本节介绍云等保专区产品的上线配置概览。 云等保专区整合了多个原子能力，部分原子能力需要进行安装配置后，才能正常使用。 原子能力 安装内容及步骤 参考文档 主机安全v1.0 Agent下载安装 请参考主机安全 主机安全v1.0 资产管理配置 请参考主机安全 主机安全v1.0 安全策略编辑 请参考主机安全 主机安全v1.0 日志查看 请参考主机安全 Web应用防火墙v1.0 绑定弹性IP 请参考Web应用防火墙 Web应用防火墙v1.0 全局配置 请参考Web应用防火墙 Web应用防火墙v1.0 添加站点 请参考Web应用防火墙 Web应用防火墙v1.0 配置策略 请参考Web应用防火墙 Web应用防火墙v1.0 验证URL 请参考Web应用防火墙 下一代防火墙v1.0 绑定弹性IP 请参考下一代防火墙 下一代防火墙v1.0 配置子网路由 请参考下一代防火墙 下一代防火墙v1.0 设置安全策略 请参考下一代防火墙 下一代防火墙v1.0 安全日志查看 请参考下一代防火墙 堡垒机v1.0 绑定弹性IP 请参考堡垒机 堡垒机v1.0 创建部门 请参考堡垒机 堡垒机v1.0 创建用户 请参考堡垒机 堡垒机v1.0 创建主机 请参考堡垒机 堡垒机v1.0 创建运维规则 请参考堡垒机 堡垒机v1.0 审计规则设置 请参考堡垒机 堡垒机v1.0 数据归档设置 请参考堡垒机 漏洞扫描v1.0 资产管理 请参考漏洞扫描 漏洞扫描v1.0 扫描策略设置 请参考漏洞扫描 漏洞扫描v1.0 创建扫描任务 请参考漏洞扫描 漏洞扫描v1.0 扫描报告查看 请参考漏洞扫描 日志审计v1.0 设置日志上传 请参考日志审计 日志审计v1.0 添加资产 请参考日志审计 日志审计v1.0 查询自查信息 请参考日志审计 日志审计v1.0 创建解决方案包 请参考日志审计 日志审计v1.0 订阅告警 请参考日志审计 日志审计v1.0 查看审计结果 请参考日志审计 数据库审计v1.0 安装Agent 请参考数据库审计 数据库审计v1.0 添加资产 请参考数据库审计 数据库审计v1.0 配置规则 请参考数据库审计 数据库审计v1.0 订阅报表和告警 请参考数据库审计

本小节介绍微隔离防火墙产品定义和产品优势。 产品定义 微隔离防火墙（CTMIFW Microisolation Firewall）面向数据中心的跨平台统一安全管理软件，能够对数据中心的内部流量进行全面精细的可视化分析和高细粒度的安全策略管理，能够帮助用户快速便捷的实现环境隔离、域间隔离以及端到端隔离。与云下一代防火墙互补，实现纵深防御。 产品优势 基础架构无关 与基础架构无关，与系统适配。 Linux 发行版 CentOS: 5.X(有限支持)/ 6.X/ 7.X/ 8.3.2011； Ubuntu: 14/ 16/ 18.04 LTS/ 20； Debian: 8/ 9/ 10； Suse: 11.4/ 12SP1/ 12SP5； Open Suse: 42.3/ 13.2/ Leap15.0。 Windows Server Windows Server 2008R2； Windows Server 2012/ R2； Windows Server 2016； Windows Server 2019。 国产操作系统 UOS:V20Debian10/V20CentOS7.7/V20CentOS8.2； Kylin: V4/ V7/ V10； EulerOS: SP5； OpenEulerOS: 20.09/ 21.09。 容器平台 K8S+Docker； K8S+CIRO。 系统影响小 采用安全可靠架构设计 全用户态设计，不侵蚀系统内核； 单向控制通信，不额外开放端口； 客户端防卸载、防删除、防停用。 智能优化系统性能开销 连接、阻断关系合并上报； 防火墙策略对象智能聚合。 多项资源占用保护机制 CPU单核占用率降级阈值设定； 连接、阻断关系内存占用限制； Conntrack最大容量动态调整； TCP / UDP超时时间智能调整。

