EXTXKEY标签，增加加密算法、秘钥URI地址以及鉴权参数信息。客户端播放器收到被改写的M3U8文件后，基于 EXTXKEY标签识别到对应TS文件为加密文件，此时会携带鉴权参数向秘钥URI地址发起请求，获取到秘钥内容后，基于加密算法和获取的秘钥解密TS数据内容并实现视频播放，最终通过HLS加密实现内容版权保护。 HLS标准加密改写 上传加速 天翼云全站加速提供的上传加速服务，提供了一种针对用户上行传输全程加速的整体加速方案。使用本方案后，用户上传的内容将自动适配到最近的节点，节点接收到终端数据后，天翼云全站加速通过自研技术将用户上传的内容快速上传到源站。 []( websocket加速 天翼云全站加速产品支持对websocket协议和http/https协议同时加速，即同一个域名可以既有http/https协议，又有websocket加速，您无需拆分域名，使用全站加速产品就可以实现对域名下http/https协议的应用和websocket协议的应用同时加速。全站加速节点会自动识别客户端与全站加速边缘节点通信使用的协议，自动切换协议。通常情况下，websocket协议的应用多为动态业务，对实时性要求很高，全站加速的动态探测选路能力可以为websocket应用选择最快的回源路径，提升websocket业务的访问效果。 []( QUIC协议 天翼云全站加速产品开放使用的是七层协议的QUIC，主要应用在客户端与全站加速平台边缘节点的交互，主要适用于弱网环境下的传输优化。 []( 云备源 云备源服务可帮助客户实现定期将网站内容从主源自动同步至备源，如主源发生宕机，则全站加速可无缝切换至云备源，实现网站业务高可用。 []( 高性能网络 高性能网络是全站加速产品的一项跨境能力进阶型增值服务，当普通国际网无法满足客户跨境传输需求时，通过开通高性能网络，利用其单独直连性、轻负载、高稳定性的特性，能帮助客户实现全链路低延时，低丢包率，高稳定性的跨境加速效果。 高性能网络 业务告警 天翼云全站加速平台支持自动化业务指标监控和告警功能，客户可以依据实际业务监控/告警需要，设置相关的监控与告警规则。 []( 防攻击处理预案说明 天翼云全站加速默认不提供防攻击服务。当某个客户的域名遭受攻击（例如CC攻击），而出现带宽或QPS异常大幅上涨触发平台稳定性红线时，全站系统有权将对应客户的域名切入专用隔离资源池以隔离异常业务，避免影响其他正常用户的加速服务。在攻击较严重的情况下，同账户下的其他域名也会切入隔离资源池。 []( 数据分析 用量分析 全站加速控制台的【数据分析】【用量分析】模块可以展示客户的带宽流量、回源统计、请求数、命中率、状态码、PV/UV、地区运营商等指标。 []( 数据分析 热门分析 全站加速控制台的【数据分析】【热门分析】支持三个月内、最长时间跨度为一个月的热门数据统计，包括TOP 100 URL、TOP 100 回源URL、热门Referer、热门域名、TOP客户端IP统计，可根据访问次数优先和流量优先两种维度的排列。并支持数据下载导出，表格内容与页面一致。 []( 数据分析 用户分析 全站加速控制台的【数据分析】【用户分析】可展示用户的区域分布、运营商分布情况。并展示每个区域/运营商的带宽、流量、访问次数。 []( 刷新预取 刷新 刷新功能是指提交URL刷新、目录刷新、正则刷新请求后，全站加速节点的缓存内容将会被强制置过期，当您向全站加速节点请求资源时，全站加速会直接回源站获取对应的资源返回给您，并将其缓存。刷新功能会降低缓存命中率。 []( 刷新预取 预取 预取功能是指提交URL预取请求后，源站将会主动将对应的资源缓存到全站加速节点，当您首次请求时，就能直接从全站加速节点缓存中获取到最新的资源，全站加速节点无需再回源站获取。预取功能会提高缓存命中率。 []( 日志下载 全站加速控制台的日志下载模块提供六个月内的日志下载。 []( 诊断工具 通过诊断工具可查询指定IP是否为天翼云CDN节点IP以及对应归属地。 诊断工具 计费详情 客户已完成订购的全站加速服务包括按量计费和资源包两种方式，资源使用情况、有效期及状态等信息均可在客户控制台的【计费详情】页面进行统一汇总与展示。同时，该页面支持完成服务订购、退订、计费方式变更、加速区域变更、资源增配或减配等一站式操作。 计费详情 用户自定义脚本UDFScript 客户不仅可通过自助控制台实现域名标准化配置，还可结合用户自定义脚本实现更为灵活的CDN可编程化，快速实现标准化配置无法满足的个性化需求。 []( BosonFaaS边缘函数 边缘函数可以让企业研发人员将自定义的JavaScript代码秒级一键部署到天翼云边缘节点上，就近生成千人千面的个性化响应结果。研发人员只需要关注业务逻辑，剩下机器资源的扩容、运维、调度，都由边缘函数自动完成。 []( 权限管理 介绍天翼云全站加速的权限管理配置平台及具体操作方法。 []( API文档 全站加速控制台的API文档可供用户查看API的功能及详细的入参、回参。 API

