华为云用户手册

目的连接器 安全云脑 租户采集连接器，目前支持的目的连接器类型如下表所示： 表8 目的连接器类型 连接器名称 对应的logstash插件 描述 传输控制协议 TCP tcp 用于发送TCP协议日志，配置规则请参见表9。 用户数据协议 UDP udp 用于发送UDP协议日志，配置规则请参见表10。 消息队列 KAFKA kafka 用于将日志写入Kafka消息队列，配置规则请参见表11。 对象存储 OBS obs 用于写日志到 对象存储OBS 桶中，配置规则请参见表12。 云脑管道 PIPE pipe 用于将日志写入安全云脑管道中，配置规则请参见表13。 表9 tcp连接器配置规则 规则 对应logstash配置项 类型 默认值 是否必填 描述 名称 title string -- 是 自定义来源连接器名称。命名规则如下： 名称长度取值范围为5-128个字符。 名称须为工作空间内唯一，不能与工作空间内的其他连接器名称相同。 描述 description string -- 是 自定义连接器描述。命名规则如下： 名称长度不超过256个字符。 端口 port number 1025 是 端口 解码类型 codec string plain 是 解码类型，json_lines或者plain plain：读取原始内容 json_lines：处理json格式内容 主机地址 host string 192.168.0.66 是 host地址 注：与节点网络互通 是否SSL ssl_enable boolean false 否 是否开启ssl ssl证书 ssl_cert file -- 否 ssl_cert证书 ssl-key文件 ssl_key file -- 否 ssl_key文件 ssl密钥 ssl_key_passphrase string -- 否 ssl_key_passphrase密钥 表10 udp连接器配置规则 规则 对应logstash配置项 类型 默认值 是否必填 描述 名称 title string -- 是 自定义来源连接器名称。命名规则如下： 名称长度取值范围为5-128个字符。 名称须为工作空间内唯一，不能与工作空间内的其他连接器名称相同。 描述 description string -- 是 自定义连接器描述。命名规则如下： 名称长度不超过256个字符。 主机地址 host string -- 是 主机地址 注：与节点网络互通 端口 port number 1025 是 端口 解码类型 codec string json_lines 是 解码类型，json_lines或者plain plain：读取原始内容 json_lines：处理json格式内容 重试次数 retry_count number 3 否 重试次数 重试延迟毫秒数 retry_backoff_ms number 200 否 重试延迟毫秒数 表11 kafka连接器配置规则 规则 对应logstash配置项 类型 默认值 是否必填 描述 名称 title string -- 是 自定义来源连接器名称。命名规则如下： 名称长度取值范围为5-128个字符。 名称须为工作空间内唯一，不能与工作空间内的其他连接器名称相同。 描述 description string -- 是 自定义连接器描述。命名规则如下： 名称长度不超过256个字符。 服务地址 bootstrap_servers string -- 是 服务地址eg:192.168.21.21:9092,192.168.21.24:9999 主题 topic_id string logstash 是 主题 解码类型 codec string plain 是 解码类型，json或者plain 请求体最大长度 max_request_size number 10485760 是 请求体最大长度 安全协议 security_protocol string PLAINTEXT 否 安全协议 sasl连接配置 sasl_jaas_config string -- 否 sasl连接配置 是否加密 is_pw_encrypted string true 否 是否加密 sasl机制 sasl_mechanism string PLAIN 否 sasl_mechanism 其中，“sasl连接配置”需要根据kafka规格进行填写。示例如下： 明文连接配置 org.apache.kafka.common.security.plain.PlainLoginModule required username='kafka用户' password='kafka密码'; 密文连接配置 org.apache.kafka.common.security.scram.ScramLoginModule required username='kafka用户名' password='kafka密码'; 表12 obs连接器配置规则 规则 对应logstash配置项 类型 默认值 是否必填 描述 名称 title string -- 是 自定义来源连接器名称。命名规则如下： 名称长度取值范围为5-128个字符。 名称须为工作空间内唯一，不能与工作空间内的其他连接器名称相同。 描述 description string -- 是 自定义连接器描述。命名规则如下： 名称长度不超过256个字符。 region region string cn-north-4 是 region 桶 bucket string demo-obs-sec-mrd-datas 是 桶名 endpoint endpoint string https://obs.huawei.com 是 endpoint 缓存文件夹 temporary_directory string /temp/logstash/ 是 缓存路径 编码类型 codec string plain 否 编码格式plain或者json AK ak string -- 否 AK SK sk string -- 否 SK 前缀 prefix string test 否 路径前缀 编码格式 encoding string gzip 否 编码格式gzip或者纯文件 表13 pipe连接器配置规则 规则 对应logstash配置项 类型 默认值 是否必填 描述 名称 title string -- 是 自定义来源连接器名称。命名规则如下： 名称长度取值范围为5-128个字符。 名称须为工作空间内唯一，不能与工作空间内的其他连接器名称相同。 描述 description string -- 是 自定义连接器描述。命名规则如下： 名称长度不超过256个字符。 类型 type string 租户 是 类型可选配置有“租户”、“平台”、“E CS 委托”： 租户：通过 IAM 认证的场景此处选择“租户”，且需要同步填写“域账户”、“用户名”、“密码”。 平台：通过AK/SK认证的场景此处选择“平台”，且需要同步填写“AK”、“SK”。 ECS委托：当租户期望通过ECS委托方式 获取Token 凭证场景，可选择该配置，租户账号或密码发生变更时不影响数据采集功能。在使用ECS委托前需要在IAM上对ECS云服务授权。 流表 pipe_id string -- 是 下拉选择流表，即日志数据转入安全云脑的源数据流表。 AK ak string -- 是 仅通过AK/SK认证的场景，“类型”设置为“平台”后，需要填写AK。获取AK/SK请参见如何获取访问密钥AK/SK。 SK sk string -- 是 仅通过AK/SK认证的场景，“类型”设置为“平台”后，需要填写SK。获取AK/SK请参见如何获取访问密钥AK/SK。 域账户 domain_name string domain_name 是 iam账户domaionName。 仅通过IAM认证的场景，“类型”设置为“租户”后，需要填写“域账户”。 用户名 user_name string user_name 是 iam账户user_name。 仅通过IAM认证的场景，“类型”设置为“租户”后，需要填写“用户名”。 密码 user_password string -- 是 iam账户user_password。 仅通过IAM认证的场景，“类型”设置为“租户”后，需要填写“密码”。 压缩类型 compression_type string NONE 否 报文压缩类型，推荐使用默认值。 队列满阻止 block_if_queue_full boolean true 是 队列满阻止进入，推荐保持默认值。 启用批处理 enable_batching boolean true 是 是否开启批处理，推荐保持默认值。

