华为云用户手册

证书文件 在设备和对接边缘节点场景中，需要在设备侧集成相应证书。 资源包名 描述 下载路径 ModuleSDK(java) 利用ModuleSDK开发插件在边侧进行协议转换、设备上传的数据处理、接入IT子系统。 ModuleSDK（Java版） ModuleSDK(C) Module SDK是开发边缘运行应用（插件）所必须的工具包，提供数据处理、协议转换、IT子系统接入等功能，开发完成后，通过选择打包方式来决定是容器化部署还是进程化部署。 ModuleSDK_C_latest(包括x86_64, arm32, arm64版本,下载后解压选择对应版本) ModuleSDK(C#) 利用ModuleSDK开发插件在边侧进行数据采集等功能。 ModuleSDK_ CS harp MQTT.fx MQTT.fx是MQTT设备模拟软件。 MQTT.fx下载地址 plt-device-ca 设备通过mqtts协议与边缘节点建立连接时，该证书用于校验边缘节点的身份。 证书文件 Modbus Slave Modbus Slave是Modbus Slave设备模拟软件。 Modbus Slave下载地址

创建ArtemisMQ连接 登录新版ROMA Connect控制台。 在左侧导航栏选择“连接器”，在连接器页面单击“新建连接”。 选择“ArtemisMQ”连接器。 在弹窗中配置连接器信息，完成后单击“确定”。 参数 说明 描述 填写连接器的描述信息，用于识别不同的连接器。 主机IP地址 填写ArtemisMQ的连接IP地址。 端口 链接ArtemisMQ的端口号。 用户名 连接ArtemisMQ的用户名。 密码 连接ArtemisMQ的用户密码。 是否开启SSL认证 连接ArtemisMQ时是否使用SSL认证。

准备依赖资源 ROMA Connect实例所需资源的具体要求和创建指导如下所示。 表1 实例依赖资源 资源 要求 创建指导 VPC和子网 不同的ROMA Connect实例可以复用相同的VPC和子网，也可以使用不同的VPC和子网，请根据实际需要进行配置。在创建VPC和子网时应注意如下要求： 创建的VPC与使用的ROMA Connect服务应在相同的区域。 创建VPC和子网时，如无特殊需求，配置参数使用默认配置即可。 创建VPC和子网的操作指导请参考创建虚拟私有云和子网，若需要在已有VPC上创建和使用新的子网，请参考为虚拟私有云创建新的子网。

操作步骤 在实例控制台的“实例信息”页面中，选择“基本信息”页签，可查看和编辑实例的基本信息。 表1 ROMA Connect基本信息 内容 内容说明 ROMA Connect实例信息 实例的基本信息，包括实例名称、实例ID、描述、可用区、创建时间。 您可以根据实际需要修改“实例名称”、“描述”等。 您可以单击“实例ID”右侧的“”复制实例ID信息。 虚拟私有云 实例所关联的VPC，您可以单击VPC名称跳转查看VPC的具体配置信息。 子网 实例所关联的子网，你可以单击子网名称跳转查看子网的具体配置信息。 安全组 实例所关联的安全组，你可以单击安全组名称跳转查看安全组的具体配置信息，也可以单击“更改”按钮，绑定新的安全组。 路由 配置私有网段。ROMA Connect实例创建完成后，默认能够与创建时指定的VPC子网网段进行互通，若有额外的私有网段需要与实例互通，可通过该配置项进行路由配置。 付费信息 实例的计费模式。 RCU分布配置 分布给不同集成能力的RCU值。 消息存储空间 实例的MQS消息存储空间信息，包括存储类型和存储空间使用率（百分比）。 MQS基本信息 实例的MQS的基本配置信息。 对应Kafka引擎类型，您可以根据实际需要修改“容量阈值策略”。 连接地址 实例的相关对接地址，包括： ROMA Connect连接地址 设备集成LINK连接地址 服务集成APIC连接地址 服务集成 APIC内网连接地址（自定义后端组件和网关组件） 消息集成 MQS内网连接地址 消息集成 MQS公网连接地址（仅开启开启公网访问时展示） 您可以单击连接地址右侧的“”复制连接地址信息。 公网访问入口 若实例未开启公网入口，您可以单击地址右侧“ ”开启公网入口。 若实例已开启公网入口，您可以单击地址右侧的“ ”复制地址信息。 若实例已开启公网入口，您可以单击公网带宽右侧的“ ”修改公网入口带宽大小。 若实例已开启公网入口，您可以单击地址右侧的“ 关闭”关闭公网入口。 须知： 弹性IP地址为随机分配，开启后关闭再开启不保证IP地址分配的前后一致性。 公网IP访问控制（白名单） 仅当“公网访问入口”开启时可配置。 公网IP访问控制采用白名单模式，在开启的情况下仅白名单内的IP地址可以访问，未开启则默认全放通。 单击右侧更改进入编辑模式，您可以添加或删除允许放通的IP地址。 私网IP访问控制（白名单） 私网IP访问控制采用白名单模式，在开启的情况下仅白名单内的IP地址可以访问，未开启则默认全放通。 单击右侧更改进入编辑模式，您可以添加或删除允许放通的IP地址。

