华为云用户手册

安全组规则修改（可选） 该解决方案使用22端口用来远程登录弹性云服务器 E CS ，默认对该方案创建的VPC子网网段放开，请参考修改安全组规则，配置IP地址白名单，以便能正常访问服务。 安全组实际是网络流量访问策略，包括网络流量入方向规则和出方向规则，通过这些规则为安全组内具有相同保护需求并且相互信任的云服务器、云容器、云数据库等实例提供安全保护。 如果您的实例关联的安全组策略无法满足使用需求，比如需要添加、修改、删除某个TCP端口，请参考以下内容进行修改。 添加安全组规则：根据业务使用需求需要开放某个TCP端口，请参考添加安全组规则添加入方向规则，打开指定的TCP端口。 修改安全组规则：安全组规则设置不当会造成严重的安全隐患。您可以参考修改安全组规则，来修改安全组中不合理的规则，保证云服务器等实例的网络安全。 删除安全组规则：当安全组规则入方向、出方向源地址/目的地址有变化时，或者不需要开放某个端口时，您可以参考删除安全组规则进行安全组规则删除。

名词解释 基本概念、云服务简介、专有名词解释 虚拟私有云 VPC：是用户在华为云上申请的隔离的、私密的虚拟网络环境。用户可以基于VPC构建独立的云上网络空间，配合弹性公网IP、云连接、云专线等服务实现与Internet、云内私网、跨云私网互通，帮您打造可靠、稳定、高效的专属云上网络。 弹性云服务器 ECS：是一种云上可随时自助获取、可弹性伸缩的计算服务，可帮助您打造安全、可靠、灵活、高效的应用环境。 对等连接：是指两个VPC之间的网络连接。您可以使用私有IP地址在两个VPC之间进行通信，就像两个VPC在同一个网络中一样。同一区域内，您可以在自己的VPC之间创建对等连接，也可以在自己的VPC与其他帐户的VPC之间创建对等连接。不同区域间的VPC之间不能创建对等连接。

会控功能列表 会议控制包括主席会议控制和普通与会者控制，如表1所示。 表1 会控功能列表 角色 会议控制功能 主席 邀请入会 删除已挂断的会场 呼叫未接通会场 挂断会场 打开或关闭麦克风 结束会议 延长会议 释放主席 设置多画面 广播/停止广播会场或多画面 观看会场或多画面 点名发言/取消点名发言 声控切换 锁定/解锁会议 循环广播（仅Web支持） 循环观看（仅Web支持） 锁定/取消会议演示（仅Web支持） 普通与会者 离开会议 观看会场或多画面 申请主席 打开或关闭本地麦克风 被会议主席静音后取消静音 申请发言

了解操作界面 正视图 侧视图 指示灯说明： 通过检查指示灯状态，能够及时了解企业智慧屏的运行状态，保证企业智慧屏及其周边设备的正常运行，指示灯状态如表1所示。 表1 指示灯状态 指示灯状态 企业智慧屏状态 灭 关机 绿灯快速闪烁（2次/秒） 正在启动 绿灯快速闪烁（4次/秒） 正在升级 绿灯长亮 正常工作 绿灯呼吸灯 休眠 红灯闪烁（1次/秒） 触控屏异常 红灯闪烁（1次/5秒） 硬件故障 红灯快速闪烁（4次/秒） 软件故障 红灯闪烁（1次/2.5秒） 温度过高或者风扇堵转 红灯闪烁（2次/秒） IP地址冲突 接口图 表2 接口说明 接口种类 编号 接口说明 功能 音频输出接口 1 3.5mm音频输出接口 连接外置扬声器，输出远端会场的声音。 音频输入接口 2 3.5mm音频输入接口 连接计算机等声音输入源。 3 HD-AI音频输入接口 连接阵列麦克风VPM220或Mic 500。 视频输出接口 4 HDMI高清视频输出接口，最高支持1080p 60fps分辨率，支持音频输出。 扩展连接第2个显示屏，可以呈现白板内容或者会场图像。 视频输入接口 5 HDMI高清视频输入接口，最高支持1080p 60fps分辨率。 外接摄像机。 6 HDMI高清视频输入接口，最高支持4K 30fps分辨率，支持音频输入。 会场材料输入接口，可连接计算机等设备。 当企业智慧屏同时连接OPS和计算机时，可根据需求配置其中1个作为会场材料输入源。 其他接口 7 USB Type-B接口 连接计算机，用于有线材料共享时反向控制计算机。 8 USB Type-A接口 外接USB设备，例如IdeaShare投屏器、U盘、键盘或鼠标。 9 COM口 连接摄像机控制线，用于控制摄像机，也可以用于企业智慧屏故障诊断与维护。 10 Touch接口 连接Touch。 11 以太网口，10M/100M/1000M全双工和半双工接口。支持IP网络透传。 对外业务网口。 12 复位按钮 启动的同时，长按此键10秒恢复备份系统。 正常运行时，长按15秒可以恢复出厂设置。 13 USB Type-A接口 外接USB设备，例如IdeaShare投屏器、U盘、键盘或鼠标。

