华为云用户手册

步骤五：配置域间带宽 在购买带宽包后，在云连接实例详情页面配置需要实现互通的域间带宽，以完成不同区域之间的带宽配置，支撑不同区域的VPC内业务的网络互通。 进入创建好的云连接实例详情页面，选择“域间带宽”，单击“配置域间带宽”。 在弹出的对话框中，互通区域分别选择“华东-上海一”以及“中国-香港”，下面会自动匹配出您所购买的可以使用在该互通场景下的带宽包资源，带宽处可以输入您所需要分配在这两个区域之间的带宽，在这里，设置为30M全部分配。 重复上述操作，将购买的中国大陆到南非的2M带宽包，分配给“华东-上海一”与“非洲-约翰内斯堡”之间。 在配置完成后，可以在“域间带宽”页面查看已经分配的域间带宽配置。 通过云连接实例跨区域打通华东，中国香港和南非VPC的操作完成。 系统默认安全组规则是入方向访问受限，请确认区域内互访资源的安全组出方向、入方向规则配置正确，保证跨区域通信正常。

步骤二：创建云连接实例 进入云连接实例列表页面。 单击页面右上方的“创建云连接”。 在弹出的对话框中根据表3填写对应参数。 图2 创建云连接 表3 创建云连接实例参数 参数 说明 取值样例 名称 云连接实例的名称。 长度为1~64个字符，中、英文字母，数字，下划线，中划线，点。 cc-test 企业项目 企业项目是一种云资源管理方式，企业项目管理服务提供统一的云资源按项目管理，以及项目内的资源管理、成员管理。 default 使用场景 虚拟私有云：选择虚拟私有云场景时，网络实例类型支持选择虚拟私有云（VPC）和虚拟网关（VGW）。 虚拟私有云 标签 云连接实例的标识，包括键和值。可以为云连接实例创建20个标签。 说明： 如果已经通过TMS的预定义标签功能预先创建了标签，则可以直接选择对应的标签键和值。 预定义标签的详细内容，请参见预定义标签简介。 - 描述 云连接实例的描述。 长度为0~255个字符。 - 单击“确定”，完成云连接实例的创建。

步骤一：跨境申请 中国大陆区的VPC需要与中国大陆区外的VPC进行通信时，先要进行跨境申请，提交您的基本资料，保障跨境业务的安全性。 如果用户的网络规划中不涉及跨大区的通信时，则无需操作本步骤。 进入带宽包管理列表页面。 在带宽包管理页面，单击“立即申请”。 如果您业务主体的注册地址在中国大陆，请单击此处进入中国联通跨境云服务在线申请页面。 如果您业务主体的注册地址在中国大陆之外，请单击此处进入中国联通跨境云服务在线申请页面。 请根据您实际业务主体的注册地址来选取跨境资质申请地址。 在跨境云服务在线申请页面，选择“申请人类型”，然后根据提示配置相关参数，并上传相关材料。 请根据实际申请页面完成跨境资质申请材料的准备和上传。 表1 跨境云服务在线申请 参数 说明 客户名称 必须与《信息安全承诺书》中的“用户名称”保持一致。 华为云ID 指用户在华为云管理控制台的“账号ID”，从控制台获取账号ID的步骤如下： 登录管理控制台。 鼠标悬停在右上角的用户名，选择下拉列表中的“我的凭证”。 在“API凭证”页面的项目列表中查看并获取账号ID。 客户类型 根据企业类型选择。 经营范围 概括描述主营业务即可。 客户企业规模（人数) 仅做备案参考。 客户所属国家 申请跨境业务的主体所在国家。 客户境内外分公司所在国家 根据企业实际情况填写。 客户统一社会信用代码 - 客户法人 - 法人证件类型 - 法人证件号 - 跨境需求带宽(M) 仅做备案参考。 跨境服务生效时间 仅做备案参考。 跨境服务终止时间 仅做备案参考。 客户联系人 - 客户联系人电话 - 联系人证件类型 - 联系人证件号 - 表2 跨境申请材料 参数 说明 具体申请材料说明 签字 盖章（企业公章） 营业执照 请上传加盖过公章的营业执照照片。 盖章位置请参考相应的模板文件。 营业执照扫描件 - √ 业务协议 请下载《华为云服务跨境专线业务服务协议》后，填写签字盖章后上传扫描件。 请在签字栏处签字。 盖章需覆盖签名。 《华为云服务跨境专线业务服务协议》扫描件 √ √ 信息安全承诺书 下载《信息安全承诺书模板》 后，填写签字盖章后上传扫描件。 请在签字栏处签字。 盖章需覆盖签名。 该材料中需要填写公司名称、带宽值，带宽值可按照初始预估值填写。 《中国联通专线业务信息安全承诺书》扫描件 √ √ 联系人身份证正反面 请上传清晰的加盖公章的联系人身份证正反面。 盖章位置请参考相应的模板文件。 联系人身份证正反面 - √ 联系人授权委托书 下载《联系人授权委托书模板》 后，填写签字盖章后上传扫描件。 盖章位置请参考相应的模板文件。 《跨境业务办理授权书》扫描件 - √ 单击“立即申请”。 提交之后跨境申请的状态为“审核中”，审核需要1个工作日，当状态为“已授权”时，显示跨境申请完成。

