华为云用户手册

典型告警处理指导 表3 典型告警处理指导 告警类型 安全防线 依赖数据源 云脑智能模型 推荐处理建议 侦察阶段典型告警 网络防线 NIP攻击日志 网络-高危端口对外暴露 排查源IP对系统中的高危端口连接是否为业务需要。如果为业务需要，可修改模型脚本将该源IP过滤掉；如果非业务需要，则可修改相应安全组入方向规则，禁止高危端口暴漏公网，或者对源ip进行封堵拦截。同时为保证系统安全，尽量关闭不必要的端口。 侦察阶段典型告警 应用防线 WAF攻击日志 应用-源ip进行url遍历 应急处理可以记录所有的访问请求和响应，及时发现攻击行为，针对攻击源IP进行限制或者阻断，可以通过配置黑名单策略进行封锁。 侦察阶段典型告警 应用防线 WAF访问日志 应用-疑似存在源码泄露风险 应急处理可以记录所有的访问请求和响应，及时发现攻击行为，针对攻击源IP进行限制或者阻断，可以通过配置黑名单策略进行封锁。 尝试攻击典型告警 应用防线 WAF攻击日志 应用-WAF关键攻击告警、应用-疑似存在Shiro漏洞、应用-疑似存在log4j2漏洞、应用-疑似存在 Java框架通用代码执行漏洞、应用-疑似存在fastjson漏洞 需要联系业务责任人，排查Web服务器是否存在相关漏洞，确认是否攻击成功。如果存在漏洞，应及时修改漏洞并加固安全；如果攻击成功，可结合威胁情报对攻击IP进行拦截。 尝试攻击典型告警 网络防线 NIP攻击日志 网络-检测黑客工具攻击、网络-登录爆破告警 请确认该操作是否为正常业务人员的行为，如果不是，可以参考以下处置建议： 切断网络连接：立即停止受攻击的设备或系统与网络的连接，以防止攻击者继续进行攻击或窃取数据。 收集证据：记录攻击发生的时间、攻击者使用的IP地址、攻击类型和受影响的系统等信息，这些信息可能有助于后续的调查和追踪。 尝试攻击典型告警 网络防线 CFW访问控制日志 网络-疑似存在DOS攻击 请确认该操作是否为正常业务人员的行为，如果不是，可在相关网络设备上进行IP拦截或封堵。 入侵成功典型告警 网络防线 NIP攻击日志 网络-命令注入告警 如果发现源端口或目的端口为4444、8686、7778等非常用端口（可疑端口一般为4个数字），需联系责任人确认业务场景。如果不是正常业务行为，可能是黑客正在进行命令注入攻击，需要结合业务及主机日志查看是否被成功入侵，同时也可以对攻击ip采取拦截封堵等措施。 入侵成功典型告警 网络防线 NIP攻击日志 网络-恶意软件 [蠕虫、病毒、木马] 首先应该立即断开与互联网的连接，防止恶意软件进一步传播或者窃取您的敏感信息。之后可通过系统还原，杀毒软件等方式扫描和清除恶意软件。 入侵成功典型告警 主机防线 主机安全告警日志 主机-暴力破解成功、主机-异常shell、主机-异地登录 请确认该事件是否攻击成功，如果攻击成功，表明该主机已经失陷，需要进行主机隔离，防止风险扩散，之后对失陷的主机进行加固。 入侵成功典型告警 主机防线 主机安全日志 主机-进程和端口信息隐匿、主机-异常文件属性修改 及时判断是否是内部人员操作，是否为误操作。如果是异常进程，或文件存在恶意行为，执行相关命令结束进程。 防御绕过典型告警 主机防线 主机安全告警日志 主机-rootkit事件 立即确认该Rootkit安装是否正常业务引起。如果是非正常业务引起的，建议您立即登录系统终止该Rootkit安装行为，利用主机安全告警信息全面排查系统风险，避免系统遭受进一步破坏。 权限维持典型告警 主机防线 主机安全告警日志 主机-反弹shell、主机-恶意程序 联系所属主机的责任人，登录到主机上停止恶意程序并删除恶意文件，同时进一步排查是否存在可疑进程，是否开放了可疑端口，是否有可疑连接等，并进一步检查自启动项，避免遗留，此外可以结合其他方式进行综合判断。 权限维持典型告警 网络防线 NIP攻击日志 网络-检测异常连接行为 首先需要确认是否为真实的异常行为，而非误报或误判。可以通过多个方法进行确认，例如，查看日志记录、使用网络监控工具等。一旦确认存在异常连接行为，需要立即采取措施切断该异常连接，消除恶意软件，以避免进一步安全问题的发生。 横向移动典型告警 主机防线 主机安全日志 主机-虚拟机横向连接 建议通过 堡垒机 等审计记录查看该命令是程序执行还是人为操作，如果为人为操作，需联系对应操作人确定，风格为非正常业务人员操作，需尽快确定该行为是否为异常恶意行为，是否危害到对应虚拟机，及时采取措施，保护计算机和系统的安全。 持久化控制典型告警 网络防线 NIP攻击日志 网络-后门 首先应该立即断开与互联网的连接，防止后门进一步传播或者窃取您的敏感信息。可以使用杀毒软件进行扫描和清除后门，并查找和删除可疑文件，确保系统的安全性。 持久化控制典型告警 主机防线 主机安全日志 主机-恶意定时任务写入 请确认是否为正常业务任务，如果不是，可以停用计划任务。

操作场景 安全云脑 提供了4+1个大屏，一个是综合态势感知大屏，其他四个大屏分别是值班响应大屏、资产大屏、威胁态势大屏和脆弱性大屏。 网络防护前请确保已经完成自查整改，清零所有未处理的运营数据。 网络防护期间，安全值班人员需要重点关注“值班响应大屏”的数据信息，当有告警冒泡出来的时候，及时进行告警处理，清零全部告警数据。 通过告警详情页数据进行告警分析，如果需要结合其他日志数据，可通过安全分析在对应数据管道进行查询统计溯源。误报告警直接关闭，有风险告警可通过“一键阻断”能力应急阻断。

操作场景 数据采集后，安全云脑针对云上安全事件提供了安全编排剧本，实现安全事件的高效、自动化响应处置。 安全云脑内置的流程默认已启用，无需再进行手动启用；内置的剧本已激活默认版本，仅需启用对应剧本即可。建议启用以下剧本： 表1 启用剧本 剧本名称 描述 重复告警自动关闭 将近7日内第二次及第二次以上出现的告警状态置为关闭，并关联7日内同名告警 高危告警自动通知 对威胁级别为High或者Fatal的告警进行邮件或者短信通知

