华为云用户手册

问题现象 创建训练作业如何读取“json”和“npy”文件。 训练作业如何使用cv2库读取文件。 如何在MXNet环境下使用torch包。 训练作业读取文件，出现如下报错： NotFoundError (see above for traceback): Unsucessful TensorSliceReader constructor: Failed to find any matching files for xxx://xxx

处理方法 读取文件报错，您可以使用Moxing将数据复制至容器中，再直接访问容器中的数据。请参见步骤1。 您也可以根据不同的文件类型，进行读取。请参见读取“json”文件、读取“npy”文件、使用cv2库读取文件和在MXNet环境下使用torch包。 读取文件报错，您可以使用Moxing将数据复制至容器中，再直接访问容器中的数据。具体方式如下： import moxing as moxmox.file.make_dirs('/cache/data_url')mox.file.copy_parallel('obs://bucket-name/data_url', '/cache/data_url') 读取“json”文件，请您在代码中尝试如下方法： json.loads(mox.file.read(json_path, binary=True)) 使用“numpy.load”读取“npy”文件，请您在代码中尝试如下方法： 使用MoXing API读取OBS中的文件 np.load(mox.file.read(_SAMPLE_PATHS['rgb'], binary=True)) 使用MoXing的file模块对OBS文件进行读写 with mox.file.File(_SAMPLE_PATHS['rgb'], 'rb') as f:np.load(f) 使用cv2库读取文件，请您尝试如下方法： cv2.imdecode(np.fromstring(mox.file.read(img_path), np.uint8), 1) 在MXNet环境下使用torch包，请您尝试如下方法先进行导包： import osos.sysytem('pip install torch')import torch

问题现象 训练启动的日志出现如下相关错误： time="2023-05-27T07:07:08Z" level=error msg="detect failed, error: dsmi-checker detect failed, error: fork/exec /home/ma-user/modelarts/bin/detect/ascend_check: no such file or directory" file="ascend_check.go:56" Command=bootstrap/run Component=ma-training-toolkit Platform=ModelArts-Servicetime="2023-05-27T07:07:13Z" level=error msg="[detect] ascend-check error, exiting..." file="run_train.go:94" Command=bootstrap/run Component=ma-training-toolkit Platform=ModelArts-Service

问题现象 ModelArts SDK在OBS下载文件时，目标路径设置为文件名，在本地IDE运行不报错，部署为在线服务时报错。 代码如下： session.obs.download_file（obs_path, local_path） 报错信息如下： 2022-07-06 16:22:36 CS T [ThreadPoolEx] - /home/work/predict/model/customize_service.py[line:184] - WARNING: 4 try: IsADirectoryError(21, 'Is a directory'). update products failed!

原因分析 出现该问题的可能原因如下： 程序运行过程中，产生了core文件，core文件占满了"/"根目录空间。 本地数据、文件保存将"/cache"目录3.5T空间用完了。 云上训练磁盘空间一般指如下两个目录的磁盘空间： “/”根目录，是docker中配置项“base size”，默认是10G，云上统一改为50G。 “/cache”目录满了，一般是3.5T存储空间满了，具体规格的空间大小可参见训练环境中不同规格资源“/cache”目录的大小。

处理方法 执行命令：lsmod | grep nvidia，查看内核中是否残留旧版nvidia，显示如下： nvidia_uvm 634880 8nvidia_drm 53248 0nvidia_modeset 790528 1 nvidia_drmnvidia 12312576 86 nvidia_modeset,nvidia_uvm 卸载nvidia相关模块 sudo rmmod nvidia_drmsudo rmmod nvidia_modesetsudo rmmod nvidia_uvm 最后卸载nvidia sudo rmmod nvidia 如果遇到“rmmod: ERROR: Module nvidia is in use”，执行以下命令： sudo lsof /dev/nvidia* 并再次验证： lsmod | grep nvidia 再次执行“nvidia-smi”，显示成功，且是最新安装的NVIDIA驱动。