源连接器 安全云脑租户采集连接器，目前支持的源连接器类型如下表所示： 表1 源连接器类型 连接器名称 对应的logstash插件 描述 传输控制协议 TCP tcp 用于接收TCP协议日志，配置规则请参见表2。 用户数据协议 UDP udp 用于接收UDP协议日志，配置规则请参见表3。 对象存储 OBS obs 用于读取对象存储OBS桶的日志数据，配置规则请参见表4。 消息队列 KAFKA kafka 用于读取Kafka网络日志数据，配置规则请参见表5。 云脑管道 PIPE pipe 用于将安全云脑数据外发到租户侧，配置规则请参见表6。 Elasticsearch CSS elasticsearch 用于读取ES集群的数据，配置规则请参见表7。 表2 tcp连接器配置规则 规则 对应logstash配置项 类型 默认值 是否必填 描述 名称 title string -- 是 自定义来源连接器名称。命名规则如下： 名称长度取值范围为5-128个字符。 名称须为工作空间内唯一，不能与工作空间内的其他连接器名称相同。 描述 description string -- 是 自定义连接器描述。命名规则如下： 名称长度不超过256个字符。 端口 port number 1025 是 配置采集节点端口号。 可使用端口号范围1025-65535。 不同连接器的端口号不能重复。 解码类型 codec string plain 是 选择编码格式。 plain：读取原始内容。 json：处理json格式内容。 是否SSL ssl_enable boolean false 否 是否开启ssl认证。 ssl证书 ssl_cert file null 否 cert证书。 ssl-key文件 ssl_key file -- 否 ssl-key文件。 ssl密钥 ssl_key_passphrase string -- 否 ssl证书密钥。 表3 udp连接器配置规则 规则 对应logstash配置项 类型 默认值 是否必填 描述 名称 title string -- 是 自定义来源连接器名称。命名规则如下： 名称长度取值范围为5-128个字符。 名称须为工作空间内唯一，不能与工作空间内的其他连接器名称相同。 描述 description string -- 是 自定义连接器描述。命名规则如下： 名称长度不超过256个字符。 端口 port number 1025 是 采集节点端口号。 可使用端口号范围1025-65535。不同连接器的端口号不能重复。 解码类型 codec string plain 是 解码类型 plain：读取原始内容。 json：处理json格式内容。 报文标签 type string udp 否 报文标签，用于后续处理的标记。一个数据采集通道对应多个数据连接场景，推荐给每个数据连接打上不同的报文标签用于区分不同数据连接的报文。 队列大小 queue_size number 1000000 否 队列大小。 接收缓冲区字节数 receive_buffer_bytes number 1000000 否 接收缓冲区字节数，保持默认值即可。 缓冲区大小 buffer_size number 1000000 否 缓冲区大小，保持默认值即可。 工作线程 workers number 1 否 工作线程数。保持默认值即可。 表4 obs连接器配置规则 规则 对应logstash配置项 类型 默认值 是否必填 描述 名称 title string -- 是 自定义来源连接器名称。命名规则如下： 名称长度取值范围为5-128个字符。 名称须为工作空间内唯一，不能与工作空间内的其他连接器名称相同。 描述 description string -- 是 自定义连接器描述。命名规则如下： 名称长度不超过256个字符。 region region string cn-north-4 是 填写数据来源所在工作空间的region。 桶 bucket string demo-obs-sec-mrd-datas 是 桶名，填写数据源所在的桶名。 endpoint endpoint string https://obs.huawei.com 是 endpoint地址，注意要添加https。通过桶详情可获取endpoint地址。 AK ak string -- 否 AK SK sk string -- 否 SK 前缀 prefix string /test 否 日志读的文件夹前缀，填写数据源在桶内的存储路径对应的文件夹前缀。 缓存文件夹 temporary_directory string /temp 否 日志读取时，缓存的文件夹。安全云脑日志数据转出时需要在缓存文件夹先缓存数据，达到一定门限后转出。用户需要在ECS创建目录/opt/cloud/logstash/myobs，并把该目录作为缓存文件夹路径。 报文标签 type string -- 否 报文标签，用于后续处理的标记。一个数据采集通道对应多个数据连接场景，推荐给每个数据连接打上不同的报文标签用于区分不同数据连接的报文。 记忆路径 sincedb_path string /opt/cloud/logstash/pipeline/file_name 否 用于设置读取的位置信息，防止重启导致的全文遍历。建议保值默认提示配置。 表5 kafka连接器配置规则 规则 对应logstash配置项 类型 默认值 是否必填 描述 名称 title string -- 是 自定义来源连接器名称。命名规则如下： 名称长度取值范围为5-128个字符。 名称须为工作空间内唯一，不能与工作空间内的其他连接器名称相同。 描述 description string -- 是 自定义连接器描述。命名规则如下： 名称长度不超过256个字符。 服务地址 bootstrap_servers string -- 是 kafka服务地址。 主题 topics array logstash 是 主题，可同时消费多个主题。 消费线程 consumer_threads number 1 是 消费线程 偏移复位 auto_offset_reset string latest 否 偏移复位: earliest：读取最早的消息 latest：读取最新的消息 SSL证书 ssl_truststore_location file -- 否 SSL证书 当选择SSL相关协议时需要填写该参数 SSL密钥 ssl_truststore_password string -- 否 SSL密钥 当选择SSL相关协议时需要填写该参数 安全协议 security_protocol string SASL_SSL 否 安全协议。 PLAINTEXT：明文传输场景。 SSL：SSL传输场景。 SASL_PLAINTEXT：SASL明文传输场景。 SASL_SSL：SASL密文传输场景。 sasl连接配置 sasl_jaas_config string -- 否 sasl连接配置 是否加密 is_pw_encrypted string false 否 是否加密 sasl机制 sasl_mechanism string PLAIN 否 sasl_mechanism， 分组Id group_id string -- 否 消费group_id 其中，“sasl连接配置”需要根据kafka规格进行填写。示例如下： 明文连接配置 1 org.apache.kafka.common.security.plain.PlainLoginModule required username='kafka用户' password='kafka密码'; 密文连接配置 1 org.apache.kafka.common.security.scram.ScramLoginModule required username='kafka用户名' password='kafka密码'; 表6 pipe连接器配置规则 规则 对应logstash配置项 类型 默认值 是否必填 描述 名称 title string -- 是 自定义来源连接器名称。命名规则如下： 名称长度取值范围为5-128个字符。 名称须为工作空间内唯一，不能与工作空间内的其他连接器名称相同。 描述 description string -- 是 自定义连接器描述。命名规则如下： 名称长度不超过256个字符。 类型 type string 租户 是 类型可选配置有“租户”、“平台”、“ECS委托”，推荐配置为“ECS委托”： 租户：通过IAM认证的场景此处选择“租户”，且需要同步填写“域账户”、“用户名”、“密码”。 平台：通过AK/SK认证的场景此处选择“平台”，且需要同步填写“AK”、“SK”。 ECS委托：当租户期望通过ECS委托方式获取Token凭证场景，可选择该配置，租户账号或密码发生变更时不影响数据采集功能。在使用ECS委托前需要在IAM上对ECS云服务授权。 流表 pipe_id string -- 是 下拉选择流表，即日志数据转出安全云脑的源数据流表。 AK ak string -- 是 仅通过AK/SK认证的场景，“类型”设置为“平台”后，需要填写AK。获取AK/SK请参见如何获取访问密钥AK/SK。 SK sk string -- 是 仅通过AK/SK认证的场景，“类型”设置为“平台”后，需要填写SK。获取AK/SK请参见如何获取访问密钥AK/SK。 域账户 domain_name string domain_name 是 iam账户domaionName。 仅通过IAM认证的场景，“类型”设置为“租户”后，需要填写“域账户”。 用户名 user_name string user_name 是 iam账户user_name。 仅通过IAM认证的场景，“类型”设置为“租户”后，需要填写“用户名”。 密码 user_password string -- 是 iam账户user_password。 仅通过IAM认证的场景，“类型”设置为“租户”后，需要填写“密码”。 订阅类型 subscription_type string Shared 否 订阅类型，保持默认值即可。 Shared：共享模式。 Exclusive：独占模式。 Failover：灾备模式。 订阅初始位置 subscription_initial_position string Latest 否 订阅初始位置，保持默认值即可。 Latest：从流表对应的topic的最新位置开始消费。 Earliest：从流表对应的topic的起始位置开始消费。 表7 elasticsearch连接器配置规则 规则 对应logstash配置项 类型 默认值 是否必填 描述 名称 title string -- 是 自定义来源连接器名称。命名规则如下： 名称长度取值范围为5-128个字符。 名称须为工作空间内唯一，不能与工作空间内的其他连接器名称相同。 描述 description string -- 是 自定义连接器描述。命名规则如下： 名称长度不超过256个字符。 主机地址 hosts array -- 是 主机地址，数据源所在主机地址。 索引 index string -- 是 索引名称 检索语句 query string -- 是 检索语句，读取数据的检索查询语句。 用户名 user string -- 是 用户名，登录ES的用户名。 密码 user_password string -- 是 密码，登录ES的密码。 查询数量 size number 20 是 查询数量 卷 scroll string 5m 是 卷 文档信息 docinfo boolean 是 是 文档信息 是否配置加密 is_pw_encrypted boolean 是 是 是否配置加密 是否SSL ssl boolean 是 否 是否SSL 证书文件 ca_file file -- 否 证书文件 是否SSL证书校验 ssl_certificate_verification boolean 是 否 是否SSL校验

