华为云用户手册

方案简介 在深入分析勒索软件特点和防勒索建设困境后，华为乾坤推出了防勒索解决方案。华为乾坤防勒索解决方案采用云边端一体的创新架构，构建了以资产为核心的纵深防御体系，针对勒索软件攻击链特征，实现对勒索事件的层层防护，全方位保障企业网络安全。 图1 华为乾坤防勒索解决方案架构图 如图1所示，华为乾坤防勒索解决方案由部署在云端的服务、部署在客户网络边界的天关/防火墙和部署在电脑、服务器等企业终端上的华为乾坤EDR Agent（后文简称为EDR Agent）软件组成。同时它根据用户诉求提供可选的安全托管服务和保险理赔服务。各个组件的功能介绍如表1所示。 表1 组件功能介绍 部署位置↵ 组件名称↵ 功能介绍↵ 云端 边界防护与响应服务 使用天关/防火墙为租户的本地网络提供边界防护，并基于天关/防火墙提供的日志进行智能分析和处置，持续保护企业内网安全。云端通过集成告警自动确认、威胁分析等检测模型，智能识别租户本地网络的潜在威胁并完成自动化处置，从而帮助租户简化本地运维，提升安全防护实效。 终端防护与响应服务 针对企业本地终端进行风险检测和处置，防止终端感染和威胁在内网传播。支持文件本地备份恢复，在恶意进程修改用户文件前将文件备份至本地存储区，在文件被加密后由云端下发文件恢复指令至终端，一键恢复被加密文件。 漏洞扫描服务 （可选） 从风险预防角度出发，检测企业资产安全状况，高效精准地识别潜在漏洞，为客户提供专业的修复建议，帮助客户降低资产安全风险。 边界 天关/防火墙↵ 作为安全防御节点，既对进出流量进行反病毒、IPS等深度安全检测，为租户本地网络提供边界防护，同时向边界防护与响应服务提供日志，并执行边其下发的防护策略。 终端 EDR Agent 主要负责收集并向终端防护与响应服务上报终端上的租户登录、进程运行/创建、目录/文件访问日志、DNS请求信息，执行预置的主动防御策略和云端下发的防御策略与文件恢复指令。 / 安全托管服务（可选） 与区域安全合作伙伴一起为客户提供7*24小时的安全托管服务。 保险理赔服务（可选） 为用户提供勒索赎金兜底服务，具体参考太平洋财险公司提供的华太安理赔产品。 父主题： 方案概述

快速配置 设备上线后，您还需要在云端或设备中进行相关配置，才能正常使用华为华为乾坤防勒索解决方案。可以参考如下文档完成快速配置。 表1 快速配置参考文档 子服务 手册名称 参照内容 文档获取 边界防护与响应服务 部署指南 配置设备安全域 配置全局白名单 黑白名单授权 订阅告警与报告 查看威胁事件 部署指南 终端防护与响应服务 部署指南 服务授权 样本获取授权 安装EDR Agent 查看终端资产 部署指南 漏洞扫描 服务（可选） 部署指南 配置VPN接口 录入资产 授权服务扫描 创建漏洞扫描任务 查看扫描结果 部署指南 父主题： 部署指南

