华为云用户手册

开启防DDoS攻击 针对DDoS攻击，华为云提供多种安全防护方案，您可以根据您的实际业务选择合适的防护方案。华为云DDoS防护服务（Anti-DDoS Service，简称AAD）提供了DDoS原生基础防护（Anti-DDoS流量清洗）、DDoS原生专业防护和DDoS高防三个子服务。 其中，DDoS原生基础防护为免费服务，DDoS原生专业防护和DDoS高防为收费服务。 关于DDoS原生专业防护和DDoS高防请单击DDoS防护了解更多。 购买弹性云服务器时，如果选择了购买弹性公网IP，那么控制台会提示您已免费开启DDoS基础防护。 图4 免费开启DDoS基础防护 DDoS原生基础防护（Anti-DDoS流量清洗）服务（以下简称Anti-DDoS）为云服务器提供DDoS攻击防护和攻击实时告警通知。同时，Anti-DDoS可以提升用户带宽利用率，确保用户业务稳定运行。 Anti-DDoS通过对互联网访问公网IP的业务流量进行实时监测，及时发现异常DDoS攻击流量。在不影响正常业务的前提下，根据用户配置的防护策略，清洗掉攻击流量。同时，Anti-DDoS为用户生成监控报表，清晰展示网络流量的安全状况。

增加登录密码的强度 “密钥对”方式创建的弹性云服务器安全性更高，建议选择“密钥对”方式。如果您习惯使用“密码”方式，请增强密码的复杂度，如表2所示，保证密码符合要求，防止恶意攻击。 系统不会定期自动修改弹性云服务器密码。为安全起见，建议您定期修改密码。 密码设置建议： 密码应该长度不少于10位。 建议不要使用有一定特征和规律容易被破解的常用口令的密码（如：在常用彩虹表中的密码、滚键盘密码等），且密码复杂度至少包含大写字母、小写字符、数字、特殊字符四类中的三种。 密码尽量不要包含账户名如：adminstrator/administrator，test/test，root/root，oracle/oracle，mysql/mysql。 建议至少每90天更改一次密码。 建议不要重复使用最近5次（含5次）内已使用的密码。 建议根据不同应用设置不同的账号密码，不建议多个应用使用同一密码。 表2 密码设置规则 参数 规则 密码 密码长度范围为8到26位。 密码至少包含以下4种字符中的3种： 大写字母 小写字母 数字 Windows操作系统云服务器特殊字符：包括“$”、“!”、“@”、“%”、“-”、“_”、“=”、“+”、“[”、“]”、“:”、“.”、“/”、“,”和“?” Linux操作系统云服务器特殊字符：包括“!”、“@”、“%”、“-”、“_”、“=”、“+”、“[”、“]”、“:”、“.”、“/”、“^”、“,”、“{”、“}”和“?” 密码不能包含用户名或用户名的逆序。 Windows操作系统的云服务器，不能包含用户名中超过两个连续字符的部分。 Windows操作系统的云服务器，不能以“/”为密码首字符。

提升云服务器的端口安全 安全组是云服务器的守卫，是重要的网络安全隔离手段，可以保护云服务器的网络安全。安全组可以控制进出云服务器的网络流量。网络流量分为出方向和入方向，出方向是指您想访问别人，入方向就是别人想访问你。如果把云服务器比作一个宫殿，那安全组就像是一个守卫者，谁能进出，都由安全组规则控制。 通过配置安全组规则，限定云服务器出方向和入方向的访问端口，通常建议您关闭高危端口，仅开启必要的云服务器端口。 常见的高危端口如表3所示，建议您修改敏感端口为其它非高危端口来承载业务。请参考云服务器常用端口。 表3 常见的高危端口 协议 端口 TCP 42 135 137 138 139 444 445 593 1025 1068 1434 3127 3128 3129 3130 4444 4789 5554 5800 5900 9996 UDP 135~139 1026 1027 1028 1068 1433 1434 4789 5554 9996

配置云堡垒机 云堡垒机（Cloud Bastion Host，CBH）可以实时收集和监控网络环境中每个组成部分的系统状态、安全事件和网络活动，保障网络和数据不受来自外部或内部用户的入侵和破坏，便于集中报警、及时处理及审计定责。 登录云堡垒机后，您需要依次创建用户、资源、访问策略，依次创建成功后才能对资源进行管理和运维。 云堡垒机支持Web浏览器、SSH客户端和MSTSC客户端三种登录方式。 Web浏览器登录：支持系统管理和资源运维功能。建议系统管理员admin或管理人员使用Web浏览器登录进行系统管理和授权审计。 SSH客户端登录：在不改变用户原来使用SSH客户端习惯的前提下，可对授权资源进行运维管理。运维人员可选择使用SSH客户端直接登录运维资源。 MSTSC客户端登录：在不改变用户原来使用MSTSC客户端习惯的前提下，可对授权资源进行运维管理。运维人员可选择使用MSTSC客户端直接登录运维资源。 在使用云堡垒机进行系统管理和运维前，管理人员需要在CBH系统中创建系统用户，为用户分配不同系统角色。 根据角色系统权限的不同，用户拥有不同的系统操作和访问权限，新创建的用户登录系统，即可访问角色权限内模块。 仅admin拥有管理系统角色的权限。 云堡垒机系统集中管理云资源，主要包括管理资源账户和运维权限管理。为实现统一管理资源，需添加资源到系统。 一个主机或应用资源可能有多个登录主机或应用的账户。 CBH系统纳管主机或应用的账户（资源账户）后，无需反复输入账户和密码，通过登录资源账户，自动登录资源进行运维管控。 系统默认资源账户Empty，登录Empty资源账户时需手动输入主机账户和对应密码。 若需通过云堡垒机运维资源，还需配置访问控制策略，关联用户和资源，赋予用户相应资源访问控制权限。 用户获取资源访问控制权限后，通过系统登录资源进行运维，运维过程被全程监控记录。 运维用户可根据资源类型选择不同登录方式。 用户获取相应系统权限和运维权限后，可通过云堡垒机登录已授权的资源进行运维操作，以及在系统进行系统数据管理操作。 管理员可在系统Web页面审计用户系统登录和操作，以及审计用户运维会话。

