参数 参数类型 说明 示例 下级对象 id String 主键 ALT001021213131 status Integer 状态 1隔离成功 2恢复成功 3已删除 99处理中 1 filePath String 文件路径 /test isolatePath String 隔离文件路径 /isolate/test fileMd5 String 文件md5 ebab7deb844141428da00b0eadbec9b4 sha256 String sha256 ebab7deb844141428da00b0eadbec9b4 agentGuid String agentGuid 389F8B3D880C42EA80709157BFEB35F0 createTime String 创建时间 20220601 10:10:10 updateTime String 修改时间 20220601 10:10:10 remark String 备注 test privateIp String 私有ip 10.10.10.10 publicIp String 公有ip 10.10.10.10 custName String 主机名称 test hostName String 主机名称 test displayName String 实例名称 test osType String 操作系统类型 Linux

本章节主要介绍ALM12046 网络写包丢包率超过阈值。 系统每30秒周期性检测网络写包丢包率，并把实际丢包率和阈值（系统默认阈值0.5%）进行比较，当检测到网络写包丢包率连续多次（默认值为5）超过阈值时产生该告警。 用户可通过“运维 > 告警 > 阈值设置 > 待操作集群的名称 > 主机 > 网络写信息 > 写包丢包率”修改阈值。 平滑次数为1，网络写包丢包率小于或等于阈值时，告警恢复；平滑次数大于1，网络写包丢包率小于或等于阈值的90%时，告警恢复。 告警属性 告警ID 告警级别 是否自动清除 12046 重要 是 告警参数 参数名称 参数含义 来源 产生告警的集群或系统名称。 服务名 产生告警的服务名称。 角色名 产生告警的角色名称。 主机名 产生告警的主机名。 网口名 产生告警的网口名。 Trigger Condition 系统当前指标取值满足自定义的告警设置条件。 对系统的影响 业务性能下降或者个别业务出现超时问题。 可能原因 告警阈值配置不合理。 网络环境质量差。 处理步骤 检查阈值设置是否合理 1.在FusionInsight Manager，选择“运维 > 告警 > 阈值设置 > 待操作集群的名称 > 主机 > 网络写信息 > 写包丢包率”，查看该告警阈值是否合理（默认0.5%为合理值，用户可以根据自己的实际需求调节）。 是，执行步骤4。 否，执行步骤2。 2.根据实际服务的使用情况在“运维 > 告警 > 阈值设置 > 待操作集群的名称 > 主机 > 网络写信息 > 写包丢包率”，单击“操作”列的“修改”更改告警阈值。 如下图所示： 3.等待5分钟，检查该告警是否恢复。 是，处理完毕。 否，执行步骤 4。

参数名称 参数含义 来源 产生告警的集群名称。 服务名 产生告警的服务名称。 角色名 产生告警的角色名称。 主机名 产生告警的主机名称。 Trigger Condition 系统当前指标取值满足自定义的告警设置条件。

在函数计算服务中，新创建的函数实例默认情况下具备访问公网的能力，但无法访问VPC（虚拟私有云）内的资源。如果您的业务场景需要函数能够与VPC内的资源进行交互，或者仅允许来自特定VPC的函数调用请求，您需要对函数进行网络配置，本文介绍如何通过函数计算控制台为函数配置网络。 网络访问类型 在函数计算中，通过网络地址进行的访问操作会产生不同类型的流量。这些流量根据其目的地可以分为两大类： 公网流量：这指的是函数实例访问公网地址所产生的流量，例如访问天翼云官网产生的流量即公网流量。 VPC内网流量：这是指函数实例访问用户VPC内资源所产生的流量。例如访问天翼云关系型数据库服务、分布式缓存服务、对象存储以及VPC中其他弹性云主机的内网地址。 函数的网络配置 根据函数的网络配置，您可以为函数实例设定不同的网络访问能力，以满足您的业务需求： 函数出流量：这是指函数实例发起的对外流量，包括访问公网资源和VPC内资源。对于出流量的配置，您可以设置函数是否能够访问VPC内的资源，以及是否允许函数访问公网。 网络配置 配置含义 仅允许函数访问公网 仅允许函数访问公网，所需的网络配置如下：设置允许访问 VPC 为否 。设置允许函数默认网卡访问公网 为是。 仅允许函数访问VPC 仅允许函数访问VPC，所需的网络配置如下：设置允许访问 VPC 为是 ，并配置具体的VPC信息。设置允许函数默认网卡访问公网 为否。 允许函数访问公网和VPC 允许函数访问公网和VPC，所需的网络配置如下：设置允许访问 VPC 为是 ，并配置具体的VPC信息。设置允许函数默认网卡访问公网 为是。 禁止函数访问公网和VPC 禁止函数访问公网和VPC，所需的网络配置如下：设置允许访问 VPC 为否 。设置允许函数默认网卡访问公网 为否。 函数入流量：这是指外部访问函数实例的流量，包括公网和VPC。对于入流量的配置，您可以设置公网是否可以访问函数，以及VPC是否可以访问函数。 网络配置 配置含义 允许公网和VPC访问函数 允许公网和VPC访问函数，所需的网络配置如下：设置仅允许指定 VPC 调用函数 为否。 仅允许指定VPC访问函数 仅允许指定VPC访问函数，所需的网络配置如下：设置仅允许指定 VPC 调用函数 为是，并配置具体的VPC信息。

通过在服务器端安装轻量级的Agent进行安全监测和防护,监测数据由天翼云专业安全团队以报告的形式定期发送给客户,并对入侵等高危情况进行实时邮件通知,从而客户可以及时全面的了解服务器的安全状态,将安全从传统的安全事件防护变成一项持续安全响应和处理过程。功能涵盖弱口令检测、软件漏洞检测、防暴力破解、web后门、shell检测等多个维度,实现服务器安全的持续纵深保护。

