- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
手册下载
H3C百业灵犀大模型 用户手册-E0109-5W100-整本手册.pdf (3.16 MB)
H3C百业灵犀大模型 用户手册
资料版本:5W100-20231130
Copyright © 2023 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文中的内容为通用性技术信息,某些信息可能不适用于您所购买的产品。
目 录
百业灵犀LinSeer是H3C推出的、面向行业的私域大模型。它以H3C自研大模型为基础,针对特定的行业进行训练和订制,确保私域数据安全可控,为行业用户带来可靠、稳定的数字化体验。
百业灵犀旨在利用大模型的力量,赋能百行百业,为垂直行业和专属地域的客户提供安全、订制、独享、生长的智能化服务。
· 行业专注:聚焦百行百业,打通垂直应用数据,形成精准、精确、精益的私域垂直特定能力,帮助百行百业建设最懂“行”的私域大模型。
· 区域专属:紧跟地市需求,凸显地域特色,横向融合数据,贯通区域服务,帮助各省市县建设最懂“你”的私域大模型。
· 数据专有:确保To B、To G数据专有不出域、可用不可见,帮助客户以私有数据训练订制化的人工智能,建设最“放心”的私域大模型。
· 价值专享:根据需求量身定制AI能力,有针对性地解决行业发展的痛点、区域治理的难点,用AI创造专属于域内客户的价值,建设最“独特”的私域大模型。
如图1-1所示,在百业灵犀系统上部署和发布模型服务时,推荐采用以下的业务配置流程:
(1) 将增量预训练或微调训练所需的数据集导入到系统中。
(2) 对原始模型进行增量预训练或微调训练,生成新的模型。
(3) 部署模型的推理实例。
(4) 在模型的推理实例上挂载知识库后,对外发布服务。
(5) 可以对已发布的服务进行问答测试或模型评估。
安装部署完成后,在浏览器地址栏中输入LinSeer的登录地址,进入LinSeer登录页面,如图2-1所示。其中,登录地址格式为:http:// ip_address:30000,登录IP为“LinSeer的集群北向业务虚IP”,默认登录的用户名/密码为admin/Pwd@12345。
用户名、密码输入完成后,点击<立即登录>按钮,进入LinSeer平台首页,如图2-2所示。
点击页面左上角LinSeer图标,可查看所有菜单,如图2-3所示。
模型仓库集中管理系统用于预置和用户训练生成的大模型的管理。它提供了模型信息的查看、修改和删除功能,以便于用户对模型进行灵活的管理和操作。
图3-1 模型仓库
· 修改模型名称时,不能将多个相同模型版本的模型修改为相同名称,避免引起混淆。
· 系统预置模型Linseer和Linseer Lite是不允许被删除的,因为它们是系统核心功能的一部分。
· 如果操作员没有相应模型的权限,将无法看到对应的模型信息,以确保模型的访问权限得到严格控制。
· 不能删除正在部署中的模型,以避免数据丢失或系统不稳定。
· 查看模型详细信息
点击模型仓库列表“模型名称”列对应的模型链接,可在右侧滑出窗口中查看该模型的详细信息。
· 编辑模型
点击模型仓库列表“操作”列中的“编辑”按钮,可在“编辑模型”对话框中修改模型的名称和描述。
· 删除模型
点击模型仓库列表“操作”列中的“删除”按钮,并且在弹出的提示框中点击<确认>按钮后,可以从当前系统中删除模型。删除模型后,不影响该模型的部署和发布。
该功能用来管理用于模型训练的数据集。本章包含如下内容:
· 数据集
· 数据处理
数据集是模型训练中必需的一组数据样本的集合,通常由一系列输入数据和相应的标签或目标值组成。在模型训练时,需要数据集才能学习出一个能够良好推理数据和理解自然语言的模型。
可以执行的数据集操作包括:
· 查看数据集信息
· 增加数据集
· 删除数据集
· 发布数据集
· 标注数据集
· 清洗数据集的数据
· 向数据集中导入数据
· 为数据集导入数据文件时,单次最多支持上传20个文件。
· 用于模型微调的数据集仅支持导入JSON格式的数据文件,用于增量预训练的数据集支持导入TXT和JSONL格式的数据文件。
· 导入数据文件时,系统会对数据格式进行校验,如果校验不通过,则导入操作失败。
· 查看已存在数据集详细信息
点击数据集列表“数据集名称”列中的链接,可以进入对应的数据集详情页面,以查看数据集的详细信息。然后点击数据文件信息列表“操作”列的“预览”按钮,可以通过Web页面阅读数据文件的内容。
· 增加数据集
a. 单击<增加>按钮,进入“新增数据集”对话框。
b. 选择数据集的用途:
- 增量预训练:当需要在已有的预训练模型上继续进行预训练,以提升其性能和能力时,可以使用增量预训练数据集。
- 模型微调:当需要将一个已经预训练好的模型调整为适应特定任务或领域时,可以使用微调数据集。
c. 在“名称”处输入新增数据集的名称。
d. (可选)在“描述”处输入新增数据集的描述。
e. 单击<创建>按钮完成数据集新增,单击<取消>按钮可以取消新增数据集,单击<创建并导入>可以在新增数据集的同时为其导入数据,并进入“导入数据”对话框。
图4-1 新增数据集
· 删除数据集
点击数据集列表“操作”列中的“删除”按钮,并且在弹出的提示框中点击<确认>按钮后,可以删除已存在的数据集。需要注意的是,正在被模型用于训练的数据集不允许删除。
· 发布
数据集只有发布之后,才能被模型使用,未发布的数据集不能用于模型训练。数据集发布后,不允许进行任何修改操作,包括清洗、导入等。
· 标注数据集
仅模型微调数据集需要进行标注。对微调数据集进行标注,是为了为训练模型提供正确的标签或目标值,从而提高模型的预测性能和准确性。
点击数据集列表“操作”列中的“标注”按钮,进入数据集标注页面来配置数据集标注:
a. 在数据标注列表的“问题”列中,输入需要标注的问题。
b. 在数据标注列表的“答案”列中,输入标注的问题对应的正确答案。
c. 单击<增加>按钮,增加数据标注。单击<重置>按钮,清除所有数据标注。
d. 单击<提交>按钮,将标注的数据提交至数据集中。
· 数据清洗
数据集进行数据清洗的主要作用是清除由于收集和处理方式不当而导致的无效数据,确保数据集的质量和有效性,从而提高模型的性能和准确性。
点击数据集列表“操作”列中的“清洗”按钮,进入数据清洗页面来配置数据清洗。在“清洗规则”复选框处,勾选想要对数据进行的清洗操作后,单击<提交>按钮,即可以对数据集中的数据进行清洗。单击<取消>按钮,可以取消对数据的清洗,并返回数据集页面。
· 数据导入
a. 点击数据集列表“操作”列中的“导入”按钮,进入“导入数据”对话框。
b. 单击<选择文件>按钮,选择需要导入的数据文件。导入数据文件后,可以通过单击<继续上传>按钮导入更多的数据文件。
c. 单击<点击上传>按钮,将导入的数据文件上传到数据集中。
d. 点击<清空>按钮,可以删除所有导入的数据文件;点击导入数据文件列表“操作”列中的“删除”按钮,可以删除对应的数据文件。
e. 单击<确定>按钮,完成数据导入。
H3C百业灵犀平台在进行模型训练前,一般需要对训练数据进行数据清洗。其主要作用是清除由于收集和处理方式不当而导致的无效数据,确保数据集的质量和有效性,从而提高模型的性能和准确性。
目前已支持的数据清洗工具,可以清洗代码文件或TXT文件。本文档主要介绍数据清洗工具的实现规则以及工具的使用说明。
工具清洗代码文件的步骤如下:
(1) 工具将一个.tar.gz格式的压缩文件作为输入。工具先解压缩该文件,然后根据白名单中的代码文件扩展名(如.java、.c、.py等)筛选出符合条件的代码文件。
(2) 工具将删除其中的注释内容。目前工具已经实现了对.py、.java、.c和.cpp文件注释的删除。
(3) 工具将所有代码文件的内容保存到一个jsonl文件中,每一行代表一个文件。每个文件的格式为{"content": 代码内容, "path": 文件名}。
(4) 为了进一步优化,工具使用正则表达式删除每个代码文件中包含版权信息的注释,以及文件开头的注释。
(5) 工具计算每个代码文件的统计数据,包括文件行数、最大行的字符长度、平均每行的字符长度以及数字字母字符的占比。
(6) 工具对每个文件的内容进行MD5比对,以去除重复的文件。如果文件内容的MD5值相同,那么它们将被视为重复文件并被删除。
(7) 工具将满足特定条件的文件丢弃。如果文件满足以下任一条件,将被丢弃:
¡ 一个文件的最大行的字符长度大于1000
¡ 一个文件的平均每一行的字符长度大于100
¡ 一个文件的字母数字字符占比小于0.25
¡ 通过transformer的tokenizer工具计算一个文件的token数,文件所有的字母字符数小于token数的1.5倍
(8) 工具将筛选后的代码文件写入新的jsonl文件中,并将其保存在/home/data/processed/目录下,命名为filtered_file.jsonl。
通过以上优化,工具能够将输入的.tar.gz文件解压并处理成满足要求的jsonl文件格式,以便于后续的数据处理和使用。
工具清洗TXT文件的步骤如下:
(1) 首先,输入的数据为.tar.gz格式的压缩文件。工具解压缩该文件并获取其中的所有txt文件。请注意,目前仅支持处理txt格式的文档,其他格式的文档暂不支持。
(2) 解压缩后,工具需要遍历每个txt文件,并对每一行进行相似性检测。为了衡量两个行之间的相似程度,工具采用了difflib库中的SequenceMatcher工具。该工具计算两个字符串之间的相似系数,范围在0到1之间。在工具的代码实现中,我们将相似性阈值设置为0.9。如果两个行的相似系数大于等于0.9,工具会认为这两行是重复的,将只保留其中的一行。完成此步骤后,工具会将所有行使用换行符拼接为一个字符串。
(3) 工具需要对拼接好的内容进行进一步的处理。工具使用正则表达式来过滤掉HTML标签、LaTeX格式的章节、段落结构标签、标题等信息,以及LaTeX格式的注释内容。
(4) 工具将多个txt文档的数据合并,并将其转换为huggingface中的dataset格式文件,使用.arrow作为文件后缀进行存储。输出结果将是一个.arrow文件。
通过这些步骤,工具便能够将输入的.tar.gz文件解压并处理成符合我们需求的.arrow文件格式,以便于后续的数据处理和使用。
对代码文件清洗的执行步骤如下(TXT文件清洗类似,不再赘述):
(1) 将需要处理的代码文件数据放在一个路径下,例如/home/data/sample.tar.gz。目前仅支持压缩文件
(2) 加载工具镜像,镜像名称为code_process。对应的指令为:
docker load -i code_process.tar
(3) 运行容器,挂载需要清洗的数据所在的的文件夹。对应的指令为:
docker run -dit --name code_process -v /home/data/:/data/ code_process:v1.0.1 bash
(4) 进入容器。对应的指令为:
docker exec -it code_process bash
(5) 进入数据清洗脚本目录,code_data_process路径下保存了执行数据清洗的脚本。对应的指令为:
cd /code_data_process
(6) 执行脚本。对应的指令为:
python runner.py /data/sample.tar.gz /data/processed
(7) 执行脚本成功后,/data/processed文件夹下会生成一个filtered_file.jsonl文件。该jsonl文件每一行都代表一个清洗后的代码文件。
百业灵犀大模型产品在进行模型训练时,微调训练方式只支持JSON格式的数据,增量预训练方式只支持JSONL和TXT格式的数据。为了扩充训练数据的格式,百业灵犀大模型产品提供了数据处理能力,能够将Word、PDF、PPT等非支持数据格式转换为JSON、JSONL或TXT等支持的数据格式。
上传数据文件时,只能上传支持的文件格式,单次最多支持上传20个文件。目前支持处理的数据文件格式和类型包括:
· Word文档:支持DOC和DOCX格式。
· PDF文档:支持PDF格式。
· PPT文档:支持PPT和PPTX格式。
· Excel文档:支持XLS和XLSX格式。
· MD文档:支持MD格式。
· HTML文档:支持HTML格式。
· TXT文档:支持TXT格式。
· JSON:支持JSON格式。
· JSONL:支持JSONL格式。
· CSV:支持CSV格式。
· 数据上传
a. 点击<数据上传>按钮,进入数据上传对话框。
b. 在“数据用途”选择项内,选择数据用途。
c. 在“数据描述”文本框中输入对上传数据的描述
d. 单击<选择文件>按钮,选择需要上传的数据文件。上传数据文件后,可以通过单击<继续上传>按钮上传更多的数据文件。
e. 单击<点击上传>按钮,将导入的数据文件上传到数据处理列表中。
f. 点击<清空>按钮,可以删除所有上传的数据文件;点击上传数据文件列表“操作”列中的“删除”按钮,可以删除对应的数据文件。
g. 单击<确定>按钮,完成数据上传。
图4-2 数据上传
· 预览
点击数据处理列表中“操作”列的“预览”按钮,可以将上传完成数据文件下载到本地。
· 格式转换
点击数据处理列表中“操作”列的“格式转换”链接,进入数据格式化页面。
图4-3 数据格式化页面
在数据格式化页面的“数据集名称”下拉框中,选择数据文件需要导入到的数据集,并且单击<确定>按钮后,可以完成对数据文件的格式转换以及导入数据集。
根据数据用途的不同,对数据进行格式转换的结果也不同:
¡ 用于增量预训练的数据:格式转换后,会将数据转换为JSONL格式。
¡ 用于微调训练的数据:格式转换后,会将数据转换为JSON格式。
该功能用来对模型进行增量预训练或微调训练,以提高模型的能力。