执行管道 表1 模型的执行管道 模型名称 管道 是否开启 状态 备注 应用-分布式url遍历攻击 sec-waf-access 推荐开启 开箱即用已开启 -- 应用-源ip对 域名 进行爆破攻击 sec-waf-attack 推荐开启 开箱即用已开启 -- 应用-源ip进行url遍历 sec-waf-access 推荐开启 开箱即用已开启 -- 应用-WAF关键攻击告警 sec-waf-attack 推荐开启 开箱即用已开启 -- 主机-虚拟机横向连接 sec-hss-log 推荐开启 开箱即用已开启 -- 网络-高危端口对外暴露 sec-nip-attack 推荐开启 开箱即用已开启 -- 网络-登录爆破告警 sec-nip-attack 推荐开启 开箱即用已开启 -- 主机-异常网络连接 sec-hss-alarm 推荐开启 开箱即用已开启 -- 网络-源ip对多个目标进行攻击 sec-nip-attack 推荐开启 开箱即用已开启 -- IPS告警去重 sec-nip-attack 按需开启 -- -- 网络-命令注入告警 sec-nip-attack 推荐开启 开箱即用已开启 -- 网络-恶意外联 sec-nip-attack 推荐开启 开箱即用已开启 -- 主机-rootkit事件 sec-hss-alarm 推荐开启 开箱即用已开启 -- 主机-反弹shell sec-hss-alarm 推荐开启 开箱即用已开启 已升级，需更新模型 主机-异地登录 sec-hss-alarm 推荐开启 开箱即用已开启 -- 主机-异常shell sec-hss-alarm 推荐开启 开箱即用已开启 -- 主机-弱口令 sec-hss-alarm 推荐开启 开箱即用已开启 -- 主机-恶意程序 sec-hss-alarm 推荐开启 开箱即用已开启 -- 主机-暴力破解成功 sec-hss-alarm 推荐开启 开箱即用已开启 -- 主机-高危命令检测 sec-hss-alarm 推荐开启 开箱即用已开启 已升级，需更新模型 网络-检测异常连接行为 sec-nip-attack 推荐开启 开箱即用已开启 -- 网络-检测黑客工具攻击 sec-nip-attack 推荐开启 开箱即用已开启 -- 网络-恶意软件 [蠕虫、病毒、木马] sec-nip-attack 推荐开启 开箱即用已开启 -- 网络-僵尸网络 sec-nip-attack 推荐开启 开箱即用已开启 -- 网络-后门 sec-nip-attack 推荐开启 开箱即用已开启 -- 应用-疑似存在源码泄露风险 sec-waf-access 推荐开启 开箱即用已开启 -- 身份- IAM 账号爆破 sec-iam-audit 推荐开启 开箱即用已开启 -- 应用-疑似存在log4j2漏洞 sec-waf-attack 推荐开启 开箱即用已开启 -- 身份-创建IAM委托 sec-iam-audit 推荐开启 开箱即用已开启 -- 身份-创建联邦登录 sec-iam-audit 推荐开启 开箱即用已开启 -- 身份-IAM账户添加子用户 sec-iam-audit 推荐开启 开箱即用已开启 -- 运维-挂载网卡 sec-cts-audit 推荐开启 开箱即用已开启 -- 运维-创建peering对等连接 sec-cts-audit 推荐开启 开箱即用已开启 -- 运维-资源绑定EIP sec-cts-audit 推荐开启 开箱即用已开启 -- 应用-疑似存在fastjson漏洞 sec-waf-attack 推荐开启 开箱即用已开启 -- 应用-疑似存在 Java框架通用代码执行漏洞 sec-waf-attack 推荐开启 开箱即用已开启 -- 应用-疑似存在Shiro漏洞 sec-waf-attack 推荐开启 开箱即用已开启 -- 网络-CFW异常外联 sec-cfw-risk 推荐开启 开箱即用已开启 -- 网络-疑似存在DOS攻击 sec-cfw-block 按需开启 开箱即用已开启 -- 应用-登录爆破攻击 sec-waf-attack 推荐开启 开箱即用已开启 -- 主机-异常文件属性修改 sec-hss-log 推荐开启 开箱即用已开启 -- 主机-恶意定时任务写入 sec-hss-log 推荐开启 开箱即用已开启 -- 主机-进程和端口信息隐匿 sec-hss-log 推荐开启 开箱即用已开启 -- 主机-异常文件权限修改 sec-hss-log 推荐开启 开箱即用已开启 -- 网络-疑似存在远程代码执行漏洞 sec-nip-attack 推荐开启 -- -- 网络-存在敏感文件泄露 /目录遍历漏洞 sec-nip-attack 推荐开启 -- -- 应用-疑似存在openfire鉴权绕过漏洞 sec-waf-access 推荐开启 -- -- 应用-疑似存在 nginxWebUI 远程命令执行漏洞 sec-waf-access 推荐开启 -- -- 应用-疑似存在 MinIO 信息泄露 sec-waf-access 推荐开启 -- -- 应用-疑似存在 F5 BIG-IP 命令执行漏洞 sec-waf-access 推荐开启 -- -- 应用-存在Spring Actuator信息泄露 sec-waf-access 推荐开启 -- -- 主机-计划任务异常 sec-hss-alarm 推荐开启 -- -- 主机-疑似注册启动信息修改 sec-hss-log 推荐开启 -- -- 主机-疑似发现webshell木马 sec-hss-alarm 推荐开启 -- -- 主机-疑似使用内网扫描工具 sec-hss-log 推荐开启 -- -- 主机-挖矿行为检测 sec-hss-alarm 推荐开启 -- -- 主机-异常脚本调用 sec-hss-log 推荐开启 -- -- 主机-勒索软件 sec-hss-alarm 推荐开启 -- -- 应用-疑似人为WEB恶意入侵攻击 sec-waf-attack 推荐开启 -- -- 网络-目录遍历攻击 sec-ndr-risk 按需开启 -- -- 网络-文件读写执行 sec-ndr-risk 按需开启 -- -- 网络-绕过 sec-ndr-risk 按需开启 -- -- 网络-代码执行 sec-ndr-risk 按需开启 -- -- 网络-检测后门 sec-ndr-risk 按需开启 -- -- 网络-log4j漏洞攻击 sec-ndr-risk 按需开启 -- -- 网络-提权 sec-ndr-risk 按需开启 -- -- 网络-检测恶意外联 sec-ndr-risk 按需开启 -- -- 主机-异常权限提升 sec-hss-alarm 推荐开启 -- -- 应用-疑似泛微 e-cology9登录漏洞 sec-waf-access 推荐开启 -- -- 主机-信息破坏 sec-hss-alarm 推荐开启 -- -- 主机-网络异常行为 sec-hss-alarm 推荐开启 -- -- 主机-用户异常行为 sec-hss-alarm 推荐开启 -- 已升级，需更新模型 主机-容器异常 sec-hss-alarm 推荐开启 -- -- 应用-waf 告警恶意ip攻击 sec-waf-attack 推荐开启 -- -- 主机-系统异常变更 sec-hss-alarm 推荐开启 -- -- 主机-漏洞利用 sec-hss-alarm 推荐开启 -- 已升级，需更新模型 主机-集群异常行为 sec-hss-alarm 推荐开启 -- -- 主机-异常进程 sec-hss-alarm 推荐开启 -- -- 主机-黑客工具检测 sec-hss-alarm 推荐开启 -- -- 主机-扫描侦查 sec-hss-alarm 推荐开启 -- -- 主机-关键文件路径变更 sec-hss-alarm 推荐开启 -- 新增 主机-异常外联行为 sec-hss-alarm 推荐开启 -- 新增 主机-文件/目录变更 sec-hss-alarm 推荐开启 -- 新增 主机-尝试暴力破解 sec-hss-alarm 推荐开启 -- 新增 主机-可疑进程异常访问文件 sec-hss-alarm 推荐开启 -- 新增 主机-容器异常启动 sec-hss-alarm 推荐开启 -- 新增 主机-非可信进程运行 sec-hss-alarm 推荐开启 -- 新增 主机-Crontab可疑任务 sec-hss-alarm 推荐开启 -- 新增 主机-用户账号变更 sec-hss-alarm 推荐开启 -- 新增 网络-CFW恶意外部攻击 sec-cfw-risk 推荐开启 -- 新增 应用-疑似存在目录爆破 sec-nginx-access 按需开启 -- -- 应用-疑似存在dos攻击风险 sec-nginx-access 按需开启 -- -- 应用-python恶意爬虫 sec-nginx-access 按需开启 -- -- 应用-用户异常登录疑似爆破 sec-nginx-access 按需开启 -- -- 应用-疑似撞库攻击 sec-nginx-access 按需开启 -- -- 网络-主机非法探测 sec-vpc-flow 按需开启 -- -- 网络-端口非法扫描 sec-vpc-flow 按需开启 -- --

修复说明 Linux、Windows漏洞 如下是近两年在攻防演练中被红队利用最频繁且对企业危害较高的系统漏洞，HSS漏洞库支持扫描该漏洞，如果使用HSS扫描时发现该漏洞，请优先排查修复。 Linux DirtyPipe权限提升漏洞（CVE-2022-0847） 如果漏洞影响的软件未启动或启动后无对外开放端口，则实际风险较低，可滞后修复。 应用漏洞 HSS不支持扫描如用友、金蝶等商用软件的漏洞，因此商用软件漏洞您需要自行排查。 如果Web服务器的应用漏洞无法修复，您可以通过配置安全组规则，限制只可内网访问，或使用WAF防护（只能降低风险，通过内网渗透或规则绕过依然有被入侵的风险）。 如下是近两年在攻防演练中被红队利用最频繁且对企业危害较高的应用漏洞，HSS漏洞库支持扫描这些漏洞，如果使用HSS扫描时发现这些漏洞，请优先排查修复。 nginxWebUI远程命令执行漏洞 Nacos反序列化漏洞 Apache RocketMQ命令注入漏洞（CVE-2023-33246） Apache Kafka远程代码执行漏洞（CVE-2023-25194） Weblogic远程代码执行漏洞（CVE-2023-21839） Atlassian Bitbucker Data Center远程代码执行漏洞（CVE-2022-26133） Apache CouchDB远程代码执行漏洞（CVE-2022-24706） F5 BIG-IP命令执行漏洞（CVE-2022-1388） Fastjson 1.2.8反序列化漏洞（CVE-2022-25845） Atlassian Confluence OGNL注入漏洞（CVE-2022-26134） Apache Log4j2远程代码执行漏洞（CVE-2021-44228）