操作场景 空间托管页面中，可以管理托管视图、我纳管的和纳管我的。 托管视图：查看已创建的托管视图及其详细信息，支持查看、编辑、修改、删除或批量删除托管视图。 我纳管的：呈现有哪些工作空间托管在我创建的托管视图中，支持查看我纳管的任务以及任务参数，管理我纳管的任务（包括接收、拒绝、解除、删除）。 纳管我的：呈现我的工作空间被哪些托管视图纳管着，支持查看纳管我的托管视图相关参数，支持修改已接收的托管任务、撤回已接收的托管任务、重申托管关系、解除托管关系、删除托管任务。

操作查询分析结果 安全云脑通过原始日志、日志分布直方图、图表统计形式展示查询分析结果。 日志分布直方图 此处将展示查询到的日志在时间上的分布情况，同时，将鼠标放在柱状图上，可查看该数据块代表的时间和日志命中次数。 图13 日志分布直方图 原始日志 在“原始日志”页签将展示当前查询结果。 图14 原始日志 设置显示日志数据信息： 页面中默认展示最近15分钟内的日志数据，如果需要展示其他时间数据，可以在右上角选择展示的时间。 图15 选择显示时间 如需查看某时间所有字段中的数据，可单击表格中对应时间前方的展开所有数据，默认展示以表格形式展示数据。 如需查看JSON格式数据，可以选择“JSON”页签，页面将展示JSON格式的数据。 图16 展开显示数据 如需在列表中展示/筛选某些字段信息，可在右侧可选字段中选择需展示的字段，并单击字段名称后的，该字段将显示在右侧日志数据列表中。 图17 选中显示字段 字段选中后，如需调整显示先后顺序，可在右侧日志数据列表的表头列单击该字段名称后的（向左移一列）、（向右移一列）按钮来进行调整。 图18 调整顺序 字段选中后，如需取消，可在右侧日志数据列表的表头列单击该字段名称后的按钮来进行取消，或左侧在“选定字段”单击该字段名称后的按钮来取消显示。 图19 取消选择 导出日志：在原始日志页签，在页面右上方单击图标，系统将自动下载当前原始日志表格到本地。 图表统计 查询语句查询后，在“图表统计”页签可以查看可视化的查询分析结果。 图表统计是安全云脑根据查询分析语句渲染出的结果，提供有表格、线图、柱状图、饼图等多种图表类型，详细信息请参见查看图表统计结果。 告警 在查询分析页面右上角单击“添加告警”，可以将查询分析结果设置告警，详细信息请参见快速添加日志告警模型。 快速查询 在查询分析页面右上角单击“保存为快速查询”，可以将某一查询分析条件保存为快速查询，详细信息请参见创建快速查询。

操作场景 安全云脑通过集成 企业主机安全 （Host Security Service，HSS） 漏洞扫描 数据以及手动导入漏洞数据，集中呈现云上资产漏洞风险，帮助用户及时发现资产安全短板，修复危险漏洞。 导入漏洞：针对安全云脑无法自动同步的云服务或资产的漏洞信息，支持用户手动导入漏洞数据，导入漏洞数据后，可在安全云脑统一查看跟踪。 导出漏洞：当您需要查看全量的漏洞信息时，安全云脑支持导出漏洞列表，支持用户自定义导出漏洞的参数信息。 本章节介绍如何导入、导出漏洞。