步骤四：购买带宽包 云连接默认跨区域互通带宽为10kbps，仅用于测试连通性，需购买带宽包并配置域间带宽以保证业务正常使用。 为了实现网络实例跨区域互通，需要在带宽包管理页面先购买跨区域对应的跨大区带宽包，并绑定到相应的云连接实例，支撑业务测试或部署。 在云连接实例列表中，单击实例名称“cc-test”，进入该云连接实例。 在云连接实例的详情页面，选择“带宽包”页签，单击“购买带宽包”。 在带宽包购买页面，您可以分别自定义该带宽包的“名称”，计费方式，互通类型，互通大区，带宽大小，购买时长，并确定是否开启自动续费，最后选择是否将购买的该带宽包资源直接绑定给某云连接实例。在本最佳实践的互通场景下，需要打通华东区域与中国香港区域以及南非区域之间的内网互通，因此“互通类型”需要选择为“跨大区互通”： 为支持华东区域与中国香港区域之间的互通，需要购买的带宽包的互通大区分别选择“中国大陆”与“亚太”，带宽选择30M。 为支持华东区域与南非区域之间的互通，需要购买的带宽包的互通大区需要分别选择“中国大陆”与“南非”，带宽选择2M。 购买带宽包时，选择绑定已经创建好的云连接实例cc-test，在确定信息选择和输入无误后，单击右下角的“立即购买”。 在订单确认页面再次确认购买带宽包的信息，单击“提交”。 在带宽包列表中可查看带宽包信息，如果“状态”为“正常”，表示购买成功。 购买完成后，您可以在“带宽包管理”页面找到该带宽包资源，并查询到该带宽包资源的计费模式，订单信息，已绑定的云连接信息和已用/剩余带宽，可以针对该带宽包资源进行“修改带宽”、“解绑”、“续费”以及“退订”等操作。

步骤三：加载网络实例 将需要互通的网络实例加载到同一个云连接实例里。 在云连接服务管理控制台界面上，您可以看到已创建好的云连接实例cc-test，单击云连接名称进入该云连接实例基本信息页面，接下来需要加载跨区域互通的网络实例VPC。 选择并进入“网络实例”页面，单击“加载网络实例”。 在“加载网络实例”弹框里，下拉“区域”菜单选择“华东-上海一”，实例类型选择“虚拟私有云（VPC）”，在“VPC”以及“VPC CIDR”的下拉菜单里分别选择要互通的VPC和对应的子网，单击“确定”，完成华东区域的VPC加载。 重复上述操作，在“加载网络实例”弹窗中，选择中国香港区域以及南非区域的虚拟私有云（VPC），并将其加载到云连接实例中。 在加载完成后，这三个区域的4个VPC网络已经基于云连接实例打通了，您可以通过查看“路由信息”页面确认当前基于云连接实例可以互通的各个区域的VPC路由条目。

背景 默认情况下，在不同区域的虚拟私有云（VPC）内资源需要互通，一般可以通过弹性公网IP（EIP）或 虚拟专用网络 （VPN）来实现，但两个服务都基于公网Internet，前者不稳定而且数据未加密，存在泄密风险，后者数据被IPSec加密，安全上有保证，但仍然会因为Internet不稳定而导致通信不稳定，许多跨区域的多虚拟私有云（VPC）互通的业务，都需要安全，稳定，高性能，高可靠的网络，云连接服务能够满足用户这一诉求。用户可以创建云连接实例，然后在该云连接实例中加载需要互通的各区域的VPC，通过购买不同类型的带宽包并配置域间带宽，来实现不同区域之间的VPC互通。

前提条件 已创建好需要跨区域互通的虚拟私有云（VPC）以及子网。 请确保账号中有足够余额以完成云连接实例带宽包的购买。 在本最佳实践的互通场景下，华为云华东区域内的VPC需要分别与中国香港区域的VPC以及南非区域的VPC互通，该场景属于中国大陆跨境场景。因此在进行带宽包购买之前，根据工信部等相关规定，需要先向云连接服务的跨境专线服务提供商——中国联通提供相应的申请材料以申请跨境资质，确保合规跨境。