E CS 规格要求 安装采集器（isap-agent + Logstash）的租户云服务器（ECS）规格要求如下表： 表1 ECS规格 CPU内核数 内存大小 系统磁盘存储大小 数据磁盘存储大小 采集器参考处理能力 4核 8G 50G 100G 4000 EPS @ 500B 8核 16G 50G 100G 10000 EPS @ 500B 16核 32G 50G 100G 20000 EPS @ 500B 32核 64G 50G 100G 40000 EPS @ 500B 64核 128G 50G 100G 80000 EPS @ 500B 规格说明： 4000 EPS @ 500B：日志采集器每秒可以处理4000次数据。条件：单个数据大小为500字节（500B）情况下。 ECS规格最低要求：CPU2核，内存4 GB，系统磁盘50 GB，数据磁盘100 GB。 架构要求：当前日志采集组件控制器（isap-agent）仅支持运行在Linux系统X86架构的ECS主机上，后续更多环境适配持续更新中。 操作系统（镜像）：无限制，建议Huawei Cloud EulerOS。 日志量应当与机器规格成比例放大，建议按表中规格比例进行放大。如果机器压力较大，建议部署多台采集器，通过采集通道来统一管理，分摊单机日志中转压力。

基本概念 本部分介绍日志采集中涉及的基本概念的描述及其作用。 日志采集组件（Logstash）：用于日志采集、日志传输。 组件控制器（isap-agent）：用于管理日志采集组件（Logstash）等。 日志采集器节点：用于采集日志到云脑，以及安全云脑日志转出。 一台ECS，安装了安全云脑组件控制器，组件控制器中安装了日志采集组件。单个租户只需要配置安装一台日志采集器节点。 图2 日志采集器节点架构图 采集器：定制化的Logstash。采集器节点则是定制化的Logstash+组件控制器（isap-agent）。 连接器：Logstash配置的基础概念，主要包括input、output两部分，分别对应源连接器、目的连接器，用于定义采集器Logstash接受数据方式和规范。其中，安全云脑管道pipe连接器可以对接安全云脑，实现租户数据上报安全云脑，安全云脑数据转储到租户的能力。 解析器：Logstash配置的基础概念，主要为Logstash的filter部分，安全云脑解析器是对其filter部分的无码化封装和定制，用户只需在页面上配置解析器规则即可生成原生的filter配置脚本，从而轻松实现将原始日志转化为目标格式。 采集通道：采集通道等价于Logstash的pipeline，在Logstash可以配置多个pipeline，每个pipeline包括input、filter、output部分，每个pipeline为单独的作业，互不影响。在安全云脑租户采集上，可将相同的pipeline部署在多个节点上，并且配置相同的pipeline视为一个采集通道。

日志接入或转出支持的传输协议类型以及日志格式 表2 日志接入或转出支持的传输协议类型以及日志格式 场景 支持的传输协议类型 支持的日志格式 日志接入安全云脑 传输控制协议 TCP json、syslog、plain 用户数据协议 UDP json、syslog、plain 对象存储 OBS json、plain 消息队列 Kafka json、plain 云脑管道 Pipe json、plain ElasticSearch CSS json、plain 日志从安全云脑转出 传输控制协议 TCP json 用户数据协议 UDP json 消息队列 Kafka json 对象存储 OBS json 云脑管道 Pipe json

监控指标 表1 SFS容量型（已售罄）支持的监控指标 指标ID 指标名称 指标含义 取值范围 单位 进制 测量对象（维度） 监控周期（原始指标） read_bandwidth 读带宽 该指标用于统计文件系统在周期内的读数据量。 ≥ 0 bytes/s 1024(IEC) 文件共享 4分钟 write_bandwidth 写带宽 该指标用于统计文件系统在周期内的写数据量 ≥ 0 bytes/s 1024(IEC) 文件共享 4分钟 rw_bandwidth 读写带宽 该指标用于统计文件系统在周期内的读写数据量。 ≥ 0 bytes/s 1024(IEC) 文件共享 4分钟 read_ops 读OPS 该指标用于统计文件系统在周期内的读次数。 ≥ 0 counts/s 不涉及 文件共享 4分钟 write_ops 写OPS 该指标用于统计文件系统在周期内的写次数。 ≥ 0 counts/s 不涉及 文件共享 4分钟 rw_ops 读写OPS 该指标用于统计文件系统在周期内的读写次数。 ≥ 0 counts/s 不涉及 文件共享 4分钟 used_capacity 已用容量 该指标用于统计文件系统在周期内的已用容量。 ≥ 0 bytes 1024(IEC) 文件共享 4分钟 表2 通用文件系统支持的监控指标 指标ID 指标名称 指标含义 取值范围 单位 进制 测量对象（维度） 监控周期（原始指标） capacity_standard 容量型存储用量 容量型存储数据所占用的存储空间容量。 ≥ 0 Byte 1024(IEC) 用户 文件共享 30分钟 capacity_infrequentaccess 低频型存储用量 低频型存储数据所占用的存储空间容量。 ≥0 Byte 1024(IEC) 用户 文件共享 30分钟 read_bandwidth 文件系统读带宽 该指标用于统计文件系统在周期内的读数据量。 ≥0 byte/s 1024(IEC) 文件共享 4分钟 write_bandwidth 文件系统写带宽 该指标用于统计文件系统在周期内的写数据量。 ≥0 byte/s 1024(IEC) 文件共享 4分钟 read_tps 文件系统读TPS 该指标用于统计文件系统在周期内的读次数。 ≥0 count 不涉及 文件共享 4分钟 write_tps 文件系统写TPS 该指标用于统计文件系统在周期内的写次数。 ≥0 count 不涉及 文件共享 4分钟 通用文件系统的监控指标仅在有业务访问时展示数据。

监控指标 表1 弹性文件服务Turbo支持的监控指标 指标ID 指标名称 指标含义 取值范围 单位 进制 测量对象（维度） 监控周期（原始指标） client_connections 客户端连接数 该指标用于统计测量客户端连接数。 说明： 连接数统计的是活跃的客户端链接。 如果客户端长时间无 IO，网络链接会自动断开，当有 IO 时客户端会自动重新建立网络链接。 ≥0 Count 不涉及 弹性文件服务Turbo 1分钟 data_read_io_bytes 读带宽 该指标用于测量读I/O负载。 ≥0 bytes/s 1024(IEC) 弹性文件服务Turbo 1分钟 data_write_io_bytes 写带宽 该指标用于测量写I/O负载。 ≥0 byte/s 1024(IEC) 弹性文件服务Turbo 1分钟 metadata_io_bytes 元数据读写带宽 该指标用于测量元数据读写I/O负载。 ≥0 byte/s 1024(IEC) 弹性文件服务Turbo 1分钟 total_io_bytes 总带宽 该指标用于测量总I/O负载。 ≥0 byte/s 1024(IEC) 弹性文件服务Turbo 1分钟 iops IOPS 该指标用于测量单位时间内处理的I/O数。 ≥0 Count 不涉及 弹性文件服务Turbo 1分钟 used_capacity 已用容量 该指标用于统计文件系统已用容量。 ≥0 byte 1024(IEC) 弹性文件服务Turbo 1分钟 used_capacity_percent 容量使用率 该指标用于统计文件系统已用容量占总容量的比例。 0-100 % 不涉及 弹性文件服务Turbo 1分钟 used_inode 已用inode数 该指标用于统计文件系统已用inode数 ≥1 Count 不涉及 弹性文件服务Turbo 1分钟 used_inode_percent inode使用率 该指标用于统计文件系统已用inode数占总inode数的比率。 0-100 % 不涉及 弹性文件服务Turbo 1分钟

相关问题 如何修改集群实例的最大连接数？ 实例的最大连接数可通过修改参数“net.maxIncomingConnections”的值进行调整，如何调整参数值请参见编辑参数模板。 如何购买集群实例？ 详情请参见购买集群实例。 如何变更集群实例的CPU和内存？ 集群实例可以变更dds mongos节点和shard节点的CPU和内存，具体操作请参见变更集群实例的CPU和内存。 如何扩容集群实例的磁盘空间？ 集群实例可以对shard节点进行磁盘扩容，具体操作请参见扩容存储。

