题。 502 Bad Gateway 现象：完成WAF配置之后网站访问正常，但过一段时间，访问页面返回502，或者大概率出现502。 说明 如果您的网站不是部署在云上，建议您咨询服务器服务商，该服务器是否存在默认的防护拦截并要求服务商解除默认拦截。 这种情况一般有三种原因： 原因一 原因：您的网站使用了其他的安全防护软件（如360、安全狗、云锁或云盾等安全防护软件），这些软件把WAF的回源IP当成了恶意IP，拦截了WAF转发的请求，导致不能正常访问。 解决办法： 将WAF的回源IP网段添加到防火墙（硬件或软件）、安全防护软件、业务限速模块的白名单中。 原因二 原因：网站的后端配置了多个服务器，其中某个源站不通。 按以下方法检测源站配置是否正确： 1. 登录管理控制台，单击页面上方的“服务列表”，选择“安全 > Web应用防火墙（独享版）”，进入Web应用防火墙控制界面。 2. 在左侧导航树中选择“网站设置”，进入“网站设置”页面。 3. 在目标域名所在行的“防护网站”列中，单击目标域名，进入域名基本信息页面。 4. 在“服务器信息”栏中，单击编辑图标，进入“修改服务器信息”页面，确保对外协议、源站协议、源站地址、端口等信息配置正确。 5. 在主机上执行curl命令检测各个源站是否能正常访问。 curl kvv xx.xx.xx.xx代表源站服务器的源站IP地址，yy代表源站服务器的源站端口，xx.xx.xx.xx和yy必须是同一个服务器的源站地址和端口。 如果显示“connection refused”表示源站不通，不能正常访问网站。按以下方法处理： 检测服务器是否运行正常，如果运行不正常，请尝试重启服务器。 将WAF的回源IP网段添加到防火墙（硬件或软件）、安全防护软件、业务限速模块的白名单中。

本节介绍三方云集群迁移至天翼云CCE集群。 分布式容器云平台CCE One容器迁移功能，支持将三方云标准Kubernetes集群应用迁移到天翼云CCE集群，实现应用程序的跨云迁移和统一运维管理。迁移流程如下图所示： 前提条件 已开通天翼云分布式容器云平台CCE One及其关联产品的访问权限。 已打通三方云容器集群与天翼云资源池VPC网络，可选公网或内网方式。其中： 公网方式（推荐）：需要您三方云集群中Pod具备主动访问功能的能力，可通过给容器集群VPC配置公网NAT出口方式实现； 内网方式：需要您将三方云容器网络与天翼云云上VPC网络打通；可选云专线、SDWAN或VPN方式；另还需参考配置指引，配置正确的云间网关路由及DNS解析转发策略，以确保您三方云容器Pod中可正常访问天翼云相关服务； 适用场景 云备份容灾：备份容灾迁移一体化，快速实现应用云间迁移与数据灾备。 操作指引 本场景迁移，主要包含四个步骤： 步骤一：集群评估与纳管 在这个阶段，您将根据源集群的现状来评估适合迁移的目标集群类型。可以基于必要的开源工具自动或手工收集源集群的信息，包括Kubernetes版本、规模、工作负载、存储等数据，并根据收集到的数据考虑合适的目标集群信息。 为方便后续的数据备份与恢复，或者基于联邦的细粒度应用迁移，您需要将源集群注册到天翼云CCE One注册集群；

本章节为您介绍监测预警模块。 监测预警功能是对平台接收的原始日志与告警日志进行查询检索以进行风险分析溯源。 原始日志 支持AIQL语句进行高级查询，在搜索框中输入字段中文名称，或字段名称即可自动展示相似字段，基于查询需求进行字段选择； 字段值筛选支持丰富的条件，如等于、不等于、属于、不属于、存在、不存在、包含、不包含等； 可通过可视化页面进行查询条件等编辑筛选，支持关系之间使用与或非逻辑表达式，如下图所示，通过图上的图标可查看详细的语法说明； 可单击设置按钮，可修改查询结果中展示的字段。 告警日志 告警日志模块主要进行匹配平台安全模型后产生的告警的查询，展示效果等同原始日志。