关键特性 表1 关键特性 特性类型 特性名称 简介 边界防护与响应服务 本地网络边界防护 天关/防火墙部署在租户网络边界，通过入侵防御、反病毒、DNS过滤等技术守护本地安全，可以执行以下防护动作： 对流量进行入侵防御检测，全方位防御各种威胁行为。 对流量进行反病毒处理，有效避免病毒文件引起的数据破坏、权限更改和系统崩溃等情况的发生。 对流量进行DNS过滤，全面控制域名访问。 租户数据安全处理 数据授权：在用户授权前提下，本地天关/防火墙仅提供用户授权范围内的数据。 加密传输：本地天关/防火墙采用HTTPS或TLS协议将日志提供到云服务平台。 加密保存：使用华为公司密钥管理中心（KMC）加密组件对数据进行加密，加密后存储在云端。 处理原则：仅供云服务平台运营专家进行威胁分析和溯源。 信息隔离：每个客户都有自己的服务账号，基于账号接收分析报表和短信，不同客户间信息隔离。 自动化分析 云端基于分析模型对威胁事件进行分析判定，并根据判定结果执行不同的处置。租户可依靠云端的自动化分析能力和安全专家简化本地运维，提升防护实效。 自动化分析以后，可以有如下几种处置方式： 事件命中误报模型，则此事件状态变更为误报。 事件命中告警自动确认模型、威胁分析等模型，则自动化分析将请求安全响应执行相应的处置。 在自动化分析的基础上，安全专家进一步分析处置事件。 安全响应 提供安全事件的响应闭环能力，主要包括下发黑名单、发送告警两种安全响应动作，租户可利用云端的安全响应能力有效提高安全事件的闭环效率。 针对以下场景提供下发黑名单、发送告警两种安全响应动作： 自动化分析判定后可以自动处置的事件，自动化分析将请求安全响应下发黑名单或发送告警。 自动化分析判定后需要安全专家处置的事件，安全专家分析后可通过Portal页面的事件管理菜单人工下发黑名单或发送告警。 租户在租户门户中下发黑名单。 云端专家精准分析 云端专家整合安全能力，快速准确识别复杂威胁： 现网对抗经验固化到云端，不断增强云端安全能力。 最新漏洞分析、云端智能签名生产，快速应对新型威胁。 专家针对发现的每一条安全告警进行统一分析，运用云端各种安全能力，解决最新“疑难杂症”。 终端防护与响应服务 终端识别与管理 终端自动识别：提供自动化终端资产清点能力，安装EDR Agent后，该终端即被自动识别。 资产信息管理：自动化统一管理主机列表、进程、端口、组件等终端资产信息。 终端安全管理：智能分析终端安全，呈现终端资产安全分析评分和风险总览。 威胁检测 与处置 入侵检测：基于行为检测引擎，提供终端行为检测能力，检测暴力破解、异常登录、权限提升等恶意行为。 事件聚合：将离散的勒索类告警事件，基于进程调用链聚合成相应的勒索事件，且支持对其一键处置。 病毒查杀与处置 病毒查杀：基于华为第三代反病毒引擎，每日更新病毒特征库，实时更新紧急病毒，提供高质量病毒文件检测能力。 威胁分析：支持对检出的病毒文件进行威胁分析，展示详细的威胁信息，如病毒标识、风险值、置信度等。 主动防御 诱饵捕获：基于勒索病毒特征放置诱饵文件，实时检测并及时上报异常行为。 文件防篡改：对重点文件进行访问权限控制并实时检测，及时发现篡改行为。 实时防护：实时扫描全盘目录，及时识别病毒文件并阻断其传送行为。 溯源分析 取证分析：采集和存储终端信息，并通过数据挖掘、关联分析等方法，对威胁事件进行取证分析。 攻击可视化：通过EDR（Endpoint Detection and Response，端点侦测与回归）数字化建模、溯源推理算法，实现攻击可视化，精准还原威胁攻击链路。 漏洞扫描服务（可选） 资产发现 基于客户提供的IP网段，主动发现网段内的联网资产。经客户确认后，支持资产一键录入，提高资产梳理效率。 目前仅适用于A类/B类/C类私有IP地址网段和资产IP白名单范围内的资产发现。 漏洞扫描 漏洞扫描支持系统扫描、应用扫描等多种扫描类型，并为扫描出的漏洞提供修复建议。同时支持漏洞扫描报告下载。 漏洞管理 以漏洞视角呈现每个漏洞的详细信息和关联资产。 详细信息包括漏洞名称、漏洞编号、漏洞优先级评级VPR和修复建议等。 漏洞优先级评级VPR（Vulnerability Priority Rating）用来表示漏洞修复优先级，是漏洞扫描服务基于漏洞利用代码成熟度、漏洞公布时长、产品的覆盖率、CVSS评分等多维度数据，通过机器学习算法计算的漏洞风险评分。分数越高，说明越需要优先修复。 关联资产能够帮助客户快速定位到风险资产，使漏洞修复更有针对性。 边界漏洞免疫（自动消减处置措施） 一般情况下，漏洞是通过在资产上安装补丁进行修复。当客户的实际环境无法满足安装补丁的条件，又希望降低被攻击风险时，可以利用天关/防火墙的入侵防御（IPS）能力，设置漏洞关联的IPS签名动作为“阻断”，通过在边界拦截异常流量，缓解漏洞被利用的风险。漏洞关联的IPS签名ID会被查询出来，显示在漏洞详情的界面中。 天关/防火墙侧的IPS签名动作一般有“告警”和“阻断”两种。 如果签名动作为“阻断”，则表示天关/防火墙会阻断异常流量。漏洞被利用的风险低。 如果签名动作为“告警”，则表示天关/防火墙只产生告警，不会阻断异常流量。漏洞可能会被利用，建议您联系华为乾坤运营人员（如：提交“工单”），重新设置签名动作。 父主题： 方案概述

新增访问密钥 登录华为云，在右上角单击“控制台”。 在“控制台”页面，鼠标移动至右上方的用户名，在下拉列表中选择“我的凭证”。 在“我的凭证”页面，单击“访问密钥”。 单击“新增访问密钥”，输入密钥访问信息。 每个用户最多可创建2个访问密钥，不支持增加配额。如果您已拥有2个访问密钥，将无法创建访问密钥。 如需修改访问密钥，请删除访问密钥后重新创建。 单击“确定”，创建成功后请立即下载访问密钥，并妥善保管。 您可以在访问密钥列表中查看访问密钥ID（AK），在下载的.csv文件中查看秘密访问密钥（SK）。 请及时下载保存，弹窗关闭后将无法再次获取该密钥信息，但您可重新创建新的密钥。 当您下载访问密钥后，可以在浏览器页面左下角打开格式为.csv的访问密钥文件，或在浏览器“下载内容”中打开。 为了账号安全性，建议您妥善保管并定期修改访问密钥，修改访问密钥的方法为删除旧访问密钥，然后重新生成。