历史实例规格表 2021年7月以前创建的实例，请参考下列表中的连接数。 表4 config节点的规格 实例类型 CPU类型 规格类型 vCPU（个） 内存（GB） 规格ID 缺省最大连接数配置 连接数取值范围 集群 x86 通用型 2 4 dds.mongodb.s6.large.2.config 400 200-2000 增强型 2 4 dds.mongodb.c3.large.2.config 增强Ⅱ型 2 4 dds.mongodb.c6.large.2.config 鲲鹏 - 2 4 dds.mongodb.large.arm2.config 表5 dds mongos和shard节点的规格 实例类型 CPU类型 规格类型 组件 vCPU（个） 内存（GB） 规格ID 缺省最大连接数配置 连接数取值范围 集群 x86 通用型 dds mongos 1 4 dds.mongodb.s6.medium.4.mongos 400 200-1000 2 4 dds.mongodb.s6.large.2.mongos 400 200-2000 2 8 dds.mongodb.s6.large.4.mongos 400 200-2000 4 8 dds.mongodb.s6.xlarge.2.mongos 1000 200-4000 4 16 dds.mongodb.s6.xlarge.4.mongos 1000 200-4000 8 16 dds.mongodb.s6.2xlarge.2.mongos 4000 200-16000 8 32 dds.mongodb.s6.2xlarge.4.mongos 4000 200-16000 shard 1 4 dds.mongodb.s6.medium.4.shard 400 200-1000 2 4 dds.mongodb.s6.large.2.shard 400 200-2000 2 8 dds.mongodb.s6.large.4.shard 400 200-2000 4 8 dds.mongodb.s6.xlarge.2.shard 1000 200-4000 4 16 dds.mongodb.s6.xlarge.4.shard 1000 200-4000 8 16 dds.mongodb.s6.2xlarge.2.shard 4000 200-16000 8 32 dds.mongodb.s6.2xlarge.4.shard 4000 200-16000 增强型 dds mongos 2 8 dds.mongodb.c3.large.4.mongos 400 200-2000 4 16 dds.mongodb.c3.xlarge.4.mongos 1000 200-4000 8 32 dds.mongodb.c3.2xlarge.4.mongos 4000 200-16000 16 64 dds.mongodb.c3.4xlarge.4.mongos 8000 200-16000 32 128 dds.mongodb.c3.8xlarge.4.mongos 8000 200-16000 60 256 dds.mongodb.c3.15xlarge.4.mongos 8000 200-16000 shard 2 8 dds.mongodb.c3.large.4.shard 400 200-2000 4 16 dds.mongodb.c3.xlarge.4.shard 1000 200-4000 8 32 dds.mongodb.c3.2xlarge.4.shard 4000 200-16000 16 64 dds.mongodb.c3.4xlarge.4.shard 8000 200-16000 32 128 dds.mongodb.c3.8xlarge.4.shard 8000 200-16000 60 256 dds.mongodb.c3.15xlarge.4.shard 8000 200-16000 增强Ⅱ型 dds mongos 2 8 dds.mongodb.c6.large.4.mongos 400 200-2000 4 16 dds.mongodb.c6.xlarge.4.mongos 1000 200-4000 8 32 dds.mongodb.c6.2xlarge.4.mongos 4000 200-16000 16 64 dds.mongodb.c6.4xlarge.4.mongos 8000 200-16000 32 128 dds.mongodb.c6.8xlarge.4.mongos 8000 200-16000 64 256 dds.mongodb.c6.16xlarge.4.mongos 8000 200-16000 shard 2 8 dds.mongodb.c6.large.4.shard 400 200-2000 4 16 dds.mongodb.c6.xlarge.4.shard 1000 200-4000 8 32 dds.mongodb.c6.2xlarge.4.shard 4000 200-16000 16 64 dds.mongodb.c6.4xlarge.4.shard 8000 200-16000 32 128 dds.mongodb.c6.8xlarge.4.shard 8000 200-16000 64 256 dds.mongodb.c6.16xlarge.4.shard 8000 200-16000 鲲鹏 - dds mongos 2 4 dds.mongodb.large.arm2.mongos 400 200-2000 - 2 8 dds.mongodb.large.arm4.mongos 400 200-2000 - 4 8 dds.mongodb.xlarge.arm2.mongos 1000 200-4000 - 4 16 dds.mongodb.xlarge.arm4.mongos 1000 200-4000 - 8 16 dds.mongodb.2xlarge.arm2.mongos 4000 200-16000 - 8 32 dds.mongodb.2xlarge.arm4.mongos 4000 200-16000 - 16 32 dds.mongodb.4xlarge.arm2.mongos 8000 200-16000 - 16 64 dds.mongodb.4xlarge.arm4.mongos 8000 200-16000 - shard 2 4 dds.mongodb.large.arm2.shard 400 200-2000 - 2 8 dds.mongodb.large.arm4.shard 400 200-2000 - 4 8 dds.mongodb.xlarge.arm2.shard 1000 200-4000 - 4 16 dds.mongodb.xlarge.arm4.shard 1000 200-4000 - 8 16 dds.mongodb.2xlarge.arm2.shard 4000 200-16000 - 8 32 dds.mongodb.2xlarge.arm4.shard 4000 200-16000 - 16 32 dds.mongodb.4xlarge.arm2.shard 8000 200-16000 - 16 64 dds.mongodb.4xlarge.arm4.shard 8000 200-16000