变更实例规格 登录新版ROMA Connect控制台。 在左侧导航栏选择“资源管理”，鼠标悬停于需要调整RCU的实例上，左下角单击“RCU调控”。 在RCU调控页面调整实例的RCU分配方案，系统会根据您配置的RCU值重新计算配置费用。 仅当“RCU分配”中首次为消息集成分配了RCU时，需参考表2配置MQS相关信息。完成后单击“下一步”。 图1 MQS配置信息 在配置确认界面确认调整后的实例配置，然后单击“RCU调控”。 实例开始重新调配RCU，扩容需要10-20分钟，缩容需要约10分钟。 在“资源管理”页面单击正在变更规格的实例，进入实例控制台。 在“实例信息”页面中，选择“后台任务”页签，可查看实例规格变更任务信息。

创建FTP连接 登录新版ROMA Connect控制台。 在左侧导航栏选择“连接器”，在连接器页面单击“新建连接”。 选择“FTP”连接器。 在弹窗中配置连接器信息，完成后单击“确定”。 参数 说明 描述 填写连接器的描述信息，用于识别不同的连接器。 协议 选择FTP连接所使用的协议，当前支持选择“FTP”和“SFTP”。 主机IP FTP服务器的IP地址。 端口 FTP协议中，默认使用TCP端口中的20和21两个端口，其中20端口用于传输数据，21端口用于传输控制信息（命令）。 用户名 FTP用户名。 密码 FTP用户密码。

配置参数 表1 每分钟触发 参数 说明 触发间隔 在每个小时内，从0分钟开始，每隔固定分钟执行一次，范围1-60。 触发规则 每天。 星期一至星期五。 星期六和星期日。 自定义。 时区 亚洲/上海。 GMT。 任务模式 并行：总是按照设定周期执行。 串行：当前任务执行完成后才会触发下一次任务，实际执行周期=MAX(任务耗时,周期)。 立即执行一次 启动后是否立即执行一次。 表2 每小时触发 参数 说明 开始时间 开从0点开始计算，从几点开始（该小时内也会执行），取值范围0-23。 结束时间 从0点开始计算，到几点结束（该小时内也会执行），取值范围0-23，需大于等于开始时间。 具体触发的分钟 每小时第几分钟触发，取值范围0-59。 触发规则 每天。 星期一至星期五。 星期六和星期日。 自定义。 时区 亚洲/上海。 GMT。 任务模式 并行：总是按照设定周期执行。 串行：当前任务执行完成后才会触发下一次任务，实际执行周期=MAX(任务耗时,周期)。 立即执行一次 启动后是否立即执行一次。 表3 每天触发 参数 说明 触发规则 每天。 星期一至星期五。 星期六和星期日。 自定义。 触发时间 几时几分触发，例如：00:59。 时区 亚洲/上海。 GMT。 任务模式 并行：总是按照设定周期执行。 串行：当前任务执行完成后才会触发下一次任务，实际执行周期=MAX(任务耗时,周期)。 立即执行一次 启动后是否立即执行一次。 表4 每周触发 参数 说明 每周触发时间 星期一至星期日。 触发时间 几时几分触发，例如：00:59。 时区 亚洲/上海。 GMT。 任务模式 并行：总是按照设定周期执行。 串行：当前任务执行完成后才会触发下一次任务，实际执行周期=MAX(任务耗时,周期)。 立即执行一次 启动后是否立即执行一次。 表5 每月触发 参数 说明 每周触发时间 星期一至星期日。 触发时间 几时几分触发，例如：00:59。 时区 亚洲/上海。 GMT。 任务模式 并行：总是按照设定周期执行。 串行：当前任务执行完成后才会触发下一次任务，实际执行周期=MAX(任务耗时,周期)。 立即执行一次 启动后是否立即执行一次。 表6 固定时间间隔触发 参数 说明 执行间隔 执行的时间间隔数值。 执行间隔单位 秒。 分钟。 小时。 天。 星期。 任务模式 并行：总是按照设定周期执行。 串行：当前任务执行完成后才会触发下一次任务，实际执行周期=MAX(任务耗时,周期)。 立即执行一次 启动后是否立即执行一次。