安全大屏概述 在现场讲解汇报、实时监控等场景下，为了获得更好的演示效果，通常需要将安全云脑服务的分析结果展示在大型屏幕上。如果只是单纯将控制台界面放大显示，视觉效果并不是很理想。此时可以利用安全大屏，展示专为大型屏幕设计的服务界面，获得更清晰的态势信息和更好的视觉效果。安全云脑默认提供如下安全大屏： 综合态势感知大屏：可以还原攻击历史，感知攻击现状，预测攻击态势，为用户提供强大的事前、事中、事后安全管理能力，实现一屏全面感知。 值班响应大屏：可以查看未处理告警、事件、漏洞、基线的总览情况，实现一屏全面感知。 资产大屏：可以查看资产总数、受攻击资产数、未防护资产数等总览情况，实现一屏全面感知。 威胁态势大屏：可以查看网络攻击次数、应用拦截次数、主机层拦截次数等总览情况，实现一屏全面感知。 脆弱性大屏：可以查看脆弱性资产、漏洞、基线、未防护资产等总览情况，实现一屏全面感知。 此外，安全云脑联动Astro大屏应用（Astro Canvas，简称AstroCanvas），支持指标自定义接入，页面零代码开发，数据分钟级接入。AstroCanvas以数据可视技术为核心，以屏幕轻松编排，多屏适配可视为基础，帮助非专业开发者通过图形化界面轻松搭建专业水准的 数据可视化 大屏应用，满足项目运营管理、业务监控、风险预警等多种业务场景下的一站式数据实时可视化大屏展示需求，更多AstroCanvas详细介绍请参见什么是Astro大屏应用。 安全云脑支持升级为自定义大屏，以及新增自定义大屏。 （可选）升级为自定义大屏：如果需要使用AstroCanvas大屏，且购买安全云脑时未进行购买，请参考此章节进行处理。 新增自定义大屏：购买AstroCanvas大屏后，可以根据需要新增自定义展示大屏。 支持Astro大屏的region如下：华东-乌兰察布一、华东-上海一、华东-上海二、华北-北京二、华北-北京四、华南-广州、西南-贵阳一、华南-深圳、华东-青岛、中国-香港。 父主题： 查看安全大屏

相关操作 如果需变更资产配额，可以在“已购资源”页面，选择目标区域，并单击“增加配额”，添加资产配额，详细说明请参见增加配额。 如果未同时开通增值包功能，可以在“已购资源”页面，单击页面右上角的“购买增值包”，开通增值包功能，详细说明请参见购买增值包。 如果购买按需资源后，需长期使用安全云脑服务，可以在“已购资源”页面，针对已购买的按需专业版安全云脑，单击右侧的“转包周期”将按需计费模式变更为包周期计费模式，详细说明请参见按需转包周期。 如果购买的包周期版本即将到期或已经到期，可以在“已购资源”页面，选择目标区域，并单击“续费”，延长当前包周期资源的使用期限，详细说明请参见续费。 如果不再使用资产配额或增值包功能，可以在“总览”页面右上角的版本信息中，单击“退订”或“取消”，退订相应安全云脑服务，详细说明请参见退订。

增值包规格说明 安全云脑在标准版、专业版的基础上，提供有如下增值包功能： 安全大屏 功能说明： 在现场讲解汇报、实时监控等场景下，为了获得更好的演示效果，可以将安全云脑服务的分析结果展示在大型屏幕上，获得更清晰的态势信息和更好的视觉效果，实现一屏全面感知。 同时，安全云脑联动Astro大屏应用（Astro Canvas，简称AstroCanvas），支持指标自定义接入，页面零代码开发，数据分钟级接入，更多AstroCanvas详细介绍请参见什么是Astro大屏应用。 购买配置说明： 请根据需求进行购买。 其中，AstroCanvas大屏仅支持通过包周期方式进行购买。 包周期购买时，如果仅需购买安全云脑大屏，无需购买AstroCanvas大屏，则请先选择“现在购买”，并勾选大屏下方的不购买AstroCanvas大屏，仅购买指标提示信息。 日志审计 功能说明： 支持采集各类日志数据，并对采集的数据进行存储，可以设置“每天新增日志量”和“日志存储时长”。 购买配置说明： 按需购买时，将根据实际使用的采集量和存储量进行收费，无需进行规格配置。 包周期购买时，需要根据需求测算“每天新增日志量”，设置完成后，系统将按照设置的量自动适配资源包规格，具体规格说明如表2所示。 表2 安全数据采集和安全数据保留资源包规格说明 资源包 包周期购买时，推荐配置 资源包规格 资源包规格适用区间 安全数据采集 每天采集的数据量。 安全数据采集资源包 5 GB 起购，建议按照每台虚拟机 120 MB / 天来进行配置，单个订单最大可购买 500 GB。 购买时，安全数据采集的值将自动根据用户填写的每天新增日志量的值来适配资源包规格，无需单独配置。 5 *1 GB 0 GB ~ 5 GB（含） 5 *2 GB 5 GB ~ 10 GB（含） 5 *3 GB 10 GB ~ 15 GB（含） ...... 以此类推，单个订单最大可购买 500 GB ...... 以此类推 安全数据保留 日志存储的总量。 安全数据保留资源包 100 GB 起购，建议按照“安全数据保留 = 每天新增日志量 * 7”的关系来进行配置，单个订单最大可购买 3500 GB。 购买时，安全数据保留的值将自动根据用户填写的每天新增日志量的值来适配资源包规格，无需单独配置。 100 *1 GB 0 GB ~ 100 GB（含） 100 *2 GB 100 GB ~ 200 GB（含） 100 *3 GB 200 GB ~ 300 GB（含） ...... 以此类推，单个订单最大可购买 3500 GB ...... 以此类推 安全数据保留和安全数据采集资源包额度可叠加，但不能抵扣已产生的用量，不能退订。 包周期购买安全数据保留和安全数据采集资源包后，如果超出资源包规格的用量，将会按照使用量按需收费。 包周期购买安全数据保留和安全数据采集资源包后，如果资源包到期，按需资源不会自动关闭，将会以按需的方式继续使用。 另外，包周期购买的安全数据采集资源包为每天每个配额的使用量，如果当天使用量超出了设置的规格，那么超出的部分将以按需方式进行收费。 例如：用户购买了5 GB/天/配额的为期1个月的安全数据采集资源包，如果购买当天22:00前使用了5 GB的采集量，在22:00 ~ 24:00间使用了2 GB，则超出的2 GB将额外以按需计费方式进行收费。第二天00:00开始，又重新有5 GB/天/配额。 安全分析 功能说明： 安全分析一种云原生安全信息和事件管理解决方案，主要提供日志采集、告警生成、聚合分析等能力。 购买配置说明： 安全分析免费赠送配额如表3所示，当赠送规格不够时，可以进行购买。 按需购买时，将根据实际使用量进行收费，无需进行规格配置。 包周期购买时，需要根据需求设置数据量，请参照表4配置说明进行购买。 表3 安全分析赠送规格说明 功能 标准版 专业版 安全分析 安全数据采集 120 MB/天/配额 120 MB/天/配额 安全数据保留 120 MB/天/配额 120 MB/天/配额 安全数据导出 120 MB/天/配额 120 MB/天/配额 平台安全数据 40 MB/天/配额 40 MB/天/配额 安全建模分析 × 120 MB/天/配额 表4 安全分析配置推荐 增值包功能 包周期购买时，购买量配置推荐 安全分析 推荐按照每台服务器120 MB/天的数据量进行估算。 设置后，安全数据采集、安全数据保留、安全数据导出、平台安全数据、安全建模分析功能每日可用数据量都是此设置量。如果当日使用量大于当日购买时设置的数据量，则当日无法再继续使用安全分析功能，第二天00:00才可以继续使用。 例如，设置了1 GB/天，则每台服务器都将有安全数据采集 1 GB/天、安全数据保留 1 GB/天、安全数据导出 1 GB/天、平台安全数据 1 GB/天、安全建模分析 1 GB/天。 安全编排 功能说明： 安全编排可以在检测到安全威胁时，启动自动化响应编排，联动相关云产品对威胁源执行封禁、隔离等安全措施，以实现快速且有效的安全事件处置。 购买配置说明： 安全编排免费赠送配额如表5所示，当赠送规格不够时，可以进行购买。 按需购买时，将根据实际使用次数进行收费，无需进行规格配置。 包周期购买时，需要根据需求设置操作次数，请参照表6配置说明进行购买。 表5 安全编排赠送规格说明 功能 标准版 专业版 安全编排 x 操作7000次 表6 安全编排配置推荐 增值包功能 包周期购买时，购买量配置推荐 安全编排 每台服务器支持7,000 次操作/天，请根据需求进行设置。 如果当日使用次数大于购买时设置的次数，则当日无法再继续使用安全编排功能，第二天00:00才可以继续使用。