步骤三：Dify接入 KooSearch 和DeepSeek Dify作为一个开源的大语言模型（LLM）应用开发平台，通过配置KooSearch知识库和调用DeepSeek模型服务的API，来实现功能集成和扩展。 在Dify平台接入KooSearch知识库。 在Dify平台上方选择“知识库”。 单击“连接外部知识库”。 图6 进入连接外部知识库 在连接外部知识库页面配置KooSearch信息。配置说明参见表1。 表1 添加KooSearch 参数名称 参数值 外部知识库名称 自定义知识库名称，例如“koosearch”。 知识库描述 可选，添加KooSearch知识库的相关说明。 外部知识库API 单击加号创建外部知识库API，在弹窗中配置外部知识库API。 “Name”：自定义KooSearch API名称，例如“koosearch_api”。 “API Endpoint”：输入“http://{koosearch_ip}:{koosearch_port}”，koosearch_ip和koosearch_port即步骤二：获取KooSearch获取的KooSearch服务的IP地址和端口号。 “API Key”：自定义Key，由于Dify和KooSearch在同一VPC，内网访问即可，无需API Key鉴权，此处输入任意数字和字母组成的字符串即可。 外部知识库ID 填写KooSearch知识库的ID，即步骤二：获取KooSearch获取的知识库ID。 召回设置 根据业务需要配置。 配置完成后在知识库首页可以查看新接入的KooSearch知识库。 图7 查看KooSearch知识库 单击KooSearch知识库，进入召回测试页面，验证是否可以正常召回文本内容。 如图8所示，回答正确，表示文档召回成功。 图8 召回测试 在Dify平台接入DeepSeek模型服务。 单击Dify平台右上角的头像，选择“设置”中的“模型供应商”。 在模型供应商页面中选择“OpenAI-API-compatible”，单击“添加模型”配置DeepSeek信息。配置说明参见表2。 表2 添加DeepSeek 参数名称 参数值 模型类型 选择“LLM”。 模型名称 填写DeepSeek模型服务的模型名称，即步骤一：获取DeepSeek模型服务获取的模型名称。 API Key 填写DeepSeek模型服务的API Key，即步骤一：获取DeepSeek模型服务获取的API Key。 API endpoint URL 填写DeepSeek模型服务的Open API地址，即步骤一：获取DeepSeek模型服务获取的API地址。 最大token上限 填写“1024”。DeepSeek模型服务只支持1024。 在模型列表可以查看接入的模型。 图9 查看接入的DeepSeek

步骤四：创建智能问答助手 在Dify平台创建聊天助手，并进行调试预览，验证AI应用是否能够正常运行。 在Dify平台上方选择“工作室”。 单击“创建空白应用”，配置应用信息。“选择应用类型”必须选择“聊天助手”，“应用名称”可以自定义，例如chat。 单击“创建”，进入应用编排页面。 在编排页面右侧，确认应用已关联DeepSeek模型服务。 图10 确认模型 在编排页面调试智能问答助手，验证功能。 智能问答助手支持2种调试方式：直接问答和知识增强问答。 直接问答：聊天助手不对接知识库，直接调用DeepSeek模型生成问答。 该方式无需配置“知识库”，智能问答助手会直接使用DeepSeek回答问题，如图11所示。 图11 直接大模型问答 知识增强问答：聊天助手对接KooSearch知识库，并基于知识库内容，结合DeepSeek模型输出精准答案。 该方式需要先在“知识库”添加1接入的KooSearch知识库，再进行问答，智能问答助手就会优先根据知识库的文档进行回答，如图12所示。 图12 结合知识库问答

应用场景 基于开源框架Dify构建，打造具备双重能力的智能对话助手。系统支持用户自由选择直接调用DeepSeek大模型进行开放式问答，或结合企业私有知识库实现精准信息检索与推理应答，适用于智能客服、知识库问答、个性化推荐等多种业务场景。KooSearch内置的OpenSearch向量数据库专注于检索优化，能够高效处理非结构化和结构化数据，而其独享版大模型服务则确保了企业数据的安全隔离和模型性能的稳定输出。DeepSeek模型的强大上下文理解和多轮对话能力进一步提升了系统的智能化水平，为企业提供了一个高效、灵活且安全的智能对话解决方案。

方案架构 图1 方案架构图 用户在KooSearch上传非结构化文档，经过智能文档解析和数据向量化，再存入 CSS 的OpenSearch向量数据库。 用户通过Dify控制台提交查询请求。 检索模块使用KooSearch的Embedding技术解析查询内容。 在本地知识库（即 CS S的OpenSearch向量数据库）中查找文档并重排序。 检索到的文档经过MaaS的DeepSeek模型服务生成专业、可靠的回答。 答案通过Dify控制台返回给用户。 其中，MaaS服务提供计算资源，DeepSeek模型执行复杂查询，是支持性组件。

方案优势 该方案适合需要快速构建企业级知识中枢、同时兼顾通用对话能力的组织，Dify集成KooSearch后具备如下增强优势： 开箱即用的可视化配置界面，显著降低AI应用开发门槛，企业可快速完成从数据接入到智能服务上线的全流程。 企业知识库高精度，KooSearch内置高精度的文本Embedding模型，同时内置智能文档解析、重排、搜索规划服务，提升了检索准确率。 企业知识库高性能，KooSearch采用CSS向量数据库，实现毫秒级语义检索，相同性能精度更好，相同精度性能更高。同时支持Flat、Graph、IVF、IVF_Graph、PQ等多种索引，兼容Elasticsearch生态。 企业知识库安全，KooSearch支持物理多租、租户隔离、全托管服务，独享资源更稳定、性能更高。

步骤一：获取DeepSeek模型服务 在MaaS服务中获取DeepSeek模型服务，并记录API地址、模型名称和API Key，用于接入KooSearch。 登录ModelArts管理控制台，区域选择“西南-贵阳一”。 在左侧导航栏中，选择“ModelArts Studio”进入ModelArts Studio大模型即服务平台。 参考使用ModelArts Studio的DeepSeek-R1模型框架实现对话问答，在MaaS服务中获取DeepSeek模型服务。 在DeepSeek模型服务的调用说明页面，获取并记录“API地址”和“模型名称”，根据页面提示获取并记录API Key。 图2 获取DeepSeek模型服务信息 最多支持创建5个密钥，密钥只会在新建后显示一次，请妥善保存。 当密钥丢失将无法找回，请新建API Key获取新的访问密钥。