创建ActiveMQ连接 登录新版ROMA Connect控制台。 在左侧导航栏选择“连接器”，在连接器页面单击“新建连接”。 选择“ActiveMQ”连接器。 在弹窗中配置连接器信息，完成后单击“确定”。 参数 说明 描述 填写连接器的描述信息，用于识别不同的连接器。 Broker列表 ActiveMQ的Broker列表。 用户名 连接ActiveMQ的用户名。 密码 连接ActiveMQ的用户密码。 是否开启SSL认证 连接ActiveMQ时是否使用SSL认证。

系统变量 系统提供了一些内置的变量，表示系统参数或者某些连接器的特定输出。当前组合应用提供的系统变量如表1所示。 系统变量引用方式：${变量名}。 表1 系统变量说明 变量 说明 step_execution_time 上一个节点的执行耗时，单位毫秒。 response_code 上一个HTTP请求节点的响应码。 selected_row_count 上一个数据库节点执行查询操作的数据条数。 仅支持MySQL，Gauss200，PostgreSQL，Oracle，SQL Server或DB2数据库。 updated_row_count 上一个数据库节点执行插入、更新和删除操作的数据条数。 仅支持MySQL，Gauss200，PostgreSQL，Oracle，SQL Server或DB2数据库。 loop_index 上一个循环处理节点，当前循环的索引，从0开始。 loop_size 上一个循环处理节点的循环总次数。 split_index 上一个数据拆分节点，在数据拆分时当前数据块的索引，从0开始。 split_size 上一个数据拆分节点的数据拆分数量。 split_complete 上一个数据拆分节点，数据拆分是否完成。

节点变量 上一个节点的执行结果，可以作为节点变量，被后续节点进行引用，如Open API的请求体内容、查询数据库的结果、HTTP请求的结果等。 节点变量引用方式：${payload}。 如果执行结果是一个对象，如JSON对象、XML对象等，可以使用${payload.id}或者${payload[0].id}等方式，引用执行结果中的部分数据。 使用示例： 例如当HTTP请求节点执行完成收到的响应体为如下JSON格式数据，在后续节点可使用${payload}引用该JSON数据，使用${payload.id}来引用“00000000”值，使用${payload.data[0].value}来引用“x”值。 { "id":"00000000", "name":"sample01", "data":[ { "id":1, "value":"x" }, { "id":2, "value":"y" }, { "id":3, "value":"z" } ]}