本章包含如下内容:
· 增量预训练
· 增加预训练
· 微调训练
· 增加微调训练
本页面提供使用制作好的数据集来对模型进行训练的配置手段,以提高模型的语言理解能力、文本生成能力以及处理自然语言的性能。对模型的训练通过执行训练任务来实现。
本页面仅用于通过预训练数据集对模型进行预训练。
· 查看训练任务详细信息
点击训练任务列表“任务名称”列的链接,可以在右侧弹窗中查看训练任务的详细信息。
· 增加训练任务
单击<增加>按钮,可以增加训练任务,进入“增加预训练页面”,以配置新增训练任务的具体参数。
有关新增训练任务的参数具体配置方法,请参见“5.2 增加预训练”。
图5-1 增量预训练
· 开始训练任务
增加训练任务后,点击训练任务列表“操作”列的“开始”按钮,系统开始对模型进行训练。训练成功的模型在训练任务列表“任务状态”列会显示为“成功”,并且训练后的模型会作为一个新的模型供系统部署和发布。
· 终止训练任务
如果发现训练任务配置错误,或不想继续对模型进行训练,可以点击训练任务列表“操作”列的“终止”按钮,以终止对模型的训练。终止训练的模型在训练任务列表“任务状态”列会显示为“已终止”。
· 恢复训练任务
在模型训练过程中,如果由于异常原因导致模型训练被中断,可以点击训练任务列表“操作”列的“恢复”按钮,以再次启动中断的训练。
· 删除训练任务
点击训练任务列表“操作”列的“删除”按钮,可以删除训练任务。
· 查看训练日志
模型训练失败时,训练成功的模型在训练任务列表“任务状态”列会显示为“失败”。此时可以通过点击训练任务列表“操作”列的“日志”按钮,在弹出窗口中查看训练过程中产生的日志,以排查训练失败的原因。
本页面用于配置新增训练任务的具体参数。
图5-2 增加增量预训练
(1) 配置基本信息
在“任务名称”输入框中输入为训练任务设置的名称。
(2) 配置训练参数
a. 在“训练方法”选择项中选择为模型使用的训练方法:
- 全参数训练方法:这种方法是传统的模型训练方法,在每一轮训练中,模型的所有参数都会被更新。这种方法的优点是可以比较全面地利用所有的训练数据,但同时也会导致训练过程较为缓慢。
- LoRA训练方法:这是一种针对神经网络模型的参数更新策略。与全参数训练方法不同,LoRA训练方法对模型的不同层使用不同的学习率进行参数更新。这种方法的优势在于可以更加有效地训练深层网络,有助于解决深层网络中的梯度消失和梯度爆炸等问题,并且训练效率更高。
b. 在“数据集”下拉框中选择对模型进行训练使用的数据集。
c. 在“原始模型”下拉框中选择需要训练的原始模型。
d. 在“模型版本”下拉框中选择对原始模型的哪个版本进行训练。
(3) 配置训练产出
a. 在“训练后模型”输入框中输入您为训练完成后的模型设置的名称。
b. 在“模型版本”输入框中输入您为训练完成后的模型设置的版本号。
c. (可选)在“模型描述”输入框中输入您为训练完成后的模型设置的描述信息。
(4) (可选)高级配置
a. 点击“高级配置”下拉菜单,展开模型训练的高级参数配置项。
b. 在“GPU资源选择”项中,可以选择如何分配模型训练时使用的GPU资源:
- 自动选择:由系统自动分配训练模型时使用的GPU资源。
- 自定义:此时需要在“GPU资源”下拉框中手动指定训练模型使用的GPU资源,可以指定使用多个GPU资源。需要注意的是,请不要指定其他服务正在占用的GPU资源,否则可能导致训练进展缓慢或失败。
c. 在高级参数的各输入框中输入想要修改的值(它们都有缺省值)。
表5-1 高级配置参数说明
|
参数 |
说明 |
|
轮数 |
完成整个数据集的几次训练循环。每一次遍历整个数据集称为一轮训练。训练轮数越多,模型在数据集上的拟合程度越高 |
|
学习率 |
学习率是控制模型在每次迭代(更新权重)时调整权重的步长。较小的学习率使得模型参数更新较慢,而较大的学习率则导致参数更新较快。合适的学习率可以帮助模型更好地收敛 |
|
Batch Size |
Batch Size是指在更新模型参数时所用的样本数。通过将数据集分成多个小批次(batch),可以提高训练效率并节省计算资源。较大的Batch Size可以加快训练速度,但可能会导致内存不足等问题 |
|
checkpoint保存频率 |
checkpoint是在训练过程中周期性地保存模型的某个状态,通常是模型参数的快照。checkpoint保存频率指的是模型在训练过程中保存checkpoint的次数或间隔。较高的保存频率可以在训练过程中及时保存模型状态,以便在需要时进行模型恢复或评估 |
|
最大序列长度 |
最大序列长度是对输入序列进行限制的一个参数,以防止过长的序列导致内存消耗过大或计算资源不足的问题。通过将较长的序列截断或填充至指定的最大长度,可以使得输入序列在训练过程中具有一致的长度。以K为单位表示的是千个词或标记 |
本页面提供使用制作好的数据集来对模型进行训练的配置手段,以提高模型的语言理解能力、文本生成能力以及处理自然语言的性能。对模型的训练通过执行训练任务来实现。
本页面仅用于通过微调训练数据集对模型进行微调训练。
· 查看训练任务详细信息
点击训练任务列表“任务名称”列的链接,可以在右侧弹窗中查看训练任务的详细信息。
· 增加训练任务
单击<增加>按钮,可以增加训练任务,进入“增加微调训练页面”,以配置新增训练任务的具体参数。
有关新增训练任务的参数具体配置方法,请参见“5.4 增加微调训练”。
图5-3 微调训练
· 开始训练任务
增加训练任务后,点击训练任务列表“操作”列的“开始”按钮,系统开始对模型进行训练。训练成功的模型在训练任务列表“任务状态”列会显示为“成功”,并且训练后的模型会作为一个新的模型供系统部署和发布。
· 终止训练任务
如果发现训练任务配置错误,或不想继续对模型进行训练,可以点击训练任务列表“操作”列的“终止”按钮,以终止对模型的训练。终止训练的模型在训练任务列表“任务状态”列会显示为“已终止”。
· 恢复训练任务
在模型训练过程中,如果由于异常原因导致模型训练被中断,可以点击训练任务列表“操作”列的“恢复”按钮,以再次启动中断的训练。
· 删除训练任务
点击训练任务列表“操作”列的“删除”按钮,可以删除训练任务。
· 查看训练日志
模型训练失败时,训练成功的模型在训练任务列表“任务状态”列会显示为“失败”。此时可以通过点击训练任务列表“操作”列的“日志”按钮,在弹出窗口中查看训练过程中产生的日志,以排查训练失败的原因。
本页面用于配置新增训练任务的具体参数。
图5-4 增加微调训练
(1) 配置基本信息
在“任务名称”输入框中输入为训练任务设置的名称。
(2) 配置训练参数
a. 在“训练方法”选择项中选择为模型使用的训练方法:
- 全参数训练方法:这种方法是传统的模型训练方法,在每一轮训练中,模型的所有参数都会被更新。这种方法的优点是可以比较全面地利用所有的训练数据,但同时也会导致训练过程较为缓慢。
- LoRA训练方法:这是一种针对神经网络模型的参数更新策略。与全参数训练方法不同,LoRA训练方法对模型的不同层使用不同的学习率进行参数更新。这种方法的优势在于可以更加有效地训练深层网络,有助于解决深层网络中的梯度消失和梯度爆炸等问题,并且训练效率更高。
b. 在“数据集”下拉框中选择对模型进行训练使用的数据集。
c. 在“原始模型”下拉框中选择需要训练的原始模型。
d. 在“模型版本”下拉框中选择对原始模型的哪个版本进行训练。
(3) 配置训练产出
a. 在“训练后模型”输入框中输入您为训练完成后的模型设置的名称。
b. 在“模型版本”输入框中输入您为训练完成后的模型设置的版本号。
c. (可选)在“模型描述”输入框中输入您为训练完成后的模型设置的描述信息。
(4) (可选)高级配置
a. 点击“高级配置”下拉菜单,展开模型训练的高级参数配置项。
b. 在“GPU资源选择”项中,可以选择如何分配模型训练时使用的GPU资源:
- 自动选择:由系统自动分配训练模型时使用的GPU资源。
- 自定义:此时需要在“GPU资源”下拉框中手动指定训练模型使用的GPU资源,可以指定使用多个GPU资源。需要注意的是,请不要指定其他服务正在占用的GPU资源,否则可能导致训练进展缓慢或失败。
c. 在高级参数的各输入框中输入想要修改的值(它们都有缺省值)。
表5-2 高级配置参数说明
|
参数 |
说明 |
|
轮数 |
完成整个数据集的几次训练循环。每一次遍历整个数据集称为一轮训练。训练轮数越多,模型在数据集上的拟合程度越高 |
|
学习率 |
学习率是控制模型在每次迭代(更新权重)时调整权重的步长。较小的学习率使得模型参数更新较慢,而较大的学习率则导致参数更新较快。合适的学习率可以帮助模型更好地收敛 |
|
Batch Size |
Batch Size是指在更新模型参数时所用的样本数。通过将数据集分成多个小批次(batch),可以提高训练效率并节省计算资源。较大的Batch Size可以加快训练速度,但可能会导致内存不足等问题 |
|
checkpoint保存频率 |
checkpoint是在训练过程中周期性地保存模型的某个状态,通常是模型参数的快照。checkpoint保存频率指的是模型在训练过程中保存checkpoint的次数或间隔。较高的保存频率可以在训练过程中及时保存模型状态,以便在需要时进行模型恢复或评估 |
|
最大序列长度 |
最大序列长度是对输入序列进行限制的一个参数,以防止过长的序列导致内存消耗过大或计算资源不足的问题。通过将较长的序列截断或填充至指定的最大长度,可以使得输入序列在训练过程中具有一致的长度。以K为单位表示的是千个词或标记 |
当需要将已经预训练好的LinSeer模型调整为适应特定任务或领域时,需要对模型进行微调训练。在进行微调训练时,支持使用以下格式的JSON文件作为训练输入数据。
· 问答模式:用于构建问答系统的数据格式,其中包含了问题和对应的答案。
· 指令模式:包含了指令和对应的操作或执行逻辑,以实现用户命令的语义理解和自动执行相应的操作。
· 多轮对话模式:用于多轮对话场景,其中包含了对话的上下文信息和每一轮对话的用户输入以及模型的响应。
问答模式JSON文件包含的问题和答案格式可以参照如下案例进行组织。
· 中文
[
{
"问题": "视频推荐权限",
"答案": "超级管理员有推荐视频的权限,推荐视频将会在应用首页显示"
}
]
· 英文
[
{
"question": "视频推荐权限",
"answer": "超级管理员有推荐视频的权限,推荐视频将会在应用首页显示"
}
]
在上述格式中,“问题”或者“question”表示需要进行微调训练的问题,“答案”或者“answer”表示对于问题的回答。
指令模式的JSON文件格式案例如下。
· 案例1(回答问题形式)
[
{
"instruction": "世界上最著名的画家是谁?",
"input":"",
"output": "世界上有许多著名的画家,其中最著名的可能是意大利文艺复兴时期的画家列奥纳多·达·芬奇(Leonardo da Vinci)。他的 杰作包括《蒙娜丽莎》(Mona Lisa)和《最后的晚餐》(The Last Supper)。但是,这个问题并没有确定的答案,因为每个人都有自己的看法。其他著名的画家还有毕加索(Pablo Picasso)、梵高(Vincent van Gogh)、米开朗基罗(Michelangelo)、雷普尔(Raphael)、罗伯特(Rubens)等。"
}
]
· 案例2(回答问题形式)
[
{
"指令": "世界上最著名的画家是谁?",
"输入":"",
"输出": "世界上有许多著名的画家,其中最著名的可能是意大利文艺复兴时期的画家列奥纳多·达·芬奇(Leonardo da Vinci)。他的 杰作包括《蒙娜丽莎》(Mona Lisa)和《最后的晚餐》(The Last Supper)。但是,这个问题并没有确定的答案,因为每个人都有自己的看法。其他著名的画家还有毕加索(Pablo Picasso)、梵高(Vincent van Gogh)、米开朗基罗(Michelangelo)、雷普尔(Raphael)、罗伯特(Rubens)等。"
}
]
· 案例3(执行指令形式)
[
{
"instruction": "查询天气",
"input": "城市: 北京",
"output": "北京的天气情况是晴天"
}
]
指令模式的JSON文件包含了若干个指令对象,每个指令对象有以下字段:
· 指令(instruction):用于明确描述模型应该执行的操作或回答的问题。
· 输入(input):与指令相关的输入信息,可以是一个问题、描述或者观察,确保输入清晰、简明,并提供足够的信息供模型进行推理。
· 输出(output):输出字段包含模型针对指令生成的响应或者答案,应该是对输入的明确回答、解释或者建议。
在编写指令模式JSON文件时,需要遵循以下规则:
· 除了输入字段可以为空,指令和输出不能为空。
· 可以存在多个指令对象。
· 支持多轮对话格式。
· 当输出与指令不匹配,即输出表达不通顺、不明确、不正确的情况,可以删除或者调整指令和输出,以确保它们能够正确匹配并传达用户指令和系统回应的意图。这样可以改善对话模型的质量,使其更准确和流畅。
· 需要使用引号时,应该使用双引号,并在引号前加上转义字符反斜杠“\”,以告知系统该字符是一个特殊符号。
· 支持使用单换行符“\n”或双换行符“\n\n”。
· 输出字段应该尽量地详细准确。
· 如果输出字段的内容是中文,则应使用中文标点;如果是英文,则应使用英文的标点。如果输出字段同时包含中英文,则应使用中文标点。
· 不要随意添加空格和缩进,以免导致解析错误。
· 如果需要使用编号,则应该使用数字1~99加“.”的形式,不要使用其他形式的数字,如希腊数字或者汉字数字等。
多轮对话模式的JSON文件格式案例如下。
[
{
"id":"0",
"conversations":[
{
"from":"human",