本文主要介绍 手动配置Agent（Windows，可选） 操作场景 用户成功安装Agent插件后，推荐您采用“修复插件配置”方式配置Agent。如果“修复插件配置”不成功或其他原因导致无法配置Agent，你可以采用本章节提供的手工方式配置Agent。 约束与限制 Windows类型BMS暂不支持安装Agent。 前提条件 已成功安装Agent插件。 操作步骤 1. 登录ECS。 2. 打开telescopewindowsamd64bin文件夹下的conf.json文件。 3. 配置如下参数，参数说明请参见下表。 plaintext { "InstanceId":"", "ProjectId": "", "AccessKey": "", "SecretKey": "", "RegionId": "cnhz1", "ClientPort": 0, "PortNum": 200 } 表 公共配置参数 参数 说明 InstanceId ECS ID，可通过登录管理控制台，在弹性云主机ECS列表中查看。 说明 InstanceId可不用配置，保持"InstanceId":"",即可，若需要配置，需要遵循如下两条原则： l 该资源ID需保证全局唯一性，即同一个RegionID下Agent使用的InstanceId不能相同，否则系统可能会出现异常。 l InstanceId必须与实际的ECS或BMS资源ID一致，否则云监控服务界面将看不到对应ECS或BMS资源操作系统监控的数据。 ProjectId ProjectId可不用配置，保持"ProjectId": "",即可。若需要配置，请参考已下获取方式。 项目ID，获取方式如下： 登录管理控制台，单击右上角“用户名”，选择“我的凭证”； 在项目列表中，查看ECS或BMS资源对应的所属区域的项目ID。 AccessKey/SecretKey 访问密钥，获取方式如下： 登录管理控制台，单击右上角“用户名”，选择“我的凭证 > 管理访问密钥”； l 如已有访问密钥，查看创建时下载保存的credentials.csv文件中，获取文件中记录的Key值即可； l 如未创建，则通过“新增访问密钥”可创建新的访问密钥，妥善保存credentials.csv文件，并获取文件中记录的Key值。 须知 l 为了安全考虑，建议该用户为IAM用户，并且权限仅为CES Administrator和LTS Administrator 。 l 配置的AccessKey必须在“我的凭证 > 管理访问密钥”列表中，否则将鉴权失败，云监控服务界面看不到操作系统监控数据。 RegionId 区域ID，例如：ECS或BMS资源所属区域为“杭州”，则RegionID为“cnhz1”。 ClientPort Agent占用的起始端口号。 说明 默认为0，表示随机占用。11023为系统保留端口，建议不要配置。 PortNum Agent占用的范围的个数。 说明 默认为200，若ClientPort配置5000，则表示在50005199端口中随机占用。 4. 等待几分钟后，当插件状态为“运行中”并且监控状态开启时，说明Agent已安装成功并开始采集细粒度监控指标。

参数名称 参数含义 来源 产生告警的集群名称。 服务名 产生告警的服务名称。 角色名 产生告警的角色名称。 主机名 产生告警的主机名称。 目录名 产生告警的目录名称。 Trigger Condition Kafka数据目录状态异常。