快速交付 提供软硬一体化交付方案，预置大模型、混合云管平台及高性能基础设施，支持全流程自动化部署，最快仅需2天即可完成环境搭建。 全栈管理 打造全栈式管理平台，涵盖计算、存储、网络及大模型资源的一站式管理功能，支持大模型的纳管调用，助力用户快速构建专属问答助手。 安全可控 确保本地化部署，满足政务、医疗等行业"数据不出机房"的安全要求，同时通过严格的权限隔离机制，全面保障信息安全。 极简运维 多维度监控、告警数据，帮助用户提前发现业务运行隐患；属地化运维和724小时在线服务，全方位解决客户后顾之忧。

配置示例 示例一： 参数名 配置示例 头部值 AccessControlAllowOrigin 跨域验证 关闭 取值 结果说明：全站加速响应头部固定响应“AccessControlAllowOrigin:”。 示例二： 参数名 配置示例 头部值 AccessControlAllowOrigin 跨域验证 开启 取值 结果说明： 1.用户请求携带的Origin头是 2.用户请求携带的Origin头是

本节为您介绍数据库迁移异常恢复相关问题。 任务提示“function uuidgeneratev4() does not exist”怎么办？ 这是由于目标数据库PostgreSQL未安装uuidossp插件所致，请进行以下操作后重新发起迁移任务。 需要在目标PostgreSQL数据库安装uuidossp插件。插件下载地址： extension "uuidossp"语句即可。 任务提示“invalid input syntax for type bigint XXX”怎么办？ 这是由于源端数据库中表字段没有配置精度所致，请进行以下操作后重新发起迁移任务。 需针对没有配置精度的表，根据实际数据情况配置精度。 任务提示“ORA12547: TNS:lost contact”怎么办？ 这是由于节点未加入到数据库白名单中所致。请进行以下操作后重新发起迁移任务。 将服务节点地址加到数据库白名单中。 迁移完成后，若想再次迁移如何操作？ 可在清理目标库后，点击“重试”按钮。 创建迁移任务时，连接检测不通过怎么办？ 查看数据库是否允许公网访问： 如果不允许公网访问则开通公网访问。 如果允许公网访问，则排查节点地址是否被纳入到数据库白名单，如未纳入，请在数据库白名单加入节点地址。 迁移任务中提示“Packet for query is too large (x>y). You can change this value on the server by setting the 'maxallowedpacket' variable”如何处理？ 由于MySQL的maxallowedpacket配置小于云迁批处理提交大小。 由于列设置了默认值，因此过滤后会生成默认值。 具体步骤： 1. 在MySQL执行“set global maxallowedpacketz”,z需要大于报错信息中x的值。

支持的文件类型 支持嵌入/提取水印的文件类型 具体的文件格式 文档 PDF、PPT、Word、Excel 图片 .jpg、.jpeg、.jpe、.png、.bmp、.dib、.rle、.tiff、.tif、.ppm、.webp、.tga、.tpic、.gif json数据 整型、浮点型、字符串型。 使用场景 数字水印在政府部门、医疗、金融、科研等行业应用广泛，主要用于版权保护和追踪溯源。在数据版权保护方面，数字水印技术可用于数字作品被下载或复制时，数据库业务需要提供数据给第三方时，可以通过数字水印技术明确版权归属，有效解决版权纠纷。在使用过程中可追踪溯源方面，数字水印技术可以记录使用者信息，以识别身份并提醒使用者注意安全规范。当发生数据泄露事件时，可以通过数字水印技术追踪泄露源头，挖掘泄露原因。 优势特点 1. 支持明暗双重水印：数字水印技术可以根据需要对数据进行明水印或暗水印处理，不影响使用效果，同时有效应对图像处理工具或拍照截图等绕过方式窃取数据。 2. 可检测性强、不易被篡改：数字水印技术可以检测并保证数据的完整性，不会被篡改或丢失。 3. 高鲁棒性：数字水印技术在传输或使用过程中具有较高的鲁棒性，即使数据载体经过改动或受到攻击损坏后，仍然有较大概率提取出水印。