五大场景 IdeaHub提供五大场景功能——会议、白板、投屏，应用和负一屏欢迎页。您可以在会议模块中随时开启白板和投屏进行共享，也可以单独使用白板和投屏模块进行书写和无线投屏。 白板：白板协作，头脑风暴更精彩 投屏：无线投屏，共享材料不受限 会议：大屏会议，沟通交流更便捷 应用：企业应用，数据展示更丰富、互动方式更多样 负一屏欢迎页：企业领导，来宾到访，负一屏随意切换，自由编辑白板，提供3种欢迎页模板并可对欢迎页内容、字体等按需定制

白板操作 新建一块新的白板。 点击 ，新建另一页白板，当前白板内容不会丢失。 点击，调出页面管理，可以快速查看或者删除任一白板。 编辑白板内容。 画笔 ：可以选择铅笔或毛笔。 橡皮擦 ：擦除书写内容可以通过手指点擦进行精准擦除，也可以通过拳头或者手掌大面积擦除。 双击 可以选择“擦除”或“清屏”。 选择“清屏”后，将 清空当前白板全部内容。 圈选 ：选中书写内容进行移动、删除、放大或缩小。 缩放：您可以通过手势操控拖拽、移动、拉大、缩小画布。 撤销 ：撤销上一步操作。 还原：还原上一步撤销。 设置 ： 可设置白板背景颜色。

配置开机向导 IdeaHub首次开机默认进入开机向导页面，请阅读开机向导中的信息并进行初始配置。 选择语言，点击“Next”。 阅读协议与声明，点击“同意”。 选择地区，点击“下一步”。 选择时区，点击“下一步”。 配置有线/Wi-Fi网络，保存后点击“下一步”。 结合实际使用情况，开启相关“增强服务”，点击“下一步”。 IdeaHub显示“设备已完成配置”，表示开机向导已完成，点击“开始使用”即退出开机向导。 您也可以点击“更多配置”，配置管理员信息。 完成开机向导的初始配置后，您可以从IdeaHub主界面进入会议应用，选择扫码激活或者激活码激活会议服务。

配套Touch Touch配套企业智慧屏使用，10英寸触控，图形化操控，只需点击图标，便可轻松实现呼叫和会议控制等功能。 表1 Touch外观和背部接口功能说明 编号 按键和接口 功能 1 电源键 按1下，Touch锁屏或唤醒。长按，Touch重启或关机。 2 T ype-C接口 通过Type-C线缆连接电源适配器给Touch充电，请自行购买Type-C线缆和5V电源适配器，电源适配器需通过CCC认证且输出电流不小于2A。 3 PoE网口 通过Touch网线连接PoE适配器的PoE口，通过Wi-Fi连接企业智慧屏，由PoE适配器供电。 通过Touch网线连接PoE适配器的PoE口，由PoE适配器供电，PoE适配器DATA口接入企业智慧屏所在网络。 4 安全锁孔 连接防盗锁固定Touch。防盗锁需自备。 更多Touch的详细介绍请参见随Touch发货的《Touch快速入门》。

HUAWEI Camera 200高清摄像机 针对中大型会议室，我们带来了外置Camera200高清摄像机，通过HDMI接口与IdeaHub进行连接。 接口类型 表2 接口指标参数表 接口类型 接口描述和数量 遵循的规范和协议 视频输出 1×HDMI OUT与 CloudLink Box 系列高清终端相连接的接口 HDMI1.4b 1×USB 3.0USB 3.0 兼容 USB 2.0，与PC CloudLink 软终端配套 UVC1.1 协议 通信控制接口输入 1×RS232- IN VISCA 标准 通信控制接口输出 1×RS232-OUT VISCA 标准 电源接口 1 DC12V 母座 设备参数 表3 整机技术参数表 项目 子项 指标 镜头 图像器件 851 万像素 1/2.5 英寸 CMOS 图像传感器。 镜头变焦 12 倍光学变焦。 焦距与光圈 f =3.85～43.06 mm ±5%，F1.8～F3.56（±5%） 视频 视频输出格式 1080p50、1080p60 最大水平视角 80° 最大垂直视角 50° 最低照度 3Lux（F1.8，50IRE） 快门速度 1/25 秒～1/10000 秒 本地预置位数量 254 个（通过串口命令设置和调用，保存在摄像机上） 转动能力 水平 活动范围：±110° 转动速度：1.7°/s～80°/s 重复定位精度：小于±0.1° 垂直 活动范围：±30° 转动速度：0.7°/s～28°/s 重复定位精度：小于±0.1° 自动调节 自动白平衡（AWB） 自动/手动/一键白平衡 自动曝光（AE） 自动/手动/光圈优先/快门优先/亮度优先 自动聚焦（AF） 自动/手动/一键聚焦 红外遥控 红外遥控接收 遥控距离为 7m，遥控角度为上下 45°、左右 45° 供电与功率 输入电压范围 100V～240V AC 50Hz/60Hz 输出电压 12V DC 功率 正常工作功率≤12W 休眠功率≤3W 物理特性 控制口波特率 9600Baud 工作温度 0℃～40℃ 工作湿度 10%～90%（非冷凝） 工作海拔高度 ≤5000m 尺寸 249mm（长）×139mm（宽）×155mm（高） 重量（裸机） 约 1.92kg