自定义变量 自定义变量包括用户在“变量配置”中添加的变量，在“Open API”节点添加的请求参数、在“变量赋值”节点添加的变量、在“脚本处理”节点配置的“输出到变量”参数等，可以在后续节点中被引用。 自定义变量引用方式：${变量名/参数名}。 在“变量配置”添加变量 登录新版ROMA Connect控制台。 在左侧导航栏选择“组合应用”，在组合应用页面找到要添加变量配置的组合应用。 单击组合应用上的“”，选择“编辑”，进入组合应用的编辑界面。 单击页面正上方的“变量配置”。 在变量配置弹窗中单击“添加”，添加变量。 表2 配置变量 参数 说明 变量名 填写变量的名称，后续将通过变量名称进行引用。 配置类型 选择变量的数据类型，可选择“字符串”、“整数”、“长整数”、“小数”、“布尔”和“密码”。 变量值 填写变量的值。 作用域 选择变量的生效范围，是所有组合应用生效（global），还是仅当前组合应用生效。 描述 填写变量的描述信息。 单击“保存”，保存变量信息。 在“Open API”节点添加请求参数 具体配置操作请参考Open API。 在“变量赋值”节点添加变量 具体配置操作请参考变量赋值。 在“脚本处理”节点配置“输出到变量”参数 具体配置操作请参考脚本处理。

创建HTTP请求连接 登录新版ROMA Connect控制台。 在左侧导航栏选择“连接器”，在连接器页面单击“新建连接”。 选择“HTTP请求”连接器。 在弹窗中配置连接器信息，完成后单击“确定”。 参数 说明 描述 填写连接器的描述信息，用于识别不同的连接器。 基本地址 要调用API的请求地址。 安全认证 要调用API所使用的认证方式。 APP认证：使用使用API所授权集成应用的Key和Secret进行API请求的安全认证。 无认证：表示API请求不需要认证。 APP Key（APP认证） 仅当“安全认证”选择“APP认证”时需要配置。 API所授权集成应用的Key。 APP Secret（APP认证） 仅当“安全认证”选择“APP认证”时需要配置。 API所授权集成应用的Secret。

配置参数 参数 说明 条件类型 包含“满足当前条件时”和“不满足其他条件时”两种条件类型。 满足当前条件时，表示传入“分支判断”节点的数据满足指定的表达式时，将执行该分支上的步骤。 不满足其他条件时，表示传入“分支判断”节点的数据不满足其他所有分支的条件时，将执行该分支上的步骤。 表达式 当前条件分支的表达式。 JsonPath类型表达式： [?($[0].name=='test_user')]。 XPath类型表达式： /userinfo/user[1]/id/text() = 'test_user'。 变量类型表达式：${name} == 'test_user'。

配置参数 表1 新增Pull Request评论 参数 说明 仓库名 填写GitHub中代码仓库的名字。 仓库所有者 填写GitHub中代码仓库的Owner。 pullRequest编号 填写要新增评论的pullRequest编号。 内容 填写评论的具体内容。 表2 关闭Pull Request 参数 说明 仓库名 填写GitHub中代码仓库的名字。 仓库所有者 填写GitHub中代码仓库的Owner。 pullRequest编号 填写要关闭评论的pullRequest编号。 表3 创建Issue 参数 说明 仓库名 填写GitHub中代码仓库的名字。 仓库所有者 填写GitHub中代码仓库的Owner。 标题 填写新建Issue的标题。 内容 填写新建Issue的具体内容。

配置参数 参数 说明 输出格式 合并结果的格式，当前仅支持“Json”，表示合并结果以JSON字符串的格式输出。 可通过如下两种方法获取某一分支的结果： 后续节点为“脚本处理”时，使用JSON.parse('${body}')方式将合并结果转换为JSON对象，然后通过分支名称获取分支的结果。如： var result=JSON.parse('${body}'); var branch_result=result.分支名称 或者 var branch_result=result['分支名称'] 后续节点为“变量赋值”、“分支判断”和“数据转换”时，使用“$.分支名”获取该分支的执行结果。 失败时停止 并行处理出现错误时的是否停止。 True：表示任一并行处理的分支出现错误时，整个任务便停止，并返回错误信息。 False：表示并行处理的分支出现错误后，整个任务会继续执行后续节点。 超时时间(ms) 并行处理过程的最长执行时间，如果超过该时间后，仍有未执行完成的分支任务，则该分支的任务将被丢弃，且最终的合并结果中不会包含该分支。 超时时间为0时，表示不设置超时时间，将等待所有分支任务执行完成。 “并行处理”节点的分支名称，需在后续相邻节点的连线上配置。