步骤二：部署Dify 在服务器上部署Dify容器，本案例以弹性 云服务器ECS 为例介绍操作步骤。Dify的详细安装指导请参见Docker Compose部署。 参考快速购买和使用Linux ECS，购买ECS。 ECS的实例规则要大于或等于2U4G，虚拟私有云要和KooSearch一致，并且必须绑定弹性公网IP。 在ECS实例上ping KooSearch服务的IP地址，验证网络连通性。KooSearch服务的IP地址请参见步骤二：获取KooSearch获取。 如果ECS和KooSearch在同一VPC下却无法ping通，则可以配置KooSearch的安全组规则，把ECS的私有IP地址添加到入方向规则。 参考手工部署Docker，在ECS实例上安装Docker。 克隆Dify的源代码到ECS实例上，并切换至某tag版本分支，以0.15.3版本为例。 git clone https://github.com/langgenius/dify.git && cd dify git checkout -b 1.1.3 1.1.3 进入docker目录，复制生成“.env”文件。 cd docker && cp .env.example .env 执行命令，启动Dify容器。 docker compose up -d 执行命令，确认容器是否启动成功。 docker ps 显示如下信息表示启动成功。 图5 查看Dify容器 通过ECS的弹性公网IP访问部署在ECS上的Dify平台。 在浏览器输入“http://{ECS公网IP}:80”访问Dify的开发平台。首次登录需注册管理员账号，依次填写邮箱、账号、密码。 如果是外网访问Dify平台，则还需要配置ECS的安全组规则，把外网客户端的IP地址添加到入方向规则。

接收状态报告 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 # -*- coding: utf-8 -*- import urllib.parse # 短信平台上报状态报告数据样例(urlencode) #success_body = "sequence=1&total=1&updateTime=2018-10-31T08%3A43%3A41Z&source=2&smsMsgId=2ea20735-f856-4376-afbf-570bd70a46ee_11840135&status=DELIVRD"; failed_body = "sequence=1&total=1&updateTime=2018-10-31T08%3A43%3A41Z&source=2&smsMsgId=2ea20735-f856-4376-afbf-570bd70a46ee_11840135&status=E200027"; ''' 解析状态报告数据 @param data: 短信平台上报的状态报告数据 @return: ''' def onSmsStatusReport(data): keyValues = urllib.parse.parse_qs(data); #解析状态报告数据 ''' Example: 此处已解析status为例,请按需解析所需参数并自行实现相关处理 'smsMsgId': 短信唯一标识 'total': 长短信拆分条数 'sequence': 拆分后短信序号 'source': 状态报告来源 'updateTime': 资源更新时间 'status': 状态码 ''' status = keyValues.get('status'); #状态报告枚举值 # 通过status判断短信是否发送成功 if 'DELIVRD' == str.upper(status[0]): print('Send sms success. smsMsgId: ', keyValues.get('smsMsgId')[0]); else: # 发送失败,打印status和orgCode print('Send sms failed. smsMsgId: ', keyValues.get('smsMsgId')[0]); print('Failed status: ', status[0]); if __name__ == '__main__': # onSmsStatusReport(success_body) onSmsStatusReport(failed_body)

接收上行短信 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 # -*- coding: utf-8 -*- import urllib.parse # 上行短信通知样例(urlencode) updata = "from=%2B86151****6789&to=1069****019&body=********&smsMsgId=9692b5be-c427-4525-8e73-cf4a6ac5b3f7"; ''' 解析上行短信通知数据 @param data: 短信平台推送的上行短信通知数据 @return: ''' def onSmsUpData(data): keyValues = urllib.parse.parse_qs(data); #解析上行短信通知数据 ''' Example: 此处已解析body为例,请按需解析所需参数并自行实现相关处理 'smsMsgId': 上行短信唯一标识 'from': 上行短信发送方的号码 'to': 上行短信接收方的号码 'body': 上行短信发送的内容 ''' body = keyValues.get('body'); #上行短信发送的内容 print('Sms up data. Body: ', body[0]); if __name__ == '__main__': onSmsUpData(updata)

语法格式 1 2 3 4 5 6 7 CREATE TABLE [IF NOT EXISTS] TABLE_NAME USING JDBC OPTIONS ( 'url'='xx', 'driver'='DRIVER_NAME', 'dbtable'='db_name_in_RDS.table_name_in_RDS', 'passwdauth' = 'xxx', 'encryption' = 'true');

示例 访问MySQL 1 2 3 4 5 6 7 CREATE TABLE IF NOT EXISTS dli_to_rds USING JDBC OPTIONS ( 'url'='jdbc:mysql://to-rds-117405104-3eAHxnlz.datasource.com:3306', 'driver'='com.mysql.jdbc.Driver', 'dbtable'='rds_test.test1', 'passwdauth' = 'xxx', 'encryption' = 'true'); 访问PostGre 1 2 3 4 5 6 7 CREATE TABLE IF NOT EXISTS dli_to_rds USING JDBC OPTIONS ( 'url'='jdbc:postgresql://to-rds-1174405119-oLRHAGE7.datasource.com:5432/postgreDB', 'driver'='org.postgresql.Driver', 'dbtable'='pg_schema.test1', 'passwdauth' = 'xxx', 'encryption' = 'true');