本文介绍边缘安全加速平台名词术语。 CNAME 记录 CNAME ( Canonical Name )，即别名，用于把一个域名解析到另一个域名，当 DNS 系统在查询 CNAME 左面的名称的时候，都会转向 CNAME 右面的名称再进行查询，一直追踪到最后的 PTR 或 A 名称，成功查询后才会做出回应，否则失败。例如，您有一台服务器，使用 ctyun.cn 访问，您又希望通过 ctyun.cn1 也能访问该服务器，那么就需要在您的 DNS 解析服务商添加一条 CNAME 记录，将 ctyun.cn 指向 ctyun.cn1，添加该条 CNAME 记录后，所有访问 ctyun.cn 的请求都会被转到 ctyun.cn1，获得相同的内容。 DNS DNS 即Domain Name System，是域名解析服务的意思。它在互联网的作用是：把域名转换成为网络可以识别的 IP 地址。人们习惯记忆域名，但机器间互相只认 IP 地址，域名与 IP 地址之间是一一对应的，它们之间的转换工作称为域名解析，域名解析需要由专门的域名解析服务器来完成，整个过程是自动进行的。比如：上网时输入的 www.ctyun.cn 会自动转换成为220.181.112.143。 常见的DNS解析服务商有：阿里云解析，万网解析，DNSPod，新网解析，Route53（AWS），Dyn，Cloudflare等。 边缘安全节点 边缘安全节点是相对于网络的复杂结构而提出的一个概念，指距离最终用户接入具有较少的中间环节的网络节点，对最终接入用户有较好的响应能力和连接速度。其作用是将访问量较大的网页内容和对象保存在服务器前端的专用 Cache 设备上，以此来提高网站访问的速度和质量。 回源 HOST 回源 host 决定回源请求访问到源站上的具体某个站点。 例1：源站是域名源站为 www.ctyun.cn，回源 host 为 www.ctyun.cn1，那么实际回源是请求到 www.ctyun.cn 解析到的IP，对应的主机上的站点 www.ctyun.cn1。 例2：源站是 IP 源站为1.1.1.1，回源 host 为www.ctyun.cn1，那么实际回源的是1.1.1.1对应的主机上的站点 www.ctyun.cn1。 协议回源 协议回源指回源时使用的协议和客户端访问资源时的协议保持一致，即如果客户端使用 HTTPS 方式请求资源，当 CDN 节点上未缓存该资源时，节点会使用相同的 HTTPS 方式回源获取资源；同理如果客户端使用 HTTP 协议的请求，CDN 节点回源时也使用 HTTP 协议。 过滤参数 过滤参数是指当URL请求中带“？”并携带参数请求到 CDN 节点的时候，CDN 节点在收到该请求后可根据配置决定是否将该带参数的 URL 请求回源站。当开启过滤参数时，该请求到 CDN 节点后会截取到没有参数的 URL 向源站请求。并且 CDN 节点仅保留一份副本。如果关闭该功能，则每个不同的 URL 都缓存不同的副本在 CDN 的节点上。 Web 安全 相关 Web 应用层面的安全问题与事件,包括各种 Web 组件、协议、应用等。 正则防护 经验规则集，自动为网站防御 SQL 注入、XSS 跨站、Webshell 上传、命令注入、后门隔离、非法文件请求、路径穿越、常见应用漏洞攻击等通用的 Web 攻击。 网站白名单 通过设置网站白名单，可以让满足条件的请求不经过任何 Web 应用防火墙防护模块的检测，直接访问源站服务器。 IP 黑名单 支持一键阻断来自指定 IP 地址、IP 地址段以及指定地理区域的 IP 地址的访问请求。 0Day 漏洞 0Day 是指在系统商在知晓并发布相关补丁前就被掌握或者公开的漏洞信息。 CC 安全防护 根据访问者的 URL，频率、行为等访问特征，智能识别 CC 攻击，迅速识别 CC 攻击并进行拦截，在大规模 CC 攻击时可以避免源站资源耗尽，保证企业网站的正常访问。 防敏感信息泄露 帮助网站过滤服务器返回内容（异常页面或关键字）中的敏感信息（例如身份证号、银行卡号、电话号码和敏感词汇），脱敏展示敏感信息或返回默认异常响应页面。 网络爬虫 又称为网页蜘蛛，网络机器人，是一种按照一定的规则，自动地抓取万维网信息的程序或者脚本。 挖矿 借助大量计算能力来计算产生虚拟货币。 多源评估 通过对多种输入信息源数据动态地进行综合分析与评估的能力。 访问主体 能访问客体的主动实体。 访问客体 能与主体建立访问连接的被动实体。 SSL 证书 SSL 证书（Secure Sockets Layer）指一种安全协议，目的是为互联网通信提供安全及数据完整性保障。SSL 证书遵循 SSL 协议，可安装在服务器上，实现数据传输加密。 云工作负载 指云环境中从应用程序层到管理程序或处理的自包含组件（如堆栈中的虚拟机和容器）的整个应用程序堆栈。 访问控制 确保对资产的访问是基于业务和安全要求进行授权和限制的手段。 零信任 一组围绕资源访问控制的安全策略、技术与过程的统称。从对访问主体的不信任开始，通过持续的身份鉴别和监测评估、最小权限原则等，动态调整访问策略和权限，实施精细化的访问控制和安全防护。 策略引擎 负责最终决定是否授予指定访问主体对资源（访问客体）的访问权限。策略引擎使用企业安全策略以及来自外部源的输入作为“信任算法”的输入，以决定授予或拒绝对该资源的访问。 连接器 放置在业务前端的引流设备，用于打通内外网业务，确保终端用户可以安全访问业务数据。 动态授权 基于零信任对访问主体永不信任的原则，根据用户所处的环境动态调整用户拥有的访问权限。 SDP 即软件定义边界，旨在对于网络安全防护中不信任任何设备、人物、身份、系统等相关，每一个步骤都要有所验证，有所根据，让所有安全防护的相关都变为可信安全。 TCP 协议 TCP 协议指传输控制协议（Transmission Control Protocol），是一种面向连接的、可靠的、基于字节流的传输层通信协议，由 IETF 的 RFC 793 定义。TCP 工作在网络 OSI 的七层模型中的第四层（传输层），连接到不同但互连的计算机通信网络的主计算机中的成对 进程之间依靠 TCP 提供可靠的通信服务。 UDP 协议 Internet 协议集支持一个无连接的传输协议，该协议称为用户数据包协议（UDP，User Datagram Protocol）。UDP 为应用程序提供了一种无需建立连接就可以发送封装的 IP 数据包的方法。RFC 768 描述了 UDP。 Internet 的传输层有两个主要协议，互为补充。无连接的是 UDP，它除了给应用程序发送 数据包功能并允许它们在所需的层次上架构自己的协议之外，几乎没有做什么特别的事情。 面向连接的是 TCP，该协议几乎做了所有的事情。 无服务器 Serverless 无服务器是一种云原生开发模型，可使开发人员专注构建和运行应用，而无需管理服务器。无服务器方案中仍然有服务器，但它们已从应用开发中抽离了出来。云提供商负责置备、维护和扩展服务器基础架构等例行工作。开发人员可以简单地将代码打包到容器中进行部署。部署之后，无服务器应用即可响应需求，并根据需要自动扩容。公共云提供商的无服务器产品通常通过一种事件驱动执行模型来按需计量。因此，当无服务器功能闲置时，不会产生费用。 函数即服务 FaaS 函数即服务（FaaS：Function as a service）是一种事件驱动计算执行模型；开发人员编写代码逻辑，部署到完全由平台管理的函数运行时中，然后按需执行。与 BaaS 不同，FaaS 可让开发人员拥有更大的掌控权力，他们可以创建自定义应用，而不依赖于包含预编写服务的库。 代码则部署到边缘安全加速平台管理的容器运行时中。具体而言，这些函数运行时具有以下特点： 无状态 让数据集成变得更加简单。 运行周期短 可以只运行非常短的时间。 事件触发 可在需要时自动运行。 这样，您只用为所需的计算能力付费，而不必管"闲置"的应用和服务器。 使用 FaaS 时，开发人员可以通过触发器调用无服务器应用。 触发器 用户绑定触发器和对应函数，来实现多种调用效果。目前支持定时触发器以及HTTP触发器。 HTTP 路由 用户绑定 HTTP 触发器和对应函数后，访问安全与加速服务中托管域名的特定路由，即可在边缘节点调用起对应函数计算逻辑。 KV 存储 OmniKV 边缘存储提供了 KeyValue 型边缘存储服务，使开发人员能够构建低时延、频繁读取、不频繁写入的数据驱动的边缘无服务器应用程序。借助 OmniKV，无服务器应用程序可以将数据存放在靠近用户的位置，避免从云端或本地解决方案中检索信息的需要，从而实现快速响应。用户快速可以构建高度动态的 API 和网站服务，部署轻量型的 API 网关、BaaS 服务。 运行时 用于在边缘节点运行用户自定义函数的安全隔离环境。函数运行时所支持的编程语言，目前支持 JavaScript。 开发者工具 开发人员使用命令行工具，在本地完成函数编写，构建，灰度上线。