数据投递授权相关操作 在跨租投递权限授权页面可以对投递权限进行拒绝和取消授权操作： 表1 跨租投递权限管理 操作 具体操作方法 拒绝 在目标投递任务所在行“操作”列，单击“拒绝”。 如需批量拒绝授权，可以勾选所有需要拒绝的任务，然后单击列表左上角的“拒绝”。 取消 在目标投递任务所在行“操作”列，单击“取消”。 如需批量取消授权，可以勾选所有需要取消的任务，然后单击列表左上角的“取消”。 在弹出的确认框中，单击“确定”。

操作场景 安全云脑支持集成WAF、HSS、CFW等其他云产品日志，具体集成操作及支持集成的云服务请参见数据集成。 集成后的日志还支持投递至 云日志 服务（Log Tank Service，简称LTS），方便用户快速高效地进行实时决策分析、设备运维管理、用户业务趋势分析等。 本章节将介绍如何将集成的日志数据投递至LTS。操作步骤如下： 步骤一：创建数据投递任务 步骤二：数据投递授权 步骤三：在LTS中查看投递数据

取消加白或删除白名单策略 加白名单后，再次执行检查时，将不再对已加白的检查项进行检查，且“检查项合格率”中，也将不再纳入计算中。如需再次检查该检查项目，可以执行取消加白或删除白名单策略。检查项加白名单有三种方式，三种不同加白方式下取消加白或删除白名单策略的方法如下： 当通过在检查结果页面对某检查项加白名单，可通过如下两种方式进行取消加白操作： 方式1：参考在遵从包详情页对某检查项加白名单指导，在待取消加白检查项的“操作”列单击“取消加白”，并在弹出的确认框单击“确定”。 方式2：参考通过策略设置对某检查项进行加白名单策略设置指导，删除待取消加白检查项对应的白名单策略。 当通过在遵从包详情页对某检查项加白名单 参考在遵从包详情页对某检查项加白名单指导，在待取消加白检查项的“操作”列单击“取消加白”，并在弹出的确认框单击“确定”。 当通过通过策略设置对某检查项进行加白名单策略设置，可以在“策略设置”页面删除对应的检查项加白策略。 删除：在待取消加白的检查项加白策略所在行操作列的“删除”。在弹出的“删除”页面确认信息后单击“确定”。 批量删除：勾选待取消加白的检查项加白策略，支持同时勾选多个加白策略，单击“批量删除”。在弹出的“删除”页面确认信息后单击“确定”。

基线检查方式 自动执行基线检查 SecMaster默认每隔3天检查一次，每次在00:00~06:00对您账号下当前region所有资产按照“安全上云合规检查1.0”遵从包进行检查。默认检查计划仅支持变更开启或关闭自动执行基线检查的操作。 自定义定时执行基线检查 支持自定义自动检查周期、检查时间和检查范围，“安全上云合规检查1.0”、“护网检查”、“华为 云安全 配置基线”里的支持自动化项的检查项。定时执行基线检查详细操作请参见定时执行基线检查。 立即执行基线检查 支持立即检查所有检查规范或某个检查计划，实时查看是否存在基线风险。支持用户设置遵从包中的可自动化项的检查项。针对仅支持手动检查的检查项系统会生成检查结果为“待检查”的检查项，需要用户线下执行手动检查后在控制台反馈检查结果。立即执行基线检查详细操作请参见立即执行基线检查。 立即检查所有遵从包：检查已有的，且已启用的遵从包中所有自动检查项的遵从情况。 立即执行某个检查计划：检查已选择的检查计划中设置的遵从包中的检查项目的遵从情况。 立即检查某个或某些检查项目：检查选中的检查项。 手动执行基线检查 基线检查的一些检查项目为手动检查项，需要您在线下执行检查后，再在控制台上反馈检查结果，以便计算检查项合格率。另外，自动检查的检查项目也可以进行手动检查。 基线检查的“等保2.0三级要求”、“GDPR”中所有的检查项目、“安全上云合规检查1.0”、“护网检查”、“华为云安全配置基线”中的一些检查项目为手动检查项。 手动检查详细操作请参见手动执行基线检查。