参数说明 表1 参数说明 参数 是否必选 参数类型 说明 str1 是 STRING 待搜索的目标字符串。 如果输入为BIGINT、DOUBLE、DECIMAL或DATETIME类型，则会隐式转换为STRING类型后参与运算，其他类型会返回报错。 str2 是 STRING 待匹配的子串。 如果输入为BIGINT、DOUBLE、DECIMAL或DATETIME类型，则会隐式转换为STRING类型后参与运算，其他类型会返回报错。 start_position 否 BIGINT 表示从str1的第几个字符开始搜索，默认起始位置是第一个字符位置1。 不支持指定负数。 nth_appearance 否 BIGINT 表示str2在str1中第nth_appearance次匹配的位置。 如果nth_appearance为其他类型或小于等于0，则返回报错。

常用操作：SQL作业参数设置 根据安装ODBC驱动类型选择配置方法： 使用Cloudera Hive ODBC (v2.5.12)驱动 只需在sql语句的末尾添加注解参数。 -- @set 参数 示例： -- @set dli.sql.current.database=tpch -- @set dli.sql.shuffle.partitions=100 图6 ODBC配置参数示例（Cloudera Hive ODBC） 使用Microsoft Hive ODBC (v2.6.12.1012)驱动 确保kyuubi的/conf/kyuubi-defaults.conf配置打开如下参数开关。 kyuubi.engine.dli.set.conf.transform.to.annotation=true kyuubi.engine.dli.set.conf.sql.suffix=true 在sql语句的末尾添加注解参数。 set 参数 示例： set dli.sql.current.database=tpch set dli.sql.shuffle.partitions=100 图7 ODBC配置参数示例（Microsoft Hive ODBC） 在 DLI 的SQL编辑器的执行效果： 图8 在DLI的SQL编辑器查看配置的参数