无线投屏 在PC/手机端输入投屏码即可进行无线投屏，无线投屏让您摆脱连线的繁琐，轻松实现计算机、移动设备的桌面共享。多个无线投屏源连接时，支持投屏源切换，企业智慧屏支持最多20个投屏源连接。 使用 WeLink 手机客户端支持共享移动设备屏幕，比如播放的音视频文件（音频需要Android 10.0以上版本支持），共享的文档、图片等。 使用WeLink PC客户端支持共享计算机桌面，比如播放的音视频文件，共享的文档、图片等。 使用企业智慧屏投屏支持一键共享计算机桌面，比如播放的音视频文件，共享的文档、图片等。

华为Box310/610终端第三方接入激活指南 华为Box310/610属于新型号终端，当前和华为云会议的激活适配还在验证中。在华为云会议完成验证此类终端型号前，激活到华为云WeLink会议时，均使用第三方方式激活，操作流程和第三方终端激活方式一致。 另外，第三方方式激活的Box310/610存在和其它第三方终端同样的限制，比如不能创建会议和不能分配云会议室等。 添加终端到管理后台 企业必须具备第三方终端的接入许可，才可添加第三方终端。 WeLink会议管理员单击左键点击WeLink头像---选择“个人会议管理平台”---管理员栏---终端管理---硬件终端，点击页面上的“添加”进入添加界面。输入终端名称，选择设备型号Cisco/Polycom任选一个，填写其他必填项，激活码通知可填写手机和邮箱地址，完成后点击保存，如下图所示。 添加完成后，收到设备配置信息，如下图所示。 邮件信息： 短信手机短信息： 设备名称：培训室BOX610 设备型号 Cisco SIP号码 sip:+991112571****5768@huaweicloud.com SIP密码 d5k**edt SIP服务器地址 站点名称 SIP服务器地址(TLS) 主站点 sip18-ec.cloudec.huaweicloud.com:5061 登录华为Box310/610管理后台 一般建议登录到硬终端管理后台，以方便做详细的配置。 找一台和硬终端在同一网络下的电脑，首先确认电脑可以ping通硬终端的IP地址。在浏览器的地址栏直接输入硬终端的IP地址，进入登录界面。 IP地址一般在硬件的设备信息里可以看到。 没有登录过的硬终端管理后台，默认账号：admin，默认密码：请联系经销商获得技术支持。 输入相关配置 在管理后台手动填入对应配置，配置格式可以参考其他Box和Bar系列终端。 在“系统配置”-“服务器配置”-“基础服务”中，“服务器类型”下拉框选择“手动”，填入之前获取的配置信息，代理服务器地址和URI、认证用户名填写之前获取的配置，填写方法参考下面的截图（红框部分）。 服务器地址和会议服务号等都是统一的，也要填一下（蓝框部分）。下图是需要注意的几项配置。 完成配置保存后，可以观察管理后台右上角的“SIP”标识是否变为绿色，提示为“终端注册sip服务器成功”。如果变为绿色，说明注册成功，如果没有，则需要检测原因。 常见的注册失败原因 修改加密套模式（Box310、Box610最常见的注册失败原因） 部分型号终端默认的加密套为安全模式，可能加密方式在云上不支持。 点击“系统配置”-“安全”-“常规”，下面“加密套模式”下拉选择“兼容模式”。保存后确认注册状态。 检查网络问题 确认硬终端网络是否可以连通云会议服务器。 方法一：在“维护”-“诊断”-“网络测试”中，输入之前获取的服务器IP地址，确认可以ping通服务器地址。如果丢包100%说明网络不通，需要检查网络环境。 方法二：让硬终端切换到其它环境下注册，比如连接手机热点网络。如果在其它网络正常注册，而在原网络识别，说明在原网络可能存在某些限制，如防火墙端口限制等。 检测设备配置 确认激活配置的账号密码是否过期，SIP内的配置信息是否和上面截图一致。 检查设备版本 确认当前设备版本是否过早，版本太旧也可能导致激活失败。 恢复出厂设置 如果设备此前已经激活过，残留的配置可能影响下一次注册。建议先恢复出厂设置，然后再重新注册。