"value":"以下是中国关于chinese_language_and_literature_dev考试的单项选择题,请选出其中的正确答案。\n\n清末被誉为“诗界革命”一面旗帜的是____。\nA. 王国维\nB. 梁启超\nC. 谭嗣同\nD. 黄遵宪\n\n"
},
{
"from":"gpt",
"value":"1. 黄遵宪是“诗界革命”的代表人物之一,他以“旧风格含新意境”为追求目标,对当时的文学界产生了积极的影响。因此被誉为“诗界革命”一面旗帜。\n 答案是D\n\n"
},
{
"from":"human",
"value":"以下是中国关于chinese_language_and_literature_dev考试的单项选择题,请选出其中的正确答案。\n\n清末被誉为“诗界革命”一面旗帜的是____。\nA. 王国维\nB. 梁启超\nC. 谭嗣同\nD. 黄遵宪\n\n"
},
{
"from":"gpt",
"value":"1. 黄遵宪是“诗界革命”的代表人物之一,他以“旧风格含新意境”为追求目标,对当时的文学界产生了积极的影响。因此被誉为“诗界革命”一面旗帜。\n 答案是D\n\n"
}
]
}
]
包含如下内容:
· id:整个对话有一个唯一的ID,建议从0开始。
· conversation:表示一轮完整的对话。一轮对话中可以包含单个或者多个问答模式或指令模式的对话。
问答模式和指令模式的数据可以转换为多轮对话模式,例如:
[
{
"id":"identity_0",
"conversations":[
{
"from": "human",
"value": "查询天气"
},
{
"from": "human",
"value": "城市: 北京"
},
{
"from": "gpt",
"value": "北京的天气情况是晴天"
}
]
}
]
需要在已有的预训练模型上继续进行预训练,以提升其性能和能力时,需要对模型进行增量预训练。增量预训练支持使用TXT文件作为输入训练数据。
知识库是一个集合了特定领域或主题的知识和信息的管理数据库,将知识库挂载到服务中,可以为服务提供知识库的实时的查询和检索功能,以便服务能够根据用户需求进行相关性匹配、数据检索和知识推理等操作。
知识库中的数据也需要训练,现支持的数据文件格式有utf-8编码的TXT格式文本数据。训练数据格式根据不同的应用场景存在差异,目前存在两种格式:问答格式和段落格式。
适用于客服类问答,对准确率要求高的场景。
数据格式的具体要求为:
· 数据为问-答对形式,问题前添加“$Q:”标识,回答前添加“$R:”标识。
· 问题和答案的内容结尾需要有合适的标点符号,如如逗号,句号,问号等。
· 问题和答案之间不能存在空白行。例如:
“$Q:租车服务收费? $R:租车服务收费受旅游淡旺季影响,且车型不同,收费不同,建议咨询官方客服电话。神州4006166666,一嗨4008886608,携程95010。”
· 问-答对之间保留一个空白行。
· 减少多个问-答对中重复或相似的内容。例如:
$Q:辣椒酱、鸡蛋能否随身携带? $R:辣椒酱和鸡蛋不可随身携带。
$Q:电子烟、没有油的打火机是否能带? $R:内置锂电池电子烟可随身携带或作为手提、托运行李;
没有油的打火机视为火种,故不可随身携带及托运乘机。
$Q:儿童娱乐区点位? $R:位于44登机口对面。
$Q:医疗室点位? $R:国际隔离区内4楼购物中心内后面。
$Q:国际区域内的免税品牌? $R:目前免税烟草酒类和香化类物品正在补货中(目前还暂未开业)。
适用于文本量较大,对准确率要求不高的场景。
数据格式的具体要求为:
· 无需包含无用的内容,如目录、页首页尾无用的字符以及乱码等
· 无需包含图片相关描述
· 由于标题本身不足以完全描述相关内容,需要对标题进行增强,给子标题添加副标题前缀,以提供更多的背景信息,使标题更具体、具有更多的上下文。例如(上图为原标题,下图为标题增强后):
· 表格内容需要转换成文本形式。例如(上图为原表格,下图为转换文字后):
· 需要包含缩略语或别名和专业词汇对应的字典,例如,数据中包含“万兆以太网”的相关信息,但是用户在对模型提问时可能使用“10GE”来描述万兆以太网,模型需要知道这两个词语是相同含义,以提高准确性。字典为JSON格式,可参考的案例如下。
[
{
"explain_en": "Ten-GigabitEthernet",
"explain_zh": "万兆以太网",
"alias": "10GE"
},
{
"explain_en": "Segment Routing IPv6",
"explain_zh": "IPv6段路由",
"alias": "SRv6"
},
{
"explain_en": "Dynamic Host Configuration Protocal for IPv6",
"explain_zh": "支持IPv6的动态主机配置协议",
"alias": "DHCPv6"
}
]
其中,"explain_en"表示英文解释或全称,"explain_zh"表示中文解释或全称,"alias"表示对应的缩略语、别名或专业名词。
该功能用来对模型的能力进行评测。
本章包含如下内容:
· 评估集
· 评估任务
评估集是用来评估模型性能的数据集,为模型评估任务提供了必要的数据支持。评估集的数据不会参与模型的训练过程。因此,通过在评估集上进行预测和评估,能够为模型在未见过的数据上的表现提供一个公正的评估,从而指导模型的优化和改进。
评估集可以通过如下方式生成:
· 通过导入的jsonl文件生成评估集。
· 上传满足一定格式要求的数据文件,将该数据文件转换为评估集。
在评估集页面,用户可以查看、导入、修改和删除评估集,上传、修改和删除数据文件,通过数据文件生成评估集等。
· 设备上预置了一些评估集,这些评估集不允许修改和删除。
· 如果操作员没有资源的权限,将看不到该资源的评估集数据或者数据文件。
· 导入评估集
单击<导入评估集>按钮,根据需要配置参数,单击<确定>按钮,完成导入评估集操作。
图6-1 评估集管理
· 修改评估集
点击评估集对应操作列的“修改”按钮,修改评估集名称、评估维度或描述信息,单击<确定>按钮,完成修改评估集操作。
· 删除评估集
可以通过以下方式删除评估集:
¡ 选择一个评估集后,单击<删除>按钮,删除该评估集。也可以同时选中多个评估集后,单击<删除>按钮,批量删除评估集。
¡ 点击评估集对应操作列的“删除”按钮,删除指定的评估集。
· 上传数据文件
a. 单击<上传文件>按钮。
b. 下载导入模板,查看导入模板中的数据格式要求,并按照该要求编写csv类型的数据文件。
c. 输入数据文件的描述信息。
d. 上传符合格式要求的csv文件。
e. 单击<确定>按钮,完成上传数据文件操作。
图6-2 上传数据文件
· 生成评估集
点击数据文件对应生成评估集列的“生成评估集”按钮,指定评估集名称、评估维度和评估集描述信息,单击<确定>按钮,完成将数据文件转换成评估集操作。
· 修改数据文件
点击数据文件对应操作列的“修改”按钮,修改数据集描述信息,单击<确定>按钮,完成修改数据文件操作。
· 删除数据文件
可以通过以下方式删除数据文件:
¡ 选择一个数据文件后,单击<删除>按钮,删除该数据文件。也可以同时选中多个数据文件后,单击<删除>按钮,批量删除数据文件。
¡ 点击数据文件对应操作列的“删除”按钮,删除指定的数据文件。
表6-1 导入评估集参数说明
|
参数 |
说明 |
|
评估维度 |
评估集对模型评估的维度,即评估模型哪个方面的能力。 |
|
描述 |
评估集的描述信息。 |
|
文件上传 |
以jsonl文件的格式上传评估集数据。 |
评估任务用来对模型的精确度、效率、稳定性等性能进行评价和测试,以确定模型是否能够满足预定的性能目标。用户可以根据评估结果来了解模型的弱点,从而对模型进行优化,提升性能,提高模型的安全性和可靠性。
在评估任务页面,用户可以增加、删除、启动和终止评估任务,并查看评估任务的评测结果。
· 执行中的评估任务不能删除或者批量删除。
· 评估任务创建完成后,不能对其进行修改。如需修改已创建的评估任务,只能删除后重新创建。
· 评估对比报告最多支持对3个评估任务的结果进行对比,即执行评估对比报告操作时,最多选择3个评估任务。
· 对于已经完成的评估任务,可以点击评估任务对应操作列的“启动”按钮,再次执行该评估任务。新的评估结果会覆盖之前的评估结果。
· 增加评估任务
单击<增加>按钮,根据需要选取自定义方式或service方式配置评估任务的基本信息,并选择评估任务对应的评估集,单击<保存>按钮,完成增加评估任务操作。
图6-3 增加评估任务
· 删除评估任务
可以通过以下方式删除评估任务:
¡ 选择一个评估任务后,单击<删除>按钮,删除该评估任务。也可以同时选中多个评估任务后,单击<删除>按钮,批量删除评估任务。
¡ 点击评估任务对应操作列的“删除”按钮,删除指定的评估任务。
· 查看评估对比报告
选择一个或多个评估任务后,单击<评估对比报告>按钮,可以对不同评估任务的评估结果进行对比,并显示对比结果。
如果不同评估任务评测的维度相同,则针对每一个维度分别对比评测结果,并在一个页签内显示对比结果;如果不同评估任务评测的维度不同,则分别在不同的页签显示评测结果。
单击<导出评估报告>按钮,可以将评估对比报告导出到文件中。
· 查看评估结果
点击评估任务对应操作列的“查看结果”按钮,可以查看单个评估任务的评测结果,包括评测结果雷达图、评测维度、准确率、成功用例数、失败用例数和评估时长等。
单击<导出评估报告>按钮,可以将评估对比报告导出到文件中。
· 启动评估任务
点击评估任务对应操作列的“启动”按钮,可以启动评估任务。
· 终止评估任务
对于正在执行中的评估任务,可以点击评估任务对应操作列的“终止”按钮,停止该评估任务。
表6-2 增加评估任务参数说明
|
参数 |
说明 |
|
任务名称 |
评估任务的名称。 |
|
创建方式 |
执行该评估任务的模型的指定方式,包括自定义和服务两种方式。 · 自定义:需要用户手动输入执行该评估任务的模型的信息,包括URL地址、URL认证和模型名称。 · 服务:选择已经发布的服务作为执行该评估任务的模型。 |
|
Url地址 |
模型的访问地址。 |
|
Url认证 |
访问模型时所需的认证信息。 如果只有认证通过后,才能访问指定的模型,则需要配置URL认证信息。 URL认证信息的格式为{"key1":"value1","key2":"value2"}。该信息携带在发送给模型的HTTP请求消息头中,模型根据该信息对评估任务进行认证。 在发送给模型的HTTP请求消息头中,默认携带如下字段: Content-Type:application/json,Accept:application/json 配置的认证信息填充到该字段后,即格式为: Content-Type:application/json,Accept:application/json,key1:value1,key2:value2 |
|
模型名称 |
执行该评估任务的模型的名称。 |
|
评估集 |
选择评估任务对应的评估集。可选择多个评估集。 |
|
模版名称 |
评估任务使用的匹配模版名称。 选择的评估集中包含非预置评估集时,必须填写该信息。 匹配模板决定了模型回答与标准答案之间的匹配方式,取值包括: · match:精确匹配,即模型的回答要与标准答案完全相同。 · fuzzy_match:模糊匹配,即模型的回答与标准答案之间要存在相似度。 · includes:包含匹配,即模型的回答要包含在标准答案中。 |
|
毒性检测Url地址 |
毒性检测模型的访问地址。 选择的评估集中包含毒性检测类型的评估集时,必须填写该信息。 评估任务从模型获取到回答后,将回答信息发送到毒性检测模型,以检测回答信息中是否包括不良内容。 |
|
毒性检测Url认证 |
访问毒性检测模型时所需的认证信息。 如果只有认证通过后,才能访问指定的毒性检测模型,则需要配置URL认证信息。 URL认证信息的格式为{"key1":"value1","key2":"value2"}。该信息携带在发送给毒性检测模型的HTTP请求消息头中,毒性检测模型根据该信息对评估任务进行认证。 在发送给毒性检测模型的HTTP请求消息头中,默认携带如下字段: Content-Type:application/json,Accept:application/json 配置的认证信息填充到该字段后,即格式为: Content-Type:application/json,Accept:application/json,key1:value1,key2:value2 |
该功能用来对模型进行部署,并将其作为推理服务对外发布。利用部署功能,还可以在已发布的推理服务上挂载知识库。
本章包含如下内容:
· 部署
· 服务发布
· 知识库
· 管理知识库文件
· 服务监控
模型部署是指将训练好的机器学习模型或深度学习模型应用到实际生产环境中,使其可以接收输入数据并生成预测结果或执行相应的任务。
在模型部署页面,用户可以部署和管理推理模型。为模型指定GPU资源后,该模型会部署到GPU所在的服务器上。部署在服务器上的模型是训练好的原始模型的一个推理实例,称为推理模型。推理模型部署完成后,可以对该模型进行监控和维护,确保推理模型的稳定性和可靠性。
启动推理实例后,推理实例会根据配置申请占用相应的GPU资源;终止推理实例后,占用的GPU资源会被释放。
· 增加推理实例
单击<增加>按钮,选择训练好的模型(包括模型名称和模型版本),指定GPU资源,单击<确定>按钮,完成增加推理实例操作。
图7-1 增加模型推理
· 启动推理实例
点击推理实例对应操作列的“启动”按钮,即可根据推理实例配置信息,申请占用GPU资源,加载并启动推理实例。
· 终止推理实例
点击推理实例对应操作列的“终止”按钮,即可释放占用的GPU资源,终止推理服务。