原因分析及处理办法 日志打印如下内容，表示自定义镜像的CPU架构与资源池节点的CPU架构不一致。 standard_init_linux.go:215: exec user process caused "exec format error"libcontainer: container start initialization failed: standard_init_linux.go:215: exec user process caused "exec format error" 常见场景为使用自定义镜像创建作业时选择的资源类型和规格错误。例如，自定义镜像是ARM CPU架构，应选用NPU规格的资源，却使用X86 CPU/X86 GPU规格的资源。

处理步骤 查询训练作业的日志和监控信息，是否存在明确的OOM报错信息。 是，训练作业的日志里存在OOM报错，执行2。 否，训练作业的日志里没有OOM报错，但是存在监控指标异常，执行3。 排查训练代码是否存在不断占用资源的代码，使得资源未被合理使用。 是，优化代码，等待作业运行正常。 否，提高训练作业使用的资源规格或者联系技术支持。 重启训练作业，使用CloudShell登录训练容器监控内存指标，确认是否有突发性的内存增加现象。 是，排查内存突发增加的时间点附近的训练作业日志，优化对应的代码逻辑，减少内存申请。 否，提高训练作业使用的资源规格或者联系技术支持。

处理方法 在使用Tensorflow多节点作业下载数据时，正确的下载逻辑如下： import argparseparser = argparse.ArgumentParser()parser.add_argument("--job_name", type=str, default="")args = parser.parse_known_args()if args[0].job_name != "ps": copy..............................

处理方法 安装第三方包 pip中存在的包，使用如下代码： import osos.system('pip install xxx') pip源中不存在的包，此处以“apex”为例，请您用如下方式将安装包上传到OBS桶中。 该样例已将安装包上传至“obs://cnnorth4-test/codes/mox_benchmarks/apex-master/”中，将在启动文件中添加以下代码进行安装。 try: import apexexcept Exception: import os import moxing as mox mox.file.copy_parallel('obs://cnnorth4-test/codes/mox_benchmarks/apex-master/', '/cache/apex-master') os.system('pip --default-timeout=100 install -v --no-cache-dir --global-option="--cpp_ext" --global-option="--cuda_ext" /cache/apex-master') 安装报错 “xxx.whl”文件无法安装，需要您按照如下步骤排查： 当出现“xxx.whl”文件无法安装，在启动文件中添加如下代码，查看当前pip命令支持的文件名和版本。 import pipprint(pip.pep425tags.get_supported()) 获取到支持的文件名和版本如下： [('cp36', 'cp36m', 'manylinux1_x86_64'), ('cp36', 'cp36m', 'linux_x86_64'), ('cp36', 'abi3', 'manylinux1_x86_64'), ('cp36', 'abi3', 'linux_x86_64'), ('cp36', 'none', 'manylinux1_x86_64'), ('cp36', 'none', 'linux_x86_64'), ('cp35', 'abi3', 'manylinux1_x86_64'), ('cp35', 'abi3', 'linux_x86_64'), ('cp34', 'abi3', 'manylinux1_x86_64'), ('cp34', 'abi3', 'linux_x86_64'), ('cp33', 'abi3', 'manylinux1_x86_64'), ('cp33', 'abi3', 'linux_x86_64'), ('cp32', 'abi3', 'manylinux1_x86_64'), ('cp32', 'abi3', 'linux_x86_64'), ('py3', 'none', 'manylinux1_x86_64'), ('py3', 'none', 'linux_x86_64'), ('cp36', 'none', 'any'), ('cp3', 'none', 'any'), ('py36', 'none', 'any'), ('py3', 'none', 'any'), ('py35', 'none', 'any'), ('py34', 'none', 'any'), ('py33', 'none', 'any'), ('py32', 'none', 'any'), ('py31', 'none', 'any'), ('py30', 'none', 'any')] 将“faiss_gpu-1.5.3-cp36-cp36m-manylinux2010_x86_64.whl”更改为“faiss_gpu-1.5.3-cp36-cp36m-manylinux1_x86_64.whl”，并安装，执行命令如下： import moxing as moximport osmox.file.copy('obs://wolfros-net/zp/AI/code/faiss_gpu-1.5.3-cp36-cp36m-manylinux2010_x86_64.whl','/cache/faiss_gpu-1.5.3-cp36-cp36m-manylinux1_x86_64.whl')os.system('pip install /cache/faiss_gpu-1.5.3-cp36-cp36m-manylinux1_x86_64.whl')