%^+?的组合。 系统无法获取您设置的密码，请妥善保存密码。 确认密码 必须和管理员密码相同。 企业项目 该参数针对企业用户使用，如需使用该功能，请联系客服申请开通。 企业项目是一种云资源管理方式，企业项目管理服务提供统一的云资源按项目管理，以及项目内的资源管理、成员管理。 请在下拉框中选择所在的企业项目，其中，default为默认项目。 购买量 参数 描述 :: 购买时长 选择“包年/包月”方式的用户需要设置购买时长，最短为1个月，最长为3年。 说明： 用户所申请实例的性能，取决于申请实例所选择的配置，可供用户选择的硬件配置项为各节点的规格和存储容量。 步骤 4 在“规格确认”页面，核对实例信息。 包年/包月 如果需要修改，单击“上一步”，修改实例信息。 核对无误后，单击“去支付”，进入“付款”页面，选择支付方式，完成支付。 按需计费 如果需要修改，单击“上一步”，修改实例信息。 核对无误后，单击“提交”，开始创建实例。 步骤 5 实例创建成功后，用户可以在“实例管理”页面，查看并管理自己的数据库实例。 创建实例过程中，实例运行状态显示为“创建中”，此过程约15分钟。创建完成的实例的运行状态显示为“正常”。 创建实例时，默认开启自动备份策略，后期可修改。创建成功后，文档数据库服务会自动创建一个全量备份。 数据库端口默认8635，实例创建成功后可修改。文档数据库服务访问的数据库端口与数据库缺省值有区别，且需在安全组中添加相应规则，以免影响使用。 对于批量购买的“包年/包月”实例，除实例名称和实例ID外，其余配置信息一致。

相关操作 删除策略组 若被删除的策略组已经部署给了主机，在策略组被删除后，这些主机的策略组信息将被设置为“无”。 1、进入“策略管理”列表界面，可对策略进行单项删除或批量删除。 删除策略组列表 说明 单项删除策略：在需要删除的策略组所在行的“操作”列中，单击“删除”，删除单个策略组。 批量删除策略：勾选多个策略名称前的选框，单击上方的“删除”，删除多个策略组。 2、在弹出对话框中，单击“确定”，完成策略组的删除。

本章节主要介绍ALM18017 NodeManager非堆内存使用率超过阈值的告警。 告警解释 系统每30秒周期性检测Yarn NodeManager非堆内存使用率，并把实际的Yarn NodeManager非堆内存使用率和阈值相比较。当Yarn NodeManager非堆内存使用率超出阈值（默认为最大非堆内存的90%）时产生该告警。 用户可通过“运维 > 告警 > 阈值设置 > 待操作集群的名称 > Yarn”修改阈值。 当Yarn NodeManager非堆内存使用率小于或等于阈值时，告警恢复。 告警属性 告警ID 告警级别 是否自动清除 18017 重要 是 告警参数 参数名称 参数含义 来源 产生告警的集群名称。 服务名 产生告警的服务名称。 角色名 产生告警的角色名称。 主机名 产生告警的主机名。 Trigger Condition 系统当前指标取值满足自定义的告警设置条件。 对系统的影响 Yarn NodeManager非堆内存使用率过高，会影响Yarn任务提交和运行的性能，甚至造成内存溢出导致Yarn服务不可用。 可能原因 该节点Yarn NodeManager实例非堆内存使用量过大，或分配的非堆内存不合理，导致使用量超过阈值。 处理步骤 检查非堆内存使用量 1.在FusionInsight Manager界面，选择“运维 > 告警 > 告警 > ALM18017 Yarn NodeManager非堆内存使用率超过阈值 > 定位信息”。查看告警上报的实例的主机名。 2.在FusionInsight Manager界面，选择“集群 > 待操作集群的名称 > 服务 > Yarn > 实例 >NodeManager（对应上报告警实例主机名）”，单击图表区域右上角的下拉菜单，选择“定制 > 资源”，勾选“NodeManager内存使用率”。查看非堆内存使用情况。 3.查看NodeManager使用的非堆内存是否已达到NodeManager设定的最大非堆内存的90%。 是，执行步骤4。 否，执行步骤6。 4.在FusionInsight Manager界面，选择“集群 > 待操作集群的名称 > 服务 > Yarn > 配置 > 全部配置 > NodeManager > 系统”。对NodeManager的内存参数“GCOPTS”进行调整，并单击“保存”，在弹出的对话框中单击“确定”并重启角色实例。 说明 集群中的NodeManager实例数量和NodeManager内存大小的对应关系参考如下： 集群中的NodeManager实例数据达到100，NodeManager实例的JVM参数建议配置为：Xms2G Xmx4G XX:NewSize512M XX:MaxNewSize1G。 集群中的NodeManager实例数据达到200，NodeManager实例的JVM参数建议配置为：Xms4G Xmx4G XX:NewSize512M XX:MaxNewSize1G。 集群中的NodeManager实例数据达到500以上，NodeManager实例的JVM参数建议配置为：Xms8G Xmx8G XX:NewSize1G XX:MaxNewSize2G。 5.观察界面告警是否清除。 是，处理完毕。 否，执行步骤6。