MYSQL审计日志结构化模板日志详情 MYSQL审计日志示例 表5 结构化模板示例 模板名称 示例日志 MYSQL审计日志 {"logType":"audit_log","instanceId":"e2a8db82a9d74982a6021c6758d57e00in01","nodeId":"633a1f5a3db9445586f297f9c026b91bno01","record_id":"2","connection_id":"112","connection_status":"0","name":"Query","timestamp":"2023-01-06T06:35:46 UTC","command_class":"show_tables","sqltext":"show tables","user":"root[root] @ [10.58.239.247]","host":"","external_user":"","ip":"10.58.239.247","default_db":""} 结构化字段及字段说明 表6 结构化字段 字段 示例 描述 类型 logType audit_log 日志类型 string instanceId e2a8db82a9d74982a6021c6758d57e00in01 实例Id string nodeId 633a1f5a3db9445586f297f9c026b91bno01 节点Id string record_id 2 审计日志单条记录的记录ID，记录审计日志的每条SQL的唯一global id string connection_id 112 该条记录执行的会话ID，与show processlist中的ID一致 string connection_status 0 会话状态，常见为执行语句的错误返回码，普通执行成功返回0 string name Query 记录类型名称，通常情况下dml，ddl操作均为QUERY， 连接断开为CONNECT和QUIT string timestamp 2023-01-06T06:35:46 UTC 记录的UTC时间 string command_class show_tables 执行的SQL命令类型，内部为解析得到的SQL类型，例如select，update（连接断开不存在该项） string sqltext show tables 执行的SQL具体内容（连接断开审计不存在该项） string user root[root] @ [10.58.239.247] 登录的账户 string host - 登录的host，当本地登录时为localhost，远程登录为空 string external_user - 代理用户名称 string ip 10.58.239.247 通过远程连接的客户端IP，本地连接为空 string default_db - 执行SQL时默认的数据库 string

MYSQL慢日志结构化模板日志详情 MYSQL慢日志示例 表1 结构化模板示例 模板名称 示例日志 MYSQL慢日志 {"start_time": "2022-07-27T02:49:19.000","user": "commerce","host": "100.*.*.222","query_time": "1.461583","lock_time": "0.000050","rows_sent": "500","rows_examined": "581000","command_text": "SELECT DN_N.record_id \"a.id\",DN_N.name \"a.name\",DN_N.valueN \"a.ExternalCode\",DN_N.valueN \"a.DeviceName\",DN_N.valueN \"a.DeviceDef\",DN_N.created_date \"a.createdDate\",DN_N.last_modified_date \"a.lastModifiedDate\",DN_N.valueN \"a.DeviceProduct\",DN_N.valueN \"a.Channel\",DN_N.valueN \"a.Status\",CN_N.valueN \"a.Remark\",DN_N.valueN \"a.NodeId\",DN_N.valueN \"a.ConnectStatus\",CAST(DN_N.valueN AS CHAR(N)) \"a.GatewayId\",CAST(DN_N.valueN AS CHAR(N)) \"a.HMI\",DN_N.valueN \"a.SerialNo\",CAST(DN_N.valueN AS DECIMAL(N,N)) \"a.TelemetryPeriod\",DN_N.valueN \"a.ConnectStatusChgTime\",DN_N.valueN \"a.DeviceNumber\",CAST(DN_N.valueN AS CHAR(N)) \"a.ControllerType\",CAST(DN_N.valueN AS CHAR(N)) \"a.ProjectId\",DN_N.valueN \"a.RegisterStatus\",DN_N.created_date ORD_FN FROM dataN DN_N,clobs CN_N WHERE (DN_N.tenant_id= N AND DN_N.obj_id= N AND DN_N.tenant_id= CN_N.tenant_id AND DN_N.obj_id= CN_N.obj_id AND DN_N.record_id= CN_N.record_id) AND ((DN_N.valueN = N)) ORDER BY DN_N.created_date DESC limit N,N;","database": "saas_perf","log_type": "slow_log","log_time": "1658890159","operate_type": "SELECT","node_id":"5d6c61bbd49b4ad3a1572461811e3dacno01","instance_id":"207032924c644f429b74f6fc5d8c97f9in01"} 结构化字段及字段说明 表2 结构化字段 字段 示例 描述 类型 start_time 2022-07-27T02:49:19.000 语句开始执行时间 string user commerce 用户 string host 100.*.*.222 主机 string query_time 1.461583 语句执行时间，以秒为单位 string lock_time 0.000050 获取锁的时间，以秒为单位 string rows_sent 500 发送到客户端的行数 string rows_examined 581000 服务器层检查的行数 string command_text SELECT DN_N.record_id \"a.id\",DN_N.name \"a.name\",DN_N.valueN \"a.ExternalCode\",DN_N.valueN \"a.DeviceName\",DN_N.valueN \"a.DeviceDef\",DN_N.created_date \"a.createdDate\",DN_N.last_modified_date \"a.lastModifiedDate\",DN_N.valueN \"a.DeviceProduct\",DN_N.valueN \"a.Channel\",DN_N.valueN \"a.Status\",CN_N.valueN \"a.Remark\",DN_N.valueN \"a.NodeId\",DN_N.valueN \"a.ConnectStatus\",CAST(DN_N.valueN AS CHAR(N)) \"a.GatewayId\",CAST(DN_N.valueN AS CHAR(N)) \"a.HMI\",DN_N.valueN \"a.SerialNo\",CAST(DN_N.valueN AS DECIMAL(N,N)) \"a.TelemetryPeriod\",DN_N.valueN \"a.ConnectStatusChgTime\",DN_N.valueN \"a.DeviceNumber\",CAST(DN_N.valueN AS CHAR(N)) \"a.ControllerType\",CAST(DN_N.valueN AS CHAR(N)) \"a.ProjectId\",DN_N.valueN \"a.RegisterStatus\",DN_N.created_date ORD_FN FROM dataN DN_N,clobs CN_N WHERE (DN_N.tenant_id= N AND DN_N.obj_id= N AND DN_N.tenant_id= CN_N.tenant_id AND DN_N.obj_id= CN_N.obj_id AND DN_N.record_id= CN_N.record_id) AND ((DN_N.valueN = N)) ORDER BY DN_N.created_date DESC limit N,N; sql语句 string database saas_perf 数据库 string log_type slow_log 日志类型 string log_time 1658890159 语句执行结束时间 string operate_type SELECT 语句类型 string node_id 5d6c61bbd49b4ad3a1572461811e3dacno01 节点ID string instance_id 207032924c644f429b74f6fc5d8c97f9in01 实例ID string