问题现象 ModelArts训练作业算法来源选用常用框架的Pytorch引擎，在训练作业运行时Pytorch Mox日志会每个epoch都打印Mox版本，具体日志如下： INFO:root:Using MoXing-v1.13.0-de803ac9INFO:root:Using OBS-Python-SDK-3.1.2INFO:root:Using MoXing-v1.13.0-de803ac9INFO:root:Using OBS-Python-SDK-3.1.2

产品优势 DDoS原生基础防护（Anti-DDoS流量清洗）为华为云用户提供DDoS攻击防护，其产品优势如下： 优质防护 实时监测，及时发现DDoS攻击，丢弃攻击流量，将正常流量转发至目标IP。 提供优质带宽，保证业务连续性和稳定性，保障用户访问速度。 全面精准 海量IP黑名单库，精准有效；七层过滤的手术刀式清洗机制，动态流量基线智能学习。 秒级响应 先进的逐包检测机制，各类攻击威胁秒级响应；强大的清洗设备性能，极低的清洗时延。 自动开启 本服务在购买EIP时自动开启防护，无需采购昂贵清洗设备，无需安装。 免费使用 本服务是免费服务，使用时不需要购买资源，不产生任何费用，用户可放心使用。 父主题： DDoS原生基础防护

产品优势 DDoS高防为软件高防服务，与成本相对较高的传统硬件高防相比，业务接入DDoS高防后即可防护，且可以查看DDoS高防的防护日志，了解当前业务的网络安全状态。 DDoS高防可以防护海量DDoS攻击，具备精准、弹性、高可靠、高可用等优势。 海量带宽 15T以上DDoS高防总体防御能力，单IP最高1000G防御能力，抵御各类网络层、应用层的DDoS攻击。 高可用服务 全自动检测和攻击策略匹配，实时防护；业务流量采用集群分发，性能高，时延低，稳定性好。 弹性防护 通过基础带宽+弹性带宽的购买方式，DDoS防护阈值支持弹性调整，可随时升级更高级别的防护。 专业运营团队 7*24小时运营团队随时应对；专业的运营人员随时解答您的疑问，为您的业务保驾护航。 父主题： DDoS高防

各版本支持的防护能力 表3 各版本支持的防护能力 版本 DDoS原生基础防护（免费） DDoS原生高级防护 DDoS原生高级防护 DDoS原生高级防护 DDoS原生高级防护 DDoS高防-网站防护 DDoS高防-IP防护 标准版 全力防基础版 全力防高级版 原生防护2.0 防护能力 中国大陆Region：不高于5G 非中国大陆Region：不高于500M 20Gbps 共享全力防护，不低于20G，最高可达数百G。 共享全力防护，最高可达1T 中国大陆：共享全力防护，不低于20G。 中国大陆外：运营商跨境防护。 1T（可多个实例叠加） 1T DDoS防护 流量清洗 基础防护 水印防护 黑白名单 端口封禁 协议封禁 指纹过滤 区域封禁 高级防护 基础防护 水印防护 黑白名单 端口封禁 协议封禁 指纹过滤 区域封禁 高级防护 基础防护 水印防护 黑白名单 端口封禁 协议封禁 指纹过滤 区域封禁 高级防护 基础防护 水印防护 黑白名单 端口封禁 协议封禁 指纹过滤 区域封禁 高级防护 Web基础防护 区域封禁 协议封禁 黑白名单 频率控制 智能CC 须知： 国际版当前仅支持线下配置。 区域封禁 协议封禁 黑白名单 频率控制 智能CC 须知： 国际版当前仅支持线下配置。 应用防护 不涉及 联动云模式WAF支持 联动云模式WAF支持 联动云模式WAF支持 联动云模式WAF支持 默认3000 QPS 大于3000QPS需联动云模式WAF支持 不支持 使用DDoS防护专属EIP的场景下，如果出现网络波动等极端场景，流量可能会调度到防护能力较小的备用机房，导致防护能力降低。 优选BGP EIP加入原生防护2.0后，新增支持防护来自国内的攻击，仍不支持防护来自海外的攻击。优选BGP EIP海外攻击的黑洞阈值较低，当海外攻击超过黑洞阈值时，优选BGP EIP将会被封堵。如需防护海外攻击，请购买DDoS防护专属EIP搭配原生防护2.0使用。