· 删除推理实例
可以通过以下方式删除推理实例:
¡ 选择一个推理实例后,单击<删除>按钮,删除该推理实例。也可以同时选中多个推理实例后,单击<删除>按钮,批量删除推理实例。
¡ 点击推理实例对应操作列的“删除”按钮,删除指定的推理实例。
表7-1 增加推理实例参数说明
|
参数 |
说明 |
|
推理实例名称 |
推理实例的名称。 |
|
推理实例描述 |
推理实例的描述信息。 |
|
推理模型名称 |
选择模型仓库中的模型。 |
|
推理模型版本 |
选择模型的版本。 |
|
GPU资源选择 |
为模型指定GPU资源,支持自动选择和自定义选择两种方式。 · 自动选择:根据指定的GPU数量自动为模型分配GPU资源。 · 自定义选择:手工为模型选择GPU资源 |
|
GPU数量 |
根据输入的GPU数量,系统自动为模型分配GPU资源。 |
|
节点名称 |
指定GPU所在的服务器节点。 |
|
GPU资源 |
为模型分配指定的GPU。 |
服务发布是为模型的推理实例提供服务地址,将其作为推理服务对外发布。用户可通过服务地址调用该推理服务。
如果某个模型下不存在推理实例,则选择该模型后,会发布一个空的服务。后续可以根据需要,为该服务指定对应的推理实例。
· 增加服务
单击<增加>按钮,设置服务地址和服务名称,选择某个模型的推理实例,单击<确定>按钮,将指定的推理实例作为服务对外发布。
图7-2 增加服务
· 查看服务详细信息
点击服务对应操作列的“详情”按钮,可以查看服务的详细信息。
· 修改服务
点击服务对应操作列的“修改”按钮,可以修改服务对应的推理实例。
· 删除服务
可以通过以下方式删除服务:
¡ 选择一个服务后,单击<删除>按钮,删除该服务。也可以同时选中多个服务后,单击<删除>按钮,批量删除服务。
¡ 点击服务对应操作列的“删除”按钮,删除指定的服务。
· 上线服务
点击服务对应操作列的“上线”按钮,可以重新启用被暂停的服务。
· 下线服务
点击服务对应操作列的“下线”按钮,可以暂停该服务。
· 问答测试
通过问答测试功能,可以模拟服务挂载知识库后进行自然语言问答的效果。需要注意的是,问答测试中选择知识库后仅是模拟所选服务挂载知识库后的效果,与实际该服务是否挂载了指定知识库无关联。
通过以下步骤使用问答测试功能:
a. 单击<问答测试>按钮,弹出问答测试对话框。
b. 根据是否需要模拟知识库挂载的情况,通过单击<开启知识库>切换按钮选择是否需要开启知识库,开启知识库时,请在“知识库”下拉框选择需要模拟挂载的知识库。
c. (可选)在问答测试对话框左侧调整服务在回答问题时的参数以及在知识库检索时的参数。
d. 在问答测试对话框右侧输入框输入测试的问题,点击发送问题的按钮后进行问答测试。
表7-2 增加服务参数说明
|
参数 |
说明 |
|
服务地址 |
对外提供服务的服务地址。 仅允许修改服务地址的后缀。 |
|
知识库 |
选择为服务外挂的知识库。 支持选择多个知识库。 |
|
模型名称 |
选择模型仓库中的模型。 |
|
模型版本 |
选择模型的版本。 |
|
推理实例 |
选择指定模型下已创建的推理实例。 |
|
服务名称 |
服务的名称。 |
|
服务描述 |
服务的描述信息。 |
知识库是一个集合了特定领域或主题的知识和信息的管理数据库,将知识库挂载到服务中,可以为服务提供知识库的实时的查询和检索功能,以便服务能够根据用户需求进行相关性匹配、数据检索和知识推理等操作。
与训练不同的是,模型的训练旨在通过机器学习从数据中学习语言理解能力,而知识库挂载则是将预先构建好的知识库连接到系统中以提供特定领域的知识和数据检索功能。这两个过程可以相互配合,使得服务能够结合模型的语言理解能力和知识库的数据查询功能来满足具体的业务需求。
· 如果用户没有资源的权限,无法看到对应的知识库。
· 多个知识库可以挂载到同一个服务中。
· 只有存在训练完成文件的知识库才能显示为可用状态,只有可用的知识库才能挂载到服务中。
· 知识库使用的向量库为Milvus向量库。
· 进行问答测试时,知识库和知识关联只能挂载其中之一。
· 增加知识库
a. 单击<增加>按钮,弹出增加知识库对话框。
b. 在“名称”输入框中,输入新增知识库的名称。
c. (可选)在“描述”输入框中,输入新增知识库的描述信息。
d. (可选)在“创建人”输入框中,输入新增知识库的创建人。
e. 在“Embedding模型”下拉框中,选择用于将知识库中的实体或概念映射为低维向量表示的模型。
f. 单击<确定>按钮,完成增加知识库操作。
图7-3 增加知识库
· 修改知识库
点击知识库列表“操作”列中的“修改”按钮,在弹出的对话框中可以对知识库的名称、描述、创建人以及Embedding模型信息进行修改。
需要注意的是,知识库的Embedding模型只有在不可用状态时才能修改。
· 管理文件
点击知识库列表“操作”列中的“管理文件”按钮,进入知识库的文件管理页面。管理文件的配置方法,请参见“7.4 管理知识库文件”。
图7-4 管理文件
· 向量管理
点击知识库列表“操作”列中的“向量管理”按钮,可以进入向量管理页面,查看知识库文件拆分为向量的结果。在向量管理页面,可以通过以下两种方式删除向量:
¡ 批量删除:在向量列表第一列勾选需要删除的向量,然后单击<删除>按钮。
¡ 单个向量删除:点击向量列表“操作”列中的“删除”按钮。
完成向量管理后,点击向量管理页面标题上方的“←返回”按钮,返回知识库页面。
· 挂载知识库
可通过以下两种方式将知识库挂载到服务中:
¡ 批量挂载:在知识库列表中的第一列勾选需要挂载的知识库,并单击<挂载>按钮,在弹出的对话框中选择知识库挂载的服务,然后单击<确定>按钮完成挂载。
¡ 单个知识库挂载:点击知识库列表“操作”列中的“挂载”按钮,在弹出的对话框中选择知识库挂载的服务,然后单击<确定>按钮完成挂载。
· 查看挂载关系
单击<查看挂载关系>按钮,在“查看挂载关系”对话框中可以查看知识库与服务的挂载关系。
并且,在“查看挂载关系”对话框中可以通过以下两种方式删除知识库与服务的挂载关系:
¡ 批量删除:在挂载关系列表的第一列勾选需要删除挂载关系的知识库,并单击<删除>按钮,然后单击弹出的提示框中的<确定>按钮,完成知识库与服务的挂载关系删除。
¡ 单个挂载关系删除:点击挂载关系列表“操作”列的“删除”按钮,然后单击弹出的提示框中的<确定>按钮,完成知识库与服务的挂载关系删除。
· 问答测试
通过问答测试功能,可以模拟服务进行自然语言问答的效果。需要注意的是,在问答测试中选择知识库后,仅是模拟所选服务挂载知识库后的效果,与实际该服务是否挂载了指定知识库无关联。
通过以下步骤使用问答测试功能:
a. 单击<问答测试>按钮,弹出问答测试对话框。
b. 根据是否需要模拟知识库挂载的情况,通过单击<开启知识库>切换按钮选择是否需要开启知识库,开启知识库时,请在“知识库”下拉框选择需要模拟挂载的知识库。
c. (可选)在问答测试对话框左侧调整服务在回答问题时的参数以及在知识库检索时的参数。
d. 在问答测试对话框右侧输入框输入测试的问题,点击发送问题的按钮后进行问答测试。
图7-5 问答测试
表7-3 增加知识库参数说明
|
参数 |
说明 |
|
Embedding模型 |
目前支持的Embedding模型有三种: · text2vec:适用于中文的文本分类和情感分析、以及相似性匹配场景。此模型使用的缺省向量维度为1024。 · m3e-base:适用于多语言翻译,以及针对不同语言的查询、找到相关信息的场景。此模型使用的缺省向量维度为768。 · bge-large-zh:适用于通过将问题和相关文本转换为向量表示,找到最相关的答案或解决方案,或计算文档之间的相似度的场景。此模型使用的缺省向量维度为1024。 |
|
向量维度 |
在大语言模型中,文本被编码为向量的过程是通过将每个单词、短语或句子映射到一个固定长度的向量来实现的。这些向量的长度是一个固定的值,称为向量维度。设置较小的向量维度可能不足以捕捉到复杂的语义关系,导致信息丢失或精度下降。而较大的向量维度则会增加计算和存储的成本,并可能导致模型过拟合或训练困难。建议使用缺省的向量维度。 |
管理文件功能用于将文件上传到知识库中,并对其进行管理,包括修改上传的文件、将文件拆分为模型可以理解的向量、删除上传的文件以及下载上传的文件。
· 修改文件时,如果上传了同名文件,文件的训练状态将修改为“未训练”,需要重新对其进行训练。
· 如果用户没有管理文件的权限,无法使用管理文件功能。
(1) 单击<文件上传>按钮,弹出文件上传对话框。
(2) 在“文件描述”输入框中输入上传文件的描述。
(3) 上传文件,可以选择以下两种方式:
¡ 将本地文件直接拖拽到对话框中。
¡ 单击<选择文件>按钮,选择需要上传的文件。
(4) 点击文件上传对话框中的“删除”按钮,可以删除上传的文件。单击<提交>按钮,可以将上传的文件提交至知识库中,并返回知识库的文件管理页面。
(5) 点击上传文件列表“操作”列的“修改”按钮,在弹出的修改对话框中可以修改文件描述,或者点击“上传”按钮,通过上传同名的文件来替换已上传的文件。
(6) 训练文件。本步骤的目的是将上传的文件拆分为模型可以理解的向量,以供服务进行查询和检索。本步骤可以通过以下两种方式实现:
¡ 在上传文件列表的第一列勾选需要训练的文件,然后单击<训练>按钮,在弹出的文件训练对话框中配置训练参数。此种方式可以对文件进行批量训练。
¡ 点击上传文件列表“操作”列的“训练”按钮,在弹出的文件训练对话框中配置训练参数。此种方式仅可以对单个文件进行训练。
(7) (可选)点击上传文件列表“操作”列中的“删除”按钮,或者在上传文件列表的第一列勾选文件并且单击<训练>按钮,可以删除上传的文件。
(8) (可选)点击上传文件列表“操作”列中的“下载”按钮,可以将文件下载到本地。
(9) 点击文件管理页面标题上方的“←返回”按钮,返回知识库页面。
表7-4 文件训练参数
|
参数 |
说明 |
|
切分方式 |
文件内容按照什么方式来进行切分。支持三种方式: · Character:字符方式。此方式需要定义分隔符、切片大小和切片重合大小 · Chinese Character:中文字符方式。此方式按照句尾标点符号进行对文件进行切分,仅需设定切片大小 · Python:Python方式。此方式使用Python代码对文件切分,需要定义切片大小和切片重合大小 |
|
分隔符 |
表示按照何种分隔符来切分文档。预定义的分隔符包括“\n\n”、“\n”、“$$$$$”和“#####”,可在点击“自定义”切换按钮后在下方的输入框输入自定义的分隔符 |
|
切片大小 |
当选择切分方式为Character和Python时,系统对基于分隔符(Python分隔符是内置的)切分的文本块进行顺序判断。系统会比较每个文本块的长度,如果当前文本块的长度小于设置的切片大小,那么系统会继续将后续的文本块与其拼接在一起,直到长度大于或等于设置的切片大小。而当选择切分方式为Chinese Character时,切片大小指切分的文本块的最大长度 |
|
切片重合大小 |
上下两个文本块之间的重合长度 |
为了使用户更好地了解已发布的服务和对应模型负载的运行状态,百业灵犀提供了服务监控功能。通过自动实时的服务监控,用户可以方便地了解服务和模型的各项性能指标,以便更好地评估其性能表现。
未执行过推理任务的服务和推理实例,不会显示在服务监控页面和服务监控详情页面的列表中。
(1) 用户可通过知识库页面的问答测试功能,对指定的服务进行问答测试。有关问答测试的具体使用方法,请参见“7.3 知识库”。
(2) 返回服务监控页面,单击<刷新>按钮,刷新服务监控数据。
(3) 在<刷新>按钮右侧的“选择日期”配置项处,选择服务监控收集数据的起止日期。如果不进行选择,则服务监控缺省收集当天的数据。
(4) 通过服务监控列表查看刚才问答测试调用的服务的性能指标,或通过点击服务监控列表“操作”列的“详情”按钮查看详细性能指标。
表7-5 服务监控参数说明
|
参数 |
说明 |
|
调用总数 |
服务或推理实例在指定时间范围内接收到的问答测试请求总数(指定时间范围为服务监控收集数据的起止日期之间的这段时间,下同)。 |
|
调用失败数 |
服务或推理实例在指定时间范围内接收到、但处理失败的问答测试请求总数。 |
|
失败率 |
(调用失败数÷调用总数)×100% |
|
Token数 |
服务或推理实例在指定时间范围内所处理的输入和输出文本中的Token总数。Token指的是文本的基本单位,可以是一个单词、一个字符或一个标点等。 |
|
首Token时延(单位毫秒) |
服务或推理实例从接收到问答测试请求到产生首次Token的耗时。 |
|
首Token最大时延(单位毫秒) |
服务或推理实例从接收到问答测试请求到产生首次Token的最大耗时。 |
|
首Token最小时延(单位毫秒) |
服务或推理实例从接收到问答测试请求到产生首次Token的最小耗时。 |
|
首Token平均时延(单位毫秒) |
在指定时间范围内,服务或推理实例从接收到问答测试请求到产生首次Token的总耗时除以调用总数。 |
|
QPS |
服务或推理实例在指定时间范围内,每秒接收到问答测试请求数的最大值。 |
系统提供了对整个系统公共参数、操作员、角色、安全、认证、日志、License管理等的配置功能。
本章包含如下内容:
· GPU监控
· 操作员管理
· 角色管理
· 系统配置
· 日志管理
GPU监控页面用来显示设备已发现的GPU的使用情况,包括显存总量、显存使用率等。
图8-1 GPU监控
· 设备每隔5分钟采集一次GPU信息,并更新页面上的显示数据。最长间隔5分钟刷新一次。
· GPU显存使用率折线统计图上显示的数据为与每个时间点最接近的数据采集时间点采集到的数据。
· 查看GPU资源的详细信息
点击GPU资源信息列表中GPU名称列的链接,可进入GPU详细信息页面,查看GPU的详细信息。