MYSQL错误日志结构化模板日志详情 MYSQL错误日志示例 表3 结构化模板示例 模板名称 示例日志 MYSQL错误日志 {"log_type": "error_log","severity": "WARNING","log_time": "2022-08-22T06:52:08Z","raw_message": "Occur error when reading bytes from a network handler. Client actively closes the connection.","node_id":"5d6c61bbd49b4ad3a1572461811e3dacno01","instance_id":"207032924c644f429b74f6fc5d8c97f9in01"} 结构化字段及字段说明 表4 结构化字段 字段 示例 描述 类型 log_type error_log 日志类型 string severity WARNING 事件优先级, 包含system, error, warning, note/information级别事件 string log_time 2022-08-22T06:52:08Z 发生时间 string raw_message Occur error when reading bytes from a network handler. Client actively closes the connection. 事件消息 string node_id 5d6c61bbd49b4ad3a1572461811e3dacno01 节点ID string instance_id 207032924c644f429b74f6fc5d8c97f9in01 实例ID string

初学入门 使用流模板创建流：MSSI服务提供场景化编排预设的公共流模板，用户通过使用系统预置公共流模板创建流，指导用户熟悉MSSI服务流编排能力。 MSSI服务除了系统预置的流模板，用户也可以将自己创建的流发布为流模板，具体请参考《用户指南》的发布为模板和上架流模板章节。 使用公共连接器创建流：MSSI服务提供预置的公共连接器，用户通过使用系统预置的连接器创建流，指导用户熟悉MSSI服务流编排能力。

调用transformers 出现ImportError: Using the `Trainer` with `PyTorch` requires `accelerate`: Run `pip install --upgrade accelerate` 图1 报错信息 解决方法：升级accelerate库 ，执行“pip install accelerate --upgrade”。 父主题： 常见问题

训练运行报错 AttributeError: 'torch_npu._C._NPUDeviceProperties' object has no attribute 'multi_processor_count' 图1 报错信息 这是因为torch_npu当前不支持DataParallel(DP) 并行模式。如果是运行单卡模式，在训练脚本中加入 export ASCEND_RT_VISIBLE_DEVI CES =0 （指定 0 号卡对当前进程可见）。多卡环境模式需要运行DDP 并行模式。 父主题： 常见问题

操作场景 您可以通过虚拟IP和弹性公网IP实现以下场景： 比如将虚拟IP绑定至多个主备部署的弹性云服务器上，并为该虚拟IP绑定一个弹性公网IP地址，可以实现通过互联网访问该主备部署集群的场景，提升业务容灾能力。 虚拟IP仅提供IP地址访问能力，如果您要实现集群的主备切换或者负载均衡等自动容灾能力，必须要搭配Keepalived等相关配置才可以实现，具体可参见搭建Keepalived Nginx高可用Web集群。