监控云服务器 监控是保持弹性云服务器可靠性、可用性和性能的重要部分，通过监控，用户可以观察弹性云服务器资源。为使用户更好地掌握自己的弹性云服务器运行状态，云平台提供了云监控。您可以使用该服务监控您的弹性云服务器，执行自动实时监控、告警和通知操作，帮助您更好地了解弹性云服务器的各项性能指标。 主机监控分为基础监控、操作系统监控和进程监控。 基础监控 基础监控无需安装Agent，是ECS自动上报的监控指标。基础监控指标的监控周期为5分钟（KVM实例）。 操作系统监控 操作系统监控需要在弹性云服务器中安装Agent插件，为用户提供服务器的系统级、主动式、细颗粒度监控服务。操作系统监控的监控周期为1分钟（KVM实例）。 购买云服务器时的开启操作系统监控的方法： 您可以在购买时勾选“开启详细监控”，勾选后云平台将自动安装操作系统监控所需的Agent插件。 当前仅部分操作系统支持在购买时开启详细监控。 图2 购买云服务器时开启操作系统监控 为已创建完成的云服务器开启操作系统监控的方法： 如果创建时未勾选“开启详细监控”，如需使用操作系统监控，您需要手动安装Agent。 安装配置Agent相关操作请参考云监控服务“Agent安装配置方式说明”。 进程监控 进程监控需要在弹性云服务器中安装Agent插件，对主机内活跃进程进行监控，进程监控的监控周期为1分钟（KVM实例）。 开启主机监控后您可以通过设置弹性云服务器告警规则，自定义监控目标与通知策略，及时了解弹性云服务器运行状况，从而起到预警作用。 在ECS的控制台单击即可查看监控指标。 图3 查看云服务器监控指标

防护类型简介 提升云服务器的安全性，分为云服务器“外部安全防护”和“内部安全防护”两方面。 表1 提升云服务器安全的方法 类型 说明 防护方法 外部安全防护 常见的DDoS攻击、木马或病毒的入侵都是常见的外部安全问题。针对这类问题有多种常见的防护方案，例如开启主机安全防护您可以根据您的实际业务选择合适的防护方案。 开启主机安全防护 配置云堡垒机 监控云服务器 开启防DDoS攻击 定期备份数据 内部安全防护 弱密码、开放错误的端口都可能引起内部安全防护问题，不提升云服务器的内部安全防护，外部安全防护方案就无法有效的拦截和阻断各种外部攻击。 增加登录密码的强度 提升云服务器的端口安全 定期升级操作系统

开启主机安全防护 主机安全服务（Host Security Service，HSS）是提升服务器整体安全性的服务，通过主机管理、风险防御、入侵检测、安全运营、网页防篡改功能，可全面识别并管理云服务器中的信息资产，实时监测云服务器中的风险，降低服务器被入侵的风险。 使用主机安全需要在云服务器中安装Agent。安装Agent后，您的云服务器将受到HSS云端防护中心全方位的安全保障，在安全控制台可视化界面上，您可以统一查看并管理同一区域内所有主机的防护状态和主机安全风险。 您在使用主机安全服务前，需要先在弹性云服务器上安装Agent。针对新创建的云服务器和已有的云服务器，提供不同的安装方式： 场景一：新创建云服务器 购买弹性云服务器，选择部分操作系统的公共镜像时，系统推荐您配套使用主机安全服务（Host Security Service, HSS）。 开启“主机安全”需要设置“安全防护”参数： 免费开启主机安全基础防护：开启后，为您的主机提供四大安全防御能力，包括主机安全基础版防御（免费赠送一个月）、账号破解防护、弱口令检测、恶意程序检测等功能。 主机安全基础版免费使用期限结束后，该防护配额将自动释放，停止相应的实时防护能力。 如您需要保留或升级原有安全能力，建议您购买主机安全。详细情况，请参见主机安全的版本功能特性。 购买弹性云服务器时，默认设置该选项。 购买高阶防护：高阶防护属于企业版，需付费使用，支持漏洞修复、病毒查杀、等保必备。 不使用安全防护：若您不需要进行安全防护，可选择此选项。 选择主机安全后系统自动安装主机安全Agent，开启账号防御，启用主机安全服务的功能。 主机安全服务支持基础版、企业版、旗舰版和网页防篡改版 ，请参考主机安全服务版本差异。 若基础版或企业版不满足要求，您可以购买其他版本配额，在主机安全服务控制台切换不同版本，获取更高级的防护，且不需要重新安装Agent。 图1 开通主机安全 场景二：未配置主机安全的云服务器 对于已经创建完成的弹性云服务器，可能由于创建时尚未支持主机安全服务或未设置“安全防护”参数。如需使用主机安全，您需要手动安装Agent。 具体操作请参见手动安装Agent、手动开启防护。

（可选）安装lspci工具 登录弹性云服务器。 更新镜像源，获取安装依赖。 wget http://mirrors.myhuaweicloud.com/repo/mirrors_source.sh && bash mirrors_source.sh 更多内容，请参见如何使用自动化工具配置华为云镜像源(x86_64和ARM)？ 执行以下命令，安装lspci工具。 CentOS系统： yum install pciutils Ubuntu系统： apt install pciutils 执行以下命令，查看安装结果。 lspci -d 10de: 图3 安装结果