共享会议屏幕 会议中单击“共享”，可让所有与会者实时观看共享的屏幕、白板或者程序，眼见胜过千言。 会议主持人可以将桌面共享给所有与会者，与会者也可以申请远程控制桌面。管理后台开启“会议水印”后，通过PC端共享屏幕后，支持显示水印。 高级设置可以设置“共享时包含音频”是否开启。 边共享边标注，让头脑风暴更简单。 锁定共享 主持人锁定共享后，仅主持人可以发起共享。如此时有其他用户正在共享，将被取消共享。 主持人邀请及取消共享 会议中当需要与会者共享时，主持人可以指定与会者进行共享，也可以随时取消与会者共享。

加入会议 用户可通过多种方式加入会议： 受邀入会 将邀请邮件/短信中的会议分享链接复制到浏览器中打开，即可入会。 直接单击会议链接入会。 在“会议”页签中查看右边的会议日程对应日期的会议列表，在会议列表里，选择正在召开的会议，单击“加入”。 PC端预约会议后，会议日程信息会自动同步到移动端WeLink日历； 在移动端，进入“日历”应用，点击“加入会议”，即可入会。 会议ID入会 在“会议”页签中选择“加入会议”，输入会议ID和密码（若会议发起者没有设置来宾密码，则不需要），单击“加入会议”即可入会。 会议ID和密码从转发的会议通知邮件/短信中获取。

管理/主持会议 没有加入会议，您也可以轻松管理会议。 已经使用个人会议ID创建了会议，单击 “会议管理”，页面跳转至会议管理界面，即可查看和管理自己的会议。 控制页面，点击右上角的主持会议，即可开始主持会议。会议控制相关操作请参考会议控制。 如果您已经获取了其他会议的会议ID和主席密码，可以主持其他人预定的会议。 单击“主持会议”，输入的“会议ID”和“主席密码”，单击“开始主持”，页面跳转至会议控制页面，即可开始主持会议。会议控制相关操作请参考会议控制。 如果在“我的会议”中有会议记录，且您已获取该会议的主持人密码，可以进入会议详情页面，点击“主持”，跳转至会议控制页面主持该会议。会议控制相关操作请参考会议控制。

快速创会 在“会议”页签中选择“发起会议”，可以发起视频会议或者语音会议，召开即时会议。 可以选择使用不同类型的会议ID，并设置来宾密码 个人会议ID：保持不变，方便记忆，适合召开部门例会 此时可对来宾密码进行修改或置空的操作，置空后，其他用户无需输入会议密码即可主动接入会议。 随机会议ID：随机产生，适合发起临时讨论，或召开安全性高的会议 此时可以选择是否启用来宾密码。 云会议室ID：会议资源稳定，适合召开大型或固定会议 此时可对来宾密码进行修改或置空的操作，置空后，其他用户无需输入来宾密码即可主动接入会议。 如果您的企业同时购买了云会议室资源和并发资源，您可以选择云会议室ID（需要企业管理员为您分配云会议室）、个人会议ID、随机会议ID。 如果您的企业只购买了会议并发资源，您可以选择个人会议ID、随机会议ID。 如果您的企业只购买了云会议室资源，您可以选择云会议室ID（需要企业管理员为您分配云会议室）。 高级设置可以设置“本地麦克风”、“本地摄像头”和“录制会议”是否开启 “允许入会”可以设置允许与会人员范围 所有人：企业内外用户都可以通过会议ID和会议密码加入会议； 仅组织内人员：只有企业内部员工才可以通过会议ID和会议密码加入会议，企业外部人员无法入会； 仅会议邀请人员：只有被邀请的成员才可以加入会议，未被邀请的人员无法加入会议。