· 查看GPU性能统计
点击GPU资源信息列表中性能列的“更多”按钮,可查看GPU各个性能指标的统计趋势图。
当操作员数量众多时,为每个操作员单独配置系统权限将造成巨大的配置和维护工作量。为了简化权限管理,百业灵犀采用操作员、角色组、角色、操作组和资源分组的多层级灵活授权方式。
· 角色组:具有相同属性的一组操作员。
· 角色:可以看作是操作员和权限之间的桥梁。为角色赋予一组权限后,具有该角色的操作员就可以执行这组权限。
· 操作组:一组操作的集合,例如增加、删除、修改和查看操作员。
· 资源分组:一组资源的集合。资源是指操作员可以管理和操作的各种元素或实例,如模型部署实例、知识库、评估集、评估任务等。
百业灵犀的操作员权限通过操作组和资源分组来定义。其中,操作组用来定义可以执行的操作,资源分组用来定义操作的范围,即可以对哪些资源执行这些操作。例如,操作组支持的操作为修改和删除操作员,资源分组中包括的资源为操作员evaulator,则这个操作组和资源分组定义的权限为允许修改和删除操作员evaulator,不允许执行其它操作。
如图8-2所示,操作组和资源分组定义的操作权限可以直接授予操作员,也可以授予角色组或角色。
· 直接为操作员授予操作权限后,该操作员将具有指定的操作权限。
· 操作员加入角色组,并为角色组授予操作权限后,该操作员将具有角色组拥有的操作权限。
· 操作员加入角色组,指定该角色组具有某个角色,并为角色授予操作权限后,该操作员将具有该角色拥有的操作权限。
· 指定操作员具有某个角色,并为角色授予操作权限后,该操作员将具有该角色拥有的操作权限。
本节包含如下内容:
· 操作员列表
· 在线操作员
操作员是系统及各业务组件的管理维护人员,不同的操作员拥有不同的管理权限。操作员列表用于展示当前登录操作员的信息。
在操作员列表页面,用户可以对操作员进行增加操作员、导入操作员、删除操作员、修改操作员、查询操作员、复制操作员、配置角色、配置权限等操作。用户还可以通过高级搜索功能,更精确地查询操作员信息。
· 只有具有操作员管理权限的操作员才可以增加、导入、删除、修改、复制操作员,为操作员配置角色或权限。
· 对于admin操作员,系统允许删除或修改权限。
· 使用模板导入操作员信息时,单次最多支持导入3000个操作员。
操作员权限配置包括人员归组、按角色授权、直接授权三种,您必须选择一种类型进行授权。如果选择了多种权限类型,系统会根据最大的权限合集进行授权。
· 增加操作员
增加操作员的配置方法为:
a. 在操作员列表页面,单击<增加>按钮,进入增加操作员页面。
b. 配置操作员的基本信息、高级信息。
c. 单击<确定>按钮,完成增加操作员操作。
图8-3 增加操作员
· 人员归组
为操作员进行角色组授权,为可选配置,且最多只能选择10个角色组。
人员归组的配置方法为:
a. 在增加操作员页面人员归组区域,单击<选择>按钮,进入选择角色组页面。
b. 在弹出角色组选择框中勾选所需的角色组。
c. 单击<确定>按钮,完成增加角色组。
· 按角色授权
对操作员进行角色授权,为可选配置。
按角色授权的配置方法为:
a. 在增加操作员页面按角色授权区域,勾选所需的角色。
b. 在增加操作员页面按角色授权区域,勾选所需的角色。
c. 单击
按钮,添加到所需角色列表。如需删除所需角色,请单击
按钮移除。
d. 单击<确定>按钮,完成角色授权。
· 直接授权
对操作员操作组和资源/资源分组授权,为可选配置。
直接授权的配置方法为:
a. 在增加操作员页面直接授权区域,勾选所需的操作组。
b. 选择资源范围,资源范围默认选中全部资源,可通过<指定>按钮选择资源分组和资源。
c. 单击<增加>按钮,基于操作组和资源/资源分组信息生成一条授权规则。如需重新设置,请单击<重置>按钮清空授权。
d. 单击<确定>按钮,完成直接授权。
· 参数说明
表8-1 操作员基本信息
|
参数 |
说明 |
|
操作员名称 |
操作员登录系统的帐户名。 · 输入长度限制可配置,可在安全配置页面的“操作员名称配置”区域中配置操作员名称的长度。 · 输入字符只能包含字母、数字、“_”、“-”、“.”、“\”。有效长度为2~32个字符。 · 不区分大小写。 · 不得为空。 · 创建后不可修改,且不允许存在同名操作员。 |
|
认证方式 |
操作员登录系统时使用的认证方式。 · 可选值只包括简单密码认证,RADIUS认证、LDAP认证、TACACS认证以及第三方认证。 · 不得为空。 · 若选择“简单密码认证”,则表示使用操作员名称登录,且必须输入登录密码并确认登录密码。 · 若选择“RADIUS认证”、“LDAP认证”或“TACACS认证”,则需要在认证配置页面配置认证服务器。 · 若选择“第三方认证”,则需要在认证配置页面配置第三方认证。 |
|
登录密码 |
· 若选择“简单密码认证”,则出现登录密码输入框。 · 登录密码的输入限制可在安全配置页面中的“操作员密码策略配置”区域中配置,可配置密码长度和密码强度校验。 · 若认证方式选择“简单密码认证”,则登录密码不得为空。 |
|
登录密码确认 |
再次确认并输入登录密码。 · 不得为空。 · 必须和登录密码输入字符相同即可通过校验。 |
|
手机号 |
操作员的手机号。 · 选填,长度固定为11位。 · 若使用双因子认证的短信认证功能或忘记密码的手机号认证方式重置密码,则手机号不能为空。 |
|
邮箱 |
操作员的邮箱。 · 选填,长度不大于255个字符。 · 若使用双因子认证的Google动态口令认证方式或忘记密码的邮箱方式重置密码功能,则邮箱不能为空。 |
表8-2 操作员高级信息
|
参数 |
说明 |
|
姓 |
操作员的账户信息,选填,长度不大于32个字符。 |
|
名 |
操作员的账户信息,选填,长度不大于32个字符。 |
|
操作员全称 |
操作员的账户信息,选填,长度不大于32个字符。 |
|
允许登录时间段 |
允许操作员登录的时间段,不在登录时间段内操作员无法登录系统。 · 可选值为00:00~23:59。 · 最小刻度单位为分钟。 |
|
描述 |
当前操作员的描述信息。长度不得大于128个字符,可在操作员列表中查看描述信息。 |
|
密码有效期 |
密码有效期到期后,该操作员登录后将被强制要求修改密码。 · 仅采用简单密码认证,且启用密码有效期功能后,本参数可显示且不得为空。 |
|
提前预警时间 |
当密码有效期剩余天数达到预警阈值时,系统将触发Trap告警并在操作员每次登录时提醒修改密码。操作员修改密码后,需要在告警页面上手动恢复告警。 · 仅采用简单密码认证,且启用密码有效期功能后,本参数可显示且不得为空。 · 本参数默认值为10,输入范围为0~99999的整数。 |
|
启用帐户有效期 |
帐户有效期到期后,该操作员会被禁用,无法登录系统。 启用账户有效期功能后,本字段可显示且不得为空。 |
|
帐户到期提前预警时间 |
当帐户有效期剩余天数达到预警阈值时,系统将触发Trap告警并在操作员每次登录时提醒修改帐户有效期。操作员修改帐户有效期后,告警自动恢复。 启用账户有效期功能后,本字段可显示且不得为空。字段默认值为10,输入范围为0~99999的整数。 |
|
最大同时在线数 |
配置该操作员的最大同时在线会话数量,当同时在线会话数等于该值时,该操作员下次登录请求会被禁止。 · 0表示该操作员不限制最大同时在线会话数。 · 输入范围为0~999的整数。 · 若采用第三方认证方式,则最大同时在线数不可配置 |
删除操作员的配置方法为:
(1) 选择一个或多个操作员。
(2) 单击<删除>按钮,弹出确认删除对话框。
(3) 单击<确定>按钮,完成删除操作员操作。
(1) 单击<更多操作>按钮。
(2) 单击<导入>按钮,弹出导入操作员窗口。
(3) 占位符、分隔符保持默认设置。
(4) 点击<下载模板>按钮,可将操作员表格模板保存至本地。
(5) 请根据实际需要在表格中填写操作员信息。
(6) 单击<选择>按钮,选择修改后的操作员表格。
(7) 单击<导入>按钮,完成导入操作员操作,操作日志列表页面可查看详细导入结果信息。
操作员角色的配置方法为:
(1) 选择一个或多个操作员,单击<更多操作>按钮。
(2) 单击<配置角色>按钮,进入配置角色页面。
(3) 为操作员添加角色:
a. 缺省选中<为操作员追加角色>,勾选需要的角色。
b. 单击
按钮添加角色。
c. 单击<确定>按钮,将已选角色绑定到所选操作员。
(4) 解绑操作员的角色:
a. 单击<将操作员角色解绑>按钮。
b. 勾选需要解绑的角色后,单击
按钮。
c. 单击击<确定>按钮,将已选角色与操作员解除绑定。
(5) 删除角色:
a. 单击<删除角色>按钮,弹出确认角色解绑对话框。
b. 单击<确定>按钮,完成所有操作员角色解绑操作。
(1) 选择一个或多个操作员,单击<更多操作>按钮。
(2) 单击<配置权限>按钮,进入配置权限页面。
(3) 关于配置权限页面的具体操作步骤,请参见“3. 增加操作员”。
修改操作员的配置方法为:
(1) 在操作员列表页面,单击操作员对应操作列的<修改>按钮,进入修改操作员页面。
(2) 修改操作员的基本信息、高级信息。
¡ 操作员名称不支持修改。
(3) 单击<确定>按钮,完成修改操作员操作。
被禁用的操作员无法登录。只影响登录操作。
单击操作员对应操作列的<禁用>/<启用>按钮,可禁用/启用该操作员。
单击操作员对应操作列的<角色>按钮,弹出角色查看页面。
如果需要解绑角色,请勾选一个或多个角色,单击<解绑>按钮,可将所选角色与操作员解除绑定。需要注意的是,仅当角色来源为“操作员”时,解除绑定才能生效。
单击操作员对应操作列的<权限>按钮,在弹出页面中查看权限。
(1) 在[系统配置 > 认证配置 > 双因子认证配置]页面启用Google动态口令认证方式后,操作员列表页面才能显示发送密钥功能,即在操作员对应操作列显示<发送秘钥>按钮。
(2) 选择一个或多个操作员。
(3) 单击<发送密钥>按钮,系统会以邮件形式将动态口令发送到操作员的邮箱。
(1) 单击操作员对应操作列的<复制>按钮,弹出增加操作员页面。
(2) 填写操作员名称和登录密码,其他字段默认填入已复制的操作员信息。
单击操作员名称按钮,进入操作员详情页面,本页面可以查看以下信息:
· 查看操作员基本信息:查看操作员名称、认证方式、最后一次密码修改时间、最大同时在线数等信息。
· 查看角色组列表:查看操作员对应的角色组名称及角色组描述。
· 查看角色列表:查看操作员所拥有的角色名称和角色描述。如需解绑角色,可勾选一个或多个角色,单击<解绑>按钮,解除操作员与角色的绑定关系。
· 查看操作组列表:查看操作员所归属的操作组及资源/资源分组信息。
· 查看权限列表:查看操作员所拥有的权限。
该功能用于查看当前已登录的操作员信息,包括操作员名称、会话ID、登录时间、闲置时长、IP地址等。此外,您还可以对操作员执行强制下线操作。
在[系统配置 > 安全配置]页面中修改操作员闲置超时时长后,如果当前值小于历史值,闲置时长可能会显示为负数,请等待一分钟后再刷新页面,闲置时长显示可恢复正常。
单击<刷新>按钮,可查看操作员最新信息。
· 强制下线
a. 单击操作员对应操作列的<强制下线>按钮,页面弹出操作确认提示框。
b. 在对话框中单击<确定>按钮,强制下线该操作员。
· 搜索在线操作员
c. 在搜索文本框内输入操作员名称。
d. 单击搜索图标或按回车键,可查询到对应的操作员信息。
本节包含如下内容:
· 角色组列表
· 角色列表
· 操作组列表
可以根据需要,将某些具有相同属性的操作员划分到一个角色组,以便进行管理。通过为角色组配置角色,并授予操作和资源访问权限,可以实现对角色组内操作员的权限进行控制。
图8-4 角色组列表
不能删除正在被操作员使用的角色组。
不允许修改、删除和移动系统预置的角色组,如系统管理组。
角色组名称、描述、负责人、邮箱和联系方式不支持的安全敏感字符如下:
· 包含script HTML标签的文本
· 包含"src="的文本
· 包含eval语句的文本
· 包含Expression语句的文本
· 包含JavaScript语句的文本
· 包含VBScript语句的文本
· 包含&的文本
· 包含*的文本
· 包含+的文本
· 包含alert语句的文本
· 包含onload语句的文本
· 包含<的文本
· 包含>的文本
· 包含HTML关键字的文本
· 查询角色组
在页面左上角的文本框中输入角色组名称后,点击“查询”图标,符合条件的角色组会显示在下方。角色组名称支持模糊查询。
· 增加角色组/子角色组
最多可以创建10层子角色组。
a. 进入增加角色组/子角色组页面的方法如下:
- 增加角色组:单击<增加>按钮,页面右侧显示增加角色组页面。
- 增加子角色组:点击角色组名称右侧的“增加子角色组”图标,页面右侧显示增加子角色组页面。
b. 输入角色组的名称、描述、负责人等基本信息。
c. 单击“人员归组”下的<选择>按钮,选择系统上已存在的操作员,将其加入到角色组。
d. 在“直接授权”下,选择系统上已存在的操作组,并设置角色组可操作的资源范围(全部资源或指定的资源分组),从而为角色组授予对指定资源范围执行指定操作的权限。
e. 在“按角色授权”下,选择为角色组授予的角色权限。
f. 单击<确定>按钮,完成增加角色组/子角色组操作。
· 修改角色组
a. 点击角色组名称右侧的“修改”图标,页面右侧显示修改角色组页面。
b. 根据实际情况修改角色组的基本信息、授权信息。角色组名称无法修改。
c. 单击<确定>按钮,完成修改角色组操作。
· 复制角色组
a. 点击角色组名称右侧的“复制”图标,进入增加角色组页面。
b. 当前角色组的信息来源于上一步所选的角色组,根据实际情况修改角色组的基本信息、包含的操作员、授权信息。
c. 单击<确定>按钮,完成复制角色组操作。
· 移动角色组