本节介绍了云容器引擎的产品功能。 功能特性 强大的集群管理 单集群支持数千节点规模 高性能自研网络插件，VM与容器直连互通，性能提升20% 丰富的集群插件，开箱即用 一站式容器应用管理 支持原生5种类型工作负载 内置应用模板，支持一键部署Helm应用 支持灰度发布，蓝绿发布，应用弹性伸缩 极致弹性&高效调度 支持HPA/CronHPA伸缩策略 支持基于历史指标/事件驱动的弹性伸缩 提供负载感知调度，解决原生k8s调度不均问题 企业级的安全稳定 支持3Master高可用，镜像服务高可用能力 提供集群备份恢复插件，支持多种存储介质 支持安全容器，提供镜像签名和镜像扫描 功能列表 一级分类 二级分类 功能点 功能点描述 核心功能 集群 一键快速部署 支持界面化订购，自动开通Kubernetes集群，兼容原生Kubernetes 核心功能 集群 节点管理 支持界面化进行扩缩容，支持节点标签、调度设置 核心功能 集群 命名空间 支持资源配额设置、支持网络隔离设置 核心功能 集群 运行时 支持Docker、Containerd 核心功能 工作负载 生命周期管理 支持应用创建、启停、扩缩容、注销等生命周期操作 核心功能 工作负载 工作负载 支持界面化发布有状态、无状态、守护进程、任务、定时任务等工作负载 核心功能 工作负载 多容器 支持一个Pod中发布多个容器，支持设置特权级容器 核心功能 工作负载 探针 支持界面化自定义策略检测应用的可用性 核心功能 工作负载 滚动升级 支持业务不中断平滑升级 核心功能 工作负载 亲和性/反亲和 支持主机及应用的亲和性与反亲和性调度 核心功能 工作负载 资源管控 支持容器级别的资源需求和限额设置，防止资源的浪费 核心功能 弹性调度 Pod弹性伸缩 支持自动伸缩规则设置，基于CPU/内存等资源自动伸缩应用，支持HPA、CronHPA和基于事件的弹性策略 核心功能 弹性调度 节点弹性伸缩 支持节点弹性伸缩 核心功能 弹性调度 负载感知调度 支持调度Pod时考虑节点的实际负载 核心功能 路由 多协议支持 支持TCP、UDP、HTTP以及HTTPS等协议 核心功能 路由 Service支持 支持NodePort、ClusterIP，LB等对外提供访问、支持无头服务 核心功能 路由 Ingress支持 支持Nginx Ingress 核心功能 路由 灰度/蓝绿发布 支持支持灰度/蓝绿发布，支持应用的多个版本在线运行 核心功能 配置管理 配置项 支持配置项 核心功能 配置管理 Secret 支持保密字典、凭证等 核心功能 网络 网络插件 支持高性能网络插件Calico 核心功能 网络 网络插件 支持自研网络插件CubeCNI实现容器与虚拟机网络直通 核心功能 网络 网络策略 支持容器访问策略和流控限制 核心功能 存储 多类型存储 支持Local、NFS、Ceph常见持久存储类；支持csi驱动程序，集成天翼云的云硬盘、弹性文件、对象存储等云存储 核心功能 存储 持久卷声明 支持界面化创建持久卷声明，支持监控存储使用量 核心功能 存储 持久卷 支持界面化创建持久卷，支持持久卷的动态生成 核心功能 日志管理 日志中心 支持容器日志的采集、存储和检索，支持集成三方开源日志解决方案 核心功能 监控与告警 监控中心 支持集群、节点、容器多级别的监控与告警配置，支持审计日志，支持集成三方开源监控解决方案 核心功能 系统管理 接入平台 作为平台组件对外提供服务，支持订单方式进行集群的开通、扩缩容、删除等 核心功能 系统管理 权限管理 多租户支持，租户资源隔离，用户角色授权，支持集群和命名空间的授权 高级功能 应用 插件市场 支持通过Chart对插件打包发布到插件市场，界面化一键部署监控等插件，通过插件与其他产品集成 高级功能 应用 模板市场 支持通过Chart对应用打包发布到模板市场，界面化安装部署等 高级功能 应用 有状态应用 支持挂载持久化存储，实现有状态应用容器化部署 高级功能 能力开放 OpenAPI 支持开放API，对接持续集成和私有部署系统 高级功能 高可用部署 Kubernetes高可用 支持Kubernetes高可用部署 容器镜像服务 镜像 镜像仓库 支持对接多镜像中心，支持界面化创建仓库 容器镜像服务 镜像 租户隔离 支持公开仓库的可见性及私有仓库的不可见性 容器镜像服务 镜像 镜像管理 支持管理海量镜像，支持多版本镜像 容器镜像服务 镜像 镜像收藏 支持快速检索镜像并收藏 容器安全 授权 权限管理 支持基于k8s RBAC授权 容器安全 配置安全 容器安全策略 支持SecurityContext配置

操作场景 购买了WAF（WEB应用防火墙）实例后，可为相应的HTTP/HTTPS监听器开启安全防护（以下安全防护和WAF防护同义）。对进入监听器的应用层流量进行检测，用户可根据自身应用需求设置相应的规则，如拦截、观察等。WEB应用防火墙的详细信息可参考WEB应用防火墙。 操作须知（限制/说明） 该功能当前处于试用阶段，如需试用可以通过天翼云控制台提工单进行申请。 当前只有集群模式的资源池支持 HTTP/HTTPS监听器开启WAF防护，主备模式资源池不支持，主备、集群模式资源池列表见 产品简介​>产品类型和规格, 实际情况以控制台展现为准。 用户已购买了WEB应用防火墙。 用户的负载均衡实例为性能保障型，不支持经典型开启安全防护。 只支持HTTP/HTTPS监听器开启安全防护。 WEB应用防火墙不参与流量的转发，证书配置能力不启用，负载均衡器将解密后的信息直接给WEB应用防火墙，WEB应用防火墙检测完成后直接回给负载均衡器，WEB应用防火墙不执行解密/回源等动作。 负载均衡开启安全防护后，负载均衡的黑白名单仍然生效。 计费说明 监听器支持安全防护功能不额外收取费用，用户需要购买负载均衡器和WEB应用防火墙，这两个产品单独计费。

本文为您介绍如何通过注解实现ECI Pod环境变量获取元Pod IP和 EIP IP。 操作步骤 1. 打开云容器引擎集群控制台，点击集群名称。 2. 选择工作负载菜单，点击无状态，进入无状态列表页。 3. 点击“新增YAML”按钮。 4. 为Pod 添加注解，以Deployment 为例： plaintext k8s.ctyun.cn/eciwitheip: "true" 可选，设置则自动分配 EIP k8s.ctyun.cn/eipbandwidth: "5" 可选，单位 Mbps，默认 5Mbps deployment 完整模板，其中环境变量设置如下，获取Pod IP和EIP IP： shell apiVersion: apps/v1 kind: Deployment metadata: name: nginxdeployment labels: app: nginx spec: replicas: 1 selector: matchLabels: app: nginx template: metadata: annotations: k8s.ctyun.cn/eciwitheip: "true" k8s.ctyun.cn/eipbandwidth: "5" labels: app: nginx spec: containers: name: nginx image: registryhuadong1.crsinternal.ctyun.cn/opensource/nginx:1.25alpine ports: containerPort: 80 env: name: PODIP valueFrom: fieldRef: fieldPath: status.podIP name: PODEIP valueFrom: fieldRef: fieldPath: "metadata.annotations['k8s.ctyun.cn/allocatedeipAddress']" nodeName: vndc2hq918w25w2vqracnhuadong1jsnj3apublicctcloud 注意 通过yaml 创建，此处需要指定节点为 vnode： shell nodeName: "vndc2hq918w25w2vqracnhuadong1jsnj3apublicctcloud" 5. 创建完成在ECI 控制台，找到对应的ECI Pod，进入详情页面，选择远程连接页签，可以看到环境变量已生效。 6.