配置参数 参数 说明 操作 选择组件的操作。 解析：表示将收到指定标准的EDI文件解析为Json格式文件。 生成：用于将Json格式文件变为指定标准的EDI文件。 标准 组件支持信息通用标准格式，可选择“X12”和“EDIFACT”。 EDIFACT版本 仅当“标准”选择“EDIFACT”时需要配置。 选择EDIFACT的版本号。EDIFACT主要用于欧洲和亚洲地区，默认版本为40100。 X12版本 仅当“标准”选择“X12”时需要配置。 选择X12的版本号。X12主要用于北美地区，默认版本为005010。 失败时停止 表示在进行EDI处理的时候，如果发生失败的情况，是否停止整个任务。 输入方式 选择组件的输入方式。 API表单参数：表示通过API表单的方式来提交目标文件信息。 文本输入：表示直接通过文件传输服务器（如：FTP）方式来提交目标文件信息。 API表单参数 仅当“输入方式”选择“API表单参数”时需要配置。 获取上一节点传递的文件信息，填写API请求体表单中上传文件使用的参数名称，可以通过变量的方式引用前序节点中的数据，请参考引用变量。 内容 仅当“输入方式”选择“文本输入”时需要配置。 获取上一个组件传递的文件信息，可以通过变量的方式引用前序节点中的数据，请参考引用变量。

概述 ROMA Connect支持接入多种类型的数据源，并通过数据集成任务实现源端到目标端的数据集成转换。ROMA Connect支持相同结构数据之间进行集成转换，也支持异构数据之间进行集成转换。 本章节通过完成一个API到MQS的数据集成配置样例，帮助您快速熟悉使用ROMA Connect集成数据的过程。 使用ROMA Connect集成数据的步骤如下所示： 步骤一：准备数据源 步骤二：接入数据源 步骤三：创建数据集成任务 步骤四：启动数据集成任务 步骤五：查看数据集成结果

步骤二：接入数据源 在创建数据集成任务前，您需要先配置ROMA Connect接入API和MQS数据源，确保可以正常从源端读取数据及向目标端写入数据。 创建集成应用。 登录ROMA Connect控制台，在“实例”页面单击实例上的“查看控制台”，进入实例控制台。 在左侧的导航栏选择“集成应用”，单击页面右上角的“创建集成应用”。 在创建集成应用弹窗中填写集成应用的“名称”，然后单击“确认”。 接入API数据源。 在左侧的导航栏选择“数据源管理”，单击页面右上角的“接入数据源”。 在接入数据源页面的“默认数据源”页签下，选择“API”数据源类型，然后单击“下一步”。 在页面中填写API数据源的相关配置信息。 表1 API数据源配置 参数 配置说明 数据源名称 填写API数据源的名称，根据规划自定义。建议您按照一定的命名规则填写数据源名称，方便您快速识别和查找。 集成应用 选择1中所创建的集成应用。 描述 填写API数据源的描述信息。 地址 填写步骤一：准备数据源中记录的API请求URL。 请求方式 选择步骤一：准备数据源中记录的API请求方法。 认证方式 API数据源无需请求认证，此处选择“None”。 完成API数据源参数配置后，单击“开始检测”，进行数据源的连接测试 若测试结果为“数据源连接成功！”，则继续下一步。 若测试结果为“数据源连接失败！”，则检查和修改数据源连接参数配置，然后单击“重新检测”，直到连接成功为止。 单击“创建”，完成API数据源的接入。 接入MQS数据源。 在“数据源管理”页面单击右上角的“接入数据源”。 在接入数据源页面的“默认数据源”页签下，选择“MQS”数据源类型，然后单击“下一步”。 在页面中填写MQS数据源的相关配置信息。 表2 MQS数据源配置 参数 配置说明 数据源名称 填写MQS数据源的名称，根据规划自定义。建议您按照一定的命名规则填写数据源名称，方便您快速识别和查找。 集成应用 选择1中所创建的集成应用。 描述 填写MQS数据源的描述信息。 连接地址 选择当前ROMA Connect实例的“消息集成 MQS内网连接地址”，您可以在ROMA Connect控制台的实例信息页面查看该地址。 是否SSL 仅当ROMA Connect实例的“MQS SASL_SSL”已开启且“VPC内网明文访问”未开启时，选择“是”，其他情况下选择“否”。 SSL用户名/应用Key 仅当“是否SSL”选择“是”时需要配置。 填写步骤一：准备数据源中记录的Topic所属集成应用的Key。 SSL密码/应用Secret 仅当“是否SSL”选择“是”时需要配置。 填写步骤一：准备数据源中记录的Topic所属集成应用的Secret。 完成MQS数据源参数配置后，单击“开始检测”，进行数据源的连接测试 若测试结果为“数据源连接成功！”，则继续下一步。 若测试结果为“数据源连接失败！”，则检查和修改数据源连接参数配置，然后单击“重新检测”，直到连接成功为止。 单击“创建”，完成MQS数据源的接入。