a. 点击角色组名称右侧的“移动”图标,进入移动角色组页面。
b. 选择当前角色组的父角色组。
c. 单击<确定>按钮,或点击“重置为顶级”按钮,完成移动角色组操作。
· 增加操作员
点击角色组名称右侧的“增加操作员”图标,进入增加操作员页面。在该页面下配置操作员的信息,完成新增操作员操作。
· 删除角色组
点击角色组名称右侧的“删除”图标,在弹出的确认对话框中单击<确定>按钮,完成删除角色组操作。
· 导入角色组
a. 单击<导入>按钮,弹出导入角色组窗口。
b. 点击“下载模板”链接,将角色组模板.csv文件保存至本地。根据实际需要以层级架构配置角色组信息,最后一列为描述信息,最多支持导入七层角色组。
c. 单击<选择>按钮,选择.csv格式的角色组信息文件。
d. 勾选“导入角色组时,自动创建相应资源组”,则导入角色组时会自动创建相同层级的资源分组。
e. 单击<导入>按钮,完成导入角色组操作。
· 为角色组添加或删除操作员
除了增加角色组时在“人员归组”下为角色组添加或删除操作员外,还可以通过以下方法为角色组添加或删除操作员:
a. 点击角色组名称,页面右侧显示角色组的信息。
b. 进入操作员列表,单击<加入>按钮,选择系统上已存在的操作员,将其加入到角色组。
c. 选择一个或多个操作员,单击<移出>按钮,将操作员从当前的角色组中删除。
系统采用基于角色的权限控制,可以为角色分配权限。
· 不能增加一个已经存在的角色。
· 不允许修改和删除系统预置的角色,如Linseer查看员、Linseer管理员。
· 简洁模式和操作组模式尽量不要混合使用。
· 查询角色
在页面左上角的文本框中输入角色名称后,点击“查询”图标 ,符合条件的角色会显示在下方。角色名称支持模糊查询。
· 增加角色
a. 单击<增加>按钮,页面右侧显示增加角色页面。
b. 选择简洁模式或操作组模式来创建角色:
- 简洁模式:快捷地选择操作、资源生效范围来创建角色。
- 操作组模式:通过选择已存在的操作组来创建角色。
c. 输入角色名称和角色描述信息。
d. 简洁模式下,需要选择生效的权限,即角色可以执行哪些操作,例如增加、删除、修改操作员的权限。
e. 在操作组模式下,需要单击<增加>按钮,进入选择操作组页面。在该页面选择已存在的操作组,以便为角色授予该操作组的操作权限。如果系统上不存在所需的操作组,则可以在选择操作组页面单击<增加>按钮,来创建操作组。
f. 选择操作权限的资源作用范围。可以选择权限对全部资源生效,或者对指定资源生效。若对指定资源生效,则该权限不支持对其它资源进行查看、修改或删除操作。配置对指定资源生效时,可以直接选择资源,也可以通过选择资源分组来指定资源范围。
g. 单击<确定>按钮,完成增加角色操作。
图8-5 增加角色
· 修改角色
a. 点击角色对应操作列的“修改”图标,页面右侧显示修改角色页面。
b. 对于采用简洁模式创建的角色,可以选择简洁模式或操作组模式来修改角色;对于采用操作组模式创建的角色,不允许修改角色创建模式。
- 简洁模式:快捷地选择操作、资源生效范围来修改角色。
- 操作组模式:通过选择已存在的操作组来修改角色。
c. 根据实际情况修改角色描述、生效权限和作用范围等。角色名称无法修改。
d. 单击<确定>按钮,完成修改角色操作。
· 删除角色
删除角色后,已配置该角色的操作员或角色组将不再具有该角色下的权限。请谨慎删除角色。
可以通过以下方式删除角色:
¡ 选择一个角色后,单击<删除>按钮,删除该角色。也可以同时选中多个角色后,单击<删除>按钮,批量删除角色。
¡ 点击角色对应操作列的“删除”图标,在弹出的确认对话框中单击<确定>按钮,完成删除角色操作。
· 分配角色
a. 选择一个或多个角色后,单击<分配>按钮,页面右侧显示为操作员配置角色页面。
b. 选择角色组后,将显示该角色组中的所有操作员。
c. 选择操作员,并为操作员赋予选中的角色。
d. 单击<确定>按钮,完成分配角色操作后,被选中的操作员将具有这些角色的权限。
· 复制角色
a. 点击角色名称右侧的“复制”图标,进入增加角色页面。
b. 当前角色的信息来源于上一步所选的角色,根据实际情况修改角色的名称、描述、生效权限和作用范围等。
c. 单击<确定>按钮,完成复制角色操作。
操作组是一组操作的集合。系统采用基于操作组的操作权限控制方式。为操作组分配操作,并将操作组授权于操作员、角色组或角色后,该操作员、角色组或角色将具有执行操作组内操作的权限。
· 查询操作组
在页面左上角的文本框中输入操作组名称后,点击“查询”图标,符合条件的操作组会显示在下方。操作组名称支持模糊查询。
a. 单击<增加>按钮,页面右侧显示增加操作组页面。
b. 输入操作组名称和操作组描述信息,并选择生效权限,即该操作组允许执行的操作,如增加、修改和删除管理员。
c. 单击<确定>按钮,完成增加操作组操作。
· 修改操作组
a. 点击操作组对应操作列的“修改”图标,页面右侧显示修改操作组页面。
b. 根据实际情况修改操作组描述和生效权限。操作组名称无法修改。
c. 单击<确定>按钮,完成修改操作组操作。
· 删除操作组
删除操作组后,已配置该操作组的操作员、角色组或角色将不再具有该操作组下的操作权限。请谨慎删除操作组。
可以通过以下方式删除操作组:
¡ 选择一个操作组后,单击<删除>按钮,删除该操作组。也可以同时选中多个操作组后,单击<删除>按钮,批量删除操作组。
¡ 点击操作组对应操作列的“删除”图标,在弹出的确认对话框中单击<确定>按钮,完成删除操作组操作。
· 分配操作组
将所选操作组分配到指定的操作员,被选中的操作员将具有这些操作组的权限。
a. 选择一个或多个操作组后,单击<分配>按钮,页面右侧显示操作组授权页面。
b. 选择操作员,并为操作员授权选中的操作组。
c. 在“直接授权”下,可以配置操作权限的资源作用范围。可以选择权限对全部资源生效,或者对指定资源生效。若对指定资源生效,则该权限不支持对其它资源进行查看、修改或删除操作。配置对指定资源生效时,可以直接选择资源,也可以通过选择资源分组来指定资源范围。
d. 单击<确定>按钮,完成分配操作组操作后,被选中的操作员将具有这些操作组的操作权限,且操作员只能对指定范围内的资源执行操作。
系统配置用来管理系统的资源、认证方式,并对系统进行安全配置和图标配置。
本节包含如下内容:
· 资源分组
· 认证配置
· 安全配置
· 图标配置
资源是指操作员可以管理和操作的各种元素或实例,如模型部署实例、知识库、评估集、评估任务等。
可以根据管理需要,创建资源分组,并将资源加入资源分组。为操作员或角色组授予资源分组的管理权限后,该操作员或角色组将会获得该资源分组下所有资源的管理权限,从而使资源管理更为简便。
为了便于组织和展示资源分组之间的关系,操作员可以为每个资源分组设置一个父分组。通过设置父分组,所有的资源分组可以组织成一棵以顶级分组为根节点的树。每个资源分组的管理权限可以单独配置,子分组内的资源也会属于父分组。
· 不允许在多个客户端浏览器同时导入资源分组。
· 同一资源分组中可以增加多个层级的子分组,每个层级中最多可增加9个子分组。
· 增加资源分组
a. 单击<增加>按钮,进入增加资源分组页面。
b. 输入分组名称和分组描述信息。
c. 选择所属分组:单击<选择>按钮,在弹出窗口中选择该分组的父分组。
d. 选择组内资源:选择该资源分组可管理的资源。
- 若选择了所属分组,则可单击<从所属分组中选择>按钮,在弹出窗口中选择父分组下的资源加入该分组。
- 单击<自由选择>按钮,在弹出窗口中查看所有可操作的资源,并从中选择要加入该分组的资源。在弹出窗口中,可以通过资源名称、IP地址、资源类型等信息查找所需的资源。
e. 单击<确定>按钮,完成增加资源分组操作。
· 导入资源分组
a. 单击<导入>按钮,打开导入资源分组对话框。
b. 下载导入模板,按照模板中的格式编辑导入文件。
c. 单击<上传>按钮,选择导入文件。
d. 单击<导入>按钮导入资源分组。
· 备份
单击<更多操作/备份>按钮,将会对资源分组信息进行备份。
· 恢复
a. 单击<更多操作/恢复>按钮,弹出“从文件恢复”弹框。
b. 在弹框中上传资源分组信息备份文件后,单击<恢复>按钮。
· 增加子分组
点击资源分组对应操作列的“增加子分组”按钮,进入增加资源分组页面。该页面上,所属分组自动填充为所选的资源分组,以便在该资源分组下创建子分组。
· 修改资源分组
点击资源分组对应操作列的“修改”按钮,修改资源分组名称、所属分组、组内资源等信息,单击<确定>按钮,完成资源分组修改操作。
· 删除资源分组
可以通过以下方式删除资源分组:
¡ 选择一个资源分组后,单击<删除>按钮,删除该资源分组。也可以同时选中多个资源分组后,单击<删除>按钮,批量删除资源分组。
¡ 点击资源分组对应操作列的“删除”按钮,删除指定的资源分组。
操作员登录系统时需要进行身份认证。认证配置为系统的认证服务提供配置功能。
· 在使用RADIUS服务器时,需要在RADIUS服务器端配置系统节点的网段信息。如下所示:
client 192.168.1.1/16 {
secret = testing123
nastype = livingston
}
· 使用LDAP服务器/RADIUS服务器进行身份认证时,在系统上进行的操作员增加、删除和修改操作不会同步到LDAP服务器/RADIUS服务器。LDAP服务器/RADIUS服务器上的操作员可以通过LDAP/RADIUS同步策略同步到本系统。
· RADIUS同步策略与LDAP同步策略不能同时使用。例如,在使用LDAP同步策略时,请关闭RADIUS同步策略。
· 开启短信认证、动态口令认证之后,请勿随意删除修改操作员手机号或邮箱信息,以免无法登录。
若存在登录认证方式为LDAP认证的操作员,则需要配置LDAP服务器,否则该操作员无法登录。
LDAP服务器配置方法为:
(1) 选择LDAP版本。配置服务器类型、服务器IP地址或域名、服务器的端口号。
(2) 输入与LDAP服务器通信时使用的Base DN(Distinguished Name,识别名)属性。DN由一系列的属性-值对组成,属性和值之间使用等号“=”连接,属性-值对之间通过逗号分隔。常用的属性有cn(Common Name,常用名)、ou(Organizational Unit,组织单元)、dc(Domain Component,域名组成部分)等。例如,DN取值可以为ou=ou,dc=dc,dc=com。
(3) 输入与LDAP服务器通信时使用的管理员DN属性。
(4) 输入与LDAP服务器通信时使用的管理员密码。
(5) 输入从LDAP获取用户信息时,使用的操作员名属性名称。
(6) 根据需要选择连接LDAP服务器时是否使用SSL安全连接。
(7) 单击<测试>按钮,测试服务器是否可用。
(8) 单击<确定>按钮,完成服务器配置操作。
LDAP同步策略用来将LDAP服务器上的操作员信息同步到本系统。
· 启用LDAP同步策略:系统上的操作员列表中不存在某个帐户时,如果通过该帐户登录,则系统会通过LDAP服务器对其进行认证。若认证通过,且该帐户满足LDAP同步策略的匹配规则,则允许该帐户登录,在系统上添加该操作员帐户,并将该操作员加入到指定的角色组。若LDAP同步策略中未配置匹配规则,或帐户不满足LDAP同步策略的匹配规则,则提示登录失败。
· 未启用LDAP同步策略:系统上的操作员列表中不存在某个帐户,通过该帐户登录时,提示登录失败。
当前操作员列表中已存在的LDAP认证类型操作员,不依赖LDAP同步策略,可以直接认证登录。
LDAP同步策略的配置方法为:
(1) 点击按钮启用LDAP同步策略。
(2) 配置需要从LDAP服务器同步的操作员所属的组织(CN),即如果操作员所属的组织与本参数匹配,则允许从LDAP服务器同步该操作员的信息。单个CN必须是个等式,且等式左边必须为英文,等式两边必须同时存在,例如:ou=admin。若配置多个CN,则需以‘,’区分。
(3) 指定从LDAP服务器同步的操作员所属的角色组。
(4) 单击<增加匹配规则>按钮,完成增加匹配规则操作。
若存在登录认证方式为RADIUS认证的操作员,则需要配置RADIUS服务器,否则该操作员无法登录。
RADIUS服务器的配置方法为:
(1) 选择认证方式。
(2) 设置主、备RADIUS服务器的IP地址或域名,以及认证端口号。主RADIUS服务器正常工作时,系统使用主RADIUS服务器对操作员进行身份认证;当主RADIUS服务器无法正常工作时,系统会使用备RADIUS服务器对操作员进行身份认证;如果主备RADIUS服务器均不可用,则认证失败,操作员无法登录。
(3) 设置与RADIUS服务器进行身份认证的过程中使用的共享密钥。系统上设置的共享密钥必须与RADIUS服务器中配置的共享密钥相同。
(4) 单击<测试>按钮,弹出测试账号输入框。输入用于测试的操作员帐号和密码,测试服务器是否可用。
(5) 单击<确定>按钮,完成服务器配置操作。
RADIUS同步策略用来将RADIUS服务器上的操作员信息同步到本系统。
· 启用RADIUS同步策略:系统上的操作员列表中不存在某个帐户时,如果通过该帐户登录,则系统会通过RADIUS服务器对其进行认证。若认证通过,且该帐户满足RADIUS同步策略的匹配规则,则允许该帐户登录,在系统上添加该操作员帐户,并将该操作员加入到指定的角色组。若RADIUS同步策略中未配置匹配规则,或帐户不满足RADIUS同步策略的匹配规则,则提示登录失败。
· 未启用RADIUS同步策略:系统上的操作员列表中不存在某个帐户,通过该帐户登录时,提示登录失败。
启用RADIUS同步策略时,系统按照同步策略匹配规则的配置先后顺序与RADIUS响应报文依次进行匹配,按照RADIUS响应报文匹配到的第一条同步策略匹配规则来添加操作员。
启用RADIUS同步策略时,对于系统上已存在的操作员,系统将根据RADIUS服务器上的操作员信息更新操作员属性。