服务韧性 华为云DDoS防护AAD按规则部署在全球各地，所有数据中心都处于正常运营状态，无一闲置。数据中心互为灾备中心，如一地出现故障，系统在满足合规政策前提下自动将客户应用和数据转离受影响区域，保证业务的连续性。为了减少由硬件故障、自然灾害或其他灾难带来的服务中断，AAD提供灾难恢复计划。 当发生故障时，AAD的五级可靠性架构支持不同层级的可靠性，因此具有更高的可用性、容错性和可扩展性。 华为云AAD已面向全球用户服务，并在多个分区部署，同时AAD的所有管理面、引擎等组件均采用主备或集群方式部署。 父主题： 安全

华为云能提供什么相关证据？ 您的报案在网监部门立案后，华为云将配合网监部门提供以下协助： 华为云会配合网监部门，向网监负责人提供您在华为云平台上的业务的流量日志、遭受攻击信息等。 由于相关数据将作为法律证据，因此无法直接提供给您。您可以在华为云管理控制台中自行查看攻击流量的相关信息。 华为云不能对流量日志和攻击信息等进行分析，直接给出谁是攻击者的结论。 由于华为云不是法官，无法判定谁有罪；不具有执法权，不能进行立案调查；华为云只能作为证据的提供者和证人。 华为云会及时响应网监部门的协助调查要求，配合开展工作。 建议您在遭受安全攻击时，参考当地网监部门的立案调查标准，积极请求网警进行立案调查。 自主查看攻击流量的相关信息： 您可以在华为云管理控制台查看流量、攻击事件等。

应用场景 DDoS高防服务 的主要使用场景包括：娱乐（游戏）、金融、政府、电商、媒资、教育（在线）等行业： 娱乐（游戏） 娱乐（游戏）行业是DDoS攻击的重灾区，高防IP能保证游戏的可用性和持续性，提高用户体验，在商家活动、节日游戏等旺季时段提供防护。 金融 满足金融行业的合规性要求，保证线上交易的实时性、安全稳定性。 政府 满足国家政务云建设标准的安全需求，为重大会议、活动、敏感时期提供安全保障，确保民生服务正常可用，维护政府公信力。 电商 为用户访问互联网提供防护，使业务正常不中断，在电商大促等活动时段提供防护功能。 企业 保证企业站点服务持续可用，避免DDoS攻击造成经济和企业形象损失问题，降低维护费用，节省安全成本。 父主题： DDoS高防

产品优势 DDoS原生高级防护为软件DDoS防护服务，与成本相对较高的传统硬件防护相比，可一键提升华为云ECS、ELB、WAF、EIP等云服务的DDoS防御能力，具有以下优势： 快速接入 无需配置转发规则，快速接入服务即可直接提升华为云上EIP的防护能力。 DDoS原生高级防护-全力防高级版只能防护专属EIP。 弹性防护能力 遭受大规模攻击时自动调用当前区域华为云最大DDoS防护能力提供全力防护。 海量清洗带宽 拥有多线BGP防护带宽，轻松抵御DDoS攻击，可以满足活动大促、活动上线等重要业务的安全稳定性保障需求。 卓越清洗能力 全自动检测和攻击策略匹配，实时防护；业务流量采用集群分发，性能高，时延低，稳定性好。 丰富的防护报表 提供多维度统计报表，通过查看流量信息，了解当前网络安全状态。 父主题： DDoS原生高级防护