步骤一：准备数据源 在使用ROMA Connect进行数据集成前，您需要准备一个API数据源和MQS数据源，作为本配置样例中的源端和目标端数据源。 创建并发布一个函数API。 在当前ROMA Connect实例上创建、调试并发布一个API，作为源端API数据源，具体请参考创建API、调试API和发布API。 为简单起见，该函数API无需请求认证、不带请求参数，并调用该函数API时固定返回消息“ROMA TEST!”。 函数API创建完成后，记录该API的请求URL和请求方法。 创建一个消息Topic。 在当前ROMA Connect实例上创建一个消息集成Topic，作为目标端MQS数据源的Topic，具体请参考创建消息Topic。 Topic创建完成后，记录该Topic的名称，并在ROMA Connect实例控制台的“集成应用”页面中，单击Topic所属集成应用的名称，查看并获取Key和Secret。

步骤四：启动数据集成任务 数据集成任务创建后，“任务状态”为“停止”状态，此时任务不会执行，需先启动任务。 数据集成任务有两种启动方式： 启动任务计划，任务按照创建任务时所设置的计划执行。 在数据集成任务左侧勾选上要启动的任务，单击任务列表上方的“启动”，启动任务计划，然后等待任务按计划时间执行。 手动执行任务，仅执行一次。手动执行任务前，需确保“任务状态”为“停止”状态。 单击数据集成任务右侧的“手工调度”，手动执行任务，待任务的“运行状态”为“执行成功”时，任务执行完成。 为了可以马上执行数据集成任务并查看任务结果，此处使用手动执行任务的方式，执行API到MQS的数据集成任务。

Solution as Code一键式部署类最佳实践 为帮助企业高效上云，华为云Solution as Code萃取丰富上云成功实践，提供一系列基于华为云可快速部署的解决方案，帮助用户降低上云门槛。同时开放完整源码，支持个性化配置，解决方案开箱即用，所见即所得。 表1 Solution as Code一键式部署类最佳实践汇总 场景类型 一键式部署方案 说明 相关服务 网站防护 防勒索病毒安全解决方案 该解决方案能帮您为华为云上部署的服务器提供事前安全加固、事中主动防御、事后备份恢复的防勒索病毒方案，抵御勒索软件入侵，营造主机资产安全运行环境。 WAF、HSS、 SMN 等保 等保二级解决方案 该解决方案能帮您在华为云上快速部署等保二级合规解决方案，帮助客户快速、低成本完成安全整改，轻松满足等保二级合规要求。 WAF、CFW、HSS、SCM、SA、MTD 等保三级解决方案 该解决方案依托华为云自身安全能力与安全合规生态，为用户提供一站式的等保三级安全解决方案 WAF、HSS、SCM、SA、MTD、CFW、CBH、DBS、VSS