操作场景 含义：资产连接是安全编排流程中，每个插件节点需要使用到的连接 域名 和鉴权参数。 作用：用于在安全编排的流程执行过程中，每个插件节点运行时，传入需要连接的域名信息，以及在访问该域名时，需要使用到的用户鉴权信息，如用户名/密码、账号AK/SK等。 资产连接与插件的关系：每个插件在运行过程中，需要通过域名调用的方式访问其他云服务或者三方服务，调用过程中需要鉴权，因此，在插件的登录凭证参数中会定义需要的域名参数（Endpoint）和认证参数（用户名/密码、账号AK/SK等）。资产连接则是配置插件登录凭证的参数值，流程中每个插件节点绑定不同的资产连接，支持相同插件的不同节点访问不同的服务。 本章节主要介绍如何管理资产连接，包括：新增资产连接、查看资产连接、编辑资产连接、删除资产连接。

操作场景 本章节介绍用户如何通过管理控制台查看工作空间的信息，包括名称、类型和创建时间等。 安全云脑支持在空间管理页面中可以查看全局工作空间的信息。如果无法查看且界面提示未购买安全云脑，请先开通安全云脑任意版本。 例如，您在“华北-北京四”region已购买安全云脑、创建并使用工作空间。目前，切换至“华东-上海一”region的空间管理页面中可以查看“华北-北京四”工作空间信息。如果界面提示未购买安全云脑，且无法查看工作空间信息，请先开通安全云脑任意版本，开通后即可查看。

操作场景 本文介绍模型模板的管理操作。 查看模型模板：安全云脑根据常用场景内置了多种模型模板（包括场景说明、模型原理、处置建议、使用约束等信息），支持查看模板的的详情信息。 新建或编辑模型：安全云脑支持利用模型对管道中的日志数据进行监控，如果检测到有满足模型中设置触发条件的内容时，将产生告警提示。新建模型可以使用使用已有模型模板创建告警模型，也支持自定义新建告警模型。当模型的信息发生变化需要更新时可编辑模型。 查看模型：可查看模型的严重程度和模型列表信息。模型列表中，可查看当前已有模型的严重程度、名称/ID、管道名称、模型类型、更新时间和创建时间等信息。 管理模型：介绍如何启用、停用、删除模型。

集群联邦版本发布记录 表1 UCS集群联邦版本发布记录 UCS集群联邦版本号 支持的集群版本 更新特性 当前状态 UCS集群联邦版本商用时间 UCS集群联邦版本EOS（停止服务时间） v1.10.7-r25 v1.19~v1.31 创建联邦负载，后端默认添加以下容忍策略： key: cluster.karmada.io/not-ready key: cluster.karmada.io/unreachable 商用 2025.6 2027.6 v1.10.7-r16 v1.19~v1.31 支持Kubernetes 1.31集群版本 支持联邦资源RBAC细粒度权限控制 商用 2025.4 2027.4 v1.10.7-r6 v1.19~v1.30 支持Kubernetes 1.30集群版本 支持MCI配置service维度的健康检查 支持MCI配置参数冲突校验 商用 2024.11 2026.11 v1.10.3-r10 v1.19~v1.29 修复集群状态异常时应用迁移问题 商用 2024.7 2026.7 父主题： 产品发布记录

计算节点部署方式 云租户部署： 数据上云的用户可以选择“云租户部署”。 可信计算 节点部署在华为云租户的 虚拟私有云VPC 中，可信计算节点组件部署在基于华为云CCE服务的容器中。 当前仅支持直接创建CCE集群，不支持选择已有集群。您需要配置CCE集群的部署规格、虚拟私有云、子网、节点密码、弹性IP等信息。 关于CCE集群的更多信息可参考CCE。 选择边缘节点部署计算节点： 数据不上云的用户可以选择“边缘节点部署”。数据不需要上传到云上，通过纳管节点的方式，即可参与多方安全计算或者联邦学习任务，关于IEF边缘节点的更多信息可参考IEF。 您可参考纳管节点来纳管节点，注意：纳管节点防火墙需要开通30000-65535端口，且需要建立消息端点和消息路由，步骤如下： 登录IEF服务，选择左侧“边 云消息 ”列，选择“消息端点”。 创建消息端点，填写相关参数。 “消息端点类型”选择“边缘端点（ServiceBus）”； “消息端点名称”参数值为“tics-agent”； “服务端口”参数值为“30000”。 选择左侧“边云消息”列，单击“消息路由”，勾选“专业版服务实例”，填写相关参数。 “消息路由名称”参数值为“tics-agent-route”； “源端点”参数值为“SystemREST”； “源端点资源”参数值为“/tics-agent”； “目的端点”参数值为“tics-agent”； “目的端点资源”参数值为“/”。

在资产中心使用模板安装应用 安装应用。 参考如何登录Astro低代码平台中操作，登录Astro低代码平台。 在左侧导航栏中，选择“资产中心”。 在全部应用页签中，单击和您的业务类似的应用模板。 在弹出的页面，单击“安装应用”。 在安装模板应用弹框中，设置应用图标、名称和描述信息，单击“确定”，即可完成应用的创建。 如果模板中包含自定义连接器（目前仅支持无鉴权的自定义连接器），则在跨租户使用模板安装应用的过程，平台会自动将该自定义连接器复制到自定义连接器的“模板安装”分类下。 复制的连接器命名规则如下： 原名称添加时间戳后缀。 若补充时间戳后长度超出限制，则截断原名称部分。 若原名称自带时间戳，则替换时间戳部分。 图2 设置应用名称 二次开发应用。 应用安装后，可以直接使用该应用，也可以根据自身业务的需求进行二次开发。 应用开发完成后，在应用发布中可根据自身业务需求，选择发布应用并上架到门户或申请上架到资产中心。 图3 应用发布配置 发布应用并上架到门户。 门户可以理解为应用的首页，在Astro低代码平台的门户配置中，支持客户定制个性化门户页面、实现千商千面。如何上架应用到门户，请参见应用上架、门户配置。 申请上架到资产中心。 将应用作为模板上架到Astro资产中心，为自己的品牌做推广。如何上架应用到资产中心，请参见将模板上架到资产中心。