什么是DDoS攻击 拒绝服务（Denial of Service，简称DoS）攻击也称洪水攻击，是一种网络攻击手法，其目的在于使目标电脑的网络或系统资源耗尽，服务暂时中断或停止，导致合法用户不能够访问正常网络服务的行为。当攻击者使用网络上多个被攻陷的电脑作为攻击机器向特定的目标发动DoS攻击时，称为分布式拒绝服务攻击（Distributed Denial of Service Attack，简称DDoS）。常见DDoS攻击类型如表1所示。 表1 常见DDoS攻击类型 攻击类型 说明 举例 网络层攻击 通过大流量拥塞被攻击者的网络带宽，导致被攻击者的业务无法正常响应客户访问。 NTP Flood攻击。 传输层攻击 通过占用服务器的连接池资源，达到拒绝服务的目的。 SYN Flood攻击、ACK Flood攻击、ICMP Flood攻击。 会话层攻击 通过占用服务器的SSL会话资源，达到拒绝服务的目的。 SSL连接攻击。 应用层攻击 通过占用服务器的应用处理资源，极大消耗服务器处理性能，达到拒绝服务的目的。 HTTP Get Flood攻击、HTTP Post Flood攻击。 父主题： 了解DDoS攻击

审计与日志 云审计 服务（Cloud Trace Service，以下简称 CTS ），是华为 云安全 解决方案中专业的日志审计服务，提供对各种云资源操作记录的收集、存储和查询功能，可用于支撑安全分析、合规审计、资源跟踪和问题定位等常见应用场景。 CTS可记录的DDoS防护操作列表详见开通云审计服务中的“云审计服务支持的DDoS防护操作列表”。用户开通云审计服务并创建和配置追踪器后，CTS开始记录操作事件用于审计，开通方法参见CTS快速入门。开通云审计服务后，可查看DDoS防护的云审计日志，云审计服务保存最近7天的操作日志。 CTS支持配置关键操作通知。用户可将与DDoS相关的高危敏感操作，作为关键操作加入到CTS的实时监控列表中进行监控跟踪。当用户使用DDoS服务时，如果触发了监控列表中的关键操作，那么CTS会在记录操作日志的同时，向相关订阅者实时发送通知。 父主题： 安全

责任共担 华为云秉承“将公司对网络和业务安全性保障的责任置于公司的商业利益之上”。针对层出不穷的云安全挑战和无孔不入的云安全威胁与攻击，华为云在遵从法律法规业界标准的基础上，以安全生态圈为护城河，依托华为独有的软硬件优势，构建面向不同区域和行业的完善云服务安全保障体系。 安全性是华为云与您的共同责任，如图1所示。 华为云：负责云服务自身的安全，提供安全的云。华为云的安全责任在于保障其所提供的IaaS、PaaS和SaaS类云服务自身的安全，涵盖华为云数据中心的物理环境设施和运行其上的基础服务、平台服务、应用服务等。这不仅包括华为云基础设施和各项云服务技术的安全功能和性能本身，也包括运维运营安全，以及更广义的安全合规遵从。 租户：负责云服务内部的安全，安全地使用云。华为云租户的安全责任在于对使用的IaaS、PaaS和SaaS类云服务内部的安全以及对租户定制配置进行安全有效的管理，包括但不限于虚拟网络、 虚拟主机 和访客虚拟机的操作系统，虚拟防火墙、API网关和高级安全服务，各项云服务，租户数据，以及身份账号和密钥管理等方面的安全配置。 《华为云安全白皮书》详细介绍华为云安全性的构建思路与措施，包括云安全战略、责任共担模型、合规与隐私、安全组织与人员、基础设施安全、租户服务与租户安全、工程安全、运维运营安全、生态安全。 图1 华为云安全责任共担模型 父主题： 安全