获取安装脚本 您可以通过执行以下命令，获取支持GPU监控和NPU监控的CES Agent的安装脚本。 表3 安装脚本的支持区域及获取方式 区域 安装脚本 华北-北京一 单台ECS安装： cd /usr/local && curl -k -O https://uniagent-cn-north-1.obs.cn-north-1.myhuaweicloud.com/package/agent_install.sh && bash agent_install.sh -r cn-north-1 -u 0.1.5 -t 2.6.7.1 -d agent.ces.myhuaweicloud.com 多台ECS批量安装： cd /usr/local && curl -k -O https://uniagent-cn-north-1.obs.cn-north-1.myhuaweicloud.com/package/batch_agent_install.sh && bash batch_agent_install.sh -r cn-north-1 -u 0.1.5 -t 2.6.7.1 -d agent.ces.myhuaweicloud.com 华北-北京四 单台ECS安装： cd /usr/local && curl -k -O https://uniagent-cn-north-4.obs.cn-north-4.myhuaweicloud.com/package/agent_install.sh && bash agent_install.sh -r cn-north-4 -u 0.1.5 -t 2.6.7.1 -d agent.ces.myhuaweicloud.com 多台ECS批量安装： cd /usr/local && curl -k -O https://uniagent-cn-north-4.obs.cn-north-4.myhuaweicloud.com/package/batch_agent_install.sh && bash batch_agent_install.sh -r cn-north-4 -u 0.1.5 -t 2.6.7.1 -d agent.ces.myhuaweicloud.com 华北-乌兰察布一 单台ECS安装： cd /usr/local && curl -k -O https://obs.cn-north-9.myhuaweicloud.com/uniagent-cn-north-9/package/agent_install.sh && bash agent_install.sh -r cn-north-9 -u 0.1.5 -t 2.6.7.1 -d agent.ces.myhuaweicloud.com 多台ECS批量安装： cd /usr/local && curl -k -O https://obs.cn-north-9.myhuaweicloud.com/uniagent-cn-north-9/package/batch_agent_install.sh && bash batch_agent_install.sh -r cn-north-9 -u 0.1.5 -t 2.6.7.1 -d agent.ces.myhuaweicloud.com 华南-广州 单台ECS安装： cd /usr/local && curl -k -O https://uniagent-cn-south-1.obs.cn-south-1.myhuaweicloud.com/package/agent_install.sh && bash agent_install.sh -r cn-south-1 -u 0.1.5 -t 2.6.7.1 -d agent.ces.myhuaweicloud.com 多台ECS批量安装： cd /usr/local && curl -k -O https://uniagent-cn-south-1.obs.cn-south-1.myhuaweicloud.com/package/batch_agent_install.sh && bash batch_agent_install.sh -r cn-south-1 -u 0.1.5 -t 2.6.7.1 -d agent.ces.myhuaweicloud.com 华东-上海一 单台ECS安装： cd /usr/local && curl -k -O https://uniagent-cn-east-3.obs.cn-east-3.myhuaweicloud.com/package/agent_install.sh && bash agent_install.sh -r cn-east-3 -u 0.1.5 -t 2.6.7.1 -d agent.ces.myhuaweicloud.com 多台ECS批量安装： cd /usr/local && curl -k -O https://uniagent-cn-east-3.obs.cn-east-3.myhuaweicloud.com/package/batch_agent_install.sh && bash batch_agent_install.sh -r cn-east-3 -u 0.1.5 -t 2.6.7.1 -d agent.ces.myhuaweicloud.com 华东-上海二 单台ECS安装： cd /usr/local && curl -k -O https://uniagent-cn-east-2.obs.cn-east-2.myhuaweicloud.com/package/agent_install.sh && bash agent_install.sh -r cn-east-2 -u 0.1.5 -t 2.6.7.1 -d agent.ces.myhuaweicloud.com 多台ECS批量安装： cd /usr/local && curl -k -O https://uniagent-cn-east-2.obs.cn-east-2.myhuaweicloud.com/package/batch_agent_install.sh && bash batch_agent_install.sh -r cn-east-2 -u 0.1.5 -t 2.6.7.1 -d agent.ces.myhuaweicloud.com 西南-贵阳一 单台ECS安装： cd /usr/local && curl -k -O https://uniagent-cn-southwest-2.obs.cn-southwest-2.myhuaweicloud.com/package/agent_install.sh && bash agent_install.sh -r cn-southwest-2 -u 0.1.5 -t 2.6.7.1 -d agent.ces.myhuaweicloud.com 多台ECS批量安装： cd /usr/local && curl -k -O https://uniagent-cn-southwest-2.obs.cn-southwest-2.myhuaweicloud.com/package/batch_agent_install.sh && bash batch_agent_install.sh -r cn-southwest-2 -u 0.1.5 -t 2.6.7.1 -d agent.ces.myhuaweicloud.com 中国-香港 单台ECS安装： cd /usr/local && curl -k -O https://uniagent-ap-southeast-1.obs.ap-southeast-1.myhuaweicloud.com/package/agent_install.sh && bash agent_install.sh -r ap-southeast-1 -u 0.1.5 -t 2.6.7.1 -d agent.ces.myhuaweicloud.com 多台ECS批量安装： cd /usr/local && curl -k -O https://uniagent-ap-southeast-1.obs.ap-southeast-1.myhuaweicloud.com/package/batch_agent_install.sh && bash batch_agent_install.sh -r ap-southeast-1 -u 0.1.5 -t 2.6.7.1 -d agent.ces.myhuaweicloud.com 亚太-曼谷 单台ECS安装： cd /usr/local && curl -k -O https://uniagent-ap-southeast-2.obs.ap-southeast-2.myhuaweicloud.com/package/agent_install.sh && bash agent_install.sh -r ap-southeast-2 -u 0.1.5 -t 2.6.7.1 -d agent.ces.myhuaweicloud.com 多台ECS批量安装： cd /usr/local && curl -k -O https://uniagent-ap-southeast-2.obs.ap-southeast-2.myhuaweicloud.com/package/batch_agent_install.sh && bash batch_agent_install.sh -r ap-southeast-2 -u 0.1.5 -t 2.6.7.1 -d agent.ces.myhuaweicloud.com 亚太-新加坡 单台ECS安装： cd /usr/local && curl -k -O https://uniagent-ap-southeast-3.obs.ap-southeast-3.myhuaweicloud.com/package/agent_install.sh && bash agent_install.sh -r ap-southeast-3 -u 0.1.5 -t 2.6.7.1 -d agent.ces.myhuaweicloud.com 多台ECS批量安装： cd /usr/local && curl -k -O https://uniagent-ap-southeast-3.obs.ap-southeast-3.myhuaweicloud.com/package/batch_agent_install.sh && bash batch_agent_install.sh -r ap-southeast-3 -u 0.1.5 -t 2.6.7.1 -d agent.ces.myhuaweicloud.com 亚太-雅加达 单台ECS安装： cd /usr/local && curl -k -O https://obs.ap-southeast-4.myhuaweicloud.com/uniagent-ap-southeast-4/package/agent_install.sh && bash agent_install.sh -r ap-southeast-4 -u 0.1.5 -t 2.6.7.1 -d agent.ces.myhuaweicloud.com 多台ECS批量安装： cd /usr/local && curl -k -O https://obs.ap-southeast-4.myhuaweicloud.com/uniagent-ap-southeast-4/package/batch_agent_install.sh && bash batch_agent_install.sh -r ap-southeast-3 -u 0.1.5 -t 2.6.7.1 -d agent.ces.myhuaweicloud.com 非洲-约翰内斯堡 单台ECS安装： cd /usr/local && curl -k -O https://uniagent-af-south-1.obs.af-south-1.myhuaweicloud.com/package/agent_install.sh && bash agent_install.sh -r af-south-1 -u 0.1.5 -t 2.6.7.1 -d agent.ces.myhuaweicloud.com 多台ECS批量安装： cd /usr/local && curl -k -O https://uniagent-af-south-1.obs.af-south-1.myhuaweicloud.com/package/batch_agent_install.sh && bash batch_agent_install.sh -r af-south-1 -u 0.1.5 -t 2.6.7.1 -d agent.ces.myhuaweicloud.com 拉美-墨西哥城二 单台ECS安装： cd /usr/local && curl -k -O https://uniagent-la-north-2.obs.la-north-2.myhuaweicloud.com/package/agent_install.sh && bash agent_install.sh -r la-north-2 -u 0.1.5 -t 2.6.7.1 -d agent.ces.myhuaweicloud.com 多台ECS批量安装： cd /usr/local && curl -k -O https://uniagent-la-north-2.obs.la-north-2.myhuaweicloud.com/package/batch_agent_install.sh && bash batch_agent_install.sh -r ap-southeast-3 -u 0.1.5 -t 2.6.7.1 -d agent.ces.myhuaweicloud.com 拉美-圣地亚哥 单台ECS安装： cd /usr/local && curl -k -O https://obs.la-south-2.myhuaweicloud.com/uniagent-la-south-2/package/agent_install.sh && bash agent_install.sh -r la-south-2 -u 0.1.5 -t 2.6.7.1 -d agent.ces.myhuaweicloud.com 多台ECS批量安装： cd /usr/local && curl -k -O https://obs.la-south-2.myhuaweicloud.com/uniagent-la-south-2/package/batch_agent_install.sh && bash batch_agent_install.sh -r ap-southeast-3 -u 0.1.5 -t 2.6.7.1 -d agent.ces.myhuaweicloud.com 中东-利雅得 单台ECS安装： cd /usr/local && curl -k -O https://uniagent-me-east-1.obs.me-east-1.myhuaweicloud.com/package/agent_install.sh && bash agent_install.sh -r me-east-1 -u 0.1.5 -t 2.6.7.1 -d agent.ces.myhuaweicloud.com 多台ECS批量安装： cd /usr/local && curl -k -O https://uniagent-me-east-1.obs.me-east-1.myhuaweicloud.com/package/batch_agent_install.sh && bash batch_agent_install.sh -r ap-southeast-3 -u 0.1.5 -t 2.6.7.1 -d agent.ces.myhuaweicloud.com