为什么选择华为云Astro轻应用 以模型驱动，快速构建业务应用 模型驱动，支持数据导入导出，对象编排。 关联一键生成页面，快速构建应用。 适配不同业务场景的页面标准。 支持标准页面自适应布局，高级页面适配多终端。 脚本引擎，在线低码开发复杂业务逻辑 支持自定义开发，定制更灵活 现代化的编辑界面，语法高亮显示，代码联想提示。 在线IDE，智能提示，自动补全，快速编译。 支持页面调测和性能查看，快速定位逻辑Bug。 服务编排，搭积木式应用构建，积木零件组合复用 拖拉拽式编排流程，图形化展示服务逻辑。 逻辑单元封装，通过图元形式集成到服务编排中，可重新组合。 运行服务编排支持断点调试，日志跟踪，页面性能查看。 集成开发，灵活实现系统间对接 连接器&API开放，可以快速对接第三方系统。 业务逻辑单元，沉淀领域业务功能，多场景复用。 定制高级页面组件，沉淀行业资产。 可配置触发器，自动执行逻辑任务。 更多选择理由，请参见产品优势和应用场景。

解决方法 以下步骤中的命令是以CentOS、Red Hat、Oracle Enterprise Linux、SUSE、Euler OS、Fedora或OpenSUSE系统为例，其他操作系统执行命令可参考挂载NFS文件系统到云服务器（Linux）。 登录云服务器，查看nfs-utils是否已安装。执行如下命令，如果没有结果表示未安装。 rpm -qa|grep nfs 图1 查看是否已安装软件包 执行如下命令，安装nfs-utils软件包。 yum -y install nfs-utils 图2 执行安装命令 图3 安装成功 重新执行挂载命令。将文件系统挂载到云服务器上。 mount -t nfs -o vers=3,timeo=600,noresvport,nolock 挂载地址 本地路径 挂载完成后，执行如下命令，查看已挂载的文件系统。 mount -l 如果回显包含如下类似信息，说明挂载成功。 example.com:/share-xxx on /local_path type nfs (rw,vers=3,timeo=600,nolock,addr=)

排查思路 以下排查思路根据原因的出现概率进行排序，建议您从高频率原因往低频率原因排查，从而帮助您快速找到问题的原因。 如果解决完某个可能原因仍未解决问题，请继续排查其他可能原因。 图1 排查思路 表1 排查思路 可能原因 处理措施 文件系统和挂载的服务器不在同一个可用区 在与服务器相同的可用区新建一个文件系统，将另一可用区的文件系统数据迁移至新文件系统后，再将新文件系统挂载至服务器。 使用场景与文件系统类型不匹配 结合业务场景，参考文件系统类型，选择正确的文件系统类型。 SFS容量型文件系统容量较小 SFS容量型文件系统的性能与容量相关：20MB/TB，100TB的文件系统最大带宽为2GB，如需更大带宽则需要购买更大容量的文件系统。如果需要更高性能，请提交工单申请。 并发数过高或过低 并发数过高或过低均有可能导致文件系统性能变差，请提交工单进行技术咨询。 日志文件路径中包含变量 使用Nginx写日志到文件系统时，出现耗时长的现象，可以参考以下方法处理： 删除access_log指令中的变量，使用固定路径存储日志文件。 使用open_log_file_cache命令设置日志文件描述符缓存，可以提高包含变量的日志文件存放路径的性能。 本地网络故障，访问文件系统较慢 如果存在网络故障，解决网络故障，确保网络正常。

计费示例 示例一：云硬盘采用包年/包月计费模式 客户在购买通用型SSD V2云硬盘时，容量选择100GiB，预配置性能为5000 IOPS、325MiB/s吞吐量。 假设包年/包月容量价钱为0.5元/GiB/月，按需IOPS单价为0.0000153元/IOPS/小时，按需吞吐量单价为0.00194元/MiBps/小时。 购买1个月（30天）的总费用=容量费用+IOPS费用+吞吐量费用=100*0.5*1+(5000-3000)*0.0000153*24*30+(325-125)*0.00194*24*30=50+22.032+279.36=351.392元 示例二：云硬盘采用按需计费模式 客户在购买通用型SSD V2云硬盘时，容量选择100GiB，预配置性能为5000 IOPS、325MiB/s吞吐量。 假设按需容量价钱为0.000695元/GiB/小时，按需IOPS单价为0.0000153元/IOPS/小时，按需吞吐量单价为0.00194元/MiBps/小时。 购买24小时的总费用=容量费用+IOPS费用+吞吐量费用=100*0.000695*24+(5000-3000)*0.0000153*24+(325-125)*0.00194*24=1.668+0.7344+9.312=11.7344元

配置预配置性能 进入购买磁盘页面。 在购买页面中，设置云硬盘的配置参数。 选择云硬盘类型为通用型SSD V2，并配置云硬盘容量。 设置IOPS。 设置吞吐量。 其他详细的参数配置，请参见购买云硬盘。 单击“立即购买”。 如果您选择的计费模式是“包年/包月”。 在“订单确认”页面，您可以再次核对云硬盘信息。 确认无误后，单击“去支付”。 在“支付”页面，根据界面提示，单击“确认付款”，页面显示“订单支付成功”。 单击“进入云硬盘控制台”，返回“云硬盘”主页面。 如果您选择的计费模式是“按需计费”。 在“规格确认”页面，您可以再次核对云硬盘信息。 确认无误后，单击“提交”，页面显示“任务提交成功”。 单击“前往磁盘列表”，返回“云硬盘”主页面。 如果您在购买通用SSD V2型云硬盘时，无法准确预测预配置性能吞吐量与IOPS配比，那么建议您采取“二一配比”方法设置性能：例如，假如您计划使用600MiB/s吞吐量，那么设置30000 IOPS；假如您计划使用1000MiB/s吞吐量，那么设置50000 IOPS。 如您在业务运行之后发现IOPS或者吞吐量无法满足业务诉求或者远超业务诉求，则可以随时调整IOPS或者吞吐量设置。

云硬盘性能 表1 云硬盘性能数据表 参数 通用型SSD V2 云硬盘最大容量 系统盘：1024 GiB 数据盘：32768 GiB 基准IOPS 3000 最大IOPS 128000 基准吞吐量 125MiB/s 最大吞吐量 1000 MiB/s 单队列访问时延 1 ms IOPS突发上限 NA 云硬盘IOPS性能计算公式 IOPS值由用户预配置，范围为3000~128000，具体可配置值≤(500*容量) 云硬盘吞吐量性能计算公式 吞吐量值由用户配置，范围为125~1000MiB/s，具体可配置值≤(IOPS/4) API名称 说明： 此处API名称为云硬盘API接口中“volume_type”参数的取值，不代表底层存储设备的硬件类型。 GPSSD2 典型应用场景 各种主流的高性能、低延迟交互应用场景。 企业办公、虚拟桌面 大型开发测试 转码类业务 系统盘 大中型规模的数据库（SQL Server 、 Oracle 、NoSQL、PostgreSQL）