应用场景 为了适配用户的全场景工作负载监控，实现云上云下、混合云资源的统一纳管，主机安全推出了华为云和混合云统一管理的安全解决方案。借助主机安全提供的适配能力，通过一个控制台实现一致的安全策略，避免因为不同平台安全水位不一致导致的攻击风险。 华为云解决方案 可将华为云上服务器、数据中心、边缘云与其他线上云在华为云主机安全控制台实现统一管理。 混合云解决方案 可将华为云上服务器、数据中心、边缘云与其他线上云在混合云主机安全控制台实现统一管理。 图1 华为云解决方案 图2 混合云解决方案

勒索软件概念 勒索软件攻击已成为当今企业面临的最大安全挑战之一。勒索软件可以锁定受害者的数据或资产设备，攻击者会要求在支付赎金后才能赎回数据，防止数据被盗，也存在即使支付赎金也无法赎回数据情况。 一旦被勒索软件攻击成功，可能导致您的业务中断、数据泄露、数据丢失等严重问题，从而可能对企业的运转、经济、形象、信誉造成重大损失和不良影响，出现的安全问题可能对企业发展产生重大阻碍，出现一蹶不振的现象。 近年来，勒索病毒攻击量呈倍增趋势，且隐蔽性极强、变种多、变化快，攻击目标更多元，攻击路径更多样，应对勒索软件攻击当下刻不容缓。 图1 勒索概述 父主题： 勒索病毒防护最佳实践

事中：及时阻断攻击，实时检测、隔离勒索攻击 在应对勒索攻击时，及时识别并隔离勒索攻击和备份、恢复业务数据的重要性进一步凸显。 华为云 企业主机安全 首创防入侵、防加密、防扩散的三防勒索检测引擎和动态诱饵欺骗技术，实现勒索病毒秒级查杀，业务数据分钟级备份和恢复，勒索防治竞争力业界领先。 勒索病毒防护策略配置详情请参见勒索防护策略管理。 查看勒索防护备份操作详情请参见查看备份恢复任务，修改备份策略操作详情请参见修改备份策略。 勒索病毒事件处理详情请参见处理主机告警事件。 相关服务：企业主机安全 HSS 云备份 CBR

事前：安全能力前置，勒索入口“早发现、早治疗” 根据华为 云安全 历史入侵事件数据表明，90%的勒索攻击入口集中在弱口令、漏洞利用、基线风险配置，提前识别风险并修复可显著提升系统防御能力。 华为云企业主机安全能帮助您快速识别风险入口，提供便捷一键修复功能降低企业运维成本。 弱口令检测详情查看操作详情请参见查看经典弱口令检测。 漏洞检测详情查看操作请参见查看漏洞详情，漏洞的修复与验证操作详情请参见漏洞修复与验证。 基线检查风险修复操作详情请参见基线检查风险项修复。 相关服务：企业主机安全 HSS

资产被勒索攻击的过程 在攻击云基础设施时，攻击者通常会攻击多个资源以试图获取对客户数据或公司机密的访问权限。在勒索攻击链中，攻击者通过事前侦查探测、事中攻击入侵及横向扩散、事后勒索三个步骤实现对企业的资源勒索： 事前侦查探测阶段：收集基础信息、寻找攻击入口，进入环境并建立内部立足点。 事中攻击入侵及横向扩散阶段：部署攻击资源、侦查网络资产并提升访问权限，窃取凭据、植入勒索软件，破坏检测防御机制并扩展感染范围。 事后勒索阶段：窃取机密数据、加密关键数据后加载勒索信息，基于文件重要等级索要赎金。 图1 被勒索过程 父主题： 勒索病毒防护最佳实践

为什么exec进入容器后执行GPU相关的操作报错？ 问题现象： exec进入容器后执行GPU相关的操作（例如nvidia-smi、使用tensorflow运行GPU训练任务等）报错“cannot open shared object file: No such file or directory”。 问题原因： 安全容器内的cuda库位置为/usr/local/nvidia/lib64，您需要添加/usr/local/nvidia/lib64到LD_LIBRARY_PATH，才能正确地找到cuda库。 解决方法： 使用kubectl exec或者前端console登录进入带GPU的容器时，先执行命令export LD_LIBRARY_PATH=$LD_LIBRARY_PATH:/usr/local/nvidia/lib64，然后再执行其他GPU相关的操作命令。 父主题： 容器工作负载类