本小节介绍数据库安全购买类常见问题。 购买实例时如何选择“子网”？ 需要选择与数据库同一VPC的子网。 购买实例时为何要选择VPC？ 对于非云上的数据库，Agent和DBSS实例之间的网络需要通过VPC互通。DBSS实例的VPC和安装Agent的节点如果在不同VPC，将导致无法审计。 同一区域可以多少个数据库安全审计实例？ 基础版：最多支持3个数据库实例。 专业版：最多支持6个数据库实例。 高级版：最多支持30个数据库实例。 在专属云上购买数据库安全服务会消耗专属云上的资源吗？ 当您在专属云上购买数据库安全服务时，DBSS将消耗您在专属云上的计算资源，消耗的资源说明如表所示。 如果您不希望DBSS消耗专属云资源，请在公有云上购买DBSS。 版本 消耗资源 基础版 vCPU：4核 内存：16GB 硬盘：560GB 专业版 vCPU：8核 内存：32GB 硬盘：1084GB 高级版 vCPU：16核 内存：64GB 硬盘：2108GB 哪些区域可以使用数据库安全服务？ 目前数据库安全服务主要集中在天翼云二类节点，主要区域包含如下： 购买实例时提示资源售罄时如何处理？ 当您在购买数据库安全服务时，界面提示资源售罄，请您单击管理控制台左上角的区域按钮选择其他区域后购买或提交工单。

本文介绍如何配置DDoS封堵通知渠道。 注意 本文适用于天翼云所有公网资源池。所有弹性 EIP 均已纳入 DDoS 基础防护覆盖范围，平台会统一为其分配免费基础 DDoS 防护阈值。若您的 EIP 所属资源池未开放 DDoS 基础防护控制台，虽无控制台操作与查询功能，但 EIP 流量超出防护阈值被平台封堵时，系统仍会自动向账号绑定联系人发送站内信、短信及邮件通知。 引言 为确保您能及时获知弹性 EIP 的 DDoS 封堵相关信息，快速响应并保障业务平稳运行，本文将详细介绍 DDoS 封堵通知渠道的配置方法。默认情况下，当 IP 触发 DDoS 封堵时，平台会自动向您天翼云账号本身已绑定的联系人，通过短信、站内信、邮件三种方式发送封堵通知；若您需要让业务值班人员、运维人员等更多相关人员同步接收该类通知，可通过配置安全消息接收人的方式额外增加接收人，实现 DDoS 封堵信息的多人同步推送，具体配置操作将在下文逐步说明。 前提条件 用户持有天翼云弹性 EIP：所有弹性 EIP 均纳入 DDoS 基础防护覆盖范围，平台基于整体安全管控需求，为每一个弹性 EIP 统一分配 DDoS 防护阈值；若客户无公网业务需求，可无需使用该产品相关功能。 完成账号实名制认证。

本文介绍如何配置DDoS封堵通知渠道。 注意 本文适用于天翼云所有公网资源池。所有弹性 EIP 均已纳入 DDoS 基础防护覆盖范围，平台会统一为其分配免费基础 DDoS 防护阈值。若您的 EIP 所属资源池未开放 DDoS 基础防护控制台，虽无控制台操作与查询功能，但 EIP 流量超出防护阈值被平台封堵时，系统仍会自动向账号绑定联系人发送站内信、短信及邮件通知。 引言 为确保您能及时获知弹性 EIP 的 DDoS 封堵相关信息，快速响应并保障业务平稳运行，本文将详细介绍 DDoS 封堵通知渠道的配置方法。默认情况下，当 IP 触发 DDoS 封堵时，平台会自动向您天翼云账号本身已绑定的联系人，通过短信、站内信、邮件三种方式发送封堵通知；若您需要让业务值班人员、运维人员等更多相关人员同步接收该类通知，可通过配置安全消息接收人的方式额外增加接收人，实现 DDoS 封堵信息的多人同步推送，具体配置操作将在下文逐步说明。 前提条件 用户持有天翼云弹性 EIP：所有弹性 EIP 均纳入 DDoS 基础防护覆盖范围，平台基于整体安全管控需求，为每一个弹性 EIP 统一分配 DDoS 防护阈值；若客户无公网业务需求，可无需使用该产品相关功能。 完成账号实名制认证。

本节介绍集群联邦概述。 集群联邦 集群联邦基于多云容器编排能力，旨在管理跨云、跨地域场景下的多集群应用，为您提供多集群统一管理、应用部署、服务发现、弹性伸缩、故障迁移等能力。 功能优势 完全兼容Kubernetes原生API，支持从单集群到多集群零改造升级，无缝集成现有Kubernetes工具链生态。 丰富的多集群调度策略：集群亲和性调度、多集群拆分/再平衡调度，多维度的高可用部署，包括多Region、多AZ、多集群、多云供应商 。提供自动化的多集群故障优雅迁移能力，对故障集群实例进行集中式或分散式的迁移，保证服务实例不跌零 多集群流量分发：多集群Service实现跨集群的服务发现和访问。多集群Ingress提供跨集群的负载均衡和流量路由机制，支持自动切流，可自动摘除故障集群上的流量，保障服务的可用性 。 多集群弹性伸缩：基于工作负载的系统指标变动、自定义指标变动或固定的时间周期，实行多集群统一的负载伸缩策略，提升工作负载的可用性和稳定性 。 全域容器智能分析：实时监控应用及资源，采集各项指标及事件等数据以分析应用健康状态，提供多集群统一的全栈监控视图，对业务提供端到端追踪和可视化，提供集群健康诊断能力，缩短问题分析定位时间 。