操作步骤（多台ECS批量安装） 本操作以Ubuntu 18.04 64bit操作系统、Pi2规格的GPU加速型实例为例，介绍多台ECS批量安装支持GPU监控的CES Agent的操作指导。 批量安装的多台ECS需要归属于同一个VPC。 使用root用户，远程登录其中一台弹性云服务器。 执行以下命令，为这一台ECS安装支持GPU监控的CES Agent。 以“华北-北京四”为例，其余区域的安装脚本，请参见获取安装脚本。 cd /usr/local && curl -k -O https://uniagent-cn-north-4.obs.cn-north-4.myhuaweicloud.com/package/agent_install.sh && bash agent_install.sh -r cn-north-4 -u 0.1.5 -t 2.6.7.1 -d agent.ces.myhuaweicloud.com 其中，“cn-north-4”表示区域ID，“0.1.5”是uniagent版本号，“2.6.7.1”是telescope版本号。 当支持GPU监控的CES Agent安装成功，且数据采集正常时，可以将此ECS作为跳板机，通过批量安装脚本依次为其他ECS批量安装支持GPU监控的CES Agent。 收集需要批量安装支持GPU监控的CES Agent的所有ECS的IP地址和root用户密码，以iplist.txt格式整理，并上传到ECS跳板机的/usr/local目录下。 iplist.txt格式为“IP地址,root用户密码”，每个记录一行。 示例如下所示（示例中abcd为root用户密码，请按实际值填写）： 192.168.1.1,abcd 192.168.1.2,abcd 执行以下命令，为多台ECS批量安装支持GPU监控的CES Agent。 以“华北-北京四”为例，其余区域的批量安装脚本，请参见获取安装脚本。 cd /usr/local && curl -k -O https://uniagent-cn-north-4.obs.cn-north-4.myhuaweicloud.com/package/batch_agent_install.sh && bash batch_agent_install.sh -r cn-north-4 -u 0.1.5 -t 2.6.7.1 -d agent.ces.myhuaweicloud.com 其中，cn-north-4是RegoinID，0.1.5是uniagent版本号，2.6.7.1是telescope版本号。 当显示如下内容，表示支持GPU监控的CES Agent安装成功。 图2 支持GPU监控的CES Agent安装成功