本章节主要介绍翼MR集群节点和远程登录方式。 远程登录 翼MR集群节点支持用户远程登录，远程登录包含界面登录、SSH登录两种方式： 界面登录：直接通过翼MR管理控制台>节点管理页面中提供的远程登录功能，登录到集群中各个节点的Linux界面。 SSH登录：仅适用于Linux 主机。您可以使用远程登录工具（例如PuTTY、XSHELL），登录主机。此登录方式，需要前置依赖绑定弹性IP地址，详细步骤请参见绑定/解绑弹性IP。 说明 当您使用密码方式访问集群节点，详细步骤请参见 节点类型和功能 翼MR集群中每个节点即为一台主机，节点类型及节点功能如下表所示： 节点类型 功能 master节点 翼MR集群管理节点，负责管理和监控集群。在翼MR管理控制台选择“我的集群”，选中一个运行中的集群并单击集群名，进入集群信息页面。在“节点管理”中查看节点信息。 节点可以通过点击”远程登录“选择界面的VNC方式登录，也可以通过SSH方式登录。 core节点 翼MR集群工作节点，负责处理和分析数据，并存储过程数据。 task节点 翼MR集群计算节点，主要负责计算数据，不存储数据（如HDFS 数据）。默认不开启，按需使用。

透明代理的作用是在客户端与大模型防护系统之间建立一个隧道，在终端直接访问原请求大模型的请求，将转发到大模型防护系统上，由代理服务判定输入内容合规后再转发到真正的大模型接口，并按照配置决定是否对大模型返回的响应进行合规性检测。适用于自建大模型，并用主机安全检测需求的用户场景，终端适用于Linux服务器。 内容安全代理 1. 登录大模型安全卫士实例。 2. 在菜单栏选择“资产中心 > 模型代理 > 透明代理”，单击“添加代理”。 3. 在弹出的窗口中配置代理参数。 参数 说明 代理名称 按照个人习惯填写语义化文本。 代理类型 内容安全请选择“大语言模型”。 协议适配器插件 在下拉框中选择协议适配器插件。 后端地址 根据实际情况填写被代理模型的地址。 策略名称 根据终端所需在选择策略，管理主机策略相关，更多关于策略的内容见主机策略。 强制启用API Key （可选）按需选择是否启用大模型防护系统启动的API认证机制。 API Key标签 当启用API Key时，还需配置API Key标签。API Key标签为模型认证配置中配置的标签。

本文带您快速熟悉开启获取客户端IP的操作步骤。 操作场景 HTTP请求和应答会在头字段携带一些信息，除了RFC 2616中定义的标准的HTTP头字段，还有一些非标准的HTTP标头可供应用程序自动添加和使用。 所有资源池均支持非标准的头字段XForwardedFor，创建监听时，XForwardedFor头字段可以获取来访者客户端IP地址。 如果您想要获取客户端的真实IP，您可以开启“获取客户端IP”功能。 注意 在四层转发TCP服务中，集群模式资源池和主备模式资源池支持通过配置TOA插件、Proxy protocol获取客户端真实源IP，具体可参考 实际情况以控制台展现为准。 在七层转发（HTTP/HTTPS）服务中，弹性负载均衡支持通过HTTP头中的XForwardedFor获取来访者真实IP。本文以下主要说明在七层转发（HTTP/HTTPS）服务中获取客户端IP的方式。 在创建监听器时开启获取客户端IP 操作步骤 1. 登录弹性负载均衡控制台。 2. 打开监听器配置向导，在负载均衡器实例页面添加监听器。 3. 在协议&监听器页面，负载均衡器协议/端口选择HTTP/HTTPS协议。 4. 开启获取客户端IP选项；开启后默认通过XForwardFor获取。 5. 点击“下一步”，按照监听器创建后端主机组的配置添加云主机，然后点击“下一步”进行负载方式&健康检查配置，并点击“立即创建‘则完成相关配置。 为已创建的监听器开启获取客户端IP

本章介绍Adobe Font Manager库远程代码执行漏洞。 当Windows Adobe Type Manager库未正确处理经特殊设计的多主机Adobe Type 1 PostScript格式字体时，Microsoft Windows中存在远程代码执行漏洞。 对于除Windows 10之外的所有系统，成功利用此漏洞的攻击者可以远程执行代码。对于运行Windows 10的系统，成功利用此漏洞的攻击者可以利用受限的特权和功能在AppContainer沙盒上下文中执行代码。攻击者可随后安装程序；查看、更改或删除数据；或者创建拥有完全用户权限的新帐户。 攻击者可通过多种方式利用此漏洞，包括诱导用户打开经特殊设计文档或在Windows预览窗格中查看。 漏洞编号 CVE20201020 CVE20200938 漏洞名称 Adobe Font Manager库远程代码执行漏洞 漏洞描述 对于除Windows 10之外的所有系统，成功利用远程代码执行漏洞的攻击者可以远程执行代码。 对于运行Windows 10的系统，成功利用此漏洞的攻击者可以利用受限的特权和功能在AppContainer沙盒上下文中执行代码。攻击者可随后安装程序；查看、更改或删除数据；或者创建拥有完全用户权限的新帐户。 影响范围 所有Windows系统 官方解决方案 官方建议受影响的用户尽快安装最新的漏洞补丁。 详情请参见< 检测与修复建议 天翼云企业主机安全服务支持对该漏洞的便捷检测与修复。 1. 检测并查看漏洞详情，详细的操作步骤请参见漏洞管理。 手动检测漏洞 2. 漏洞修复与验证，详细的操作步骤请参见漏洞管理。

记录类型 主机记录 记录值 TXT dnsverify 202207060000002jar4fb2hc79iwjq5cdid87t7rci1sgp33exuyvez4kwonobxt