本文介绍弹性文件服务入门相关流程。 天翼云弹性文件服务提供按需扩展的高性能文件存储，可为云上多个弹性云主机提供大规模共享访问，具备高可用性和高数据持久性。下面我们以创建文件系统、挂载文件系统到数据读写为例介绍弹性文件服务的整体入门流程，具体流程见下图： 1. 首先进行准备工作，注册天翼云，确保账户余额，具体流程参见准备工作。 2. 设置天翼云弹性文件服务控制台所给出的配置项，包括存储类型、存储协议等信息，具体步骤请参见创建文件系统。 3. 创建好的文件系统需要挂载至云主机或物理机上使用，具体挂载步骤参见挂载文件系统。 4. 文件系统挂载完成后，您可以为文件系统配置监控告警规则，监控带宽、IOPS等数据，赋能业务，配置参考创建告警规则和开启一键告警。 5. 您可以将本地或其他存储设备上的数据迁移至文件系统共享与管理。具体步骤可参考NAS文件系统之间的迁移。 6. 您可以像访问本地数据一样读写文件系统中存储的数据。

本文主要介绍弹性负载均衡健康检查常见问题。 健康检查为什么会导致负载均衡器会频繁向后端云主机发送探测请求？ ELB是高可用集群部署的，集群内的所有的转发节点会同时向后端云主机发送探测请求，检查间隔用户可配，健康检查会根据检查间隔一直探测，所以每隔几秒会有访问。您可以通过修改健康检查配置的周期来控制访问后端云主机的频率。 健康检查什么时候启动？ 后端云主机新加入后，在第一个周期内随机一个时间开始检测，后续按照“检查间隔”启动。 “最大重试次数”是否包括健康检查失败的场景？ 是，最大重试次数既是健康最大重试次数，也是不健康最大重试次数。 如何处理健康检查导致的大量日志？ 可以增加健康检查间隔时间，但延长健康检查的间隔时间后，后端云主机出现故障时，负载均衡发现故障云主机的时间也会增长。 可以关闭健康检查，但关闭健康检查后，负载均衡不再检查后端云主机，一旦某台后端云主机发生故障，则无法实现访问流量自动切换至其它正常的后端云主机。 切换健康检查协议，配置方法： 进入控制台，选择弹性负载均衡，选择需要配置的实例，选择后端云主机，点击配置健康检查配置，切换健康检查协议。 但负载均衡将只检查监听端口状态，不检查HTTP状态，会导致负载均衡无法实时获知HTTP应用是否出现问题。

2.1 环境准备 2.1.1 安装Apptainer（Galaxy相关镜像环境默认已安装，可跳过此步骤） 根据操作系统类型选择对应安装方式（以Ubuntu为例）： 安装依赖 sudo aptget update && sudo aptget install y libseccompdev squashfstools 下载并安装Apptainer wget sudo dpkg i apptainer1.2.81amd64.deb 2.1.2 下载测试工具 创建工作目录并获取EvalScope容器镜像： mkdir p /root/ctyun/log cd /root/ctyun wget （需联系公有云事业部，获取sif文件） 2.2 全量测试脚本配置与执行 2.2.1 脚本参数说明 编辑 run.sh脚本（vim run.sh，可按需调整参数）： !/bin/bash 定义日志输出路径 logdir"/root/ctyun/log" 请替换为实际的日志存储路径 mkdir p "$logdir" 如果目录不存在，则创建 定义parallel的取值 parallelvalues(1 10 20 32 40 64 128) 定义inputtokens和outputtokens的取值 tokenpairs("255 256" "255 1024" "255 2048" "511 512" "511 1024" "1023 1024" "1023 2048" "2047 2048" "4095 1024" "4095 4096") tokenpairs("20480 8192") 获取当前时间戳，格式为 YYYYMMDDHHMMSS timestamp$(date +"%Y%m%d%H%M%S") 外循环：遍历inputtokens和outputtokens的取值 for tokens in "${tokenpairs[@]}"; do

智慧工地 适用于管理系统与安防系统不配套，信息化程度较低，员工管控便利性不足，无法投入大量人力保障工地现场的场景。通过纳管所有工地视频，AI算法高效识别现场情况，预防事故的发生，有效降低事故率，助力实现“云监工”。智能视图服务具备以下优势： 建设周期短，成本低廉，云端汇聚组网方式更加简单明了，可用性更强，后续运维简单可靠。 大规模部署推流接入点，就近接入，满足多种形态视频资源的稳定接入。 集成AI内容审核，进行人脸识别，人员聚集检测、车辆牌号检索等工地现场管控。 智慧零售 适用于门店分散、加盟店多、人员管理难；客流客群数据统计难，难以判断市场动向；难以判断营销活动效果的门店智慧化改造。通过视频信息的数据化采集与应用为业务运营降本增效，积累行业智慧数据，快速支撑连锁门店的运营决策，提高企业收益率。智能视图服务具备以下优势： 前端设备、平台公网/专线接入，设备统一接入与管理。 根据业务特点，随时随地播放实时流、历史流，查看截图，支持监控内容的按需播放与调取，实现远程巡店。 支持多种算法部署升级、算力弹性扩容，智能统计分析客流情况，智能预警。

本小节介绍日志审计的网络环境需求。 若日志审计绑定了EIP，在用户通过EIP访问日志审计实例之前需要配置安全组策略，编辑入向策略，才可通过EIP直接访问日志审计实例。 说明 安全组是一个逻辑上的分组，为同一个虚拟私有云内具有相同安全保护需求，并相互信任的弹性云服务器和日志审计实例提供访问策略。 为了保障日志审计的安全性和稳定性，在使用日志审计实例之前，您需要设置安全组，添加规则允许需访问日志审计的IP地址和端口。 日志审计实例开放端口说明 一类节点 说明 在订购时会自动生成以下安全组，保证页面访问和日志传输。 端口 协议 方向 用途 说明 514 UDP 入方向 Syslogudp采集 来源IP限制为支持上报采集的网段。 162 UDP 入方向 Snmptrap采集 来源IP限制为支持上报采集的网段。 8181 TCP 入方向 门户端口 来源IP限制为实例控制台地址，如果不开放，则无法访问Web界面。 433 HTTPS 出方向 日志审计实例心跳上报、授权许可同步到控制台 如果不开放，则会导致无法正常完成在线升级、升配操作。 53 UDP 出方向 日志审计实例心跳上报、授权许可同步到控制台需要的DNS解析 如果不开放，则会导致无法正常完成在线升级、升配操作