计费模式 表2 云硬盘采用包年/包月计费模式 计费项 计费方式 说明 容量 容量费用=包年/包月容量费用 IOPS和吞吐量按照购买时的预配置值计算费用。了解云硬盘 定价 详情，请参见云硬盘价格详情。 IOPS IOPS费用=（预配置IOPS-基准IOPS)*IOPS单价*时长 吞吐量 吞吐量费用=（预配置吞吐量-基准吞吐量)*吞吐单价*时长 表3 云硬盘采用按需计费模式 计费项 计费方式 说明 容量 容量费用=容量*容量单价*时长 IOPS和吞吐量按照购买时的预配置值计算费用。了解云硬盘定价详情，请参见云硬盘价格详情。 IOPS IOPS费用=（预配置IOPS-基准IOPS)*IOPS单价*时长 吞吐量 吞吐量费用=（预配置吞吐量-基准吞吐量)*吞吐单价*时长

什么是磁盘模式 根据是否支持高级的SCSI命令来划分磁盘模式，分为VBD(虚拟块存储设备 , Virtual Block Device)类型和SCSI (小型计算机系统接口, Small Computer System Interface) 类型。 VBD类型：磁盘模式默认为VBD类型。VBD类型的磁盘只支持简单的SCSI读写命令。 SCSI类型：SCSI类型的磁盘支持SCSI指令透传，允许云服务器操作系统直接访问底层存储介质。除了简单的SCSI读写命令，SCSI类型的磁盘还可以支持更高级的SCSI命令。 磁盘模式在购买磁盘时配置，购买完成后无法修改。

SCSI磁盘的常见使用场景和建议 SCSI磁盘：BMS仅支持使用SCSI磁盘，用作系统盘和数据盘。 SCSI共享盘：当您使用共享盘时，需要结合分布式文件系统或者集群软件使用。由于多数常见集群需要使用SCSI锁，例如Windows MSCS集群、Veritas VCS集群和CFS集群，因此建议您结合SCSI使用共享盘。 如果将SCSI共享盘挂载至ECS时，需要结合云服务器组的反亲和性一同使用，SCSI锁才会生效。

ECS支持的磁盘模式 ECS支持的磁盘模式由规格类型决定，同时，还与ECS所属的操作场景相关。 表1 ECS支持的磁盘模式 操作场景 磁盘模式（系统盘） 磁盘模式（数据盘） 购买ECS时 通用计算增强型C7：SCSI。 内存优化型M7：SCSI。 含“physical” 附加标识的裸金属类型：SCSI。 其余规格类型：VBD。 通用计算增强型C7：SCSI。 内存优化型M7：SCSI。 含“physical” 附加标识的裸金属类型：SCSI。 其余规格类型：VBD或SCSI。 为已购买ECS挂载磁盘时 不涉及 通用计算增强型C7：VBD或SCSI。 内存优化型M7：VBD或SCSI。 含“physical” 附加标识的裸金属类型：SCSI。 其余规格类型：VBD或SCSI。

计费公式 快照存储费用 = 快照单价 * 快照链容量 * 计费时长 标准快照单价：每GiB容量每小时的费用，单位为“元/GiB/小时”。关于标准快照价格，请参见云硬盘价格详情对应的区域，了解标准快照上线区域请查看支持的区域。 标准快照链容量：快照链下所有快照的数据块实际占用的存储空间。详情参见查看快照链容量。 计费时长：快照创建完成后开始计费，快照删除后结束计费。 计费示例： 假设快照单价为0.0001667元/GiB/小时，云硬盘EVS-Test，有一个快照链，快照链容量为100GiB，那么该快照链下所有快照存储3小时的费用如下： 快照存储费用 = 0.0001667元/GiB/小时 * 100GiB * 3小时 = 0.05001元

云硬盘突发能力及原理 突发能力是指小容量云硬盘可以在一定时间内达到IOPS突发上限，超过IOPS上限的能力。此处IOPS上限为单个云硬盘的性能。 突发能力适用于云服务器启动场景，一般系统盘容量较小，以50 GiB的超高IO云硬盘为例，如果没有突发能力，根据IOPS性能计算公式IOPS = min (50000, 1800 + 50 × 容量)，50 GiB的超高IO云硬盘IOPS上限只能达到4300，但使用突发能力后，IOPS可高达16000，从而提升云服务器的启动速度。 以超高IO云硬盘为例，单个超高IO云硬盘的IOPS突发上限为16000。 容量为100 GiB的云硬盘，其IOPS上限为6800，IOPS突发上限为16000，因此在一定时间内该云硬盘的最大IOPS可达到16000。 容量为1000 GiB的云硬盘，其IOPS上限为50000，但是IOPS突发上限仅为16000，云硬盘的IOPS上限已经超过了突发IOPS，因此该云硬盘无需突发能力。 以下介绍云硬盘突发IOPS的消耗原理和储蓄原理。 突发的实现基于令牌桶，令牌桶中的初始令牌数量 = 突发时间 × IOPS突发上限，此处突发时间固定为1800 s。 以100 GiB的超高IO云硬盘为例，令牌桶容量为28800000个令牌（1800 s × 16000 ）。 令牌的生成速度：该桶以6800个/s的速度生成令牌，其中6800为该云硬盘的IOPS上限。 令牌的消耗速度：根据实际IO使用情况而定，每个IO会消耗一个令牌，最大消耗速度为16000个/s，此处取突发IOPS上限和云硬盘IOPS上限的较大值。 消耗原理 当令牌消耗速度大于令牌的生成速度时，令牌数量会逐渐减少，最后IOPS会维持跟桶生成令牌的速度一致，即云硬盘的IOPS上限。本示例中，可以维持突发IOPS的时间为3130 s ≈ 28800000 / (16000 - 6800) 。 储蓄原理 当令牌的消耗速度小于令牌的生成速度时，桶中的令牌会逐渐增加，之后又可以拥有突发能力。本示例中，如果云硬盘暂停使用4235 s ≈ 28800000 / 6800，令牌桶就可以存满。 桶中的令牌数量只要大于零，云硬盘就具有突发能力。 本示例中令牌的消耗和储蓄原理如图1所示。蓝色柱状表示云硬盘IOPS的使用情况，绿色虚线为IOPS上限，红色虚线为IOPS突发上限，黑色曲线表示令牌数量的变化趋势。 当令牌数量大于零时，IOPS可以突破6800，即具有达到IOPS突发上限16000的能力。 当令牌数为零时，此时不具备突发能力，IOPS最大为6800。 当实际IOPS小于6800时，令牌数量开始增加，可以恢复突发能力。 图1 突发能力示意图