您可以通过Web应用防火墙服务切换工作模式。Web应用防火墙提供开启防护和暂停防护两种工作模式。 前提条件 防护域名已接入WAF。 应用场景 开启防护：开启防护模式后，WAF会根据您配置的策略进行攻击检测。 暂停防护：如果大量的正常业务被拦截，比如大量返回418返回码，可以将“工作模式”切换为“暂停防护”。该模式下，WAF对所有的流量请求只转发不检测，日志也不会记录。该模式存在风险，建议您优先选择误报屏蔽规则处理正常业务拦截问题。 系统影响 切换为暂停模式后，WAF只转发流程请求，网站安全可能存在风险，建议您优先选择误报屏蔽规则处理正常业务拦截问题。 操作步骤 步骤1 登录管理控制台。 步骤2 单击管理控制台右上角的，选择区域或项目。 步骤3 单击页面左上方的，选择“安全 > Web应用防火墙（独享版）”。 步骤4 在左侧导航树中，选择“网站设置”，进入“网站设置”页面。 步骤5 在目标域名所在行的“工作模式”列，选择工作模式。

本小节介绍手动解除误拦截IP。 在30秒内，账户暴力破解次数达到5次及以上，或者3600秒内，账户暴力破解次数达到15次及以上，HSS就会拦截该源IP，禁止其再次登录，防止主机因账户破解被入。若已拦截IP为合法IP被误封禁（比如运维人员因为记错密码，多次输错密码导致被封禁），您可以参照本章节手动解除拦截IP。 手动解除被拦截的可信IP，仅可以解除本次HSS对该IP的拦截。若再次发生多次密码输错，该IP仍会被HSS拦截。 说明 SSH类型攻击默认拦截12小时，其他类型攻击默认拦截24小时。 当HSS检测到拦截IP超过默认拦截时间后，主机不再被暴力破解攻击，将会自动解除拦截。 手动解除拦截IP 1、登录管理控制台。、 2、在页面左上角选择“区域”，单击，选择“安全 > 企业主机安全”，进入企业主机安全页面。 3、在左侧导航树中，选择“入侵检测 > 事件管理”。 4、在安全告警统计区域中，单击“已拦截IP”。 5、在弹出的“已拦截IP”页面，勾选误禁IP后，单击列表上方的“解除拦截”，解除拦截IP。

本章节主要介绍ALM19015 在ZooKeeper上的数量配额使用率超过阈值的告警。 告警解释 系统每120秒周期性检测HBase服务的znode使用情况，当检测到HBase服务的znode数量使用率超出告警的阈值（默认75%）时产生该告警。 当znode的数量使用率小于告警的阈值时，告警恢复。 说明 若集群启用了多实例功能且安装了多个HBase服务，请根据“定位信息”的“服务名”值来确定具体产生告警的HBase服务。例如“定位信息”中显示服务名HBase1，处理步骤中的操作对象也应由HBase调整为HBase1。 告警属性 告警ID 告警级别 是否自动清除 19015 重要 是 告警参数 参数名称 参数含义 来源 产生告警的集群名称。 服务名 产生告警的服务名称。 角色名 产生告警的角色名称。 主机名 产生告警的主机名。 Threshold 产生告警的阈值。 对系统的影响 产生该告警表示HBase服务的znode的数量使用率已经超过规定的阈值，如果不及时处理，可能会导致问题级别升级为紧急，影响数据写入。 可能原因 HBase配置了容灾并且容灾存在数据同步失败或者同步速度慢； HBase集群存在大量的WAL文件在进行split。 处理步骤