本章节介绍故障演练服务中演练任务管理功能。 概述 演练是指通过向系统的特定目标注入指定故障，并观察其影响，从而验证和提升系统可用性与韧性的过程。 新建演练 在目标应用的演练管理 页面，单击新建演练按钮，即可开始编排一个新的演练任务。 1、填写基本信息 在基本信息 页面，填写演练名称 、演练描述 和关联应用等。 说明 配置关联应用 可在当前演练任务中选择关联应用的资源进行故障演练。 2、配置演练对象 单击下一步 进入演练对象配置 页面。在此页面，可以配置一个或多个动作组，它们是故障注入的基本流程单元。 2.1 配置动作组 填写动作组名称 和描述。 单击动作组 右上角的复制图标，可以快速克隆出一个新的动作组。 说明 一个演练任务 可创建多个动作组。 2.2 添加实例到动作组 为动作组 选择一个资源类型（如弹性云主机）。 单击添加实例，在弹出的对话框中选择需要执行演练的资源对象。 说明 同一个动作组内仅可针对同一资源类型进行故障注入操作，不同资源类型可选择的实例个数也有不同的限制。 2.3 添加故障动作到动作组 在动作列表 中单击立即添加 ，选择需要注入的故障动作。 在弹出的对话框中，配置该故障动作的具体参数。

协议服务提供标准NFS协议访问HPFS文件系统的能力，本文介绍查询协议服务的场景说明和操作步骤。 场景说明 您可以查看文件系统下协议服务的基本信息，支持按协议服务ID或描述关键字查看指定的协议服务。 操作步骤 1. 登录天翼云控制中心，单击管理控制台左上角的，选择地域。 2. 选择“存储>并行文件服务HPFS”，进入并行文件服务的控制台页面。 3. 点击目标文件系统，进入文件系统详情页，点击协议服务页签，即可进入协议服务页面。 4. 在协议服务列表页查看所有协议服务的基本信息，参数说明如表所示： 参数 说明 协议服务ID 协议服务的ID，创建时自动生成，不支持修改。 状态 协议服务状态： 创建中、创建失败、可用、删除中、异常。 规格 通用型。 协议类型 NFS协议，默认支持NFSv3和NFSv4。 VPC挂载地址 导出的NFS的挂载地址。 VPCE挂载地址 若创建时选择开启终端节点（VPCE），则展示VPCE挂载信息，返回通常需要1~3分钟。 注意 如果您删除了终端节点，则VPCE的挂载地址将会失效。 VPC名称/ID 协议服务绑定的虚拟私有云（VPC），VPC的名称可以点击跳转到对应详情页面。 创建时间 协议服务的创建时间。 描述 协议服务的描述信息。 操作 仅支持删除操作。

敏感数据是指泄漏后可能会给社会或个人带来严重危害的数据。 敏感数据举例： 个人：家庭住址、工作单位、银行卡号、身份证号码 企业或组织：财务信息、客户资料、技术资料、重大决策等公司核心信息。 天翼云数据安全中心（Data Security Center，简称DSC）为您提供静态数据脱敏功能：能够根据脱敏规则对大批量数据进行统一变形转换处理。静态脱敏的应用场景多为：开发测试、数据分享、数据研究。可以将生产环境中的敏感数据交付至开发、测试或者外发环境。 为何敏感数据会泄露 内部原因 员工（包括在职员工、待离职员工、合作伙伴、外包人员）盗窃数据 重要笔记本电脑和移动设备的丢失或失窃 敏感数据越权访问和存储 企业员工打印、外和复制敏感数据 意外传输敏感数据 外部原因 基础措施不可控，避免数据存储系统存在安全漏洞 配置不当导致的外部攻击 敏感数据越权访问和存储 场景 场景假设：“rsddsctest”数据库中“dscyunxiaoke”表中存储了银行员工信息。 处理方案：当前需要对敏感数据进行敏感数据识别并完成脱敏，可选择识别规则组“银行金融领域模板”，该模板为预置模板，能识别出敏感数据并生成识别结果数据报告，再对识别出的敏感数据进行“Hash脱敏”中的SHA256算法进行脱敏处理，以此来达到保护敏感数据得目的。

本文介绍如何查看WAF账单。 客户可以在费用中心按月查看在天翼云的消费概况，详情请参见账单概览。 账单说明 WAF产品为包年包月计费产品，包年包月产品采用预付费模式，即先付费再使用，一般为包年包月的购买形式，支付成功后，云资源将被系统分配给用户使用，直到超过保留期后被系统回收。 说明 当月最终账单将在次月3日生成，在次月4日10点后可查看和导出。 WAF属于按月结算的产品，当月消费可在次月3日查看账单。 操作步骤 1. 登录天翼云控制中心。 2. 在页面右上角用户名称处，选择“费用中心”。 3. 在左侧菜单栏选择“账单管理 > 账单概览”，进入账单概览页面，可按产品类型汇总查看产品账单。 4. 在左侧菜单栏选择“账单管理 > 账单详情”，进入账单详情页面。按如下筛选条件，即可查看到产品的账单详情。 统计维度选择“产品”。 统计周期选择“按账期”。 计费模式选择“包周期”。 账期选择需要查看的账单时间。

您成功购买数字证书认证系统实例后，可在天翼云云密评专区管理控制台登录。 通过天翼云控制台进入登录页面 1. 登录天翼云云密评专区管理控制台。 2. 在左侧导航栏选择“密码服务”，进入“密码服务”页面。 3. 选择需要登录的数字证书认证系统实例，单击右上角的“管理”，进入实例登录页面，选择登录方式。 登录方式一：账号及密码登录 1. 在登录页面选择“用户名/口令”。 2. 依次输入用户名、密码。 说明 首次登录默认账号如下： 管理员首次登录：默认账号为购买密码产品时，自定义设置的用户名和密码，可以参见获取初始登录账号获取初始账密。 其他用户首次登录：默认账号为管理员初始化人员时设置的用户名和密码，请联系管理员获取。 3. 单击“登录”即可登录数字证书认证系统。 注意 初始管理员首次登录后，进入租户列表列表页面，单击操作列的“初始化人员”，对运维账号、审计账号、管理员账号进行初始化。请妥善保存各个角色账号的密码，否则将无法正常登录实例。 登录方式二：使用UKEY登录 注意 首次使用UKEY登录时，需要根据界面提示下载并安装UKEY插件。 1. 在登录页面选择“USBKEY登录”。 2. 插入UKEY设备后刷新页面。 3. 输入USBKEY口令。 4. 单击“登录”，验证通过后即可登录系统。