约束与限制 仅支持Linux操作系统。 使用私有镜像创建的云服务器需手动安装监控组件并安装驱动。 对于GPU监控： 支持GPU监控的Linux公共镜像如表1所示。 表1 支持GPU监控的Linux版本 类型 版本 CentOS（64bit） 7.6、7.9、8.2 Ubuntu（64bit） 16.04、18.04、20.04 支持GPU监控的规格：G6v、G6、P2s、P2v、P2vs、G5、Pi2、Pi1、P1。 对于NPU监控： 支持NPU监控的Linux公共镜像如所示。 表2 支持NPU监控的Linux版本 类型 版本 CentOS（64bit） 7.6：Ai1s、Ai2、Kai1s、Kai2 7.7-7.9：Ai2、Kai2 Ubuntu（64bit） 18.04 支持NPU监控的规格：Ai1s, Ai2, Kai1s, Kai2。

操作场景 监控与告警是保证异构云服务器（GPU加速型实例、AI加速型实例）高可靠性、高可用性和高性能的重要功能。 通过在异构类（例如，GPU加速型实例、AI加速型实例）的Linux实例上安装支持对应监控的CES Agent，可以为用户提供系统级、主动式、细颗粒度的监控，包含相关异构指标收集和系统事件上报。 当前支持的异构加速卡及对应的监控指标种类如下： GPU监控指标，请参见操作系统监控指标：GPU。 NPU监控指标，请参见操作系统监控指标：NPU。 本章节介绍如何通过安装脚本为异构（GPU加速型、AI加速型）实例安装支持对应监控的CES Agent： 操作步骤（单台ECS安装） 操作步骤（多台ECS批量安装）

操作步骤（单台ECS安装） 本操作以Ubuntu 18.04 64bit操作系统、Pi2规格的GPU加速型实例为例，介绍单台ECS安装支持GPU监控的CES Agent的操作指导。 使用root用户，远程登录弹性云服务器。 执行以下命令，为单台ECS安装支持GPU监控的CES Agent。 以“华北-北京四”为例，其余区域的安装脚本，请参见获取安装脚本。 cd /usr/local && curl -k -O https://uniagent-cn-north-4.obs.cn-north-4.myhuaweicloud.com/package/agent_install.sh && bash agent_install.sh -r cn-north-4 -u 0.1.5 -t 2.6.7.1 -d agent.ces.myhuaweicloud.com 其中，“cn-north-4”表示区域ID，“0.1.5”是uniagent版本号，“2.6.7.1”是telescope版本号。 当显示如下内容，表示支持GPU监控的CES Agent安装成功。 图1 支持GPU监控的CES Agent安装成功

前提条件 已配置DNS和安全组，配置方法参考如何配置DNS和安全组？。 已配置委托，配置方法参考如何配置委托？。 实例已安装对应驱动。 GPU加速型实例：已安装GPU驱动。 未安装GPU驱动的云服务器不支持采集GPU指标数据及上报事件。 如果您的弹性云服务器未安装GPU驱动，可参见（推荐）GPU加速型实例自动安装GPU驱动（Linux）。 AI加速型实例：已安装NPU驱动 未安装NPU驱动的云服务器不支持采集NPU指标数据及上报事件。 使用公共镜像创建的AI加速型实例默认已安装特定版本驱动，如果您使用私有镜像创建AI加速型实例，或者因其他原因需要安装驱动，请参考昇腾文档中心对应版本的《CANN软件安装指南》。 安装驱动需使用默认路径。 驱动安装完后，需重启实例，否则可能导致采集指标及上报事件失败。 驱动正常安装后，最多10分钟将在控制台看到采集到的指标数据。 已安装lspci工具，未安装lspci工具的云服务器影响GPU掉卡事件的上报。 安装lspci工具的方法，请参见（可选）安装lspci工具。 确保云服务器的安装目录都有读写权限，并且安装成功后的Telescope进程不会被其他软件关闭。

前提条件 已配置DNS和安全组，配置方法参考如何配置DNS和安全组？。 已配置委托，配置方法参考如何配置委托？。 已安装GPU驱动，未安装GPU驱动的云服务器不支持采集GPU指标数据及上报事件。 如果您的弹性云服务器未安装GPU驱动，可参见（推荐）GPU加速型实例自动安装GPU驱动（Windows）。 安装GPU驱动需使用默认路径。 GPU驱动安装完后，需重启GPU加速型实例，否则可能导致采集GPU指标及上报GPU事件失败。 GPU驱动正常安装后，最多10分钟将在控制台看到采集到的GPU指标数据。 需使用具有Administrator权限的账户进行安装，例如Administrator用户。 确保云服务器的安装目录都有读写权限，并且安装成功后的Telescope进程不会被其他软件关闭。

操作步骤 本操作以Windows Server 2019 标准版 64位操作系统、Pi2规格的GPU加速型实例为例，介绍单台ECS安装新版支持GPU监控的CES Agent的操作指导。 使用Administrator用户，远程登录弹性云服务器。 在浏览器地址栏输入地址，下载安装脚本。 以“华东-上海一”为例，安装脚本地址为： https://uniagent-cn-east-3.obs.cn-east-3.myhuaweicloud.com/package/install_amd64.exe 其余区域的安装脚本，请参见获取安装脚本。 （可选）在以下路径，卸载旧版本支持GPU监控的CES Agent。 C:\Program Files\uniagent\script\uninstall.bat 以管理员身份打开cmd命令窗口，在“install_amd64.exe”下载目录下，执行以下命令安装支持GPU监控的CES Agent安装脚本。 install_amd64.exe [-r RegionID] [-u UniagentVersion] [-t TelescopeVersion] [-d AgentApiDomain] 命令示例： install_amd64.exe -r cn-east-3 -u 0.1.5 -t 2.6.7.1 -d agent.ces.myhuaweicloud.com 其中， RegoinID：cn-east-3 UniagentVersion：0.1.5 TelescopeVersion：2.6.7.1 AgentApiDomain：agent.ces.myhuaweicloud.com 如果命令执行后出现“Access is denied”，可能是由于未以管理员身份打开cmd命令窗口导致，请切换为管理员身份重新执行命令。 当界面显示“Install service success”或“Install agent successfully”时，说明支持GPU监控的CES Agent安装成功并启动。 图1 支持GPU监控的CES Agent安装成功