连接以太网线 图1 USG6525E连接以太网线 表1 接口使用说明 接口丝印 接口编号 说明 6 GE0/0/6 业务下行口，为三层口，连接局域网交换机，此处以GE0/0/6为例。 7 GE0/0/7 业务上行口，为三层口，连接互联网，此处以GE0/0/7为例。 MGMT MEth0/0/0 设备管理网口，连接管理PC，用于登录设备的配置界面进行业务配置。默认IP地址为192.168.0.1。 更多其他部署场景，比如防火墙双机部署，请参见《典型配置案例》。

数据规划 项目 数据 说明 租户内网资产IP地址 区域1地址：192.168.55.0-192.168.55.255 区域2地址：172.16.1.0-172.16.1.255、1.1.1.1-1.1.1.5 请向租户获取，此处为示例。 交换机 GigabitEthernet0/0/2 观察端口。 GigabitEthernet0/0/1 镜像端口。 GigabitEthernet0/0/3：192.168.56.20/24 与天关上漏扫和 云日志 审计业务接口直连的三层端口，IP地址请向租户获取，此处为示例。 天关 GE0/0/1 流量检测端口。 GE0/0/3：172.16.10.10/24 云端管理接口，IP地址请向租户获取，此处为示例。 GE0/0/2：192.168.56.10/24 漏洞扫描和云日志审计接口，IP地址请向租户获取，此处为示例。 父主题： 企业边界天关旁路镜像流状态检测（USG6502E-C天关、USG6503E-C天关、USG6603F-C天关）

USG67xxF USG67xxF的介绍以USG6710F为例，其他机型与USG6710F存在少许差异，具体请参见《HiSecEngine USG6000F系列 硬件指南》。 图4 USG6710F外观和辅料 表7 USG6710F业务口说明 接口名称 描述 100GE/40GE光接口（0～1） 接口编号为100GE0/0/0～100GE0/0/1。 100GE/40GE接口默认工作在100Gbit/s速率模式，在插入40GE光模块时兼容40Gbit/s速率。 25GE/10GE光接口（0～7） 25GE/10GE光接口和100GE/40GE光接口为复用接口，4个25GE/10GE接口与1个100GE/40GE接口对应(25GE/10GE的0～3口，4～7口分别对应100GE/40GE的0口，1口)。 25GE/10GE接口默认工作在10Gbit/s速率模式，接口编号为10GE0/0/0～10GE0/0/7。 40GE光接口（2～3） 接口编号为40GE0/0/2～40GE0/0/3。 10GE光接口（8～15） 接口编号为10GE0/0/8～10GE0/0/15。 10GE/GE光接口（16～27） 接口编号为10GE0/0/16～10GE0/0/27。 MGMT接口 设备管理网口，接口编号为MEth0/0/0，默认IP地址为192.168.0.1。 表8 USG6710F指示灯说明 指示灯丝印 指示灯名称 指示灯颜色 指示灯状态 状态描述 PWR 电源指示灯 绿色 常亮 电源工作正常。 - 常灭 电源故障或设备未上电。 SYS SYS指示灯 绿色 常亮 系统处于上电加载或复位启动状态。 绿色 每2秒闪1次（0.5Hz） 系统处于正常运行状态。 绿色 每秒闪4次（4Hz） 系统处于启动中。 红色 常亮 系统故障。 电源异常告警。 风扇异常告警。 说明： 系统以双电源状态启动时，如果其中一个电源未上电，则SYS指示灯状态为红色常亮，但系统会正常运行。 - 常灭 系统未运行。

USG66xxF USG66xxF的介绍以USG6615F为例，其他机型与USG6615F存在少许差异，具体请参见《HiSecEngine USG6000F系列 硬件指南》。 图3 USG6615F外观和辅料 表5 USG6615F业务口说明 接口名称 描述 光电互斥接口（Combo接口，0～7） 电接口与其对应的光接口是光电复用关系，两者不能同时工作（例如：当激活光接口时，对应的电接口就自动处于禁用状态）。 电接口和光接口共用一个接口视图，其接口编号为GE0/0/0～GE0/0/7。 缺省情况下，Combo接口工作在电接口状态。可根据组网需求，通过命令combo enable fiber选择使用光接口，或通过命令undo combo enable fiber选择使用电接口。 GE电接口（8～11） 接口编号为GE0/0/8～GE0/0/11。 GE光接口（12～15） 接口编号为GE0/0/12～GE0/0/15。 10GE光接口（0～5） 接口编号为10GE0/0/0～10GE0/0/5。 MGMT接口 设备管理网口，接口编号为MEth0/0/0，默认IP地址为192.168.0.1。 表6 USG6615F指示灯说明 指示灯丝印 指示灯名称 指示灯颜色 指示灯状态 状态描述 PWR 电源指示灯 绿色 常亮 电源工作正常。 - 常灭 电源故障或设备未上电。 SYS SYS指示灯 绿色 常亮 系统处于上电加载或复位启动状态。 绿色 每2秒闪1次（0.5Hz） 系统处于正常运行状态。 绿色 每秒闪4次（4Hz） 系统处于启动中。 红色 常亮 系统故障。 电源异常告警。 风扇异常告警。 说明： 系统以双电源状态启动时，如果其中一个电源未上电，则SYS指示灯状态为红色常亮，但系统会正常运行。 - 常灭 系统未运行。