本文主要介绍如何查询伸缩活动。 伸缩活动是指在伸缩组内由于伸缩条件满足而触发的云主机实例数量变更的活动，可能是增加或减少几台云主机实例。 以下场景会触发伸缩活动： 系统检测到伸缩策略中配置的条件满足要求。 手工修改伸缩组的最大/最小实例数，导致当前组内实例数超过该最大/最小的限制。 手动添加或移除实例。 下面介绍如何查看伸缩组的伸缩活动： 1. 登录天翼云控制中心，切换到需要查询伸缩活动的节点，选择【弹性伸缩服务】； 2. 在伸缩组所在行，单击伸缩组名称，进入【伸缩组详情页】； 3. 在【伸缩组详情页】，单击在【监控】页签中，展示伸缩活动详情。可以查看实例数量、CPU使用率等监控指标的变化情况。 4. 【活动历史】标签，进入【伸缩活动标签页】，查看伸缩活动详情，该页签展示进行伸缩活动的历史记录，支持查看实例伸缩和ELB迁移这两种伸缩活动的记录。

本文主要介绍了在“我的订单”页面进行查看订单详情的操作步骤。订单详情包含订单号、订单类型、创建时间、支付状态、订单资源和订单金额等信息。 操作步骤 1. 登录天翼云官网，点击“管理中心”进入“费用中心”页面后，点击“订单管理＞我的订单”，进入“我的订单”页面。 2. 可通过选择项目名称、输入订单号或设置订单创建时间筛选搜索查看订单，也可通过订单类型、订单状态过滤筛选查看订单。若查看云订单，选中“云订单”页签；若查看网订单，选中“网订单”页签。 3. 在订单页面找到待查看的订单，点击“详情”查看订单详情情况。 当订单状态为“待支付”时，客户可在订单详情页面进行支付或取消订单。 当订单状态为“已完成”时，客户可在订单详情页面查看原订单。