预约会议 在“会议”页签中选择“预约会议”，可以预约会议，提前提醒与会人员准时参加会议， 支持预约线下会议,支持直接选择跨月日期,当选择的会议开始时间早于当前时间时，出现文字提醒。 可以选择使用不同类型的会议ID，并设置来宾密码 个人会议ID：保持不变，方便记忆，适合召开部门例会 此时可对来宾密码进行修改或置空的操作，置空后，其他用户无需输入会议密码即可主动接入会议。 随机会议ID：随机产生，适合发起临时讨论，或召开安全性高的会议 此时可以选择是否启用来宾密码。 云会议室ID：会议资源稳定，适合召开大型或固定会议 此时可对来宾密码进行修改或置空的操作，置空后，其他用户无需输入来宾密码即可主动接入会议。 如果您的企业同时购买了云会议室资源和并发资源，您可以选择云会议室ID（需要企业管理员为您分配云会议室）、个人会议ID、随机会议ID。 如果您的企业只购买了会议并发资源，您可以选择个人会议ID、随机会议ID。 如果您的企业只购买了云会议室资源，您可以选择云会议室ID（需要企业管理员为您分配云会议室）。 未购买会议资源的免费企业，视频会议/语音会议的会议预约时长限定最长为45分钟。 在高级设置中可选择是否发送邮件和邮件日历通知给所有与会者，还可设置时区及是否开启录制会议。 “允许入会”可以设置允许与会人员范围。 所有人：企业内外用户都可以通过会议ID和会议密码加入会议； 仅组织内人员：只有企业内部员工才可以通过会议ID和会议密码加入会议，企业外部人员无法入会； 仅会议邀请人员：只有被邀请的成员才可以加入会议，未被邀请的人员无法加入会议。 邀请会议终端 预约会议时，可以通过添加企业会议终端，一键加入会议。 在“预约会议”页签，单击“邀请＞组织＞会议终端”，即可添加企业会议终端。 使用个人会议ID预约会议，如果通过会议链接提前加入，此会议会被提前召开，此时使用个人会议ID发起立即会议进入会议或者通过会议链接/会议ID+密码的方式进入个人会议的其他预约会议，都会进入到正在召开的会议中。 当会议中的所有人退出会议后半小时内，此时使用个人会议ID发起立即会议进入会议或者通过会议链接/会议ID+密码的方式进入个人会议的其他预约会议，都会进入到正在召开的会议中。 当会议中的所有人退出会议半小时后，正在召开的会议会被自动结束并转为历史会议记录，预约记录会保留，此后仍可以进入会议。 如果主持人离开会议的时候选择了离开并结束会议，会将此在线会议结束，并清除预约记录。 编辑已预约会议 会议预约成功后，可再次编辑和修改会议信息。 在“我的会议”界面，选择要修改的已预约的会议，单击右上角的，单击“编辑”即可再次编辑会议。 预约视频/语音会议可选择会议室 预约会议时，能同步预约会议室，无需分开进行预约操作。

加入会议 用户可通过多种方式加入会议： 受邀入会 将邀请邮件/短信中的会议分享链接复制到浏览器中打开，即可入会。 主持人或者与会者可单击某个预约会议下方的“议题管理”，进入会议详情界面，点击右侧的“”，将会议信息复制给需要入会的成员。 在“会议”页签中选择“我的会议”，在会议列表里，选择正在召开的会议，点击“加入”。 会议ID入会 在“会议”页签中选择“加入会议”，输入会议ID和密码（若会议发起者没有设置来宾密码，则不需要），单击“加入会议”即可入会。 会议ID和密码从转发的会议通知邮件/短信中获取。

快速创会 在“会议”页签中选择“发起会议”，可以发起视频会议或者语音会议，召开即时会议。 可以选择使用不同类型的会议ID，并设置来宾密码。 个人会议ID：保持不变，方便记忆，适合召开部门例会。 此时可对来宾密码进行修改或置空的操作，置空后，其他用户无需输入会议密码即可主动接入会议。 随机会议ID：随机产生，适合发起临时讨论，或召开安全性高的会议。 高级设置可以设置“本地麦克风”，“本地摄像头”和“录制会议”是否开启。 “允许入会”可以设置允许与会人员范围。 所有人：企业内外用户都可以通过会议ID和会议密码加入会议； 仅企业内人员：只有企业内部员工才可以通过会议ID和会议密码加入会议，企业外部人员无法入会； 仅会议邀请人员：只有被邀请的成员才可以加入会议，未被邀请的人员无法加入会议。

预约会议 在“会议”页签中选择“预约会议”，可以预约会议，提前提醒与会人员准时参加会议。 在高级设置中可选择是否发送邮件，短信通知及邮件日历给所有与会者，还可设置时区及是否开启录制会议。 “允许入会”可以设置允许与会人员范围。 所有人：企业内外用户都可以通过会议ID和会议密码加入会议； 仅企业内人员：只有企业内部员工才可以通过会议ID和会议密码加入会议，企业外部人员无法入会； 仅会议邀请人员：只有被邀请的成员才可以加入会议，未被邀请的人员无法加入会议。 支持预约线下会议。 邀请会议终端 预约会议时，可以通过添加会议终端，添加公司会议终端，一键加入会议。 未购买会议资源的免费企业，视频会议/语音会议的会议预约时长限定最长为45分钟。 使用个人会议ID预约会议，如果通过会议链接提前加入，此会议会被提前召开，此时使用个人会议ID发起立即会议进入会议或者通过会议链接/会议ID+密码的方式进入个人会议的其他预约会议，都会进入到正在召开的会议中。 当会议中的所有人退出会议后半小时内，此时使用个人会议ID发起立即会议进入会议或者通过会议链接/会议ID+密码的方式进入个人会议的其他预约会议，都会进入到正在召开的会议中。 当会议中的所有人退出会议半小时后，正在召开的会议会被自动结束并转为历史会议记录，预约记录会保留，此后仍可以进入会议。 如果主持人离开会议的时候选择了离开并结束会议，会将此在线会议结束，并清除预约记录。 编辑已预约会议 会议预约成功后，可再次编辑和修改会议信息。 方式一：在“我的会议”界面，单击某个预约会议右上角的“…”，可编辑会议。 方式二：在“我的会议”界面，单击某个预约会议下方的“会议详情”，可编辑会议。 预约会议时，能同步预约会议室，无需分开进行预约操作。