USG6000F-Exx USG6000F-Exx的介绍以USG6000F-E01为例，其他机型与USG6000F-E01存在少许差异，具体请参见《HiSecEngine USG6000F系列 硬件指南》。 图5 USG6000F-E01外观和辅料 表9 USG6000F-E01业务口说明 接口名称 描述 GE电接口（0～15） 接口编号为GE0/0/0～GE0/0/15。 GE光接口（16～27） 接口编号为GE0/0/16～GE0/0/27。 10GE光接口（0～3） 接口编号为10GE0/0/0～10GE0/0/3。 MGMT接口 设备管理网口，接口编号为MEth0/0/0，默认IP地址为192.168.0.1。 表10 USG6000F-E01指示灯说明 指示灯丝印 指示灯名称 指示灯颜色 指示灯状态 状态描述 PWR 电源指示灯 绿色 常亮 电源工作正常。 - 常灭 电源故障或设备未上电。 SYS SYS指示灯 绿色 常亮 系统处于上电加载或复位启动状态。 绿色 每2秒闪1次（0.5Hz） 系统处于正常运行状态。 绿色 每秒闪4次（4Hz） 系统处于启动中。 红色 常亮 系统故障。 电源异常告警。 风扇异常告警。 说明： 系统以双电源状态启动时，如果其中一个电源未上电，则SYS指示灯状态为红色常亮，但系统会正常运行。 - 常灭 系统未运行。

USG65xxF USG65xxF的介绍以USG6555F为例，其他机型与USG6555F存在少许差异，具体请参见《HiSecEngine USG6000F系列 硬件指南》。 图2 USG6555F外观和辅料 表3 USG6525F业务口说明 接口名称 描述 光电互斥接口（Combo接口，0～7） 电接口与其对应的光接口是光电复用关系，两者不能同时工作（例如：当激活光接口时，对应的电接口就自动处于禁用状态）。 电接口和光接口共用一个接口视图，其接口编号为GE0/0/0～GE0/0/7。 缺省情况下，Combo接口工作在电接口状态。可根据组网需求，通过命令combo enable fiber选择使用光接口，或通过命令undo combo enable fiber选择使用电接口。 GE电接口（8～9） 接口编号为GE0/0/8～GE0/0/9。 10GE光接口（0～1） 接口编号为10GE0/0/0～10GE0/0/1。 MGMT接口 设备管理网口，接口编号为MEth0/0/0，默认IP地址为192.168.0.1。 表4 USG6525F指示灯说明 指示灯丝印 指示灯名称 指示灯颜色 指示灯状态 状态描述 PWR 电源指示灯 绿色 常亮 电源工作正常。 - 常灭 电源故障或设备未上电。 SYS SYS指示灯 绿色 常亮 系统处于上电加载或复位启动状态。 绿色 每2秒闪1次（0.5Hz） 系统处于正常运行状态。 绿色 每秒闪4次（4Hz） 系统处于启动中。 红色 常亮 系统故障。 电源异常告警。 风扇异常告警。 说明： 系统以双电源状态启动时，如果其中一个电源未上电，则SYS指示灯状态为红色常亮，但系统会正常运行。 - 常灭 系统未运行。

USG63xxF USG63xxF的介绍以USG6303F为例，其他机型与USG6303F存在少许差异，具体请参见《eKitEngine USG6000F系列 硬件指南》。 图1 USG6303F外观和辅料 表1 USG6303F业务接口说明 接口名称 描述 光电互斥接口（Combo接口，0～7） 电接口与其对应的光接口是光电复用关系，两者不能同时工作（例如：当激活光接口时，对应的电接口就自动处于禁用状态）。 电接口和光接口共用一个接口视图，其接口编号为GE0/0/0～GE0/0/7。 缺省情况下，Combo接口工作在电接口状态。可根据组网需求通过命令combo enable fiber切换为光接口，undo combo enable fiber切换为电接口。 GE电接口（8～9） 接口编号为GE0/0/8～GE0/0/9。 10GE光接口（0～1） 接口编号为10GE0/0/0～10GE0/0/1。 MGMT接口 设备管理网口，接口编号为MEth0/0/0，默认IP地址为192.168.0.1。 表2 USG6303F指示灯说明 指示灯丝印 指示灯名称 指示灯颜色 指示灯状态 状态描述 PWR 电源指示灯 绿色 常亮 电源工作正常。 - 常灭 电源故障或设备未上电。 SYS SYS指示灯 绿色 常亮 系统处于上电加载或复位启动状态。 绿色 每2秒闪1次（0.5Hz） 系统处于正常运行状态。 绿色 每秒闪4次（4Hz） 系统处于启动中。 红色 常亮 系统故障。 电源异常告警。 风扇异常告警。 说明： 系统以双电源状态启动时，如果其中一个电源未上电，则SYS指示灯状态为红色常亮，但系统会正常运行。 - 常灭 系统未运行。