现行实例规格说明 DDS集群实例的CPU规格分为通用型和增强Ⅱ型，详见表1。 表1 CPU规格类型 规格 说明 适用场景 通用型 与同一物理机上的其他通用型规格实例共享CPU资源，通过资源复用换取CPU使用率最大化，性价比较高，适用于对性能稳定性要求较低的应用场景。 侧重对成本、性价比要求较高的场景。 增强Ⅱ型 CPU性能强劲，并搭载全新网络加速引擎，以及DPDK(Data Plane Development Kit)快速报文处理机制，提供更高的网络性能以及算力，满足不同场景需求。 对数据库算力与网络有更高性能要求的网站和Web应用场景。 表2 config节点的规格 CPU类型 规格类型 vCPU（个） 内存（GB） 规格ID 缺省最大连接数配置 连接数取值范围 x86 通用型 2 4 dds.mongodb.s6.large.2.config 2000 200-2000 4 8 dds.mongodb.s6.xlarge.2.config 4000 200-4000 8 16 dds.mongodb.s6.2xlarge.2.config 4000 200-4000 增强Ⅱ型 2 4 dds.mongodb.c6.large.2.config 2000 200-2000 4 8 dds.mongodb.c6.xlarge.2.config 4000 200-4000 8 16 dds.mongodb.c6.2xlarge.2.config 4000 200-4000 鲲鹏 - 2 4 dds.mongodb.large.arm2.config 2000 200-2000 4 8 dds.mongodb.xlarge.arm2.config 4000 200-4000 8 16 dds.mongodb.2xlarge.arm2.config 16000 200-16000 表3 dds mongos和shard节点的规格 CPU类型 规格类型 组件 vCPU（个） 内存（GB） 规格ID 缺省最大连接数配置 连接数取值范围 x86 通用型 dds mongos 1 4 dds.mongodb.s6.medium.4.mongos 1000 200-1000 2 4 dds.mongodb.s6.large.2.mongos 2000 200-2000 2 8 dds.mongodb.s6.large.4.mongos 2000 200-2000 4 8 dds.mongodb.s6.xlarge.2.mongos 4000 200-4000 4 16 dds.mongodb.s6.xlarge.4.mongos 4000 200-4000 8 16 dds.mongodb.s6.2xlarge.2.mongos 16000 200-16000 8 32 dds.mongodb.s6.2xlarge.4.mongos 16000 200-16000 shard 1 4 dds.mongodb.s6.medium.4.shard 1000 200-1000 2 4 dds.mongodb.s6.large.2.shard 2000 200-2000 2 8 dds.mongodb.s6.large.4.shard 2000 200-2000 4 8 dds.mongodb.s6.xlarge.2.shard 4000 200-4000 4 16 dds.mongodb.s6.xlarge.4.shard 4000 200-4000 8 16 dds.mongodb.s6.2xlarge.2.shard 16000 200-16000 8 32 dds.mongodb.s6.2xlarge.4.shard 16000 200-16000 增强Ⅱ型 dds mongos 2 8 dds.mongodb.c6.large.4.mongos 2000 200-2000 2 16 dds.mongodb.c6.large.8.mongos 2000 200-2000 4 16 dds.mongodb.c6.xlarge.4.mongos 4000 200-4000 4 32 dds.mongodb.c6.xlarge.8.mongos 4000 200-4000 8 32 dds.mongodb.c6.2xlarge.4.mongos 16000 200-16000 8 64 dds.mongodb.c6.2xlarge.8.mongos 16000 200-16000 16 64 dds.mongodb.c6.4xlarge.4.mongos 16000 200-16000 16 128 dds.mongodb.c6.4xlarge.8.mongos 16000 200-16000 32 128 dds.mongodb.c6.8xlarge.4.mongos 16000 200-16000 32 256 dds.mongodb.c6.8xlarge.8.mongos 16000 200-16000 64 256 dds.mongodb.c6.16xlarge.4.mongos 16000 200-16000 shard 2 8 dds.mongodb.c6.large.4.shard 2000 200-2000 2 16 dds.mongodb.c6.large.8.shard 2000 200-2000 4 16 dds.mongodb.c6.xlarge.4.shard 4000 200-4000 4 32 dds.mongodb.c6.xlarge.8.shard 4000 200-4000 8 32 dds.mongodb.c6.2xlarge.4.shard 16000 200-16000 8 64 dds.mongodb.c6.2xlarge.8.shard 16000 200-16000 16 64 dds.mongodb.c6.4xlarge.4.shard 16000 200-16000 16 128 dds.mongodb.c6.4xlarge.8.shard 16000 200-16000 32 128 dds.mongodb.c6.8xlarge.4.shard 16000 200-16000 32 256 dds.mongodb.c6.8xlarge.8.shard 16000 200-16000 64 256 dds.mongodb.c6.16xlarge.4.shard 16000 200-16000 鲲鹏 - dds mongos 2 4 dds.mongodb.large.arm2.mongos 2000 200-2000 - 2 8 dds.mongodb.large.arm4.mongos 2000 200-2000 - 4 8 dds.mongodb.xlarge.arm2.mongos 4000 200-4000 - 4 16 dds.mongodb.xlarge.arm4.mongos 4000 200-4000 - 8 16 dds.mongodb.2xlarge.arm2.mongos 16000 200-16000 - 8 32 dds.mongodb.2xlarge.arm4.mongos 16000 200-16000 - 16 32 dds.mongodb.4xlarge.arm2.mongos 16000 200-16000 - 16 64 dds.mongodb.4xlarge.arm4.mongos 16000 200-16000 - shard 2 4 dds.mongodb.large.arm2.shard 2000 200-2000 - 2 8 dds.mongodb.large.arm4.shard 2000 200-2000 - 4 8 dds.mongodb.xlarge.arm2.shard 4000 200-4000 - 4 16 dds.mongodb.xlarge.arm4.shard 4000 200-4000 - 8 16 dds.mongodb.2xlarge.arm2.shard 16000 200-16000 - 8 32 dds.mongodb.2xlarge.arm4.shard 16000 200-16000 - 16 32 dds.mongodb.4xlarge.arm2.shard 16000 200-16000 - 16 64 dds.mongodb.4xlarge.arm4.shard 16000 200-16000

数据库监控配置 配置慢SQL的阈值，超过该阈值的请求被称为慢SQL，并在接口调用、监控报表等展示相关请求。 进入组件配置页，在“数据库监控配置”中配置慢SQL值。 取值范围：[100,20000]，默认值与系统中配置的SQL阈值相同。 图11 数据库监控配置 单击“保存”，提示保存成功。 单击“复用到其他组件”，弹出“复用到其他组件”选择框。 图12 复用到其他组件 选择一个或多个组件，单击“复用到其他组件”，则当前“数据库监控配置”信息，成功的复制到被选择的组件中。

Profiler性能剖析配置 进入组件配置页，在“Profiler性能剖析配置”表单中填写相关信息。 图6 Profiler性能剖析配置 表2 Profiler性能剖析配置说明 参数 说明 Profiler启停 开启后，将对低开销的应用进行持续诊断，解决Java程序中因为CPU、内存和时延导致的瓶颈问题。 开关默认为关闭，开关置灰。总开关关闭时，所有子开关都处于关闭状态。 CPU 开启后将采集应用运行过程中CPU火焰图信息。 开关默认为关闭，开关置灰。 内存 开启后将采集应用运行过程中堆内存火焰图信息。 开关默认为关闭，开关置灰。 Live Object Memory：已分配但未被回收的堆内存，使用场景主要包括内存泄漏等。该特性需要JDK版本为JDK17。 Allocated Memory：已分配的堆内存（包括已被回收和未被回收的部分），使用场景包括频繁GC等。 时延 开启后将采集应用运行过程中时延火焰图信息。 开关默认为关闭，开关置灰。 生效范围 组件：组件级范围生效。该组件下关联的所有实例生成Profiler数据。开关默认为开启，组件按钮标记为蓝色。 实例：实例级范围生效。仅所选实例生成Profiler数据，开关默认为关闭，开关置灰。 单击实例开关，开启“实例”，实例按钮标记为蓝色。 单击“选择实例”，选择所需要的实例。 图7 选择实例 选择1个或多个实例后，单击“确定”，设置成功。如果选择了实例级范围生效，则不能复制到其他组件/环境。 图8 选择需要的实例 “组件”和“实例”只能选择其中一项，不支持同时选择。 单击“保存”，提示保存成功,弹出“使用注意”提示框。 单击“确认”，配置成功。 单击“复用到其他组件”，弹出“复用到其他组件”选择框。 图9 复用到其他组件 选择一个或多个组件，单击“复用到其他组件”，则当前“Profiler性能剖析配置”信息，成功的复制到被选择的组件中。

全采样设置 使用限制 为了减少调用链数据频繁上报给服务造成的性能影响，探针侧发送的调用链数据，默认情况下最大100TPS的速率上报。所以在服务并发量超过100TPS的情况下，调用链不会全部上报，如有需要可以通过修改配置文件的方式修改上报阈值，但请做好性能开销的评估。 全采样功能在设置100%采样率，500TPS、1000TPS、2000TPS的情况下，CPU的消耗相对于智能采样分别增加约5%、10%、20%。 进入组件配置页，在“全采样配置”中选择采样策略。 图10 全采样设置 智能采样。 全采样策略系统默认是智能采样，url分为错误url、慢url（默认800ms、用户自定义配置）、正常url三种url，每种url调用链数据的采样率单独计算。 APM 的统计数据是一分钟采集上报一次，第一个采集周期所有url调用链数据都按正常url采样。第二个采集周期时，根据上一个采集周期的统计数据，将url分类为错误url、慢url、正常url三种url。 错误url的采样率：cpu小于30%每分钟采集100条，cpu大于或等于30%小于60%每分钟采集50条，cpu大于或等于60%每分钟采集10条，每条url至少采集2条。 慢url的采样率：cpu小于30%每分钟采集100条，cpu大于或等于30%小于60%每分钟采集50条，cpu大于或等于60%每分钟采集10条，每条url至少采集2条。 正常url的采样率：cpu小于30%每分钟采集20条，cpu大于或等于30%小于60%每分钟采集10条，cpu大于或等于60%每分钟采集5条，每条url至少采集1条。 全局采样。 全局采样针对所有调用链的采样率设置， 默认值(%)：100，取值范围(%)：0~100。 自定义采样。 自定义采样可以按照用户的需求，自定义采样率。 表3 自定义采样说明 采样率名称 默认值(%) 取值范围(%) 说明 成功请求采样率 100 0~100 设置成功请求采样率。 成功请求指请求状态码为非错误返回且无异常的请求。 URL采样率 - - 设置URL采样率。URL采样率，仅针对成功请求生效。 “URL”是指“编辑【URL监控】监控配置”中，“URL配置”的响应时间阈值的URL，相关配置说明参见配置url监控项。 单击“新增”配置如下URL采样率参数： URL：URL路径，例如：/apm2/health/v1/health-check。 采样率：默认值(%)：0，取值范围(%)：0~100 单击“删除”，删除当前行的采样率配置。 错误请求采样率 100 0~100 设置错误请求采样率。 “错误请求”是指“编辑【URL监控】监控配置”中，符合“错误状态码定义”的请求，相关配置说明参见配置url监控项。 错误状态码定义有两个可选项：状态码400以上统计为错误、为状态码500以上统计为错误。默认值为状态码500以上统计为错误。 慢请求采样率 100 0~100 设置慢请求采样率。 “慢请求”是指“编辑【URL监控】监控配置”中，“慢请求阈值定义”的全局请求响应时间小于阈值的请求，相关配置说明参见配置url监控项。 单击“保存”，完成配置。全采样设置完成约10分钟后，该配置生效。