general与cybersecurity的差异 检查项类型 检查项名称 检查内容 general cybersecurity 是否默认满足 初始配置 文件系统配置 应当对系统关键目录进行分区挂载 - - 否 确保禁用不需要的文件系统 - - 否 确保无需修改的分区以只读方式挂载 - - 否 确保无需挂载设备的分区以nodev方式挂载 - - 否 确保无可执行文件的分区以noexec方式挂载 - - 否 确保无需SUID和SGID的分区以nosuid方式挂载 - - 否 避免使用USB存储 √ - 是 软件服务配置 禁止安装X Window系统 - - 是 禁止启用debug-shell服务 √ - 是 禁止启用rsync服务 √ - 是 禁止启用avahi服务 √ - 是 禁止启用SNMP服务 √ - 是 禁止启用squid服务 √ - 是 避免启用samba服务 √ - 是 禁止启用FTP服务 √ - 是 禁止启用TFTP服务 √ - 是 禁止启用DNS服务 √ - 是 禁止启用NFS服务 √ - 是 禁止启用rpcbind服务 √ √ 否 禁止启用LDAP服务 √ - 是 禁止启用DHCP服务 √ - 是 禁止安装CUPS服务软件 - - 是 禁止安装NIS服务软件 - - 是 禁止安装telnet软件 - - 是 禁止安装NIS客户端 - - 是 禁止安装LDAP客户端 - - 是 禁止安装调测类工具 - - 是 禁止安装开发编译类工具 - - 是 禁止安装网络嗅探类工具 - - 是 软件升级配置 确保配置GPG公钥 - - 是 确保配置启用gpgcheck - - 是 确保配置软件仓库源 - - 是 文件完整性检查 确保安装AIDE - - 否 应当定期检查文件完整性 - - 否 通用进程加固 确保启用ASLR √ - 是 确保core dump配置正确 √ - 是 应当合理限制用户可打开文件数量 - - 否 确保链接文件保护配置正确 √ - 是 确保dmesg访问权限配置正确 √ - 否 确保内核符号地址受限访问 √ - 是 应当合理限制进程ptrace能力 - - 否 禁止全局加解密策略配置为LEGACY - - 是 系统服务 时间同步服务 应当正确配置ntpd服务 - - 否 应当正确配置chronyd服务 - - 是 定时任务服务 确保cron服务正常运行 √ - 是 确保cron配置权限正确 √ - 否 SSH服务 确保/etc/ssh/sshd_config权限配置正确 √ - 是 确保SSH私钥文件权限配置正确 √ √ 否 确保SSH公钥文件权限配置正确 √ √ 否 确保启用IgnoreRhosts √ - 是 应当合理配置认证黑白名单 - - 否 确保SSH使能PAM认证 √ - 是 禁止SSH root登录 - √ 否 禁止SSH空口令登录 √ - 是 禁止使用HostbasedAuthentication √ - 是 确保配置Warning Banner文件路径 √ - 否 确保正确配置SSH日志级别 √ - 是 应当配置SSH服务侦听IP - - 否 应当正确配置SSH并发未认证连接数 √ - 否 禁止使用X11Forwarding √ - 否 应当配置SSH MaxSessions不超过10 √ - 是 应当正确配置MaxAuthTries √ - 否 禁止使用PermitUserEnvironment √ - 是 应当配置LoginGraceTime不超过60秒 √ - 否 确保配置空闲超时间隔时间 √ - 否 禁止使用AllowTcpForwarding √ - 否 确保SSH KexAlgorithms配置强算法 √ - 是 确保SSH MACs配置强算法 √ - 是 确保SSH Ciphers配置强算法 √ - 是 禁止配置SSH将弃用的选项 √ - 是 网络服务 禁用不使用的网络协议和设备 避免使用不常见网络协议 - - 否 避免使用无线网络 - - 是 内核网络协议栈 禁止系统响应ICMP广播报文 √ - 是 禁止接收ICMP重定向报文 √ - 否 禁止转发ICMP重定向报文 √ - 是 应当忽略所有ICMP请求 - - 否 确保忽略伪造的ICMP报文 √ - 是 确保启用反向地址过滤 √ - 否 禁止IP转发 √ - 是 禁止接收源路由报文 √ - 否 确保启用TCP-SYN cookie保护 √ - 是 应当启用日志记录可疑的网络包 √ - 否 避免启用tcp_timestamps - - 否 确保TIME_WAIT TCP协议等待时间已配置 √ - 是 应当合理配置SYN_RECV状态队列数量 - - 否 禁止使用ARP代理 - - 是 防火墙配置 配置firewalld服务 应当启用firewalld服务 - - 是 确保iptables未启用 - - 是 确保nftables未启用 - - 是 应当配置正确的默认区域 - - 否 应当确保网络接口绑定正确区域 - - 否 避免开启不必要的服务和端口 - - 否 配置iptables服务 应当启用iptables服务 - - 否 确保firewalld未启用 - - 否 确保nftables未启用 - - 是 应当正确配置iptables默认拒绝策略 - - 否 应当正确配置iptables loopback策略 - - 否 应当正确配置iptables INPUT策略 - - 否 应当正确配置iptables OUTPUT策略 - - 否 应当正确配置iptables INPUT、OUTPUT关联策略 - - 否 配置nftables服务 应当启用nftables服务 - - 否 确保iptables未启用 - - 是 确保firewealld未启用 - - 否 应当配置nftables默认拒绝策略 - - 否 应当配置nftables loopback策略 - - 否 应当正确配置nftables input策略 - - 否 应当正确配置nftables output策略 - - 否 应当正确配置nftables input、output关联策略 - - 否 日志审计 auditd 确保auditd审计已启用 √ - 是 应当在启动阶段启用auditd - - 否 应当正确配置audit_backlog_limit - - 否 确保配置单个日志大小限制 - - 是 确保审计日志rotate已启用 - - 否 确保审计日志不被自动删除 - - 是 应当合理配置磁盘空间阈值 - - 是 避免配置审计日志限速阈值过小 - - 是 应当配置sudoers审计规则 - √ 否 应当配置登录审计规则 - - 是 应当配置会话审计规则 - - 是 应当配置时间修改审计规则 - √ 否 应当配置SELinux审计规则 - - 否 应当配置网络环境审计规则 - √ 否 应当配置文件访问控制权限审计规则 - - 否 应当配置文件访问失败审计规则 - - 否 应当配置文件删除审计规则 - - 否 应当配置账号信息修改审计规则 - √ 否 应当配置文件系统挂载审计规则 - - 否 应当配置提权命令审计规则 - - 否 应当配置内核模块变更审计规则 - - 是 应当配置修改sudo日志文件审计规则 - - 否 rsyslog 确保rsyslog服务已启用 √ √ 否 确保系统认证相关事件日志已记录 - - 是 确保cron服务日志已记录 √ - 是 应当正确配置各服务日志记录 - - 是 应当正确配置rsyslog默认文件权限 √ √ 否 确保rsyslog日志rotate已配置 - - 否 应当配置发送日志到远程日志服务器 - - 否 应当仅在指定的日志主机上接收远程rsyslog消息 - - 否 确保rsyslog转储journald日志已配置 - - 否 账号与口令管理 账号管理 禁止无需登录的账号拥有登录能力 - - 否 禁止存在不使用的账号 - - 否 应当正确设置账号有效期 - - 否 禁止存在UID为0的非root账号 - - 是 确保UID唯一 - - 是 确保GID唯一 - - 是 确保账号名唯一 - - 是 确保组名唯一 - - 是 确保/etc/passwd中的组都存在 - - 是 确保账号拥有自己的Home目录 - - 是 确保账号Home目录权限是750或更严格 - - 是 避免账号Home目录下存在.forward文件 - - 是 避免账号Home目录下存在.netrc文件 - - 是 确保用户PATH变量被严格定义 - - 是 口令管理 确保配置口令复杂度 √ √ 否 确保限制重用历史口令次数 √ √ 否 确保口令中不包含账号字符串 - - 是 确保口令使用SHA512算法加密 √ √ 否 确保口令过期时间设置正确 √ √ 否 确保口令过期告警时间设置正确 √ - 是 应当设置口令修改周期设置正确 √ √ 否 确保不活跃口令锁定时间不超过30天 √ - 是 确保Grub已设置口令保护 - - 是 确保单用户模式已设置口令保护 - - 是 身份认证 登录管理 确保登录失败一定次数后锁定账号 √ √ 否 避免root用户本地接入系统 - - 否 确保会话超时时间设置正确 √ √ 否 确保Warning Banner包含合理的信息 确保本地登录Warning Banner包含合理的信息 √ - 否 确保远程登录Warning Banner包含合理的信息 √ - 否 确保motd文件包含合理的信息 √ - 否 确保/etc/issue权限配置正确 √ - 是 确保/etc/issue.net权限配置正确 √ - 是 确保/etc/motd权限配置正确 √ - 是 访问控制 SELinux 应当启用enforce模式 - - 是 应当正确配置SELinux策略 - - 是 避免标签为unconfined_service_t的服务存在 - - 否 确保SETroubleshoot服务未安装 - - 是 确保MCS转换服务未安装 - - 是 特权命令 确保su受限使用 √ √ 否 确保su命令继承用户环境变量不会引入提权 √ √ 否 确保普通用户通过sudo运行特权程序 - - 否 确保配置sudo日志文件 √ - 否 禁止使用SysRq键 - - 否 系统文件权限 确保/etc/passwd权限配置正确 √ - 是 确保/etc/passwd-权限配置正确 √ - 是 确保/etc/shadow权限配置正确 √ - 是 确保/etc/shadow-权限配置正确 √ - 是 确保/etc/group权限配置正确 √ - 是 确保/etc/group-权限配置正确 √ - 是 确保/etc/gshadow权限配置正确 √ - 是 确保/etc/gshadow-权限配置正确 √ - 是 确保全局可写目录已设置sticky位 - - 是 禁止存在无属主或属组的文件或目录 - - 是 禁止存在全局可写的文件 - - 是 禁止存在空链接文件 - - 是 禁止存在隐藏的可执行文件 - - 是 确保删除文件非必要的SUID和SGID位 - - 是 确保umask是027或更严格 √ √ 否 “√”表示执行。 “-”表示不执行。