本章节介绍人脸识别关于操作类的常见问题与解答。 人脸识别在什么时候进入可使用状态？ 公测及商用类产品：将该产品加入到应用，并购买相应资源包，方可进入使用状态。 如何获取图片base64编码？ 以Chrome浏览器为例作以下说明： 1、将需转码的图片拖拽至Chrome浏览器中，浏览器上显示该图片。 2、按下“F12”，在弹出窗口中选择“Sources”，在左侧导航树中选择需要编码的图片所在路径，单击“{ } Pretty print”按钮。 3、图片的base64编码显示在右侧界面中，如下图箭头中内容，选中图片的base64编码信息，Ctrl+A全选base64编码，Ctrl+C复制，注意不可使用鼠标右键方式进行复制，以免拷贝不全。 人脸识别服务支持批量识别吗？ 人脸识别服务目前只支持调用一次接口识别一张图片（人脸比对调用一次识别一组两张图片）。 批量识别需要进行二次开发，编码循环调用API，实现批量调用服务识别图片。 人脸识别的并发是多少？ 动作活体识别默认支持1个QPS，其他能力默认支持10个QPS。建议您在程序中可以进行一定的请求限制，避免收到大量限流报错。 如果因业务需要QPS超过默认数量，请提前线下咨询沟通再购买下单。 注意：如果您的程序在失败时有重试机制，当您扩大并发量后接口返回错误码时，请不要重试，否则可能加重限流报错情况。

天翼云边缘安全加速平台的安全与加速服务在对金融网站加速的同时还提供防御金融行业面临的SQL注入、跨站、撞库拖库、数据泄露等多种WEB安全风险，并防御大规模流量攻击，保障网站稳定运行的同时维护用户个人数据和资金安全，满足PCIDSS合规要求。 概述 边缘安全加速平台的安全与加速服务在天翼云CDN边缘节点中加入丰富的安全能力，依托分布各地的边缘节点，形成一张具备安全与加速能力的网络，为政府、金融、教育、游戏等行业的网站提供基于边缘网络的安全加速一体化服务。 安全与加速服务的基础架构图： 产品优势 覆盖丰富的资源覆盖 国内拥有丰富的节点覆盖承载能力，覆盖多运营商、主要省份和城市无盲点。 加速节点可根据需求随时增加，致力于客户的发展壮大。 安全可靠的安全防护 分布式集群防护，单点故障自动转移，确保网站的高可用性。 利用大平台优势，基于全网、全行业流量的攻击数据，结合机器学习算法，构建一套智能防护体系。 精准防护，域名粒度的防护策略，结合客户自身业务定制化防护策略。 维护完善的售后服务 集中监控和分散维护相结合，NOC 工程师7×24小时集中监控，网络工程师7×24小时在线支持，所有节点都有现场服务工程师进行服务保障。 便捷便捷的接入方式 安全加速一体化，基于CDN的架构，实现加速防护一体化。 零部署、零运维、使用CNAME接入，云端安全专家配置策略 透明透明的售卖机制 可根据需要选择资源套餐包产品或按量计费产品，费用透明，可控，灵活。

本文介绍边缘接入服务离线日志下载模块的操作方法、日志延迟时间、日志文件命名规则、日志字段释义。 功能介绍 日志下载模块，支持客户下载加速域名的访问日志，支持批量下载。日志记录了域名请求的详细信息，是用户做业务分析的重要参考。 日志文件延迟时间：一般情况下延迟在24小时之内，但是也有可能超过24小时。日志每隔一小时生成一次。具体分割成的文件数量根据该小时产生的日志量动态调整。客户可以下载最近30天的日志数据。 日志命名规则：加速域名.年月日时分内部分包逻辑名称；例如ctyun.cn.202506030900part70001.gz。 日志示例：70.114.173.59 www.ctyun.cn [03/Jun/2025:09:00:37 +0800] 6dd03e10adaf021c77c3a1bd5e558c10 TCP 60.29.184.11 10880 0.072 39 79 5742 806 SESSIONOK 1 08:58:37.030 09:00:37.065。 日志字段释义如下： 编号 字段 描述 1 70.114.173.59 真实用户IP 2 www.ctyun.cn 计费域名 3 [03/Jun/2025:09:00:37 +0800] 记录日志的时间点 4 6dd03e10adaf021c77c3a1bd5e558c10 会话ID 5 TCP 协议 6 60.29.184.11 源站IP 7 10880 源站端口 8 0.072 会话持续时间 9 39 与下一跳的建连用时 10 79 首包时间 11 5742 客户端发送的有效数据的字节数 12 806 服务端发送的有效数据的字节数 13 SESSIONOK 会话状态码 14 1 分段日志标识 首条输出：1 中间输出：0 最后输出：2 15 08:58:37.030 会话开始时间 16 09:00:37.065 会话结束时间

本文简述日志下载模块的操作方法、日志延迟时间、日志文件命名规则、日志字段释义。 功能介绍 日志下载模块，支持客户下载加速域名的访问日志，支持批量下载。日志记录了域名请求的详细信息，是用户做业务分析的重要参考。 日志文件延迟时间：一般情况下延迟在24小时之内，但是也有可能超过24小时。日志每隔一小时生成一次。具体分割成的文件数量根据该小时产生的日志量动态调整。默认支持查询并下载最近30天的日志。 日志命名规则：加速域名.年月日时分part文件ID.gz，其中年月日时分为日志开始时间。例如：ctyun.cn.202001101400part80001.gz。 日志示例：36.111.88.33 www.test.ctyun.cn [20200101013524] "GET HTTP/1.1" 200 1360598 "VLC/2.0.6 LibVLC/2.0.6" 0.003 HIT 565 "bytes 01153046/1153047"。 日志字段释义： 编号 字段 描述 1 36.111.88.33 用户IP 2 www.test.ctyun.cn 访问域名 3 文件类型 4 [20200101013524] 请求时间 5 GET HTTP请求方式 6 请求URL 7 HTTP/1.1 HTTP协议 8 200 节点HTTP响应状态码 9 1360598 节点响应大小，单位byte 10 请求头Referer的值 11 "VLC/2.0.6 LibVLC/2.0.6" 请求头UserAgent的值 12 0.003 请求响应时间，指服务端接收到请求，到响应完成的时间，单位s（秒） 13 HIT 缓存命中状态，值为HIT或MISS 14 565 请求长度，含请求头和请求body长度，单位byte 15 bytes 01153046/1153047 节点响应头ContentRange的值