本章节向您介绍如何为虚拟私有云创建新的子网。 操作场景 子网是虚拟私有云内的IP地址集，可以将虚拟私有云的网段分成若干块，子网划分可以帮助您合理规划IP地址资源。虚拟私有云中的所有云资源都必须部署在子网内。 创建VPC的同时，您至少需要创建一个子网，当一个子网无法满足需求时，您可以参考以下操作为VPC创建新的子网。 操作步骤 1. 登录管理控制台。 2. 在管理控制台左上角选择区域和项目。 3. 打开服务列表，选择“网络 > 虚拟私有云”，进入虚拟私有云列表页面。 4. 在左侧导航栏，选择“虚拟私有云 > 子网”。 5. 单击“创建子网”，进入“创建子网”页面。 6. 根据界面提示配置参数。 7. 参数设置完成后，单击“立即创建”。返回子网列表，可以查看新创建的子网。 下表是子网参数说明表。 参数 说明 取值样例 区域 子网必须归属于某个VPC，请选择目标VPC所在的区域。 广州4 虚拟私有云 请选择待创建子网的VPC。 vpctest 子网名称 输入子网的名称。要求如下： 长度范围为164位。 名称由中文、英文字母、数字、下划线（）、中划线（）、点（.）组成。 subnet01 子网IPv4网段 设置子网的IPv4网段范围，子网是VPC内的IP地址块，可以将VPC的网段分成若干块。 10.0.0.0/24 子网IPv6网段 开启IPv6功能后，将自动为子网分配IPv6网段，暂不支持自定义设置IPv6网段。该功能一旦开启，将不能关闭。 关联路由表 路由表由一系列路由规则组成，用于控制VPC内出入子网的流量走向。创建VPC时会创建一个默认路由表，子网自动关联至默认路由表。默认路由表可以确保VPC内子网之间网络互通。 高级配置 网关 单击“展开”按钮，展开折叠的高级配置区域，可以设置该参数。 子网的网关，如果没有特殊需求，建议保持系统默认设置。 高级配置 DNS服务器地址 单击“展开”按钮，展开折叠的高级配置区域，可以设置该参数。 此处默认填写天翼云的DNS服务器地址，可实现云主机在VPC内直接通过内网域名互相访问。同时，还支持不经公网，直接通过内网DNS访问云上服务。 若您由于业务原因需要指定其他DNS服务器地址，您可以修改默认的DNS服务器地址。如果您删除默认的DNS服务器地址，可能会导致您无法访问云上其他服务，请谨慎操作。 您也可以通过“DNS服务器地址”右侧的“重置”将DNS服务器地址恢复为默认值。 DNS服务器地址最多支持2个IP，请以英文逗号隔开。 高级配置 域名 单击“展开”按钮，展开折叠的高级配置区域，可以设置该参数。 此处填写DNS域名后缀，支持填写多个域名，不同的域名之间以空格分隔，单个域名长度不超过63个字符，并且域名总长度不超过254个字符。 访问某个域名时，只需要输入域名前缀，子网内的云主机会自动匹配设置的域名后缀。 域名设置完成后，子网内新创建的云主机会自动同步该配置。 子网内的存量云主机，需要更新DHCP配置使域名生效，您可以重启云主机、重启DHCP Client服务或者重启网络服务。 test.com 高级配置 NTP服务器地址 单击“展开”按钮，展开折叠的高级配置区域，可以设置该参数。 如果您需要为当前子网新增NTP服务器地址，则需要填写该地址。此处填写的地址不会影响默认NTP服务器地址。 新增或修改原有子网的NTP服务器地址后，需要子网内的ECS重新获取一次DHCP租约，或者重启ECS，才能生效。 清空NTP服务器地址时，需要子网内的ECS重新获取一次DHCP租约，重启ECS无法生效。 192.168.2.1 高级配置 IPv4 DHCP租约时间 单击“展开”按钮，展开折叠的高级配置区域，可以设置该参数。 您可以设置IPv4地址的DHCP租约时间。 DHCP租约时间是指DHCP服务器自动分配给客户端的IP地址的使用期限。超过租约时间，IP地址将被收回，需要重新分配。 期限租约：设置DHCP租约期限，单位为天或者小时。 无限租约：设置DHCP不过期。 DHCP租约时间修改后，对于子网内的实例（比如ECS）来说，当实例下一次续租时，新的租约时间将会生效。实例续租分为自动更新租约和手动更新租约两种，续租不会改变实例当前的IP地址。如果需要DHCP租约立即生效，请在实例中手动更新租约或者重启实例。 高级配置 标签 单击“展开”按钮，展开折叠的高级配置区域，可以设置该参数。 您可以在创建子网的时候为子网绑定标签，标签用于标识云资源，可通过标签实现对云资源的分类和搜索。 键：subnetkey1 值：subnet01 高级配置 描述 单击“展开”按钮，展开折叠的高级配置区域，可以设置该参数。 您可以根据需要在文本框中输入对该子网的描述信息。描述信息内容不能超过255个字符，且不能包含“ ”。 约束与限制 子网创建成功后，有以下系统保留地址您不能使用。以子网网段是192.168.0.0/24为例，默认的系统保留地址如下： 192.168.0.0：网络标识符，私有IP地址范围的开始，不作分配。 192.168.0.1：子网的网关地址。 192.168.0.253：系统接口，用于VPC对外通信。 192.168.0.254：DHCP服务地址。 192.168.0.255：广播地址。 以上默认地址仅为示例，系统会根据您子网的实际参数设置，分配系统保留地址。