获取安装脚本 您可以通过以下地址，下载获取新版支持CES监控Agent的安装脚本。 表2 安装脚本的支持区域及获取地址 区域 安装脚本 华北-北京一 https://uniagent-cn-north-1.obs.cn-north-1.myhuaweicloud.com/package/install_amd64.exe 华北-北京四 https://uniagent-cn-north-4.obs.cn-north-4.myhuaweicloud.com/package/install_amd64.exe 华北-乌兰察布一 http://obs.cn-north-9.myhuaweicloud.com/uniagent-cn-north-9/package/install_amd64.exe 华南-广州 https://uniagent-cn-south-1.obs.cn-south-1.myhuaweicloud.com/package/install_amd64.exe 华东-上海一 https://uniagent-cn-east-3.obs.cn-east-3.myhuaweicloud.com/package/install_amd64.exe 华东-上海二 https://uniagent-cn-east-2.obs.cn-east-2.myhuaweicloud.com/package/install_amd64.exe 西南-贵阳一 https://uniagent-cn-southwest-2.obs.cn-southwest-2.myhuaweicloud.com/package/install_amd64.exe 中国-香港 https://uniagent-ap-southeast-1.obs.ap-southeast-1.myhuaweicloud.com/package/install_amd64.exe 亚太-曼谷 https://uniagent-ap-southeast-2.obs.ap-southeast-2.myhuaweicloud.com/package/install_amd64.exe 亚太-新加坡 https://uniagent-ap-southeast-3.obs.ap-southeast-3.myhuaweicloud.com/package/install_amd64.exe 亚太-雅加达 https://obs.ap-southeast-4.myhuaweicloud.com/uniagent-ap-southeast-4/package/install_amd64.exe 非洲-约翰内斯堡 https://uniagent-af-south-1.obs.af-south-1.myhuaweicloud.com/package/install_amd64.exe 拉美-墨西哥城二 https://uniagent-la-south-2.obs.la-south-2.myhuaweicloud.com/package/install_amd64.exe 拉美-圣地亚哥 https://uniagent-la-north-2.obs.la-north-2.myhuaweicloud.com/package/install_amd64.exe

操作场景 监控与告警是保证异构云服务器（GPU加速型实例、AI加速型实例）高可靠性、高可用性和高性能的重要功能。 通过在异构类（GPU加速型）的Windows实例上安装支持对应监控的CES Agent，可以为用户提供系统级、主动式、细颗粒度的监控，包含指标收集和系统事件上报。 当前支持的异构加速卡及对应的监控指标种类为GPU监控指标，请参见操作系统监控指标：GPU。 本章节介绍如何通过安装脚本为GPU加速型实例安装新版支持GPU监控的CES Agent。

约束与限制 仅支持Windows操作系统，且仅部分Windows镜像版本支持GPU监控。 表1 支持GPU监控的Windows版本 类型 版本 Windows（64bit） Windows Server 2016 标准版 64位 Windows Server 2016 数据中心版 64位 Windows Server 2019 标准版 64位 Windows Server 2019 数据中心版 64位 支持的规格：G6v、G6、P2s、P2v、P2vs、Pi2、Pi1、P1。 不支持监听Windows类型GPU加速型实例的Xid事件。 使用私有镜像创建的云服务器需手动安装监控组件并安装驱动。

使用限制 单账号跟踪的事件可以通过云审计控制台查询。多账号的事件只能在账号自己的事件列表页面去查看，或者到组织追踪器配置的OBS桶中查看，也可以到组织追踪器配置的CTS/system日志流下面去查看。 用户通过云审计控制台只能查询最近7天的操作记录。如果需要查询超过7天的操作记录，您必须配置转储到对象存储服务(OBS)，才可在OBS桶里面查看历史文件。否则，您将无法追溯7天以前的操作记录。 云上操作后，1分钟内可以通过云审计控制台查询管理类事件操作记录，5分钟后才可通过云审计控制台查询数据类事件操作记录。

调用API示例 在工程中引入sdk（signer.go）。 import "apig-sdk/go/core" 生成一个新的Signer，输入AppKey和AppSecret。 // 认证用的ak和sk编码到代码中或者明文存储都有很大的安全风险，建议在配置文件或者环境变量中密文存放，使用时解密，确保安全； // 本示例以ak和sk保存在环境变量中来实现身份验证为例，运行本示例前请先在本地环境中设置环境变量SDK_AK和SDK_SK。 ak = os.Getenv("SDK_AK"); sk = os.Getenv("SDK_SK"); s := core.Signer{ Key: ak, Secret: sk, } 生成一个新的Request，指定域名、方法名、请求url、query和body。 r, _ := http.NewRequest("POST", "http:/c967a237-cd6c-470e-906f-a8655461897e.apigw.cn-north-1.huaweicloud.com/api?a=1&b=2", ioutil.NopCloser(bytes.NewBuffer([]byte("foo=bar")))) 给请求添加header头，内容为具体参数数据。如有需要，添加需要签名的其他头域。 r.Header.Add("x-stage", "RELEASE") r.Header.Add("name","value") 进行签名，执行此函数会在请求中添加用于签名的X-Sdk-Date头和Authorization头。然后为请求添加x-Authorization头，值与Authorization头相同。 s.Sign(r) authorization := r.Header.Get("Authorization") r.Header.Add("x-Authorization", authorization) 访问API，查看访问结果。 resp, err := http.DefaultClient.Do(r) body, err := ioutil.ReadAll(resp.Body)