主持会议 没有加入会议，您也可以轻松主持会议。 已经使用个人会议ID创建了会议，在“我的会议”下选择相应的会议ID，点击“开始主持”，页面跳转至会议控制页面，即可开始主持会议。会议控制相关操作请参考会议控制。 如果您已经获取了其他会议的会议ID和主席密码，可以主持其他会议。 点击“其他会议”，输入的“会议ID”和“主持人密码”，点击“开始主持”，页面跳转至会议控制页面，即可开始主持会议。会议控制相关操作请参考会议控制。 如果在“我的会议”中有会议记录，且您已获取该会议的主持人密码，可以进入会议详情页面，点击下方的“主持”，跳转至会议控制页面主持该会议。会议控制相关操作请参考会议控制。

配置普通用户和sudo提权用户 漏洞扫描 操作案例 默认情况下，Linux系统没有将普通用户列入到sudoer列表中（普通用户 is not in the sudoers file. This incident will be reported.）: 登录系统并切换到root权限。 输入#vi /etc/sudoers，就会打开sudoers配置文件。 在配置文件末尾添加：普通用户名 ALL=(ALL:ALL) ALL，输入 :wq! ，保存修改。 使用漏洞管理服务的sudo提权扫描功能时，认证凭据输入位置的“普通用户密码”和“sudo密码”请保持一致，均为“普通用户”的密码。 对于在“/etc/sudoers”中配置了“Defaults targetpw”的操作系统，需要输入root密码才能提权执行命令，因此建议暂时先将“Defaults targetpw”相关配置注释掉，扫描完成后再恢复原配置。 扫描完成后，请还原配置。 父主题： 主机扫描类

使用浏览器插件获取网站cookie和storage值 如果您的网站登录之后不仅设置了cookie，还设置了storage，只提供cookie无法使漏洞管理服务正常登录网站，建议您通过浏览器插件获取网站cookie、local storage和session storage值，以Google Chrome浏览器为例，步骤如下： 下载浏览器插件Cookie Getter并解压缩。 表1 下载列表 支持浏览器 下载地址 SHA-256文件校验 Google Chrome、Microsoft Edge Cookie Getter 7C35DC34F732B4B3F2B89C3B8ADAEE6ECE3079B991718AAB10B963F7D15B1468 打开Google Chrome浏览器，单击“设置”，单击“扩展程序”，打开“开发者模式”开关。 单击“加载已解压的扩展程序”，选择解压后的文件根目录，加载浏览器插件。 打开并登录网站。 单击扩展程序-浏览器插件Cookie Getter图标，获取浏览器插件展示的JSON格式cookie和storage值全文。 漏洞管理服务的Cookie登录支持设置“以分号分隔的键值对”和“JSON”两种格式cookie值。 您可以按需裁剪或修改浏览器插件获取的数据，保持正确的JSON格式并提供必要的cookie和storage值即可。

如何生成私钥和私钥密码？ 当主机扫描通过密钥的方式来登陆目的主机时，会涉及到私钥和私钥密码的填写。 私钥和私钥密码的生成方式如下： 在目的主机上执行ssh-keygen命令生成公钥和私钥，按照提示信息输入生成秘钥的文件路径，并输入2次私钥密码。 执行ls命令可查看在设置的文件路径下生成的公钥和私钥文件。 将公钥配到目的主机的sshd服务认证配置里面，然后执行systemctl restart sshd命令重启ssh服务。 执行cat命令查看私钥文件内容，并将私钥内容进行复制，拷贝至“授权信息管理”页面的私钥文本框中，并输入私钥密码。 到此，源主机就有了私钥，目的主机就有了公钥，源主机发起连接请求到目的主机时，目的主机会随机发送一个字符串给源主机，源主机利用私钥加密该字符串，然后发送给目的主机，目的主机利用公钥解密该字符串，如果和发送时匹配，则认证通过。 父主题： 主机扫描类

如何确认目的主机是否支持公钥认证登录和root登录？ 执行如下命令查看配置文件是否开启公钥认证和root登录： egrep 'PubkeyAuthentication|PermitRootLogin' /etc/ssh/sshd_config 若出现如下回显则表示开启了公钥认证方式。 PubkeyAuthentication yes 若出现如下回显则表示允许root登录。 PermitRootLogin yes 父主题： 主机扫描类