配置思路 登录华为乾坤控制台，根据租户内网资产IP地址配置全局白名单，提升安全状态检测的准确性。 配置交换机： 配置Switch的GigabitEthernet0/0/2为观察端口，该端口直连天关，Switch将通过镜像将流量上送到天关进行检测。 配置Switch的GigabitEthernet0/0/1为镜像端口，开启端口镜像功能。 配置Switch的GigabitEthernet0/0/3为三层端口，与天关上漏洞扫描和云日志审计接口直连。 配置天关： 配置云端管理接口，用于天关与云端对接，包括设备向云端注册、向云端提供日志、接收云端下发配置等。 配置检测接口GE0/0/1为旁路检测模式，该二层接口与Switch的观察端口直连。 配置边界防护与响应服务的业务参数。 将GE0/0/1和对应VLAN都加入trust安全域，并配置旁路检测所需要的安全策略。 对于USG6603F-C，仅需要配置安全域，不需要配置安全策略。 配置漏洞扫描和云日志审计接口GE0/0/2为三层接口，并加入trust安全域，已购买漏洞扫描服务或云日志审计服务时需要配置。 分别配置漏洞扫描服务和云日志审计服务的业务参数，已购买漏洞扫描服务或云日志审计服务时需要配置。

适用产品和版本 设备 版本 备注 USG6502E-C、USG6503E-C 边界防护与响应服务、漏洞扫描服务：V600R007C20SPC300及其后续版本 云日志审计服务：V600R007C20SPC500及其后续版本 - USG6603F-C 边界防护与响应服务：V600R021C00SPC100（必须安装V600R021SPH002补丁）及其后续版本 漏洞扫描服务：V600R022C10及其后续版本 云日志审计服务：V600R023C00及后续版本 -

Written Offer This product contains software whose rights holders license it on the terms of the GNU General Public License, version 2 (GPLv2) and/or other open source software licenses. We will provide you and any third party with the source code of the software licensed under an open source software license if you send us a written request by mail or email to the following addresses: foss@huawei.com detailing the name of the product and the firmware version for which you need the source code and indicating how we can contact you. Please note you need to make a payment before you obtain the complete Corresponding Source Code from us. For how much you will pay and how we will deliver the complete Corresponding Source Code to you, we will further discuss it by mail or email. This offer is valid to anyone in receipt of this information. THIS OFFER IS VALID FOR THREE YEARS FROM THE MOMENT WE DISTRIBUTED THE PRODUCT OR FIRMWARE. 父主题： 用户指南

数据库实例 数据库实例类型选择 主备 一主一备的经典高可用架构。适用于大中型企业的生产数据库，覆盖互联网、物联网、零售电商、物流、游戏等行业应用。 备机提高了实例的可靠性，创建主机的过程中，同步创建备机，备机创建成功后，用户不可见。 当主节点故障后，会发生主备切换，数据库客户端会发生短暂中断，数据库客户端需要支持重新连接。 单机 采用单个数据库节点部署架构，与主流的主备实例相比，它只包含一个节点，但具有高性价比。 适用于个人学习、微型网站以及中小企业的开发测试环境。 单机版出现故障后，无法保障及时恢复。 只读 只读实例分为单机版只读实例和高可用只读实例。 单机版只读实例： 推荐开启数据库代理功能，并购买单机版只读实例。当单个只读故障后，数据库代理可以将流量分担到其它只读节点。 高可用只读实例： 当只读实例所在物理机故障后，备用只读实例自动顶替。 购买只读实例时，注意表库名的大小写敏感要与主实例保持一致。 推荐用法： 主实例下包含2个及以下只读实例时，高可用只读作用比较好。 2个以上只读实例，建议开启数据库代理，获得更好的性价比。 当只读实例与主数据库之间复制异常后，单机版和高可用版只读都需要较长时间重建和恢复（取决于数据量）。 只读实例创建完成后，可通过time_zone参数修改时区。要求只读实例的时区和主实例一致，否则会导致数据同步异常。 实例性能规格选择 独享型 完全独享的CPU和内存，性能长期稳定，不会因为物理机上其它实例的行为而受到影响，适用于对性能稳定性要求较高的应用场景。 通用型 与同一物理机上的其他通用型规格实例共享CPU资源，通过资源复用换取CPU使用率最大化，性价比较高，适用于对性能稳定性要求较低的应用场景。 惠选型 完全独享的CPU和内存，性能长期稳定，不会因为物理机上其它实例的行为而受到影响，适用于对性能稳定性要求较高的应用场景，与独享型相比在价格方面有一定优惠。