本节介绍安全分析功能使用流程。 安全分析功能使用具体流程： 子流程 说明 新增工作空间 新增工作空间，用于资源隔离和控制。 数据集成 配置需要接入的数据。态势感知（专业版）支持集成存储、管理与监管、安全等多种云产品的日志数据。集成后，可以检索并分析所有收集到的日志。 （可选）新增数据空间 创建用于存储收集日志数据的数据空间。通过控制台接入的数据，系统将创建默认数据空间，无需再进行创建。 （可选）创建管道 创建用于日志数据的采集、存储和查询的数据管道。通过控制台接入的数据，系统将创建默认数据管道，无需再进行创建。 配置索引 配置索引条件，缩小查询范围。 查询与分析 对接入的数据进行查询、分析。 下载日志 支持将原始日志或查询分析后的日志下载到本地。 图表统计 当您执行了查询分析语句后，态势感知（专业版）支持通过图表统计的形式对查询和分析的结果进行可视化展示。目前支持表格、折线图、柱状图和饼图方式进行展示。

本文为您介绍如何使用ECI快速部署Tensorflow。 背景信息 TensorFlow是一个开源的机器学习框架，由Google开发和维护。它提供了一个灵活的编程环境，可以用于构建和训练各种机器学习模型，包括神经网络。TensorFlow使用图形计算的方式来表示计算任务，并通过优化技术来实现高效的计算。它支持多种编程语言，包括Python和C++，并且可以在各种硬件平台上运行，包括CPU、GPU和TPU。TensorFlow已经成为机器学习和深度学习领域最受欢迎的框架之一，被广泛应用于各种领域，如图像识别、自然语言处理、推荐系统等。 前期准备 已开通天翼云弹性容器实例服务。 已开通天翼云弹性文件或对象存储服务，用于存储tensorflow训练结果。 准备工作 准备训练数据和容器镜像。 训练数据：本文以Github的一个TensorFlow训练任务为例。 容器镜像：在最佳实践中，ECI已准备好适用的示例镜像，示例镜像已上传到天翼云容器镜像仓库中。 创建镜像缓存。 在ECI控制台的镜像缓存页面手动创建镜像缓存，如下图所示： 创建镜像缓存时需拉取镜像，受镜像大小和网络的影响，需要一定时间。可通过镜像缓存列表页或者镜像缓存详情页查看进度。镜像缓存状态显示ready时，表示镜像缓存已经创建成功。

单点执行手动检测 1、登录管理控制台。 2、在页面左上角选择“区域”，单击，选择“安全 > 企业主机安全”，进入企业主机安全页面。 3、在左侧导航栏中，选择“主机管理”，在云服务器列表的“操作”列中，单击“查看详情”，进入指定主机的详情页面。 查看详情 手动收集软件信息 选择“资产管理”页签，在页面下侧“软件信息”中，手动检测主机中的软件信息。 手动执行漏洞检测 选择“漏洞管理”页签，在“Linux软件漏洞管理”和“WebCMS漏洞管理”中，手动检测主机中的软件漏洞和WebCMS漏洞。 说明 软件漏洞检测和软件信息管理任意一个手动检测都会触发收集服务器上的软件信息。 选择“漏洞管理”页签，选择系统软件漏洞，单击“手动检测”，系统将立即执行一次系统软件漏洞检测。 系统软件漏洞检测 选择“漏洞管理”页签，选择WebCMS漏洞，单击“手动检测”，系统将立即执行一次WebCMS漏洞检测。 WebCMS漏洞检测

本小节介绍证书管理服务证书部署类常见问题。 SSL证书对服务器端口是否有限制？ 证书签发前：证书签发前的域名验证阶段，如使用的是文件验证，必须通过http 80端口/https 443 端口 来完成文件验证。 证书签发后：部署证书阶段对服务器端口没有限制，证书只匹配域名，不限制端口。 注意 证书部署在 https 443的默认端口，则 域名加端口的形式去访问 SSL证书支持在哪些服务器上部署？ SSL证书不限制部署环境，只要对应web服务器运行的中间件支持ssl模块来部署证书即可。 说明 常见的部署环境比如：支持在云防护平台、WAF、VPN、F5等设备上使用该证书，支持包括Apache、Nginx、IIS、Tomcat等主流web服务器 SSL证书支持在哪些地域部署？ 证书签发后会获取一对证书公私钥文件，只要部署环境的域名与证书域名一致，即可使用。 如何验证部署的SSL证书是否生效？ 直接浏览器访问对应网址，访问到的证书是匹配的证书即可。步骤如下：

本节主要介绍产品价格 专享版API网关计费说明 专享版API网关分两个维度计费：版本，以及带宽，二者同时计入收费。 实例版本分为基础版、专业版、企业版、铂金版。不同版本收费价格不一，目前支持包周期（包年包月）和按需（小时）两种计费方式。包年优惠政策为1 年 85 折、2 年 7 折、3 年 5 折。 实例规格 每秒最大请求次数 包月价格（元/个） 按需价格（元/个/小时） :::: 基础版 2000 2960 4.76 专业版 4000 7980 12.88 企业版 6000 11980 19.36 铂金版 10000 28680 46.28 带宽指您的API后端服务部署在公网时，另外收取的API请求出公网带宽费用。出公网带宽费用按带宽大小以及使用时长计费。公网带宽采用分段累计计价。 产品规格 按需标准价格（元/M/小时） :: 05M带宽部分 0.056 5M以上带宽部分 0.1 如：购买15M带宽，则按需价格为0.0565+（155）0.1 1.28元/小时 说明 专享版实例部署在虚拟私有云中，如果您的后端服务也部署在相同虚拟私有云，可直接通过私有地址访问，无需购买带宽。 专享版实例的API如仅在VPC内调用，无需购买/绑定弹性公网IP。 API如从公网调用，实例需绑定一个弹性公网IP，作为公网入口。弹性公网IP需要单独购买。