关联日志服务 应用性能管理 （APM）与 云日志 服务（LTS）关联，您可以在 LTS中关联调用链的TraceID 信息，当应用出现故障时，可以通过调用链的TraceID 快速关联到业务日志，及时定位分析并解决问题。 打印TraceID至业务日志中，开启后业务日志中会自动生成调用链的TraceId。如果关闭打印TraceID至业务日志中，则关联日志服务的设置不生效。 关联业务日志支持Log4j/Log4j2/Logback日志组件。 自定义设置只支持java类型。 进入组件配置页，在“关联日志服务”表单中填写相关信息。 图4 关联日志服务 表1 关联日志服务参数说明 参数 说明 项目 在下拉菜单中选择项目。 日志组 日志组（LogGroup）是云日志服务进行日志管理的基本单位，可以创建日志流以及设置日志存储时间，每个账号下可以创建100个日志组。创建日志组详细操作参见日志组。 日志流 日志流（LogStream）是日志读写的基本单位，日志组中可以创建日志流，将不同类型的日志分类存储，方便对日志进一步分类管理。详细操作参见日志流。 单击“保存”，弹出“关联日志服务”提示框。 图5 保存关联日志服务 单击“确认”，关联成功。 单击“复用到其他组件”，弹出“复用到其他组件”选择框。 选择一个或多个组件，单击“保存并复用到其他组件”，则当前“关联日志服务”的配置，成功的复制到被选择的组件中。

功能介绍 表1 功能介绍 功能名称 说明 查看应用性能指标 应用概览页面展示应用维度的指标数据，包含url调用次数、url平均响应时间、url错误率等；同时支持“购买特惠包”以及“接入应用”。 监控组件性能指标 组件列表展示组件不同的指标监控项，APM支持查看组件的指标监控项。 通过调用链查看微服务间调用关系 在企业微服务之间调用复杂的场景下，Agent会抽样一些请求，拦截对应请求及后续一系列的调用信息。您可以通过调用链查看微服务间调用关系。 通过全局拓扑图查看应用间调用关系 通过拓扑图可以自动梳理服务之间的调用关系，同时也可以从全局视角查看服务之间调用是否正常，帮助用户快速定位问题。 管理APM探针启停状态 APM探针启停的状态。

通过Profiler分析代码性能 Profiler性能分析支持如下功能： 开启性能分析Profiler：首次使用Profiler性能分析功能时，需要开启Profiler。 分析代码性能：Profiler性能分析会自动获取应用程序运行过程中CPU和内存和时延的使用情况。通过火焰图实时展示每一个方法、类和线程的调用关系和执行效率，帮助您优化代码性能。 对代码性能差异：通过火焰图实时展示两个实例或同一个实例不同时间段的方法、类和线程的调用关系和执行效率的差异，帮助您对比代码性能差异。 查看代码性能快照：支持快照列表查询功能。快照列表以分钟为时间维度，获取应用程序的调试信息，如CPU核数、内存分配速率、实例名称以及主机名称。 查看建议：支持查看建议。Profiler根据用户的性能数据，识别出超过CPU使用率阈值的方法，然后给出合理的建议。

通过Debugging诊断代码 Debugging诊断代码支持如下功能： 线程分析支持显示该应用的所有线程和查看线程的堆栈信息。通过Debugging诊断线程，帮助用户快速定位耗时较高的线程。 方法分析支持检查正在运行的方法的耗时明细、调用来源以及方法源码。通过Debugging诊断方法，帮助用户快速定位问题的根本原因，以及问题线下无法复现或日志缺失等场景。 对象分析用于分析某个对象内部状态，并支持查看对象参数值和详细信息。

使用限制 为了应用运行稳定，强烈建议您按照要求升级JDK版本，在低版本的JDK上使用Debugging诊断功能，存在应用崩溃的风险。 Debugging诊断仅针对白名单用户开放。 表1 JDK版本说明 JDK类型 版本 OpenJDK OpenJDK 8u352+ OpenJDK 17.0.5+ Oracle JDK Oracle JDK 17.0.9+ 表2 Agent版本说明 Agent版本 说明 2.4.10-profiler Agent版本2.4.10-profiler及以后版本，支持Debugging诊断。 表3 使用限制以及说明 序号 使用限制及说明 1 Debugging诊断需要环境中含有jdk8或者jdk17，如果仅有JRE则无法使用。 2 Debugging诊断仅支持JAVA语言。

监控指标数据采集最大行数配置 当数据库的监控指标数据的数量，超过默认或者配置的数值时，页面会显示“Mysql数据库 采集数量超过上限 xxx，如需修改请 配置”的告警。 图2 Mysql数据库采集最大行数配置 单击告警中的“配置”，修改监控数据指标采集最大行数。 单击“确定”，配置完成。 监控指标数据的数量，超过默认或者配置的数值时，页面才会显示“Mysql数据库 采集数量超过上限 xxx，如需修改请 配置”的告警。 如果监控指标数据的数量，未超过默认或者配置的数值时，不支持配置监控数据指标采集最大行数。 监控数据指标采集最大行数，默认值为500，配置输入值的范围：10~2000。 监控数据指标采集超过该设置值后，监控项立即停止采集。为了防止内存占用过大，设置完成5分钟后生效。 了解“数据库”的更多内容，请参见数据库。

镜像类型 镜像分为公共镜像、私有镜像、共享镜像、市场镜像。公共镜像为系统默认提供的镜像，私有镜像为用户自己创建的镜像，共享镜像为其他用户共享的私有镜像。 图1以动图的形式展示了各类型镜像间的关系。 图1 镜像类型 镜像类型 说明 公共镜像 常见的标准操作系统镜像，所有用户可见，包括操作系统以及预装的公共应用。公共镜像具有高度稳定性，皆为正版授权，请放心使用，您也可以根据实际需求自助配置应用环境或相关软件。 官方公共镜像支持的操作系统类型包括：Huawei Cloud EulerOS、Windows，CentOS，Debian，openSUSE，Fedora，Ubuntu，EulerOS，CoreOS。 说明： Windows操作系统为市场镜像，该服务由第三方提供。为方便用户选用，在公共镜像中提供入口。 更多关于公共镜像的介绍，请参见“公共镜像概述”。 私有镜像 包含操作系统或业务数据、预装的公共应用以及用户的私有应用的镜像，仅用户个人可见。 私有镜像包括系统盘镜像、数据盘镜像、ISO 镜像和整机镜像，其中： 系统盘镜像：包含用户运行业务所需的操作系统、应用软件的镜像。系统盘镜像可以用于创建云服务器，迁移用户业务到云。 数据盘镜像：只包含用户业务数据的镜像。数据盘镜像可以用于创建云硬盘，将用户的业务数据迁移到云上。 ISO 镜像：将外部镜像的ISO文件注册到云平台的私有镜像。ISO镜像是特殊的镜像，只能发放用作临时过渡的云服务器。 整机镜像：也叫全镜像，包含用户运行业务所需的操作系统、应用软件和业务数据的镜像。整机镜像基于差量备份制作，相比同样磁盘容量的系统盘镜像和数据盘镜像，创建效率更高。 共享镜像 由其他用户共享而来的私有镜像。 更多关于共享镜像的使用，请参见“共享镜像”。 市场镜像 提供预装操作系统、应用环境和各类软件的优质第三方镜像。无需配置，可一键部署，满足建站、应用开发、可视化管理等个性化需求。 市场镜像通常由具有丰富云服务器维护和配置经验的服务商提供，并且经过华为云云商店和服务商的严格测试和审核，可保证镜像的安全性。

访问方式 公有云提供了Web化的服务管理平台（即管理控制台）和基于HTTPS请求的API（Application programming interface）管理方式。 API方式 如果用户需要将 镜像服务 集成到第三方系统，用于二次开发，请使用API方式访问镜像服务。具体操作请参见《镜像服务API参考》。 管理控制台方式 其他相关操作，请使用管理控制台方式访问镜像服务。如果用户已在云平台注册，可直接登录管理控制台，从主页选择“镜像服务”。 如果未注册，请参见“ 注册华为账号 并开通华为云”。