准备环境 已获取API的域名、请求url、请求方法、AppKey和AppSecret等信息，具体参见认证前准备。 获取并安装Nodejs安装包，如果未安装，请至Nodejs官方网站下载。 Nodejs安装后，在命令行中，用npm安装“moment”和“moment-timezone”模块。 npm install moment --save npm install moment-timezone --save 获取并安装IntelliJ IDEA，如果未安装，请至IntelliJ IDEA官方网站下载。 已在IntelliJ IDEA中安装NodeJS插件，如果未安装，请按照图1所示安装。 图1 安装NodeJS插件

调用API（Node.js）示例 在工程中引入signer.js。 1 2 var signer = require('./signer') var http = require('http') 生成一个新的Signer，填入AppKey和AppSecret。 1 2 3 4 5 6 7 8 // 认证用的ak和sk编码到代码中或者明文存储都有很大的安全风险，建议在配置文件或者环境变量中密文存放，使用时解密，确保安全； // 本示例以ak和sk保存在环境变量中来实现身份验证为例，运行本示例前请先在本地环境中设置环境变量SDK_AK和SDK_SK。 var ak = process.env.SDK_AK; var sk = process.env.SDK_SK; var sig = new signer.Signer(); sig.Key = ak; sig.Secret = sk; 生成一个Request对象，指定方法名、请求uri和body。 1 2 var r = new signer.HttpRequest("POST", "c967a237-cd6c-470e-906f-a8655461897e.apigw.cn-north-1.huaweicloud.com/app1?a=1"); r.body = '{"a":1}' 给请求添加header头，内容为具体参数数据。如有需要，添加需要签名的其他头域。 1 r.headers = { "x-stage":"RELEASE", "name":"value"} 进行签名，执行此函数会生成请求参数，用于创建http(s)请求，请求参数中添加了用于签名的X-Sdk-Date头和Authorization头。然后为请求参数添加x-Authorization头，值与Authorization头相同。 1 2 var opt = sig.Sign(r) opt.headers["x-Authorization"] = opt.headers["Authorization"] 访问API，查看访问结果。如果使用https访问，则将“http.request”改为“https.request”。 1 2 3 4 5 6 7 8 9 10 11 var req=http.request(opt, function(res){ console.log(res.statusCode) res.on("data", function(chunk){ console.log(chunk.toString()) }) }) req.on("error",function(err){ console.log(err.message) }) req.write(r.body) req.end()

调用API示例 使用JavaScript SDK生成curl命令。 获取“ApiGateway-javascript-sdk.zip”压缩包并解压。在浏览器中打开demo.html，页面如下图所示。 填入Key、Secret、方法名、请求协议、域名和url（认证用的ak和sk编码到代码中或者明文存储都有很大的安全风险，建议在配置文件或者环境变量中密文存放，使用时解密，确保安全）。本示例从前端输入，仅用于演示，例如： 1 2 3 4 Key=4f5f626b-073f-402f-a1e0-e52171c6100c Secret=****** Method=POST Url=https://{apig-endpoint} 填入json格式的Query和Headers，填入Body。其中所访问API的ID为必填项，需要填入具体的ID信息，以参数"x-api-id"填入Headers中。 单击“Send request”，生成curl命令。 $ curl -X POST "https://{apig-endpoint}/" -H "X-Sdk-Date: 20180530T115847Z" -H "Authorization: SDK-HMAC-SHA256 Access=071fe245-9cf6-4d75-822d-c29945a1e06a, SignedHeaders=host;x-sdk-date, Signature=9e5314bd156d517******dd3e5765fdde4" -d "" 为命令添加x-Authorization头，值与Authorization头相同。将curl命令复制到命令行，访问API。 $ curl -X POST "https://{apig-endpoint}/" -H "X-Sdk-Date: 20180530T115847Z" -H "Authorization: SDK-HMAC-SHA256 Access=071fe245-9cf6-4d75-822d-c29945a1e06a, SignedHeaders=host;x-sdk-date, Signature=9e5314bd156d517******dd3e5765fdde4" -H "X-Authorization: SDK-HMAC-SHA256 Access=071fe245-9cf6-4d75-822d-c29945a1e06a, SignedHeaders=host;x-sdk-date, Signature=9e5314bd156d517******dd3e5765fdde4" -d "" Congratulations, sdk demo is running

调用API示例 在工程中引入sdk。 1 using APIGATEWAY_SDK; 生成一个新的Signer， 填入AppKey和AppSecret。 1 2 3 4 5 6 7 8 // 认证用的ak和sk编码到代码中或者明文存储都有很大的安全风险，建议在配置文件或者环境变量中密文存放，使用时解密，确保安全； // 本示例以ak和sk保存在环境变量中来实现身份验证为例，运行本示例前请先在本地环境中设置环境变量SDK_AK和SDK_SK。 string ak = System.Environment.GetEnvironmentVariable("SDK_AK"); string sk = System.Environment.GetEnvironmentVariable("SDK_SK"); Signer signer = new Signer(); signer.Key = ak; signer.Secret = sk; 生成一个HttpRequest对象，指定域方法名、请求url和body。 1 2 3 HttpRequest r = new HttpRequest("POST", new Uri("https://c967a237-cd6c-470e-906f-a8655461897e.apigw.cn-north-1.huaweicloud.com/app1?query=value")); r.body = "{\"a\":1}"; 给请求添加header头，内容为具体参数数据。如有需要，添加需要签名的其他头域。 1 2 r.headers.Add("x-stage", "RELEASE"); r.headers.Add("name","value"); 进行签名，执行此函数会生成一个新的HttpWebRequest，并在请求参数中添加用于签名的X-Sdk-Date头和Authorization头。然后为请求添加x-Authorization头，值与Authorization头相同。 1 2 HttpWebRequest req = signer.Sign(r); req.Headers.Add("x-Authorization", string.Join(", ", req.Headers.GetValues("x-Authorization"))); 访问API，查看访问结果。 1 2 3 4 5 6 var writer = new StreamWriter(req.GetRequestStream()); writer.Write(r.body); writer.Flush(); HttpWebResponse resp = (HttpWebResponse)req.GetResponse(); var reader = newStreamReader(resp.GetResponseStream()); Console.WriteLine(reader.ReadToEnd());