job的pod已经执行完成的情况下，为什么依然有实例在挂卷等事件，并且事件信息是失败的？ 问题现象： job的Pod已经执行完成的情况下，依然有实例在挂卷等事件，并且事件信息是失败的。 图1 问题截图 问题原因： 各种类型的Pod（Deployment/StatefulSet/Job/CronJob）在Node上启动时： 由kubelet针对该Pod创建podWorker（独立协程）负责检测Pod与关联volume的挂载情况：每隔0.3s检测当前Pod所需挂载的volume都已经挂载成功，检测超时为2min3s；若检测周期中以及最终超时到达时Pod关联volume都没有检测到挂载成功，则上报事件“Unable to mount volumes for pod …”。 由kubelet中VolumeManager（独立协程）负责具体实施Pod关联volume的挂载操作。 对于long running的Pod（Deployment/StatefulSet），除了类似镜像拉取失败、存储挂载失败、容器网络分配失败、当前节点CPU/Mem不满足Pod的实际使用要求等异常场景外，Pod容器若最终都会启动成功时，上述podWorker在几次周期后都会判定挂载成功。 而对于短时运行的Pod（Job/CronJob），由于容器中业务存在正常退出（如问题场景的GCS Demo job只执行一些echo和ls命令，总体耗时1s不到），就存在短时Pod运行退出时若刚好在两次podwork检测volume挂载周期中，那么就会出现本问题单所述的误报，但是不影响业务使用，且实际的Job业务还是会运行超过上述时间的。 当前kubelet上述能力属于社区挂载框架既有能力。 解决方法： 针对短时运行的Pod（Job/CronJob），可能存在由于运行时间过短而误报卷挂载超时的情况，若这类短时运行任务属于正常退出，则该误报对业务没有影响可以忽略。 父主题： 存储管理类

什么是安全容器？ 安全容器这个概念主要与普通容器进行比较的。 和普通容器相比，它最主要的区别是每个容器（准确地说是pod）都运行在一个单独的微型虚拟机中，拥有独立的操作系统内核，以及虚拟化层的安全隔离。因为云容器实例采用的是共享多租集群，因此容器的安全隔离比用户独立拥有私有Kubernetes集群有更严格的要求。通过安全容器，不同租户之间的容器之间，内核、计算资源、存储和网络都是隔离开的。保护了用户的资源和数据不被其他用户抢占和窃取。 父主题： 基本概念类

什么是云容器实例？ 云容器实例（Cloud Container Instance，CCI）服务提供 Serverless Container（无服务器容器）引擎，让您无需创建和管理服务器集群即可直接运行容器。 Serverless 是一种架构理念，是指不用创建和管理服务器、不用担心服务器的运行状态（服务器是否在工作等），只需动态申请应用需要的资源，把服务器留给专门的维护人员管理和维护，进而专注于应用开发，提升应用开发效率、节约企业IT成本。传统上使用 Kubernetes 运行容器，首先需要创建运行容器的 Kubernetes 服务器集群，然后再创建容器负载。云容器实例的 Serverless Container 就是从使用角度，无需创建、管理 Kubernetes 集群，也就是从使用的角度看不见服务器（Serverless），直接通过控制台、kubectl、Kubernetes API 创建和使用容器负载，且只需为容器所使用的资源付费。 云容器实例有如下功能： 自动化持续交付 一键运行DevOps的CI流程生成的容器镜像，保障CI/CD流程全自动化。 应用运行时全托管 提供无状态工作负载的运行时托管，保障应用稳定运行。 极速弹性扩缩容 支持用户自定义弹性伸缩策略，且能在1秒内实现弹性扩缩容。 应用高可用保障 支持多实例同时对外提供服务，保障用户业务高可靠，并提供全局负载均衡能力。 应用容器状态监控 提供容器健康状态检查和容器的运行时指标实时监控。 数据持久化存储 支持挂载网络存储卷，保障业务数据持久化存储。 父主题： 基本概念类