背景信息 2020年12月08日，CentOS官方宣布了停止维护CentOS Linux的计划，并推出了CentOS Stream项目。更多信息，请参见CentOS官方公告。 CentOS 8系统2021年12月31日已停止维护服务，CentOS 7系统将于2024年06月30日停止维护服务。CentOS官方不再提供CentOS 9及后续版本，不再支持新的软件和补丁更新。CentOS用户现有业务随时面临宕机和安全风险，并无法确保及时恢复。

影响 基于CentOS官方的变更计划，对CentOS操作系统的使用者产生的影响如下所述： 2021年12月31日以后，CentOS 8的使用者将无法获得包括问题修复和功能更新在内的任何软件维护和支持。 2024年06月30日以后，CentOS 7的使用者将无法获得包括问题修复和功能更新在内的任何软件维护和支持。 对于华为云的公共镜像及服务支持存在一定影响： 华为云暂不会下线CentOS 8公共镜像，同时已经使用CentOS 8创建的ECS实例运行不会受到影响，但将停止更新镜像。 华为云对于CentOS操作系统的服务支持将和CentOS官方日期保持同步。2021年12月31日以后将不再对CentOS 8提供服务支持；对CentOS 7的服务支持将持续至2024年6月30日。

应对策略 为了保障使用CentOS系统的业务正常运行，华为云为您提供替换CentOS操作系统的应对策略。替换CentOS操作系统的方式分为两类，切换操作系统和迁移操作系统。 将CentOS操作系统切换为支持切换的操作系统。 如果现有的ECS配置（网卡、磁盘、VPN等配置的类型和数量）都不需要改变，仅需要修改ECS的操作系统镜像，并且您的软件和原操作系统耦合度较低，建议使用系统切换。 切换到Huawei Cloud EulerOS具体操作，详见将操作系统切换为HCE OS。 切换到CentOS Stream或Rocky Linux具体操作详见切换操作系统。 将CentOS操作系统迁移为Huawei Cloud EulerOS操作系统。 如果现有的ECS配置（网卡、磁盘、VPN等配置的类型和数量）都不需要改变，希望保留操作系统软件的配置参数，可以通过操作系统迁移的方式迁移到Huawei Cloud EulerOS。 系统迁移详见将操作系统迁移为HCE。 系统切换和迁移的区别如下表，请根据需要选择合适的替换方式。 表1 系统切换和迁移的区别 区别 系统切换 系统迁移 数据备份 切换操作系统会清除系统盘数据，包括系统盘上的系统分区和所有其它分区。 切换操作系统不影响数据盘数据。 迁移操作系统不会清除系统盘数据，为避免系统软件的数据丢失，建议将其备份。 迁移操作系统不影响数据盘数据。 个性化设置 切换操作系统后，当前操作系统内的个性化设置（如DNS、主机名等）将被重置，需重新配置。 迁移操作系统后，当前操作系统内的个性化设置（如DNS、主机名等）不需重新配置。 表2 支持切换的操作系统 操作系统 概述 适用人群 Huawei Cloud EulerOS Huawei Cloud EulerOS(简称HCE)是基于openEuler构建的云上操作系统，中文名为华为云欧拉操作系统。 HCE打造云原生、高性能、高安全、易迁移等能力，加速用户业务上云，提升用户的应用创新空间，可替代CentOS、EulerOS等公共镜像。 适用于希望使用免费镜像，并延续开源社区镜像使用习惯的个人或企业。 CentOS Stream CentOS Stream是一个滚动升级的版本，由CentOS官方提供。 适用于希望延续CentOS使用习惯，并希望获得滚动升级的个人或企业。 Rocky Linux Rocky Linux是一个社区化的企业级操作系统，位于Red Hat Enterprise Linux（RHEL）下游。Rocky Linux与CentOS一样，提供了适用于服务器的稳定版本，旨在作为CentOS完全兼容的替代版本。 适用于希望使用免费镜像，并延续开源社区镜像使用习惯的个人或企业。 AlmaLinux AlmaLinux是CloudLinux团队宣布构建的一个稳定版CentOS社区分支。该操作系统实现了与Red Hat Enterprise Linux（RHEL）二进制文件的1:1兼容，并提供了不停机更换操作系统的能力。 适用于希望使用免费镜像，并延续开源社区镜像使用习惯的个人或企业。 Debian、Ubuntu操作系统 Linux的其他发行版操作系统，不同操作系统在使用习惯和应用兼容性上存在一定差异。 适用于可以自行应对操作系统切换成本的个人或企业。

步骤三：连接实例生产消费消息 进入ECS的“root”目录下，下载RabbitMQ-Tutorial.zip示例工程代码。 wget https://dms-demo.obs.cn-north-1.myhuaweicloud.com/RabbitMQ-Tutorial.zip “/root”为示例工程代码存放路径，请根据实际情况修改。 解压RabbitMQ-Tutorial.zip压缩包。 unzip RabbitMQ-Tutorial.zip 进入RabbitMQ-Tutorial目录，该目录下包含预编译好的jar文件。 cd RabbitMQ-Tutorial 运行生产消息示例。 java -cp .:rabbitmq-tutorial.jar Send ${host} ${port} ${user} ${password} 参数说明如下： host：从创建实例中获取的连接地址。 port：RabbitMQ实例的连接端口，输入5672。 user：创建实例时，设置的用户名。 password：创建实例时，设置的密码。 生产消息示例如下： [root@ecs-test RabbitMQ-Tutorial]# java -cp .:rabbitmq-tutorial.jar Send 192.168.xx.40 5672 test Zxxxxxxs [x] Sent 'Hello World!' [root@ecs-test RabbitMQ-Tutorial]# java -cp .:rabbitmq-tutorial.jar Send 192.168.xx.40 5672 test Zxxxxxxs [x] Sent 'Hello World!' 运行消费消息示例。 java -cp .:rabbitmq-tutorial.jar Recv ${host} ${port} ${user} ${password} 参数说明如下： host：从创建实例中获取的连接地址。 port：RabbitMQ实例的连接端口，输入5672。 user：创建实例时，设置的用户名。 password：创建实例时，设置的密码。 消费消息示例如下： [root@ecs-test RabbitMQ-Tutorial]# java -cp .:rabbitmq-tutorial.jar Recv 192.168.xx.40 5672 test Zxxxxxxs [*] Waiting for messages. To exit press CTRL+C [x] Received 'Hello World!' [x] Received 'Hello World!' 如需停止消费使用Ctrl+C命令退出。