使用场景 security-tool 工具当前支持2种配置：cybersecurity（等保加固配置）、general（通用加固配置） 若您的业务需要满足国家网络安全等级保护制度要求，建议您选择Huawei Cloud EulerOS 2.0 等保2.0三级版镜像或使用cybersecurity配置进行加固。 若您希望获得符合满足华为公司安全基线《HCE 2.0安全配置基线》的虚拟机镜像，且希望通过华为公司安全工具扫描，建议您使用general配置进行手动加固。

什么是Huawei Cloud EulerOS 2.0等保2.0三级版镜像 Huawei Cloud EulerOS 2.0等保2.0三级版镜像是基于Huawei Cloud EulerOS 2.0官方标准镜像，根据国家信息安全部发布的《GB/T22239-2019信息安全技术网络安全等级保护基本要求》中对操作系统提出的一些等级保护要求推出的镜像。 您使用本镜像可满足以下等保合规要求： 身份鉴别 访问控制 安全审计 入侵防范 恶意代码防范

等保镜像使用场景及优势 若您的业务需要满足国家网络安全等级保护制度要求，您可以选择使用该镜像。 选择Huawei Cloud EulerOS 2.0等保2.0三级版镜像可以帮助客户所建设云平台快速满足国家等保要求，通过等保检测评测，节省时间成本与人力成本。 企业满足等保需求且通过等保评测后，能够直观的向客户展示本企业信息系统的安全性，使得客户能够更加放心的与企业合作。 等保镜像加固要求不等同于《HCE 2.0安全配置基线》，使用华为公司安全工具扫描会存在部分不满足项，若希望满足华为公司安全基线《HCE 2.0安全配置基线》，请参考安全加固工具章节进行加固

影响 基于CentOS官方的变更计划，对CentOS操作系统的使用者产生的影响如下所述： 2021年12月31日以后，CentOS 8的使用者将无法获得包括问题修复和功能更新在内的任何软件维护和支持。 2024年06月30日以后，CentOS 7的使用者将无法获得包括问题修复和功能更新在内的任何软件维护和支持。 对于华为云的公共镜像及服务支持存在一定影响： 华为云暂不会下线CentOS 8公共镜像，同时已经使用CentOS 8创建的ECS实例运行不会受到影响，但将停止更新镜像。 华为云对于CentOS操作系统的服务支持将和CentOS官方日期保持同步。2021年12月31日以后将不再对CentOS 8提供服务支持；对CentOS 7的服务支持将持续至2024年6月30日。