参数 是否必填 参数类型 说明 示例 下级对象 vmId 是 String 主机id 700c065cbbd35b8aa07d551dba4a5141

参数 是否必填 参数类型 说明 示例 下级对象 vmId 是 String 主机id 700c065cbbd35b8aa07d551dba4a5141

参数 是否必填 参数类型 说明 示例 下级对象 vmId 是 String 主机id 700c065cbbd35b8aa07d551dba4a5141

参数 参数类型 说明 示例 下级对象 agentGuid String guid testagentguid blockHappenTime String 拦截时间 20210809 11:09:09 createTime String 创建时间 20210809 11:09:09 displayName String 实例名称 testhostname hostName String 主机名称 testhostname id String 主键 IP0001 loginRegion String 攻击者国家 美国 privateIp String 私有ip 192.168.1.1 publicIp String 公网ip 192.168.1.1 recordId String 告警记录id ALT0001 remoteIp String 远端ip 192.168.1.1 updateTime String 更新时间 20210809 11:09:09 custName String 主机名称 testhostname osType String 操作系统类型 Linux/Windows Windows alarmName String 告警名称 异常登录

本章节主要介绍翼MR Manager的新增配置的操作。 操作场景 用户可以根据不同的分组标准，对集群服务中的主机进行分组，一个配置分组下的主机共享一套配置。 操作步骤 1. 登录翼MR管理控制台。 2. 单击“我的集群”，单击指定的集群名称，进入集群信息页面。 3. 单击“翼MR Manager”tab，单击“前往翼MR Manager”。 4. 进入到翼MR Manager以后，单击菜单“运维与配置 > 配置管理”。 5. 查询条件选择指定集群服务，查询指定集群配置信息，如图所示： 6. 新增配置操作，同集群服务新增配置。

参数 参数类型 说明 示例 下级对象 concurrency Integer 主动检查时同时检查的目标数，默认值10 10 enable Boolean 是否开启，开启true，不开启false，默认不开启 false healthy Object 主动检查（健康节点）配置 ActiveHealthyDTO httpPath String 主动检查的 HTTP 请求路径，默认值"/" / httpsVerifyCertificate Boolean 主动检查使用 HTTPS 类型检查时，是否检查远程主机的SSL证书, 默认值true true port Integer 主动检查的 HTTP 请求主机端口（范围1~6553, 默认值 1 reqHeaders Array of Objects 主动检查使用 HTTP 或 HTTPS类型检查时，设置额外的请求头信息, 默认值[] String timeout Integer 主动检查的超时时间（单位：秒），默认值1 1 type String 主动检查的类型配置项：http、https、tcp，默认值http http unhealthy Object 主动检查（非健康节点）配置 ActiveUnhealthyDTO

参数 参数类型 说明 示例 下级对象 concurrency Integer 主动检查时同时检查的目标数，默认值10 10 enable Boolean 是否开启，开启true，不开启false，默认不开启 false healthy Object 主动检查（健康节点）配置 ActiveHealthyDTO httpPath String 主动检查的 HTTP 请求路径，默认值"/" / httpsVerifyCertificate Boolean 主动检查使用 HTTPS 类型检查时，是否检查远程主机的SSL证书, 默认值true true port Integer 主动检查的 HTTP 请求主机端口（范围1~6553, 默认值 1 reqHeaders Array of Objects 主动检查使用 HTTP 或 HTTPS类型检查时，设置额外的请求头信息, 默认值[] String timeout Integer 主动检查的超时时间（单位：秒），默认值1 1 type String 主动检查的类型配置项：http、https、tcp，默认值http http unhealthy Object 主动检查（非健康节点）配置 ActiveUnhealthyDTO

本文将为您介绍修改伸缩组信息的操作流程。 操作场景 修改伸缩组信息时，您可以修改的参数有：伸缩组名称、最大实例数、最小实例数、健康检查方式、健康检查间隔、实例移出策略。 当伸缩组为已停用状态、实例数为 0且没有正在执行的伸缩活动时，才可以设置可用区和负载均衡等配置选项。 操作步骤 1. 登录控制中心。 2. 单击控制中心左上角的，选择弹性伸缩组所在地域。 3. 单击“计算>弹性伸缩服务”，进入弹性伸缩管理控制台。 4. 在“伸缩组”页签的弹性伸缩组列表中，单击待修改伸缩组所在行的“修改”，进入到“修改伸缩组”页面。 说明 您也可以单击待修改信息的伸缩组名称，在伸缩组详情信息页面的右上角点击“修改”进入到修改页面进行伸缩组信息的修改。 5. 在“修改伸缩组”页面，修改配置信息，修改完成后，点击右下角的“确认”按钮。即可修改成功。 6. 在修改伸缩组负载均衡配置时，可选择是否将伸缩组内已有实例同步移入移出本次操作的负载均衡主机组： 若勾选：当增加、删除、更换主机组时，将同步将伸缩组内已有实例同步移入或移出本次操作的负载均衡主机组。仅修改后端端口、权重时，不会更新伸缩组已有实例后端端口、权重。 若未勾选：不在负载均衡主机组中的实例，会被负载均衡健康检查全部移出伸缩组（云主机健康检查不会产生此影响）。