如何处理表中存在主键重复的数据 场景 DRDS实例的逻辑表中已存在主键数据类型边界值的记录，如果插入的数据超过主键数据类型的范围，表中会出现主键重复的数据。 处理方法 1、登录云服务管理控制台。 2、在RDS for MySQL的“实例管理”页面，查找DRDS实例对应的RDS for MySQL实例，单击目标RDS for MySQL实例名称，进入实例的“基本信息”页面。 3、在基本信息页面的左侧导航栏中选择“参数修改”。 4、在“参数”页签搜索“sqlmode”，单击“值”列中的下拉框，勾选“STRICTALLTABLES”或“STRICTTRANSTABLES”方式，单击“保存”。 5、在“DRDS实例管理”页面，重启DRDS实例。 如何通过show full innodb status指令查询RDS for MySQL相关信息 通过MySQL客户端连接DRDS实例后，可直接输入show full innodb status指令查询该DRDS实例所关联的RDS for MySQL实例信息。可查询信息如： 当前的时间及自上次输出以来经过的时长。 可以使用命令show full innodb status来查看master thread的状态信息。 如果有高并发的工作负载，您需关注SEMAPHORES信号量，它包含了两种数据：事件计数器以及可选的当前等待线程的列表，如果有性能上的瓶颈，可使用这些信息来找出瓶颈。

本章介绍天翼云关系型数据库的产品类型分类。 目前，云数据库RDS的实例分为如下几个类型： 单机实例 主备实例 集群版实例 不同系列支持的引擎类型和实例规格不同，请以实际界面为准。 实例类型简介 实例类型 简介 使用说明 适用场景 :::: 单机实例 采用单个数据库节点部署架构。与主流的主备实例相比，它只包含一个节点，但具有高性价比。 单机版出现故障后，无法保障及时恢复。 个人学习。 微型网站。 中小企业的开发测试环境。 主备实例 采用一主一备的经典高可用架构，支持跨AZ高可用，选择主可用区和备可用区不在同一个可用区（AZ）。主实例和备实例共用一个IP地址。 备机提高了实例的可靠性，创建主机的过程中，会同步创建备机，备机创建成功后，用户不可见。 当主节点故障后，会发生主备切换，数据库客户端会发生短暂中断，数据库客户端需要支持重新连接。 大中型企业的生产数据库。 覆盖互联网、物联网、零售电商、物流、游戏等行业的应用。 集群版实例 采用微软AlwaysOn高可用架构，支持1主1备5只读集群模式，拥有更高可用性，可靠性，可拓展能力。 仅限RDS for SQL Server使用。 金融行业。 互联网行业。 酒店行业。 在线教育。

本章节会介绍如何在控制台配置和修改数据库内网地址。 操作背景 用户从线下或者其他云迁移到关系型数据库后要面对更改IP的问题，为减少客户业务更改，降低迁移难度。提供规划与更改内网IP方式，降低客户迁移成本。 配置内网IP 在购买实例时，可在“服务选型”页面的网络部分，根据选择的子网自动配置内网地址。 修改内网IP 对于创建完成的关系型数据库实例，支持更改内网地址。 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角的，选择区域和项目。 步骤 3 选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 步骤 4 在“实例管理”页面，选择指定的实例，单击实例名称，进入实例基本信息页面。 步骤 5 在“基本信息”页“连接信息”模块“内网地址”处，单击“修改”。 步骤 6 您也可以在左侧导航栏，单击“连接管理”，在“内网连接”页面中，在“连接信息”模块“内网地址”处，单击“修改”。 在“修改内网地址”弹出框中进行修改。单击“确定”，保存修改内容。 修改内网IP后域名需要几分钟重新解析地址导致数据库连接中断，请在业务停止期间操作。 已使用IP地址列表中使用情况为“待使用”的IP地址表示已被占用，不允许被当前实例使用。

本文主要介绍物理机的权限管理。 如果您需要对天翼云上购买创建的物理机服务器资源，为企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，您可以使用统一身份认证服务（Identity and Access Management，简称IAM）进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全的控制天翼云云服务资源的访问。 通过IAM，您可以在帐号中给员工创建IAM用户，并授权控制他们对天翼云资源的访问范围。例如您的员工中有负责软件开发的人员，您希望他们拥有物理机的使用权限，但是不希望他们拥有删除物理机等高危操作的权限，那么您可以使用IAM为开发人员创建用户，通过授予仅能使用物理机，但是不允许删除物理机的权限，控制他们对物理机资源的使用范围。 如果天翼云帐号已经能满足您的要求，不需要创建独立的IAM用户进行权限管理，您可以跳过本章节，不影响您使用物理机服务的其它功能。 IAM是天翼云提供权限管理的基础服务，无需付费即可使用，您只需要为您帐号中的资源进行付费。 物理机权限 默认情况下，管理员创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 物理机部署时通过物理区域划分，为项目级服务。授权时，“作用范围”需要选择“区域级项目”，然后在指定区域（如江苏苏州）对应的项目（cnjssz1）中设置相关权限，并且该权限仅对此项目生效；如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问物理机时，需要先切换至授权区域。 根据授权精度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于天翼云云服务平台各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对物理机服务，管理员能够控制IAM用户仅能对某一类物理机资源进行指定的管理操作。多数细粒度策略以API接口为粒度进行权限拆分。 物理机常用操作与系统权限的关系 如下表： 操作 物理机 FullAccess 物理机 CommonOperations 物理机 ReadOnlyAccess 创建物理机 √ x x 查看物理机列表 √ √ √ 查询物理机详情 √ √ √ 修改物理机名称 √ x x 启动物理机 √ √ x 关闭物理机 √ √ x 重启物理机 √ √ x 物理机挂载数据卷 √ √ x 物理机卸载数据卷 √ √ x 重装裸物理机操作系统 √ x x 一键重置物理机的密码 √ x x