本章节介绍了源站服务器部署在天翼云弹性云服务器（以下简称ECS）或天翼云弹性负载均衡（以下简称ELB）时，如何判断源站存在泄漏风险，以及如何配置访问控制策略保护源站安全。 网站已接入Web应用防火墙（Web Application Firewall，简称WAF）进行安全防护后，您可以通过设置源站服务器的访问控制策略，只放行WAF回源IP段，防止黑客获取您的源站IP后绕过WAF直接攻击源站。 说明 网站已接入WAF进行安全防护后，无论您是否配置源站保护，都不影响正常业务的转发。没有配置源站保护可能导致攻击者在源站IP暴露的情况下，绕过WAF直接攻击您的源站。 如果在ECS前使用了NAT网关做转发，也需要设置ECS入方向规则在ECS的安全组配置只允许放行WAF的回源IP地址段，保护源站安全。 操作须知 在配置源站保护前，请确保该ECS或ELB实例上的所有网站域名都已经接入WAF，保证网站能正常访问。 配置安全组存在一定风险，避免出现以下问题： 您的网站设置了Bypass回源，但未取消安全组和网络ACL等配置，这种情况下，可能会导致源站无法从公网访问。 当WAF有新增的回源网段时，如果源站已配置安全组防护，可能会导致频繁出现5xx错误。 如何判断源站存在泄露风险 您可以在非天翼云环境直接使用Telnet工具连接源站公网IP地址的业务端口（或者直接在浏览器中输入访问Web应用的IP），查看是否建立连接成功。 如果可以连通：表示源站存在泄露风险，一旦黑客获取到源站公网IP就可以绕过WAF直接访问。 如果无法连通：表示当前不存在源站泄露风险。

本文介绍当攻击发生且触发平台稳定性红线时的处理预案。 场景说明 天翼云CDN是公共的加速服务，平台承载着成千上万的域名加速业务，是一个多客户共用的加速平台，默认不提供防攻击服务。当某个客户的域名遭受攻击（例如CC攻击），而出现带宽或QPS异常大幅上涨触发平台稳定性红线时，CDN系统有权（根据域名业务情况、攻击影响程度等因素综合判断）将对应客户的域名切入专用隔离资源池以隔离异常业务，避免影响其他正常用户的加速服务。在攻击较严重的情况下，同账户下的其他域名也会切入隔离资源池。 域名被切入隔离资源池后，天翼云CDN将不再保证服务质量，部分时段可能会出现无法服务的情况。 说明 隔离资源池是天翼云CDN的一组特殊节点，这组节点与常规节点之间相互隔离，用于隔离有风险的业务。 注意事项 因被攻击导致域名被切入隔离资源池后，用户访问带来的流量仍然会产生计费账单。 相关建议 如您的域名存在潜在被攻击风险，不希望在上述场景下被切换至隔离资源池，请在CDN加速基础上，叠加购买Web应用防火墙（边缘云版），或切换至安全类加速产品，例如：边缘安全加速平台。 相关概念： DDoS：分布式拒绝服务攻击（Distributed Denial of Service，简称DDoS）是指攻击的发出点是分布在不同地方，且所请求的服务往往要消耗大量的系统资源，造成目标主机无法为用户提供正常服务。 CC攻击：攻击者借助代理服务器生成指向受害主机的合法请求，以实现DDoS和伪装的，称为CC(Challenge Collapsar)，CC主要是攻击页面，属于应用层攻击。

VPC边界流量分析页面展示防火墙实例防护的VPC间的流量统计信息。 前提条件 已开启VPC边界防护且已有流量经过防护对象，开启防护步骤请参见VPC边界防火墙。 查看VPC边界流量分析 1. 登录云防火墙（原生版）控制台。 2. 在左侧导航栏，选择“流量分析> VPC边界流量分析”，进入VPC边界流量分析页面。 3. 查看经过云防火墙的流量统计信息。 流量看板：支持查看近1小时、近1天、近7天的数据。统计VPC边界流量的数量以及最大流量信息，包括目的IP、源IP、目的端口、协议。 访问TOP统计：查看所选时间段VPC边界流量中目的IP、源IP、目的端口的TOP排行。支持按次数、流量进行查看。 访问带宽统计：VPC边界访问峰值带宽、累计带宽，以及请求流量和响应流量数据。 访问分布统计：查看所选时间段内访问协议、访问应用、访问目的端口分布情况。支持按次数、流量进行查看。 访问IP分析：展示VPC边界流量中源IP、目的IP等流量详细信息。