调用API示例 在Android工程中的“app/libs”目录下，加入SDK所需jar包。其中jar包必须包括： java-sdk-core-x.x.x.jar commons-logging-1.2.jar joda-time-2.9.9.jar 在“build.gradle”文件中加入okhttp库的依赖。 在“build.gradle”文件中的“dependencies”下加入“implementation 'com.squareup.okhttp3:okhttp:3.11.0'”。 1 2 3 4 5 dependencies { ... ... implementation 'com.squareup.okhttp3:okhttp:3.11.0' } 创建request，输入AppKey和AppSecret，并指定域名、方法名、请求uri和body。 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 Request request = new Request(); try { // 认证用的ak和sk编码到代码中或者明文存储都有很大的安全风险，建议在配置文件或者环境变量中密文存放，使用时解密，确保安全； // 本示例以ak和sk保存在环境变量中来实现身份验证为例，运行本示例前请先在本地环境中设置环境变量SDK_AK和SDK_SK。 String ak = System.getenv("SDK_AK"); String sk = System.getenv("SDK_SK"); request.setKey(ak); request.setSecret(sk); request.setMethod("POST"); request.setUrl("https://c967a237-cd6c-470e-906f-a8655461897e.apigw.cn-north-1.huaweicloud.com/app1"); request.addQueryStringParam("name", "value"); request.addHeader("Content-Type", "text/plain"); request.addHeader("name", "value"); request.setBody("demo"); } catch (Exception e) { e.printStackTrace(); return; } 对请求进行签名，并为请求添加x-Authorization头，值与Authorization头相同。然后生成okhttp3.Request对象来访问API。 1 2 3 4 5 okhttp3.Request signedRequest = Client.signOkhttp(request); String authorization = signedRequest.header("Authorization"); signedRequest = signedRequest.newBuilder().addHeader("x-Authorization",authorization).build(); OkHttpClient client = new OkHttpClient.Builder().build(); Response response = client.newCall(signedRequest).execute();

准备环境 已获取API的域名、请求url、请求方法、AppKey和AppSecret等信息，具体参见认证前准备。 获取并安装IntelliJ IDEA，如果未安装，请至IntelliJ IDEA官方网站下载。 获取并安装PHP安装包，如果未安装，请至PHP官方下载页面下载。 将PHP安装目录中的“php.ini-production”文件复制到“C:\windows”，改名为“php.ini”，并在文件中增加如下内容。 1 2 3 extension_dir = "php安装目录/ext" extension=openssl extension=curl 已在IntelliJ IDEA中安装PHP插件，如果未安装，请按照图1所示安装。 图1 安装PHP插件

准备环境 已获取API的域名、请求url、请求方法、AppKey和AppSecret等信息，具体参见认证前准备。 获取并安装Python安装包（可使用2.7.9+或3.X），如果未安装，请至Python官方下载页面下载。 Python安装完成后，在命令行中使用pip安装“requests”库。 pip install requests 如果pip安装requests遇到证书错误，请下载并使用Python执行此文件，升级pip，然后再执行以上命令安装。 获取并安装IntelliJ IDEA，如果未安装，请至IntelliJ IDEA官方网站下载。 已在IntelliJ IDEA中安装Python插件，如果未安装，请按照图1所示安装。 图1 安装Python插件

调用API示例 在工程中引入apig_sdk。 1 2 3 from apig_sdk import signer import requests import os 生成一个新的Signer，填入AppKey和AppSecret。 1 2 3 4 5 6 7 8 # 认证用的ak和sk编码到代码中或者明文存储都有很大的安全风险，建议在配置文件或者环境变量中密文存放，使用时解密，确保安全； # 本示例以ak和sk保存在环境变量中来实现身份验证为例，运行本示例前请先在本地环境中设置环境变量SDK_AK和SDK_SK。 ak = os.environ("SDK_AK"); sk = os.environ("SDK_SK"); sig = signer.Signer() sig.Key = ak sig.Secret = sk 生成一个Request对象，指定方法名、请求uri、header和body。 1 2 3 4 r = signer.HttpRequest("POST", "https://c967a237-cd6c-470e-906f-a8655461897e.apigw.cn-north-1.huaweicloud.com/app1?a=1", {"x-stage": "RELEASE", "name": "value"}, "body") 进行签名，执行此函数会在请求参数中添加用于签名的X-Sdk-Date头和Authorization头。然后为请求添加x-Authorization头，值与Authorization头相同。 1 2 sig.Sign(r) r.headers["x-Authorization"] = r.headers["Authorization"] 访问API，查看访问结果。 1 2 3 resp = requests.request(r.method, r.scheme + "://" + r.host + r.uri, headers=r.headers, data=r.body) print(resp.status_code, resp.reason) print(resp.content)

解决方法 方法一：对指定数据库生效 以root用户连接数据库。 执行以下命令，切换enable_set_variables参数。 alter database databasename set b_format_behavior_compat_options = 'enable_set_variables'; 方法二：对指定的实例生效 以root用户连接数据库实例。 切换到数据库实例用户。 su - omm "omm" 为安装数据库实例用户，请以实际数据库实例用户为准。 执行以下命令，设置数据库参数。 gs_guc reload -Z datanode -N all -I all -c "b_format_behavior_compat_options='enable_set_variables'";