云应用引擎 CAE（Cloud App Engine）具有广泛的应用场景，帮助您的企业极速上云、从容应对突发性流量洪流和灵活启停应用环境，降低资源成本。 应用托管 在企业生产环境中，通过合理拆分微服务，将每个微服务应用压缩为 ZIP 包、Docker 镜像存储在天翼云镜像仓库。您只需基于 Spring Cloud 或 Dubbo 等框架开发规范迭代每个微服务应用，由 CAE 提供底层资源调度、部署、灰度发布、微服务治理和监控诊断等能力。同时提供丰富的高级应用配置项，实现业务快速迁移上云。 零改造：CAE 能够平滑迁移应用，零改造地完成 Spring Cloud 或 Dubbo 应用快速上云。 免运维：CAE 能够免运维底层基础设施，例如 IaaS、K8s、微服务组件和 APM 组件等，无需自建注册中心，极大降低开发运维成本。 低门槛：CAE 能够一站式开箱使用全套微服务能力，提供自动构建镜像、灰度发布、流量控制、环境隔离、应用监控等企业级高级特性。 任务托管 聚焦于泛互联网、新零售、电商、文化传媒、制造、 IoT、物流、金融证券、医疗卫健和保险等行业。主要场景如下： 定时任务：定时拉取数据、爬虫。 批处理数据：数据清洗、转换、分析，对实时性要求低。 异步执行解耦：异步状态刷新以及离线查询。 微服务架构：与原有的微服务架构进行调用通信、流程解耦。 相比开源的分布式框架，其优点在于全托管免运维的用户体验，开箱即用的完备功能以及白屏化管控，任务运行完立即释放资源，不会浪费闲置资源成本。

前置工作 已通过天翼云生态专区订购 OpenClaw 应用 。 说明 若 OpenClaw 版本过低，将导致无法在公有云生态专区页面中进行技能配置。 操作步骤 OpenClaw 的 技能（Skills ）是让智能体具备执行能力的核心模块，通过标准化封装工具，OpenClaw 可以完成网页浏览、信息检索、邮件管理等任务。 1.从ClawHub 获取技能 登录天翼云官网，进入生态专区控制台。在应用管理我的应用中，选中对应的OpenClaw实例，点击进入应用详情页面。 点击“应用配置”页签，进入OpenClaw应用配置页面。在“技能（Skills）”模块中，天翼云支持从ClawHub选择并安装所需的技能到当前OpenClaw应用中。 2.安装技能 配置技能所需的参数说明如下表所示。填写完成后，点击“安装技能”按钮将自动下载并安装。 参数 填写说明 示例 技能来源 选择“ClawHub” CLI Token 输入从ClawHub获取的CLI Token。 说明 您可从ClawHub中获取CLI Token，Token获取参考以下步骤。 1）点击右上角用户图像的settings 2）下拉页面，点击Create token并复制token值 技能名称 需要安装的技能名称。 说明 您可从ClawHub中获取技能名称，名称获取参考下图。 findskills 注意 技能（Skills）由第三方ClawHub社区收录，部分技能(Skills)可能存在安全风险，天翼云无法确认其安全性，安装前请前往ClawHub社区仔细检查。

前置工作 已通过天翼云生态专区订购 OpenClaw 应用。 已为对应的OPenClaw应用实例完成模型配置 。 说明 若 OpenClaw 版本过低，将导致无法在公有云生态专区页面中进行通道配置。 操作步骤 登录天翼云官网，进入生态专区控制台。在应用管理我的应用中，选中对应的OpenClaw实例，点击进入应用详情页面。 点击应用配置 页签，进入 OpenClaw 应用配置页面。在通道配置模块中，可对 OpenClaw 进行通道配置（支持企业微信、QQ、钉钉、飞书），实现将 OpenClaw 接入各类即时通讯软件 说明 OpenClaw 支持在同一台服务器上配置多个通道，可同时接入QQ 机器人、飞书机器人等多个接入实例。若当前服务器已接入过其他通道，可在此基础上继续添加更多通道。 1.OpenClaw快速接入QQ配置 1.1登录QQ开放平台 进入腾讯QQ开放平台官网，完成QQ账号登录。 1.2创建QQ机器人 在QQ开放平台的QQ机器人页面，单击“创建机器人”，完成QQ机器人创建。 机器人创建完成后，记录并保存页面显示的 ”AppID“ 和 “AppSecret” 两个参数。请妥善保管、切勿泄露，注意数据安全，后续配置步骤将需要使用以上信息。 返回 QQ 软件，即可在消息列表中看到已创建的 QQ 机器人，且机器人会自动发送第一条欢迎消息。

您可以随时手动续订包年包月的弹性云主机资源,本文介绍手动续订操作方式。 续订规则 用户随时可以手动续订包月包年且未退订、未释放的资源，延长相关资源的使用时间。 手动续订操作说明 手动续订方式1 控制台资源管理界面找到所需续订的资源，点击“操作”下面的更多，点击“续费”，在弹窗中调整所需续订周期后，提交续订订单。 当续订周期达到1年或以上时，续订单将可享受包年折扣，续订金额显示折后价。 手动续订方式2 控制台费用中心续订管理页面找到所需续订的资源，点击“手动续订”，根据使用需要调整续订周期后，提交续订订单。 当续订周期达到1年或以上时，续订单将可享受包年折扣，实际价格以下单价格为准。 手动批量续订 用户可以一次性手动续订多个包月包年且未退订、未释放资源，最多一次性续订50个资源。 批量续订方式：进入控制台产品中心续订管理页面，通过筛选资源到期时间、筛选产品类型等，找到并勾选所需续订的多个资源，点击“批量续订”。 下单前如需确认资源详情，可点击右侧的下拉键查看资源ID、配置等。 批量续订的多个资源续订周期相同，如需对不同资源续订不同周期，需要分别下不同的续订订单。