SSL连接失败 现象：客户端无法与 EMQX 建立 SSL 连接。 解决方法：可以借助 EMQX 日志中的关键字来进行简单的问题排查，EMQX 日志相关内容请参考：日志与追踪。 certificate_expired 日志中出现 certificate_expired 关键字，说明证书已经过期，请及时续签。 no_suitable_cipher 日志中出现 no_suitable_cipher 关键字，说明握手过程中没有找到合适的密码套件，可能原因有证书类型与密码套件不匹配、没有找到服务端和客户端同时支持的密码套件等等。 handshake_failure 日志中出现 handshake_failure 关键字，原因有很多，可能要结合客户端的报错来分析，例如，可能是客户端发现连接的服务器地址与服务器证书中的 域名 不匹配。 unknown_ca 日志中出现 unknown_ca 关键字，意味着证书校验失败，常见原因有遗漏了中间 CA 证书、未指定 Root CA 证书或者指定了错误的 Root CA 证书。在双向认证中可以根据日志中的其他信息来判断是服务端还是客户端的证书配置出错。如果是服务端证书存在问题，那么报错日志通常为： {ssl_error,{tls_alert,{unknown_ca,"TLS server: In state certify received CLIENT ALERT: Fatal - Unknown CA\n"}}} 看到 CLIENT ALERT 就可以得知，这是来自客户端的警告信息，服务端证书未能通过客户端的检查。 如果是客户端证书存在问题，那么报错日志通常为： {ssl_error,{tls_alert,{unknown_ca,"TLS server: In state certify at ssl_handshake.erl:1887 generated SERVER ALERT: Fatal - Unknown CA\n"}}} 看到 SERVER ALERT 就能够得知，表示服务端在检查客户端证书时发现该证书无法通过认证，而客户端将收到来自服务端的警告信息。 protocol_version 日志中出现 protocol_version 关键字，说明客户端与服务器支持的 TLS 协议版本不匹配。

安装openssl 安装依赖gcc、perl5 yum install gcc perl -y 安装配置openssl 下载openssl二进制包 wgettar -zxvf openssl-1.1.1n.tar.gz 手动编译并创建软连接 cd openssl-1.1.1n./configmake && make install$ ln -s /usr/local/lib64/libssl.so.1.1 /usr/lib64/libssl.so.1.1$ ln -s /usr/local/lib64/libcrypto.so.1.1 /usr/lib64/libcrypto.so.1.1 图1 手动编译并创建软连接

应用场景 DDoS原生高级防护适用于部署在华为云服务上，且华为云服务有公网IP资源的业务，能够满足业务规模大、对网络质量要求高的用户。 DDoS原生高级防护适用于具有以下特征的业务： 业务部署在华为云服务上，且云服务能提供公网IP资源 业务带宽或QPS较大 例如，在线视频、直播等对业务带宽要求比较高的领域。 IPv6类型业务防护需求 华为云上公网IP资源较多 业务中大量端口、域名、IP需要DDoS攻击防护 父主题： DDoS原生高级防护

应用场景 车联网数据基础设施解决方案 随着新能源汽车数量的增加，车机管理难的问题日益突出。 无法支撑海量车机系统安全接入 车机管理效率低下且存在众多安全问题 在复杂网络环境下保证消息实时性与可靠性 无法保障大并发、高可用消息通信 难以快速实现业务系统对接 难以支撑包含整车部分、调度系统和运维系统，需要稳定、低时延、高性能的车云 数据接入服务 无法支持数据实时采集与分析实现生产线运行 数据可视化 、生产装备运行数据分析实现产线质量预警、生产预测性维护等智能制造场景 本章节将介绍基于 EMQ，构建以自动驾驶为核心的新一代车联网数据平台以⽀撑主机厂智能⽹联为核⼼发展战略，开启造车新时代。