备份恢复 业务高峰时执行备份可能会备份失败，建议手动备份选择在业务低峰期间，自动备份建议根据业务需要自定义备份时间段（默认自动备份时间段为01:00-02:00 (GMT+08:00)）。 实例写入业务较多时，建议备份策略设置成每天做一次自动备份。 建议根据业务需要设置备份保留天数（默认保留7天）。 建议根据业务需要设置Binlog本地保留时长（默认为0，表示Binlog备份完成后本地日志会被删除）。 使用表级时间点恢复功能时，建议提前确认所选时间点之前是否有对无主键大表的删除操作，如果有该操作，恢复完成时间不易评估。 创建实例前建议根据需要选择存储类型，本地盘SSD实例不支持备份恢复到已有实例和当前实例。 删除实例后，自动备份的全量备份和Binlog备份也会删除，对数据有需要时，建议删除前进行手动全量备份。 建议自定义回收站策略，防止误删实例无法恢复。

升级kubelet证书 ##在kube-controller-manager配置文件中，在command内添加最后两行，配置更新证书期限为10年，并开启证书自动轮转 vim /etc/kubernetes/manifests/kube-controller-manager.yaml - command: - kube-controller-manager - --experimental-cluster-signing-duration=87600h0m0s - --feature-gates=RotateKubeletServerCertificate=TRUE 重启kubelet服务 systemctl restart kubelet 父主题： 更新证书有效期10年

脚本 ##k8s集群使用ip_VS模式，能大大提高性能，减少iptables规则数量 --- - name: start ipvs module hosts: k8s tasks: - name: shell : modprobe -- ip_vs && modprobe -- ip_vs_rr && modprobe -- ip_vs_wrr && modprobe -- ip_vs_sh && modprobe -- nf_conntrack_ipv4 父主题： 开启ip_vs模块

在node节点上执行 kubeadm join k8s.talkedu.com:6443 --token abcdef.0123456789abcdef \ --discovery-token-ca-cert-hash sha256:1df03bef705ad54fa693121e644d372d37d6b7e79a45058a999bc2d2ff590776 ##此命令仅24小时内有效，过期需重新打印加入集群指令，执行命令为： kubeadm token create --print-join-command 父主题： 将其余master节点和node节点加入集群

在master节点上执行 kubeadm join k8s.talkedu.com:6443 --token abcdef.0123456789abcdef \ --discovery-token-ca-cert-hash sha256:1df03bef705ad54fa693121e644d372d37d6b7e79a45058a999bc2d2ff590776 \ --control-plane --certificate-key 8bbe0725b691eff7ea4e92b4ef70a797ce3224a84e8ad8c02c42e70b32de3df0 ##此命令仅24小时内有效，过期需重新打印加入集群指令,执行命令为： kubeadm token create --print-join-command 父主题： 将其余master节点和node节点加入集群

脚本 ##优化内核参数，文件k8s.conf、limits.conf在部署文件夹内 --- - name: config sysctl hosts: k8s tasks: - name: copy sysctl kernel argus copy: src=/etc/ansible/k8s.conf dest=/etc/sysctl.d/ - name: shell : sysctl --system - name: config limit copy: src=/etc/ansible/limits.conf dest=/etc/security/limits.conf 父主题： 优化服务器内核参数

脚本 --- - name: insatll docker-ce package ##配置镜像源为内网镜像仓库 hosts: k8s tasks: - name: scp install packages unarchive: src="/data/src/dockerkuber_yum.tar.gz dest=/data/" - name: install shell: yum -y install /data/dockerkuber_yum/* 父主题： 安装必要软件

修改配置文件，开启ssl认证 cat harbar.yaml hostname: harbor.talkedu.com http: port: 8080 https: port: 443 certificate: /data/harbor/ssl/harbor.talkedu.com.cert private_key: /data/harbor/ssl/harbor.talkedu.com.key harbor_admin_password: Talkedu@123 database: password: Talkedu@123 max_idle_conns: 100 max_open_conns: 900 data_volume: /data/harbor trivy: ignore_unfixed: false skip_update: false insecure: false jobservice: max_job_workers: 10 notification: webhook_job_max_retry: 10 chart: absolute_url: disabled log: level: info local: rotate_count: 50 rotate_size: 200M location: /var/log/harbor _version: 2.3.0 proxy: http_proxy: https_proxy: no_proxy: components: - core - jobservice - trivy 父主题： 二、 搭建harbor仓库