配置实例参数 进入API网关控制台页面。 在左侧导航栏选择“实例管理”。 在待配置参数的实例上，单击“查看控制台”或实例名称。 单击“配置参数”页签，找到您需要调整的配置项，根据下表参数说明，进行修改。不同的实例规格展示的配置参数会存在不同，具体以界面为准。 表1 实例配置参数说明 参数 说明 ratelimit_api_limits API全局默认流控值，默认值为200次/秒，可修改范围为1次/秒~1000000次/秒。API未绑定流控策略时，执行此默认流控；API绑定流控策略时，则执行绑定的流控策略。流控策略的API流量限制值不能超过API全局默认流控值。 request_body_size API请求中允许携带的Body大小上限，默认值为12MB，可修改范围为1MB~9536MB。 支持通过POST方法上传文件，目前仅支持对请求体透传。 backend_timeout 后端响应超时时间上限，默认值为60000ms，可修改范围为1ms~600000ms。 app_token app_token认证方式开关，默认关闭。启用后，可在API请求中使用获取的access_token进行API的调用认证。 app_token_expire_time：access_token的有效时间，在access_token到期前，请及时获取新的access_token并更新，避免影响正常使用。 refresh_token_expire_time：refresh_token的有效时间。refresh_token用于获取新的access_token。 app_token_uri：获取access_token的uri。 app_token_key：access_token的加密key。 app_api_key app_api_key认证方式开关，默认关闭。启用后，可在API请求中添加“apikey”参数，携带凭据的Key进行API的调用认证。 app_basic app_basic认证方式开关，默认关闭。启用后，在API请求中添加Header参数“Authorization”，参数值为"Basic"+base64(appkey:appsecret)，其中appkey和appsecret分别为凭据的Key和Secret。 app_secret app_secret认证方式开关，默认关闭。启用后，可在API请求中添加“X-HW-ID”和“X-HW-AppKey”参数，携带凭据的Key和Secret进行API的调用认证。 app_route 支持IP访问开关，默认关闭。启用后，非DEFAULT分组下的APP认证的API可以使用IP地址调用。 backend_client_certificate 后端双向认证开关，默认关闭。启用后，创建API配置后端服务时，可配置后端双向认证。 ssl_ciphers 支持配置HTTPS加密套件，默认所有的加密套件全部支持。当您绑定独立域名后，可根据需要选择支持的加密套件。 real_ip_from_xff 是否使用X-Forwarded-For头中的IP作为ACL、流控的判断依据，默认不使用。 xff_index：X-Forwarded-For头中IP的排序序号，值允许为正数、负数、0。 xff_index值为0或正数时，获取X-Forwarded-For头中对应索引的IP。 xff_index值为负数时，按倒序方式从X-Forwarded-For头中获取IP。 例如到达API网关的X-Forwarded-For头中依次有IP1，IP2，IP3三个IP地址，xff_index取0时获取IP1，xff_index取1时获取IP2，xff_index取-1时获取IP3，xff_index取-2时获取IP2。 vpc_name_modifiable 负载通道名称是否可修改，默认可修改。 须知： 负载通道名称可修改时，当前实例的负载通道无法通过项目级负载通道管理接口操作。 app_jwt_enable app_jwt认证方式开关，默认关闭。启用后，可在API请求中添加如下参数，携带凭据的Key和Secret以及时间戳进行API的调用认证。 在API请求中添加Header参数“Timestamp”，参数值为当前时间的Unix时间戳，单位为毫秒。 在API请求中添加Header参数“Authorization”，这一参数可以通过修改“app_jwt_auth_header”项进行配置，默认值为“Authorization”，参数值为sha256(appkey+appsecret+timestamp)，且sha256加密后的字符串需为小写字母。其中appkey和appsecret分别为凭据的Key和Secret，timestamp为当前时间的Unix时间戳，单位为毫秒。 在API请求中添加Header参数“X-HW-ID”，参数值为凭据的Key。 public_key_enable public_key类型签名密钥开关，默认关闭。启用后，可在签名密钥认证中使用public_key类型签名。 public_key_uri_prefix：获取public_key对应secret的uri前缀。具体uri格式为：https://{虚拟私有云访问地址}{public_key_uri_prefix}{public_key签名密钥名称}。 custom_auth_header 认证头域自定义配置开关，默认关闭。启用后，参数“app_auth_header”和“backend_sign_header”的初始值为空，与不启用效果一致。 如果配置“app_auth_header”的“参数运行值”，那么对于APP认证的API，请求header中携带APP认证信息的参数为此处“app_auth_header”的值；如果配置“backend_sign_header”的“参数运行值”，那么对于绑定HMAC或者Basic Auth类型签名密钥策略的API，API网关到后端服务的请求header中携带签名信息的参数为此处“backend_sign_header”的值。 须知： 配置后会影响当前实例下所有APP认证或签名密钥策略（HMAC/Basic Auth类型），请谨慎配置。 gzip 对响应请求使用gzip压缩，用于减少公网流量。默认未配置gzip压缩，配置后1分钟生效，请谨慎修改。 启用后，可配置comp_level参数，comp_level表示压缩级别，值越大表示性能消耗越大，一般默认为6。 须知： 响应请求体大于1KB时，您可以使用gzip压缩文件（即1KB以下的文件不做压缩）。 gzip压缩支持的文件类型有text/xml、text/plain、text/css、application/javascript、application/x-javascript、application/rss+xml、text/javascript、image/tiff、image/svg+xml、application/json、application/xml 启用gzip压缩后，须在请求中添加请求头“Accept-Encoding: gzip”。 gzip配置完成后，如需修改，至少需要1分钟后。 custom_log 自定义日志功能开关，默认关闭。开启自定义日志功能后，实例下所有API的调用日志中会在指定位置打印指定参数的值。 启用后，需单击“编辑”，添加需在调用日志中打印的参数。 须知： 自定义日志只支持打印由客户端发起的请求信息，不支持打印在APIG中定义的常量参数和系统参数。 自定义日志最多可配置10个字段，且字段大小总和不得超过2KB。 参数值中的部分特殊字符会进行编码，例如：加号（+）会被编码为空格“ ”，双引号（"）会被编码为“\x22”，反斜杠（\）会被编码为“\x5C”。 sse_strategy SSE传输策略开关，默认关闭。启用后，支持通过使用Server-Sent Events（SSE）按照流式输出API的响应内容，可以实现逐字符渲染。 须知： sse_strategy配置完成后，如需修改，至少需要1分钟后。 vpc_name_modifiable 负载通道名称支持修改开关。开启后可修改负载通道名称，但当前实例的负载通道无法通过项目级VPC通道管理API接口操作。 vpc_health_status 负载通道后端实例健康状态显示开关，默认关闭。开关开启且负载通道的健康检查开启时，将在负载通道详情页面展示后端实例的健康状态。 request_custom_config 支持自定义配置客户端请求相关参数。 HTTP/2：HTTP/2协议的开关，默认为开启状态。更多详情请参考什么是API网关。 request_body_timeout：客户端请求体超时时间的修改，默认为8s。网络状况差或请求体过大的情况下可适当调整该参数。 须知： 客户端请求自定义配置修改完成后，如需修改，至少需要1分钟后。 api_uri_no_escape API的URL中的Path转义处理开关。默认关闭，表示URL中的Path会进行转义处理。 开启“api_uri_no_escape”开关后，使用Path不转义的功能请参见表2。 表2 Path不转义影响的功能 功能 描述 API前端定义的Path 请求发送时使用的Path api_uri_no_escape开关关闭 api_uri_no_escape开关开启 API定义 APIG进行匹配路由的Path /{path} /aa%2Faa /aa/aa /aa%2Faa 参数编排 后端服务参数使用的Path - - /aa/aa /aa%2Faa http到https重定向 重定向使用的Path - - /aa/aa /aa%2Faa 策略后端 策略条件为请求入参的Path - - /aa/aa /aa%2Faa 第三方认证策略 API绑定第三方认证策略后，传递到第三方的Path - - /aa/aa /aa%2Faa kafka日志推送策略 API绑定kafka日志推送策略后，使用的请求Path - - /aa/aa /aa%2Faa 负载通道 使用URI哈希分发算法的负载通道时，APIG用来转发的Path - - /aa/aa /aa%2Faa FunctionGraph后端 API的后端类型为FunctionGraph时，发送到函数请求Path - - /aa/aa /aa%2Faa 自定义认证 API认证方式选择自定义认证时，发送到函数请求Path - - /aa/aa /aa%2Faa 表3 APIG支持的加密套件 加密套件名称 安全性 ECDHE-ECDSA-AES256-GCM-SHA384 高 ECDHE-RSA-AES256-GCM-SHA384 高 ECDHE-ECDSA-AES128-GCM-SHA256 高 ECDHE-RSA-AES128-GCM-SHA256 高 ECDHE-ECDSA-AES256-SHA384 低（即将下线） ECDHE-RSA-AES256-SHA384 低（即将下线） ECDHE-ECDSA-AES128-SHA256 低（即将下线） ECDHE-RSA-AES128-SHA256 低 低（即将下线）

注意事项 API网关中API分组和API的配额满足需求。 如果使用Swagger info或OpenAPI info的title作为API分组名称，新创建的API分组名称不能与已有的API分组名称重名。 导入的API定义中，如果存在冲突，那么根据系统导入的先后顺序，先导入的API会显示导入成功，后导入的API会显示导入失败。例如导入的API定义中存在2个名称相同或请求路径相同的API，那么先导入的API会显示导入成功，后导入的会显示导入失败。 导入的API定义与已有的API定义冲突时，您可以选择使用导入的API定义覆盖已有的API定义，或者保留已有的API定义，此时导入的API定义会显示导入失败。 如果选择扩展覆盖，当导入API的扩展定义项名称与已有策略（ACL，流量控制等）名称相同时，则会覆盖已有策略（ACL，流量控制等）。 导入的API不会自动发布到环境，导入时可以选择“立即发布”或者“稍后发布”，您可以自行选择策略。 暂不支持导入API的负载通道、SSL证书和凭据。