RADIUS同步策略的配置方法为:
(1) 点击按钮启用RADIUS同步策略。
(2) 配置RADIUS服务器对操作员认证请求的应答报文包含如下信息时,允许从RADIUS服务器同步该操作员:
¡ 厂商ID:RADIUS服务器应答报文中应携带的厂商ID。
¡ 厂商类型:RADIUS服务器应答报文中应携带的厂商类型。
¡ 数据类型:RADIUS服务器应答报文应使用的数据类型,包括字符型和整型。
¡ 匹配类型:RADIUS服务器返回消息体中标识用户身份信息的内容,根据选择的数据类型配置匹配类型。
(3) 指定从RADIUS服务器同步的操作员所属的角色组。
(4) 单击<增加匹配规则>按钮,完成增加匹配规则操作。
若存在登录认证方式为TACACS认证的操作员,则需要配置TACACS服务器,否则该操作员无法登录。
TACACS服务器的配置方法为:
(1) 选择认证方式。
(2) 设置TACACS服务器的IP地址或域名,以及认证端口号。
(3) 设置与TACACS服务器进行身份认证的过程中使用的共享密钥。系统上设置的共享密钥必须与TACACS服务器中配置的共享密钥相同。
(4) 单击<测试>按钮,弹出测试账号输入框。输入用于测试的操作员帐号和密码,测试服务器是否可用。
(5) 单击<确定>按钮,完成服务器配置操作。
按照指定的时间间隔对LDAP、RADIUS和TACACS三种认证服务器的状态进行检测。当认证服务器状态异常时,会发送告警;认证服务器状态恢复正常之后,告警自动恢复。若没有配置对应的认证服务器信息,则即便勾选也不对该认证服务器进行检测。
认证服务器检测的配置方法为:
(1) 选择检测方式:
(2) PING:检查认证服务器IP地址或者域名是否可达。
(3) 端口状态:检查认证服务器端口状态是否正常。RADIUS服务器不支持这种检测方式。
(4) 选择对LDAP、RADIUS或TACACS认证服务器进行检测。
(5) 设置检测的时间间隔。
(6) 单击<确定>按钮,完成配置操作。
缺省情况下,采用系统默认认证方式(即使用系统自带的Token认证方式)对操作员进行身份认证。若操作员需要使用第三方认证登录,则需要选择认证方式为第三方认证,并配置第三方认证信息。
第三方认证的配置方法为:
(1) 选择认证方式为第三方认证。
(2) 输入第三方Token校验地址。若校验失败,则会重定向到SSO认证地址,需慎重填写。
(3) 输入SSO退出地址,即退出系统之后会重定向到的地址。
(4) 输入SSO认证地址,即进行单点登录认证的地址。
(5) 输入目标地址参数名,即认证成功后要跳转地址的参数名。
(6) 单击<确定>按钮,完成配置操作。
开启双因子认证后,需在系统登录页输入对应验证码,多重校验通过后,才允许登录。
双因子认证不仅支持图形码认证、短信认证、Google动态口令认证、飞天诚信动态口令认证四种方式,还支持自定义双因子认证。只允许配置一个自定义双因子认证。
· 选择已有的双因子认证
勾选图形码认证、短信认证、Google动态口令认证和飞天诚信动态口令认证,单击<确定>按钮,即可完成配置操作。
· 自定义双因子认证
a. 点击“自定义”按钮,出现输入框。
b. 输入认证名称。
c. 选择认证请求的发送方式。
d. 输入认证请求的地址。请求URL地址中的${user}、${code}两个占位符会替换为操作员名称和验证码,请求格式可以为http:// /${user}/${code} 或者 ?key1=${user}&key2=${code}。
e. 根据需要输入请求头和请求消息体的内容。请求消息体的内容支持${user}、${code}进行占位符替换,如{"key1":"${user}","key2":"${code}"}。
f. 输入成功状态码,即认证响应报文携带的状态码为输入的值,则认为认证成功。
g. 根据需要输入成功响应体,即认证响应报文的内容与输入的值匹配,则认为认证成功。。
h. 单击<确定>按钮,完成自定义双因子认证配置。
· 修改飞天诚信动态口令认证
a. 点击“飞天诚信动态口令认证”后的“修改”按钮,弹出配置飞天诚信服务器信息。
b. 输入飞天诚信服务器的IP地址和端口号。
c. 单击<确定>按钮,完成配置。
表8-3 双因子认证参数说明
|
参数 |
说明 |
|
认证方式 |
支持图形码认证、短信认证、Google动态口令认证、飞天诚信动态口令认证,以及自定义认证。若启用相应功能,则操作员需要双重验证才能登录系统。 |
|
图形码认证 |
开启图形码认证后,操作员登录系统时,需要正确输入图形码和用户名、密码,方可登录。 图形码由英文字母和数字组成,输入时不区分大小写。 图形码不区分0和o。 |
|
短信认证 |
开启短信认证后,操作员登录系统时,需要正确输入短信验证码和用户名、密码,方可登录。 若开启短信认证,则需要先在操作员管理页面配置正确的手机号。 |
|
Google动态口令认证 |
开启Google动态口令认证后,会给系统中的用户发送秘钥邮件。当用户收到秘钥后,需要在手机客户端进行用户名秘钥绑定(手机端提前下载Google动态口令器)。绑定成功后,手机端会动态产生口令。操作员登录系统时需要正确输入该口令和用户名、密码,方可登录。 若开启Google动态口令认证,则需要先在操作员管理页面配置正确的邮箱。 注意:使用Google动态口令认证时,系统时间和手机客户端时间不能存在分钟级别的误差 |
|
飞天诚信动态口令 |
开启飞天诚信动态口令认证前,需先在手机端下载手机令牌APP,绑定操作员令牌。操作员令牌绑定的操作方法,请参见OTP Server管理中心相关手册。 绑定成功后手机端会动态产生口令。操作员登录系统时,需要正确输入该口令和用户名、密码,方可登录。 注意: · 系统时间、手机客户端时间、飞天诚信服务器时间之间不能存在分钟级别的误差。 · IPv6单栈模式下,不支持飞天诚信动态口令认证。 · 操作员名称和飞天诚信服务器上操作员名称不区分大小写。 · 操作员名称只能包含字母、数字、“_”、“-”、“.”,有效长度应该为2~32个字符。 · 口令最大错误次数在飞天诚信服务器上进行配置。若错误次数达到最大值,操作员将被锁定,需要前往飞天诚信服务器进行解锁。 |
|
自定义双因子认证 |
若开启自定义双因子认证后,若要登录系统,不仅需要输入正确的用户名、密码,还需要满足如下条件: · 如果未配置成功响应体,则当HTTP响应报文返回的状态码与设置的成功状态码相同时,判定口令通过。 · 如果配置了成功响应体,则HTTP响应报文返回的状态码、响应体与设置的成功状态码、成功响应体均相同时,判定口令通过。 |
通过配置该功能可增强系统的安全性。
· 配置操作员登录失败控制策略
为了防止帐户密码被暴力破解,当某一帐户登录失败的次数达到一定数目时,需要禁用该帐户。系统管理员被禁用指定时长后,会自动重新启用该帐户。非系统管理员被禁用后,需要在操作员管理页面手动启用该帐户。
操作员登录失败控制策略的配置方法为:
a. 输入连续登录失败的最大次数。当密码错误导致登录失败的次数超过该值后,该操作员会被禁用。
b. 输入系统管理员禁用时长。
c. 单击<确定>按钮,完成该项配置操作。
· 配置操作员闲置超时时长
a. 输入闲置超时时长。如果操作员在闲置超时时长内未执行任何操作,则系统会强制该操作员下线。
b. 根据需要选择是否启用最大闲置天数。启用最大闲置天数后,若操作员在指定天数内未登录,将禁用该操作员。
c. 若启用最大闲置天数,还需填写最大闲置天数。
d. 若想要一些帐户不受最大闲置天数限制,可在高级帐户配置中添加这些帐户。单击<高级帐户配置>按钮,弹出高级帐户配置框。在该配置框内可以添加和删除高级帐户。
e. 单击<确定>按钮,完成该项配置操作。
· 配置操作员密码策略
密码策略设定了操作员密码必须符合的标准,如密码的长度和复杂性等。通过设置密码策略,能够确保操作员的密码具有良好的安全性,降低被破解的风险。
密码策略的配置方法为:
a. 输入操作员密码的长度最小值和最大值。操作员密码长度的最小值不能小于密码强度校验中数字、大写字母、小写字母、特殊字符的勾选项数,即如果勾选了数字、大写字母和小写字母,则操作员密码长度的最小值不能小于3。
b. 勾选密码强度校验的规则,即密码中必须包括哪些字符、不能包括哪些字符。
c. 根据需要勾选密码重置规则。如果勾选了“强制操作员在首次登录时修改密码”,则创建操作员或操作员密码被管理员修改后首次登录时,系统将强制操作员修改密码。本配置仅对简单密码认证生效。
d. 单击<确定>按钮,完成密码策略配置操作。
· 配置操作员名称
本配置用来设定操作员名称的命名规则,包括操作员名称的最大长度和最小长度。
操作员名称的配置方法为:
a. 输入操作员名称的长度最小值和最大值。
b. 单击<确定>按钮,完成操作员名称配置操作。
· 配置操作员最大同时在线数登录限制策略
若某一操作员的同时在线会话数量达到配置的最大值,则采取下面两种方式进行登录限制:
¡ 下线已登录操作员:将该操作员登录闲置时长最久的一个会话进行强制下线,保证当前登录正常。
¡ 拒绝操作员再次登录:需要等操作员在其他地方的会话下线,该操作员才可以再次登录。直接关闭浏览器不会退出会话,此时需要等待会话超时(闲置时间达到超时时长),才会允许操作员再次登录。
操作员最大同时在线数可在操作员详情页面查看,操作员闲置超时时长可在安全配置页面查看。
系统访问控制根据IP地址来限定系统的访问权限。只有系统访问控制列表内的IPv4或IPv6地址才能访问系统,从而提高系统的安全性。
· 增加IP地址
a. 单击<增加>按钮,弹出增加弹窗。
b. 输入IP地址。
c. 根据需要输入描述。
d. 单击<确定>按钮,弹出提示框。
e. 单击<确定>按钮,完成增加IP地址操作。
· 删除IP地址
可以通过以下方式删除IP地址:
¡ 选择一个IP地址后,单击<删除>按钮,删除该IP地址。也可以同时选中多个IP地址后,单击<删除>按钮,批量删除IP地址。
¡ 点击IP地址对应操作列的“删除”按钮,删除指定的IP地址。
指定操作员使用免认证IP地址列表内的IPv4或IPv6地址登录系统时,无需登录认证,可以直接访问系统。只有具备查看操作员列表权限的操作员可以执行本配置。免认证登录不受操作员最大同时在线数的限制。
· 增加免认证IP地址
a. 单击<增加>按钮,弹出增加弹窗。
b. 输入IP地址。
c. 根据需要输入描述。
d. 单击<确定>按钮,完成增加免认证配置操作。
· 删除免认证IP地址
可以通过以下方式删除免认证IP地址:
¡ 选择一个免认证IP地址后,单击<删除>按钮,删除该免认证IP地址。也可以同时选中多个免认证IP地址后,单击<删除>按钮,批量删除免认证IP地址。
¡ 点击免认证IP地址对应操作列的“删除”按钮,删除指定的免认证IP地址。
缺省情况下,用户通过HTTP协议来登录系统。通过本功能,可以配置HTTP访问的端口号。
通过本功能,还可以启用HTTPS协议、完成证书上传等HTTPS相关操作。启用HTTPS协议后,用户需要通过HTTPS协议来登录系统,以提高系统访问的安全性。
· 配置传输协议
a. 根据需要选择是否启用HTPPS。
b. 输入HTTP或HTTPS访问的端口号。
c. 单击<确定>按钮,弹出提示框。
d. 单击<确定>按钮,完成传输协议配置操作。
· 配置HTTPS
启用HTTPS协议后,需要完成HTTPS相关配置。
a. 根据需要选择是否开启双向认证。开启双向认证功能后,不仅客户端验证服务器端的证书,服务器端也需要验证客户端的证书。未开启双向认证功能时,仅客户端验证服务器端的证书。
b. 上传服务器端证书:单击<选择文件>按钮,在弹出窗口中选择服务器端证书。
c. 上传服务器端私钥:单击<选择文件>按钮,在弹出窗口中选择服务器端私钥证书。
d. 上传CA证书:单击<选择文件>按钮,在弹出窗口中选择CA证书。
e. 单击<确定>按钮,完成HTTPS配置操作。
· 客户端证书校验
未开启双向认证时,不允许配置客户端证书校验。
a. 开启双向认证后,可根据需要选择是否开启客户端证书校验。如果开启了客户端证书校验功能,则需要至少配置客户端证书CN规则、客户端证书DNS规则、客户端证书IP规则中的一项。
b. 输入客户端证书CN规则。CN(Common Name,通用名称)是证书中用于标识实体(如个人、组织等)的名称信息。在客户端证书认证中,证书CN规则指的是对SSL客户端进行基于数字证书的身份验证时,需要验证证书中的Common Name是否符合预先设定的规则。CN规则通常根据具体的安全策略和证书颁发机构的要求来确定。
c. 输入客户端证书DNS规则。数字证书中的DNS(Domain Name System,域名系统)指的是证书中的SAN(Subject Alternative Name)字段,它用于指定与证书关联的域名或主机名。在客户端证书认证中,证书DNS规则用于验证证书中的域名或主机名是否与预期的域名或主机名匹配。
d. 输入客户端证书IP规则。在客户端证书认证中,证书IP规则用于验证证书中指定的实体IP地址是否与预期的IP地址匹配。
e. 单击<确定>按钮,完成客户端证书校验配置操作。
· 配置HTTPS证书到期提醒
a. 输入证书到期提前预警的时间。证书剩余有效期的天数小于等于提前预警天数时,操作员登录成功后,系统直接以弹出框形式提醒操作员证书即将到期。
b. 单击<确定>按钮,完成HTTPS到期提醒配置操作。
本功能用来自定义弱密码集合,操作员密码不能包含在弱密码集合中。已存在的操作员密码不受影响。
· 增加弱密码
a. 单击<增加>按钮,弹出增加弹窗。
b. 输入弱密码。
c. 单击<确定>按钮,完成增加弱密码操作。
· 删除弱密码
可以通过以下方式删除弱密码:
¡ 选择一个弱密码后,单击<删除>按钮,删除该弱密码。也可以同时选中多个弱密码后,单击<删除>按钮,批量删除弱密码。
¡ 点击弱密码对应操作列的“删除”按钮,删除指定的弱密码。