应对策略 为了保障使用CentOS系统的业务正常运行，华为云为您提供替换CentOS操作系统的应对策略。替换CentOS操作系统的方式分为两类，切换操作系统和迁移操作系统。 将CentOS操作系统切换为支持切换的操作系统。 如果现有的ECS配置（网卡、磁盘、VPN等配置的类型和数量）都不需要改变，仅需要修改ECS的操作系统镜像，并且您的软件和原操作系统耦合度较低，建议使用系统切换。 切换到Huawei Cloud EulerOS具体操作，详见将操作系统切换为HCE。 切换到CentOS Stream或Rocky Linux具体操作详见切换操作系统。 将CentOS操作系统迁移为Huawei Cloud EulerOS操作系统。 如果现有的ECS配置（网卡、磁盘、VPN等配置的类型和数量）都不需要改变，希望保留操作系统软件的配置参数，可以通过操作系统迁移的方式迁移到Huawei Cloud EulerOS。 系统迁移详见将操作系统迁移为HCE。 系统切换和迁移的区别如下表，请根据需要选择合适的替换方式。 表1 系统切换和迁移的区别 区别 系统切换 系统迁移 数据备份 切换操作系统会清除系统盘数据，包括系统盘上的系统分区和所有其它分区。 切换操作系统不影响数据盘数据。 迁移操作系统不会清除系统盘数据，为避免系统软件的数据丢失，建议将其备份。 迁移操作系统不影响数据盘数据。 个性化设置 切换操作系统后，当前操作系统内的个性化设置（如DNS、主机名等）将被重置，需重新配置。 迁移操作系统后，当前操作系统内的个性化设置（如DNS、主机名等）不需重新配置。 表2 支持切换的操作系统 操作系统 概述 适用人群 Huawei Cloud EulerOS HCE打造云原生、高性能、高安全、易迁移等能力，加速用户业务上云，提升用户的应用创新空间，可替代CentOS、EulerOS等公共镜像。 适用于希望使用免费镜像，并延续开源社区镜像使用习惯的个人或企业。 CentOS Stream CentOS Stream是一个滚动升级的版本，由CentOS官方提供。 适用于希望延续CentOS使用习惯，并希望获得滚动升级的个人或企业。 Rocky Linux Rocky Linux是一个社区化的企业级操作系统，位于Red Hat Enterprise Linux（RHEL）下游。Rocky Linux与CentOS一样，提供了适用于服务器的稳定版本，旨在作为CentOS完全兼容的替代版本。 适用于希望使用免费镜像，并延续开源社区镜像使用习惯的个人或企业。 AlmaLinux AlmaLinux是CloudLinux团队宣布构建的一个稳定版CentOS社区分支。该操作系统实现了与Red Hat Enterprise Linux（RHEL）二进制文件的1:1兼容，并提供了不停机更换操作系统的能力。 适用于希望使用免费镜像，并延续开源社区镜像使用习惯的个人或企业。 Debian、Ubuntu操作系统 Linux的其他发行版操作系统，不同操作系统在使用习惯和应用兼容性上存在一定差异。 适用于可以自行应对操作系统切换成本的个人或企业。

背景信息 2020年12月08日，CentOS官方宣布了停止维护CentOS Linux的计划，并推出了CentOS Stream项目。更多信息，请参见CentOS官方公告。 CentOS 8系统2021年12月31日已停止维护服务，CentOS 7系统将于2024年06月30日停止维护服务。CentOS官方不再提供CentOS 9及后续版本，不再支持新的软件和补丁更新。CentOS用户现有业务随时面临宕机和安全风险，并无法确保及时恢复。

kernel参数 以下是所属文件在/proc/sys/kernel目录下的参数： 扫描任务 自动NUMA平衡会扫描任务的地址空间并取消页面映射，以检测页面放置是否正确，或者数据是否应迁移到靠近任务运行的内存节点。每次“扫描延迟”，任务会扫描其地址空间中的下一个“扫描大小”数量的页面。当达到地址空间的末尾时，扫描器会从头开始。 “扫描延迟”和“扫描大小”共同决定了扫描速率。当“扫描延迟”减少时，扫描速率增加。因此“扫描延迟”和每个任务的扫描速率是自适应的，取决于历史行为。如果页面放置正确，则扫描延迟增加；否则，扫描延迟减少。“扫描大小”不是自适应的，但“扫描大小”越大，扫描速率越高。 更高的扫描速率会带来更高的系统开销，因为必须捕获页面错误，并迁移数据。然而，扫描速率越高，任务的内存迁移到本地节点的速度越快，如果工作负载模式发生变化，可以最小化由于远程内存访问带来的性能影响。这些 sysctl 控制扫描延迟和扫描页面数量的阈值。

debug参数 以下是所属文件在/proc/sys/debug目录下的参数： 系统异常通知 当Linux内核发生Oops时，会先后进入到die流程及panic流程中，此时会调用其他模块注册到die通知链及panic通知链的回调函数，当回调函数中存在使得内核发生Oops的异常时，内核会再次进入Oops流程， 而后在Oops流程中再次调用该回调函数时，又产生Oops，这样便形成了嵌套的Oops，无法走出Oops流程，系统挂死。 为了增强系统可定位性，提高可靠性，引入系统异常通知链特性，在用户注册的 panic/die通知链中出现嵌套Oops异常时，打印错误日志并执行crash流程复位系统。

响应参数 状态码： 401 表4 响应Body参数 参数 参数类型 描述 error_code String 错误码 error_msg String 错误描述 状态码： 403 表5 响应Body参数 参数 参数类型 描述 error_code String 错误码 error_msg String 错误描述 状态码： 404 表6 响应Body参数 参数 参数类型 描述 error_code String 错误码 error_msg String 错误描述 状态码： 500 表7 响应Body参数 参数 参数类型 描述 error_code String 错误码 error_msg String 错误描述