资源和成本规划 车联网数据基础设施解决方案 表1 资源和成本规划 云资源 规格 数量 每月费用（元） VPC 网段选择192.168.0.0/16，其他采用默认配置 1 00.00 Subnet 网段选择192.168.0.0/24，其他采用默认配置 1 00.00 安全组 根据需要开通入方向1883、8883等端口 1 00.00 ECS 【弹性云服务器 ECS 】X86计算 | 通用计算型 | c7.large.2 | 2核 | 4GB; CentOS | CentOS 7.8 64bit; 【系统盘】通用型SSD | 40GB 3 / Kafka 【分布式消息服务Kafka版】kafka.4u8g.cluster | 代理个数：3 单个代理存储空间: 超高IO | 200GB 1 / ELB 【弹性负载均衡】共享型负载均衡 全动态BGP 带宽: 全动态BGP | 带宽 | 30Mbit/s 2 / 企业主机安全 【企业主机安全】企业版 1 / Anti-DDoS流量清洗 【Anti-DDoS流量清洗】基础DDoS 防护能力，5Gbps 2 / 云备份 【云备份】云服务器备份存储库 | 100GB; 1 / 总计：/(EMQX 5万线)

方案优势 高性能 单节点支持每秒实时接收、处理与分发数百万条的 MQTT 消息，毫秒级消息时延。 高可用、易运维 高可用集群支持弹性伸缩，无单点故障；支持热升级、热配置。 保证物联安全 TLS/DTLS 加密协议保证数据传输安全，支持国密加密算法；支持对设备的 ACL 访问控制细粒度控制；支持基于 X.509 证书, JWT Token 认证。 稳固的基础设施 华为云提供的计算、网络和存储系统为车运一体化消息传递提供了安全、坚固和灵活的基础设施服务。 丰富的能力服务 华为云提供基于KAFKA/Redis/RDS/大数据等多种技术栈，可同EMQX集成后形成车联网整体技术服务解决方案，助力主机厂和第三方应用开发商快速构建应用。

如何使用 容器安全服务 使用流程说明如表1所示。 表1 容器安全 服务使用流程说明 序号 子流程 说明 1 开启集群防护 开启防护后即可对集群中所有节点上的镜像和正在运行的容器进行实时检测。 2 （可选）设置安全策略 设置安全策略并将策略应用在镜像上，能有效预防容器运行时安全风险事件的发生。 3 查看漏洞 查看镜像上存在的漏洞，并判断是否需要“忽略”漏洞。 查看容器运行时安全详情 查看容器运行时的异常行为。 父主题： 访问与使用

服务版本说明 容器安全服务提供了企业版版本。支持的功能如表1。详细的功能介绍，请参见功能特性。 企业版提供更多种类的检测和监测功能，包含集群防护、镜像漏洞检测及修复、基线检查、恶意文件、容器运行时安全、安全配置等功能。用户购买容器安全防护配额后，即可使用企业版功能。 表1 服务版本功能说明 服务功能 功能项 企业版 （√：支持；×：不支持） 集群防护 集群防护 √ 本地镜像 本地镜像 漏洞扫描 √ 私有镜像 私有镜像漏洞扫描 √ 私有镜像恶意文件 √ 私有镜像软件信息 √ 私有镜像文件信息 √ 私有镜像基线检查 √ 官方镜像 官方镜像漏洞扫描 √ 运行时安全 逃逸检测 √ 高危系统调用 √ 异常程序检测 √ 文件异常检测 √ 容器环境检测 √ 安全配置 进程白名单 √ 文件保护 √

与云审计服务的关系 云审计服务（Cloud Trace Service，CTS）记录容器安全服务相关的操作事件，方便用户日后的查询、审计和回溯，具体请参见《云审计服务用户指南》。 表1 云审计服务支持的CGS操作列表 操作名称 资源类型 事件名称 集群开启防护 cgs openClusterProtect 集群关闭防护 cgs closeClusterProtect 添加策略 cgs addPolicy 编辑策略 cgs modifyPolicy 删除策略 cgs deletePolicy 镜像应用策略 cgs imageApplyPolicy 忽略漏洞影响的所有镜像 cgs ignoreVul 取消忽略漏洞影响的所有镜像 cgs cancelIgnoreVul 忽略漏洞影响的镜像 cgs ignoreImageVul 取消忽略漏洞影响的镜像 cgs cancelIgnoreImageVul 授权访问 cgs registerCgsAgency 手动执行镜像扫描 cgs scanPrivateImage 从SWR拉取镜像并执行扫描 cgs syncSwrPrivateImage