本功能用来设置用户可以通过哪些域名或者IP地址来访问系统。系统IP,如北向IP,节点IP等,默认可以访问系统。
· 增加访问地址
a. 单击<增加>按钮,弹出增加弹窗。
b. 输入访问地址。
c. 根据需要输入描述。
d. 单击<确定>按钮,完成访问地址操作。
· 删除访问地址
可以通过以下方式删除访问地址:
¡ 选择一个访问地址后,单击<删除>按钮,删除该访问地址。也可以同时选中多个访问地址后,单击<删除>按钮,批量删除访问地址。
¡ 点击访问地址对应操作列的“删除”按钮,删除指定的访问地址。
表8-4 系统访问配置参数说明
|
参数 |
说明 |
|
IP地址 |
允许访问系统的IPv4或IPv6地址。支持如下IP地址格式: · 单个IP地址:包括IPv4地址和IPv6地址。 · IP地址段:例如10.99.180.11-10.99.180.12。 · IP地址/子网掩码或前缀:例如10.99.180.0/24。 · 不支持0.0.0.0,000.000.000.000以及任意0.x.x.x形式的IPv4地址。 · 不支持IPv4/IPv6广播地址、IPv4/IPv6组播地址、IPv4/IPv6环回地址以及IPv6链路本地地址。 |
|
描述 |
IP地址的描述内容。 选填,取值为0~255个字符的字符串。 |
表8-5 免认证配置参数说明
|
参数 |
说明 |
|
IP地址 |
无需认证的IPv4或IPv6地址。支持如下IP地址格式: · 单个IP地址:例如192.168.10.25。 · IP地址段:例如192.168.10.25-192.168.10.100。 · IP地址/子网掩码或前缀:例如192.168.10.0/24。 · 不支持0.0.0.0,000.000.000.000以及任意0.x.x.x形式的IPv4地址。 · 不支持IPv4/IPv6广播地址、IPv4/IPv6组播地址、IPv4/IPv6环回地址以及IPv6链路本地地址。 |
|
操作员名称 |
从已有的操作员中选择无需认证的操作员。 · 若操作员被禁用,则该操作员不可通过免认证访问系统。 · 若该操作员有登录时间段的限制,则该操作员只在允许登录时间段内可以免认证访问系统,其它时间段无法访问。 |
表8-6 传输协议配置操作参数说明
|
参数 |
说明 |
|
启用HTTPS |
启用该项,则传输协议使用HTTPS协议,否则使用HTTP协议。 |
|
端口号 |
HTTP或HTTPS协议使用的端口号 · HTTP协议的端口号不能设置为443,该端口为HTTPS协议默认端口。 · HTTPS协议的端口号不能设置为80,该端口为HTTP协议的默认端口。 · 服务支持配置的端口号范围为1-65535,但是对于一些特殊端口,虽然可以配置成功,但是浏览器已经作为自保留端口使用,配置后会无法通过浏览器访问页面,因此不允许配置此类端口。这类端口包括:1、7、9、11、13、15、17、19-23、25、37、42-43、53、77、79、87、95、101-104、109-111、113、115、117、119、123、135、139、143、179; 389、465、512-515、526、530-532、540、556、563、587、601、636、993、995、1099、2049、3659、4045、6000、6665-6669、9099、10248、10257、10259、44444。 |
表8-7 HTTPS配置参数说明
|
参数 |
说明 |
|
开启双向认证 |
开启双向认证后,服务器端与浏览器客户端通信时,需要相互验证身份信息。 · 开启双向认证以后,浏览器客户端需要配置双向认证的CA证书,否则浏览器客户端会无法访问系统。 · 开启双向认证,并配置CA证书后,需重启浏览器,以使证书配置生效。 |
|
服务器端证书 |
服务器端的数字证书。 · 只支持OpenSSL生成的证书,暂只支持pem格式的无密码证书。 · 未开启双向认证时,该证书不生效。 · 若上传服务端证书,那么必须要上传服务端私钥,否则不予上传。 |
|
服务器端私钥 |
服务器端的私钥证书。 · 只支持OpenSSL生成的证书,暂只支持pem格式的无密码证书。 · 未开启双向认证时,该证书不生效。 · 若上传服务端私钥,那么必须要上传服务端证书,否则不予上传。 |
|
CA证书 |
颁发服务器证书的CA证书。 · 只支持OpenSSL生成的证书,暂只支持pem格式的无密码证书。 · 未开启双向认证时,不允许配置该参数。若该参数已存在,则不生效。 · 启用双向认证时,如果未配置CA证书,则浏览器客户端会无法访问系统。 · 开启双向认证,并配置CA证书后,需重启浏览器,以使证书配置生效。 |
图标配置提供自定义系统LOGO、系统图标、系统标题、系统版权信息以及系统登录页背景图片的功能,操作员可以根据实际需要进行定制。
可在预览区域实时查看自定义的系统LOGO、标题以及图标的显示效果,实际效果和预览效果可能会有所不同。
· 设置系统LOGO、系统标题与系统图标
a. 选择系统LOGO图片。
b. 输入系统标题。
c. 选择系统图标。
d. 单击<应用>按钮,完成自定义系统LOGO、标题和图标操作,可刷新页面查看效果。
e. 单击<恢复默认设置>按钮,可恢复系统默认的LOGO、标题和图标配置,可刷新页面查看效果。
f. 单击<设为默认配置>按钮,可将当前的系统LOGO、标题和图标设置为系统默认的LOGO、标题和图标配置。
· 设置系统版权信息和登录页背景图片
a. 输入版权信息。
b. 选择登录页背景图片。
c. 单击<应用>按钮,完成自定义版权信息、登录页背景图片操作,可在“关于”页面中或者登录页面中查看版权信息,在登录页面中查看背景图片。
d. 单击<恢复默认设置>按钮,可恢复系统默认的版权信息、登录页背景图。可在“关于”页面中或者登录页面中查看版权信息,在登录页面中查看背景图片。
e. 单击<设为默认配置>按钮,可将当前的版权信息、登录页背景图设置为系统默认的版权信息、登录页背景图配置。
表8-8 系统LOGO、系统标题与系统图标参数说明
|
参数 |
说明 |
|
系统LOGO |
显示在系统登录页面和头部导航栏上的LOGO图标。 支持png、jpg、jpeg、gif、bmp、webp、ico、svg格式的图片,图片文件最大为1 MB。为了保证显示效果,推荐尺寸为高度50像素、宽度125~230像素。 配置系统LOGO后,不会立即生效,刷新页面后生效。 若不配置系统LOGO时,系统采用默认的系统LOGO。 |
|
系统标题 |
浏览器中显示的Web页面的标题。 标题长度不能超过64个字符,且不得为空。 配置系统标题后,不会立即生效,刷新页面后生效。 |
|
系统图标 |
浏览器页签中显示的LOGO图标。 支持png、ico格式的图片,图片文件最大为1 MB,为了保证显示效果,推荐尺寸为48×48像素。 若不配置系统LOGO时,系统采用默认的系统图标。 配置系统标题后,不会立即生效,刷新页面后生效。 |
表8-9 系统版权信息和登录页背景图片参数说明
|
参数 |
说明 |
|
版权信息 |
登录页和“关于”页面中显示的版权信息。 版权信息不能大于300个字符,且不得为空。 默认版权信息为“版权所有©2017-2023新华三技术有限公司,保留一切权利。” 可在“关于”页面中或者登录页面中查看版权信息。 |
|
登录页背景图 |
系统登录页背景图片。 支持jpg、jpeg、bmp、webp、png格式的图片,图片文件最大为1 MB。 可在登录页面中查看背景图片。 |
日志管理提供了查看、导出、删除日志等功能,并支持对日志存储、日志服务器等进行配置。
本节包含如下内容:
· 操作日志列表
· 运行日志列表
· 日志配置
· 日志级别配置
本页面展示操作员通过操作产生的日志信息。
· 当前仅支持Security日志类型,其他不属于此类型的操作日志页面显示为空。
· 操作日志如果不携带模块信息,则模块名称显示为空。
· 导出操作日志
¡ 在操作日志列表左侧的勾选框中勾选若干个操作日志后,单击<导出>按钮,可以导出指定的操作日志到本地。
¡ 不勾选任何操作日志,单击<导出>按钮,可以导出当前所有操作日志到本地。
· 查询操作日志
¡ 在右上角搜索框中输入用户IP并点击搜索按钮,操作日志列表将仅显示匹配指定用户IP的操作日志。支持对用户IP进行全字符匹配或部分字符匹配。
¡ 单击搜索框右侧的下拉按钮,弹出高级查询项,可以根据查询需要,通过多个查询条件过滤显示操作日志。设置好查询条件后,单击<查询>按钮,操作日志列表显示查询结果;单击<重置>按钮,可以将所有输入的查询条件清空。
本页面展示系统运行过程中记录的日志信息。运行日志分为全局日志和节点日志,全局日志信息全部存储在共享存储中,节点产生的日志信息就存储在该节点中。
· 列表中显示的日志所在目录为相对路径。例如matrix-diag/Matrix路径前缀实际路径为/var/log/matrix-diag/Matrix。matrix-diag路径前缀实际路径为/var/lib/ssdata/logcenter目录。global-diag路径前缀实际为保存在全局日志存储中的文件。
· 节点日志在列表中会显示节点名称,全局日志的节点名称显示为空。
¡ 在运行日志列表左侧的勾选框中勾选若干个运行日志后,单击<导出>按钮,可以导出指定的运行日志到本地。
¡ 不勾选任何运行日志,单击<导出>按钮,可以导出当前所有运行日志到本地。
¡ 点击运行日志列表“文件”列的链接,可以将指定运行日志文件导出到本地。
· 查询运行日志
¡ 在右上角搜索框中输入文件或日志所在目录的名称,并点击搜索按钮,运行日志列表将仅显示匹配指定输入信息的运行日志。支持对文件或日志所在目录的名称进行全字符匹配或部分字符匹配。
¡ 单击搜索框右侧的下拉按钮,弹出高级查询项,可以根据查询需要,通过多个查询条件过滤显示运行日志。设置好查询条件后,单击<查询>按钮,运行日志列表显示查询结果;单击<重置>按钮,可以将所有输入的查询条件清空。
在本页面,可以对操作日志和运行日志进行相应的配置。
· 配置操作日志
a. 点击“操作日志”页签。
b. 在“日志存储配置”区域中,配置操作日志存储参数。
c. (可选)百业灵犀支持将操作日志通过Syslog协议发送至Syslog日志服务器。在“日志服务器配置”区域中,可以配置Syslog日志服务器的相关参数。
· 配置运行日志
a. 点击“运行日志”页签。
b. 在“全局日志配置”区域中,配置全局日志存储参数。
c. 在“节点日志配置”区域中,配置节点日志存储参数。
表8-10 操作日志参数说明
|
参数 |
说明 |
|
日志存储天数 |
操作日志的最大保存天数,超过该时间的操作日志数据将被自动删除 |
|
过期日志清理时间 |
每天定时清理过期数据的时间点。本参数修改后次日才会生效 |
|
服务器1-IP地址 |
日志服务器1的IP地址 |
|
服务器1-端口号 |
服务器1的端口号 |
|
服务器2-IP地址 |
日志服务器2的IP地址 |
|
服务器2-端口号 |
服务器2的端口号 |
|
发送级别 |
高于指定级别的操作日志将会被发送给日志服务器。日志的严重级别由低到高分别为:调试、提示、关注、警告、错误、严重、告警、致命 操作成功的日志级别为提示,部分成功的日志级别为关注,操作失败的日志级别为警告 |
表8-11 运行日志参数说明
|
参数 |
说明 |
|
日志存储天数 |
运行日志的最大保存天数,超过该时间的运行日志数据将被自动删除 |
|
占用的最大磁盘空间(GB) |
运行日志被允许占用磁盘空间的最大值,该值不允许超过磁盘分区的80%,否则以磁盘分区大小的80%为生效值 |
|
自动清除时保留的百分比(%) |
自动清除运行日志时保留的百分比 |
本页面用于配置服务产生的运行日志的严重级别。
· 配置日志级别
在服务列表的“日志级别”列中,从下拉框中选择服务产生的运行日志的严重级别。严重级别从高到低的排列顺序为:FATAL>ERROR>WARN>INFO>DEBUG>TRACE。
服务名和运行日志的对应关系为:服务产生的运行日志,会保存在服务名对应的路径中。可以在运行日志列表页面查看运行日志的所在目录。
· 查询服务
在服务列表上方的搜索框中输入服务名称,并点击搜索按钮后,服务列表将仅显示匹配指定服务名称的服务。支持对服务名称进行全字符匹配或部分字符匹配。
在查询服务后,如果想恢复显示所有服务信息,请清空所有搜索条件后单击<刷新>按钮。
License信息功能用于:
· 配置与License Server建立连接的相关参数,以通过License Server获取远程授权。
· 查看已获取的License授权信息。
· 连接License Server
输入License Server的IP地址、端口号,以及客户端名称和密码,然后单击<连接>按钮连接License Server。
· 断开连接
单击<断开连接>按钮,与License Server断开连接,断开后已申请的License Server授权全部释放。
· 查询License信息
a. 在“License信息”区域的搜索栏中,输入查询条件。
b. 单击<搜索>按钮,查询出符合条件的License信息。
c. 单击<重置>按钮,重置搜索条件。
d. (可选)单击<刷新>按钮,同步License Server授权信息,并刷新列表。
表8-12 License Server参数说明
|
参数 |
说明 |
|
IP地址 |
License Server的IP地址 |
|
端口号 |
License Server的授权服务端口号 |
|
客户端名称 |
License Server配置的客户端名称 |
|
客户端密码 |
License Server配置的客户端对应的密码 |
|
连接状态 |
与License Server连接的状态,包括以下状态: · 连接成功 · 连接失败 · 未连接 · 正在尝试重连 |
支持