本文带您熟悉备份策略如何解绑存储库。 操作场景 在存储库不再使用、存储库替换或升级、存储策略调整、数据迁移以及系统整合或重构等情况下，备份策略需要解绑存储库进行相应的调整和重新配置，确保备份与存储目标的一致性和适应性。 操作步骤 1. 点击天翼云门户首页的“控制中心”，输入登录的用户名和密码，进入控制中心页面。 2. 在管理控制台上方点击图标，选择所需的资源池节点，以下操作选择上海上海36。 3. 在系统首页，选择“存储>云主机备份”。 4. 选择“备份策略”页签，在需要修改的备份策略所在行点击“解绑存储库”。 5. 在弹出的页面点击“确定”则可完成解绑。

本节主要介绍通过kubectl操作CCE集群。 操作场景 本文将以CCE集群为例，介绍如何通过kubectl操作CCE集群。 使用kubectl操作集群 背景信息 若您需要从客户端计算机连接到kubernetes集群，请使用kubernetes命令行客户端kubectl。 前提条件 CCE支持“VPC网络内访问”和“互联网访问”两种方式访问集群。 VPC网络内访问：您需要在ECS控制台购买一台云服务器，并确保和当前集群在同个VPC内。 互联网访问：您需要准备一台能连接公网的云服务器。 注意 通过“互联网访问”方式访问集群，集群的kubeapiserver将会暴露到互联网，存在被攻击的风险，建议对kubeapiserver所在节点的EIP配置DDoS高防服务。 下载kubectl 您需要先下载kubectl以及配置文件，拷贝到您的客户端机器，完成配置后，即可以使用访问kubernetes集群。 请到kubernetes版本发布页面下载与集群版本对应的或者更新的kubectl。 安装和配置kubectl 步骤 1 登录CCE控制台，在左侧导航栏中选择“资源管理 > 集群管理”，单击待连接集群下的“命令行工具 > kubectl”。 步骤 2 在集群详情页中的“kubectl”页签下，请参照界面中的提示信息完成集群连接。 说明 您可以在“kubectl”页签下方便的下载kubectl配置文件（kubeconfig.json），CCE支持帐号和IAM用户分别下载该配置文件，IAM用户下载的配置文件只有30天的有效期，而天翼云帐号下载的配置文件会长期有效。该文件用于对接认证用户集群，请用户妥善保存该认证凭据，防止文件泄露后，集群有被攻击的风险。如果不幸泄露，可以通过证书更新的方式，替换认证凭据。 由于EIP无法固定，所以服务器端证书无法预置EIP，若从互联网访问则无法开启客户端校验服务器端。如需开启客户端校验服务器端，请使用VPC访问方式。 IAM用户下载的配置文件所拥有的Kubernetes权限与CCE控制台上IAM用户所拥有的权限一致。

字段 字段说明 备注 账号 必填，用于登录和唯一标识的账号，不可修改，企业内账号不允许重复。账号仅可包含英文字母（区分大小写）、数字、符号（仅支持“” 、“.”、“”、“·”），开头必须为字母或数字，长度小于36，且不能为手机号码。 姓名 建议填写，可填写员工姓名用于身份标识。姓名字段会作为客户端的用户头像进行展示，同时也是默认的入会名称。 手机号 建议填写，邮箱与手机号必须填写其中一项。默认不允许企业内员工手机号重复，手机号可设置直接登录认证，用于登录/重置密码时的验证码接收。 邮箱 建议填写，邮箱与手机号必须填写其中一项。默认不允许企业内员工邮箱重复，邮箱可设置直接登录认证，用于登录/重置密码时的验证码接收。 状态 用户状态分为正常、禁用和锁定。仅正常状态的用户可登录客户端。 若被锁定，则用户账号状态显示为“锁定”，若想将用户进行解锁正常登录，请点击“更多”>“解锁”按钮 。 归属组织 勾选归属组织，默认位置为您的根组织节点，组织信息来源于组织分页管理的组织列表。 若要批量导入用户，则此字段需要填写组织全路径，不同级别组织之间使用“”分隔，例如根组织xx一级组织xx二级组织。 备注 非必填，填写用户备注的一些信息。 账号有效期 非必填，若未选择，则默认是永久有效，可选择账号到期时间，在到期时间之后，该账号将被设置为禁用状态，被禁用的账号在登录后将进行拦截，需重新设置有效期，其账号状态才变成启用。若是被手动禁用的账号，在账号有效期过期后，除重新设置有效期外，还需手动进行账号启用。