操作步骤 登录 主机迁移服务 管理控制台。 在左侧导航树中，单击“迁移服务器”，进入迁移服务器列表页面。 单击要查看的服务器名称，进入服务器概览页面。 图1 单击服务器名称 在服务器概览页面，您可以查看源端服务器信息。 在“基本信息”页签，可以查看迁移配置、目的端配置以及当前迁移任务进展； 在“任务跟踪”页签，可以查看具体迁移状态和当前迁移进度。 在“源端检查项”页签，可以查看迁移检查项结果以及失败原因。 在“磁盘”页签，可以查看源端磁盘分区情况。 在“网卡”页签，可以查看源端网卡信息。 图2 查看服务器详情

定位流程 查看工作负载Pod是否处于异常状态步骤如下： 登录CCE控制台。 单击集群名称进入集群，在左侧选择“工作负载”。 在页面左上角选择命名空间，找到对应的工作负载，查看其状态。 如果工作负载状态为“未就绪”，可通过查看Pod的事件等信息确定异常原因，详情请参见Pod事件查看方法。 如果工作负载状态为“处理中”，一般为过程中的状态，请耐心等待。 如果工作负载状态为“运行中”，一般无需处理。如果出现状态正常但无法访问的情况，则需要进一步排查集群内访问是否正常。 您可以在CCE控制台界面或者使用kubectl命令查找pod的IP，然后登录到集群内的节点或容器中，使用curl命令等方法手动调用接口，查看结果是否符合预期。 如果容器IP+端口不能访问，建议登录到业务容器内使用“127.0.0.1+端口”进行排查。

Pod事件查看方法 方式一 在CCE控制台中单击工作负载名称，前往“工作负载详情”页面，找到处于异常状态的实例，单击操作栏中的“事件”进行查看。 图1 查看Pod事件 方式二 Pod的事件可以使用kubectl describe pod {pod-name}命令查看， $ kubectl describe pod prepare-58bd7bdf9-fthrp ... Events: Type Reason Age From Message ---- ------ ---- ---- ------- Warning FailedScheduling 49s default-scheduler 0/2 nodes are available: 2 Insufficient cpu. Warning FailedScheduling 49s default-scheduler 0/2 nodes are available: 2 Insufficient cpu. 表1 排查思路列表 事件信息 实例状态 处理措施 实例调度失败 Pending 请参考工作负载异常：实例调度失败 拉取镜像失败 重新拉取镜像失败 FailedPullImage ImagePullBackOff 请参考工作负载异常：实例拉取镜像失败 启动容器失败 重新启动容器失败 CreateContainerError CrashLoopBackOff 请参考工作负载异常：启动容器失败 实例状态为“Evicted”，pod不断被驱逐 Evicted 请参考工作负载异常：实例驱逐异常（Evicted） 实例挂卷失败 Pending 请参考工作负载异常：存储卷无法挂载或挂载超时 实例状态一直为“创建中” Creating 请参考工作负载异常：一直处于创建中 实例状态一直为“结束中” Terminating 请参考工作负载异常：结束中，解决Terminating状态的Pod删不掉的问题 实例状态为“已停止” Stopped 请参考工作负载异常：已停止