本页介绍了三种规格文档数据库服务特性，以及新建并连接实例的操作流程。 三种规格特性及适用场景 文档数据库服务提供了集群版、副本集和单机版三种规格的实例，分别采用不同的部署架构，能够满足不同的业务场景。 集群版 分片集群提供Mongos、Shard、ConfigServer三类节点，每个Shard和ConfigServer基于副本集（每个副本集使用三节点主从模式）组成。 适用于高并发读写的场景，可以自由地选择Mongos和Shard节点的个数和配置，扩展性能及存储空间，构建不同性能的分片集群实例，满足不同的业务需求。 副本集 副本集提供不同角色的节点，一个可供读写的Primary节点，一个、三个或五个提供高可用的Secondary节点，一个隐藏的Hidden节点，0~5个只读的ReadOnly节点。 适用于需要保证高可用，读多写少的中小型业务系统，可按需增加Secondary节点和ReadOnly节点，扩展读性能。 单机版（单节点） 单机版仅部署一个节点在虚拟机上，没有高可用等高级特性，优点是性价比高。 适用于研发测试、学习培训、以及非企业核心数据存储的场景。 新建并连接数据库 1. 新建实例 根据业务需要定制相应计算能力和存储空间的实例。 2. 设置安全组 将需要连接实例的设备添加至实例的安全组访问规则中，以允许外部设备能够访问该实例。 使用内网连接实例，当实例和弹性云主机处于不同安全组时，或者使用公网连接实例时，需要配置安全组访问规则。 3. 绑定弹性IP（可选） 如果要使用公网地址连接实例，需要先申请并绑定弹性公网IP。 4. 连接实例 提供内网、公网、程序代码连接单机版（单节点）、副本集、分片集群实例的操作。

安装并启动Agent 1.在Agent管理页面，找到已成功创建的Agent。如下图所示，下载Agent。 详见下图：下载Agent 2.准备部署Agent的主机。该主机对vCPUs、内存、磁盘等规格无特殊要求，但须满足以下条件： 需要已安装64位版本java 8并配置java环境变量。 授予Ruby用户（若无Ruby用户则需手动创建）在/tmp目录下的写权限。 3.将下载的Agent压缩包，上传至部署Agent的主机上。 4.解压安装包后执行如下命令安装Agent。 sh sbin/install.sh 5.如果需要通过Agent连接关系数据库，则需要将对应的驱动（参考 管理驱动）上传至Agent安装目录下的/server/jdbc，并修改同目录下properties文件里对应数据库驱动的版本号。 6.安装完成后，执行如下命令启动Agent。 su Ruby sh sbin/start.sh 7.执行如下命令检查Agent进程是否启动。 ps ef grep agent 如果命令执行完成后返回了正在运行的Agent进程，说明Agent进程已启动。 连接Agent 1.在Agent管理页面，找到已成功创建的Agent。如下图所示，连接Agent。 2.Agent连接成功后，即可在创建连接中选择Agent。

本文解释当出现解析记录冲突时的处理方法。 背景说明 使用CDN加速时，需要网站将域名CNAME至天翼云权威DNS。DNS解析过程中，各记录类型之间是有优先级的，所以在主机记录相同、解析线路相同的情况下，有几种记录类型是不能共存使用的，否则会给用户造成配置风险，导致业务不可用的情况发生。 问题一：添加记录时，提示A和CNAME记录冲突 相同主机记录，相同线路下，A记录和CNAME记录不支持同时添加，此时，您可以删除A记录的同时配置CDN厂商的CNAME记录。（A记录删除不影响网站的访问，因为在您成功添加CDN加速域名后，系统已经为您分配一个CNAME域名，您在域名解析服务商处将服务域名的DNS解析记录指向该CNAME域名，客户端的访问请求会被转发到CDN加速节点上，实现加速的效果。） 问题二：添加记录时，提示MX和CNAME记录冲突 相同主机记录，相同线路下，MX记录和CNAME记录也不支持同时添加。MX记录为邮件交换记录，一般主机记录为形如ctyun.cn的域名。此类域名如同时添加CNAME记录，因CNAME记录优先级最高，会将邮件交换请求引导至CNAME地址，而CNAME地址如不支持此类服务，将会影响邮件业务。建议网站的加速域名与邮箱域名规划时要区分开来，避免造成此类风险。 如发生MX记录和CNAME记录冲突，您可以通过如下方式来解决： 1. 以ctyun.cn域名为例，可添加该域名的MX记录，同时添加该域名的A记录，解析到网站IP，具体如下： 域名 记录类型 记录值 ctyun.cn MX 5 mail.ctyun.cn ctyun.cn A 1.1.1.1 2. 在ctyun.cn解析到的网站IP上，配置ctyun.cn域名301/302跳转至www.ctyun.cn。 3. 对子域名www.ctyun.cn添加CNAME解析。

本文主要介绍Lettuce客户端 介绍APM采集的Lettuce客户端指标的类别、名称、含义等信息。 表 Lettuce客户端指标说明 指标类别 指标 指标名称 指标说明 单位 数据类型 默认聚合方式 ::::::: 客户端信息（clientInfo，客户端信息指标集。） version version 客户端版本 STRING LAST 客户端信息（clientInfo，客户端信息指标集。） mode mode redis运行模式（standalone、cluster） STRING LAST 客户端信息（clientInfo，客户端信息指标集。） nodes nodes redis节点（只统计主节点） STRING LAST 主备切换（switch，主备切换指标集。） from from 原主机 STRING LAST 主备切换（switch，主备切换指标集。） to to 目标主机 STRING LAST 主备切换（switch，主备切换指标集。） switchTimes switchTimes 切换次数 INT SUM