问题原因 当Service设置了服务亲和为节点级别，即externalTrafficPolicy取值为Local时，在使用中可能会碰到从集群内部（节点上或容器中）访问不通的情况，回显类似如下内容： upstream connect error or disconnect/reset before headers. reset reason: connection failure 或： curl: (7) Failed to connect to 192.168.10.36 port 900: Connection refused 在集群中访问ELB地址时出现无法访问的场景较为常见，这是由于Kubernetes在创建Service时，kube-proxy会把ELB的访问地址作为外部IP（即External-IP，如下方回显所示）添加到iptables或IPVS中。如果客户端从集群内部发起访问ELB地址的请求，该地址会被认为是服务的外部IP，被kube-proxy直接转发，而不再经过集群外部的ELB。 当externalTrafficPolicy的取值为Local时，在不同容器网络模型和服务转发模式下访问不通的场景如下： 多实例的工作负载需要保证所有实例均可正常访问，否则可能出现概率性访问不通的情况。 CCE Turbo 集群（云原生2.0网络模型）中，仅当Service的后端对接使用主机网络（HostNetwork）的Pod时，亲和级别支持配置为节点级别。 表格中仅列举了可能存在访问不通的场景，其他不在表格中的场景即表示可以正常访问。 服务端发布服务类型 访问类型 客户端请求发起位置 容器隧道集群（IPVS） VPC集群（IPVS） 容器隧道集群（IPTABLES） VPC集群（IPTABLES） 节点访问类型Service 公网/私网 与服务Pod同节点 访问服务端所在节点IP+NodePort — 正常访问 访问非服务端所在节点IP+NodePort — 无法访问 访问服务端所在节点IP+NodePort — 正常访问 访问非服务端所在节点IP+NodePort — 无法访问 访问服务端所在节点IP+NodePort — 正常访问 访问非服务端所在节点IP+NodePort — 无法访问 访问服务端所在节点IP+NodePort — 正常访问 访问非服务端所在节点IP+NodePort — 无法访问 与服务Pod不同节点 访问服务端所在节点IP+NodePort — 通 访问非服务端所在节点IP+NodePort — 无法访问 访问服务端所在节点IP+NodePort — 通 访问非服务端所在节点IP+NodePort — 无法访问 正常访问 正常访问 与服务Pod同节点的其他容器 访问服务端所在节点IP+NodePort — 正常访问 访问非服务端所在节点IP+NodePort — 无法访问 无法访问 访问服务端所在节点IP+NodePort — 正常访问 访问非服务端所在节点IP+NodePort — 无法访问 无法访问 与服务Pod不同节点的其他容器 访问服务端所在节点IP+NodePort — 正常访问 访问非服务端所在节点IP+NodePort — 无法访问 访问服务端所在节点IP+NodePort — 正常访问 访问非服务端所在节点IP+NodePort — 无法访问 访问服务端所在节点IP+NodePort — 正常访问 访问非服务端所在节点IP+NodePort — 无法访问 访问服务端所在节点IP+NodePort — 正常访问 访问非服务端所在节点IP+NodePort — 无法访问 独享型负载均衡类型Service 私网 与服务Pod同节点 无法访问 无法访问 无法访问 无法访问 与服务Pod同节点的其他容器 无法访问 无法访问 无法访问 无法访问 DNAT网关类型Service 公网 与服务Pod同节点 无法访问 无法访问 无法访问 无法访问 与服务Pod不同节点 无法访问 无法访问 无法访问 无法访问 与服务Pod同节点的其他容器 无法访问 无法访问 无法访问 无法访问 与服务Pod不同节点的其他容器 无法访问 无法访问 无法访问 无法访问 nginx-ingress插件对接独享型ELB（Local） 私网 与cceaddon-nginx-ingress-controller Pod同节点 无法访问 无法访问 无法访问 无法访问 与cceaddon-nginx-ingress-controller Pod同节点的其他容器 无法访问 无法访问 无法访问 无法访问

解决办法 解决这个问题通常有如下办法： （推荐）在集群内部访问使用Service的ClusterIP或服务 域名 访问。 将Service的externalTrafficPolicy设置为Cluster，即集群级别服务亲和。不过需要注意这会影响源地址保持。 apiVersion: v1 kind: Service metadata: annotations: kubernetes.io/elb.class: union kubernetes.io/elb.autocreate: '{"type":"public","bandwidth_name":"cce-bandwidth","bandwidth_chargemode":"traffic","bandwidth_size":5,"bandwidth_sharetype":"PER","eip_type":"5_bgp","name":"james"}' labels: app: nginx name: nginx spec: externalTrafficPolicy: Cluster ports: - name: service0 port: 80 protocol: TCP targetPort: 80 selector: app: nginx type: LoadBalancer 使用Service的pass-through特性，使用ELB地址访问时绕过kube-proxy，先访问ELB，经过ELB再访问到负载。 独享型负载均衡配置pass-through后，CCE Standard集群在工作负载同节点和同节点容器内无法通过Service访问。 1.15及以下老版本集群暂不支持该能力。 IPVS网络模式下，对接同一个ELB的Service需保持pass-through设置情况一致。 使用节点级别（Local）的服务亲和的场景下，会自动设置kubernetes.io/elb.pass-through为onlyLocal，开启pass-through能力。 apiVersion: v1 kind: Service metadata: annotations: kubernetes.io/elb.pass-through: "true" kubernetes.io/elb.class: union kubernetes.io/elb.autocreate: '{"type":"public","bandwidth_name":"cce-bandwidth","bandwidth_chargemode":"traffic","bandwidth_size":5,"bandwidth_sharetype":"PER","eip_type":"5_bgp","name":"james"}' labels: app: nginx name: nginx spec: externalTrafficPolicy: Local ports: - name: service0 port: 80 protocol: TCP targetPort: 80 selector: app: nginx type: LoadBalancer

响应示例 状态码： 200 返回信息。 { "resolve_details" : [ { "resolve_id" : "29ae28ea-0300-4da1-8e54-6c91319fcccc", "task_id" : "bf04fc77-12c8-408f-a584-cf3d3e91cccc", "task_name" : "ZF2", "send_account" : "myaccount", "tpl_id" : "600000001", "tpl_name" : "【测试】参数通知模板", "cust_flag" : "131****0000", "aim_url" : "km2g.cn/MzNkNP", "result_code" : "0", "generate_date" : "2022-07-19T08:44:04Z", "expire_date" : "2022-07-26T08:44:04Z", "resolved_time" : "2022-07-19T08:44:31Z", "resolved_status" : "success" } ], "page_info" : { "offset" : 0, "limit" : 1, "total" : 18 } }