本文介绍弹性IP适用的应用场景。 公网出口 场景说明 个人或企业的云上业务需要面向公网提供服务，例如门户网站、视频直播、游戏等，需要保证业务稳定可靠提供公网能力。 产品优势 天翼云弹性IP即开即用，分钟级交付，快速帮助业务实现公网访问； 提供按需计费和包周期计费等多种计费模式，既兼顾成本，又能提供可靠性能； 通过绑定负载均衡方式将公网业务分摊到多台云主机，提升业务处理能力； 搭配使用 NAT网关、弹性负载均衡、弹性云主机 公网出口带宽高效管理 场景说明 个人或企业的云上业务进行公网访问时，需要具备公网带宽管控能力以及较高的公网带宽使用效率。 产品优势 多个弹性IP可以加入共享带宽，降低带宽使用成本，提高运营效率。结合可视化运维，提升公网带宽管控能力。 搭配使用 共享带宽、弹性云主机、弹性负载均衡 公网出口高可用 场景说明 同城双中心或两地三中心，业务和网络需要具备主备或多活的能力。 产品优势 弹性IP支持跨可用区容灾部署，绑定云上资源后，可实现公网出口的主备或多活，帮助客户快速构建高可用网络架构。

本文为您介绍查看资源组告警历史的操作场景、前提条件和操作步骤。 操作场景 通过资源组告警历史，可以清晰地查看组内1小时、4小时、6小时、12小时、1天、3天、7天、1个月告警规则的历史变化。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已完成资源分组的创建。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东1。 3. 依次选择“管理与部署”，单击“云监控”，进入监控概览页面。 4. 单击“资源分组”，进入“资源分组”列表页。 5. 单击目标资源组所在行的“详情”，进入资源分组详情页。 6. 在详情页，单击“告警历史”页签，可查看该资源组的历史告警列表。

本页为您介绍如何访问数据传输服务DTS。 前提条件 开通数据传输服务DTS，需要先注册天翼云账户并确保已完成实名认证。 1. 注册并登录天翼云 2. 未实名认证的用户请按提示完成实名认证才能开通数据传输服务（请参考实名认证说明文档）。 操作步骤 1. 进入天翼云官网首页，登录账号。 2. 展开首页左上角产品，点击数据库，点击数据传输服务DTS，进入产品页面。 3. 在页面上点击管理控制台，即可进入数据传输服务DTS。

本章主要介绍翼MapReduce的修改组件数据库用户密码功能。 操作场景 建议管理员定期修改组件数据库用户的密码，以提升系统运维安全性。 对系统的影响 修改密码需要重启服务，服务在重启时无法访问。 操作步骤 1.在FusionInsight Manager选择“集群 > 待操作的集群名称 > 服务”。 2.确定修改哪个组件数据库用户密码。 修改DBService数据库omm用户密码，参考修改DBService数据库omm用户密码章节进行操作，修改其他组件数据库用户密码，需要先停止服务再执行3。 3.单击待修改数据库用户密码的服务，选择“更多 > 修改数据库密码”，在弹出窗口中输入当前登录的用户密码确认身份，单击“确定”。 4.根据界面信息，输入新旧密码。 密码复杂度要求： 组件数据库用户密码字符长度为8～32。 至少需要包含大写字母、小写字母、数字、特殊字符~!@$%^&()+[{}];", /?中的3种类型字符。 不可和用户名相同或用户名的倒序字符相同。 不可与前20个历史密码相同。 5.勾选“我已阅读此信息并了解其影响”，单击“确定”。 6.密码修改完成后，选择“更多 > 重启服务”，在弹出窗口中输入当前登录的用户密码，单击“确定”，勾选“同时重启上层服务。”，单击“确定”开始重启服务。

弹性公网IP 弹性公网IP（Elastic IP Address，简称EIP）是可以独立购买的公网IP地址资源，支持绑定到专有网络类型的虚拟机实例、专有网络类型的公网SLB实例、NAT网关和容器实例上。 共享带宽 共享带宽可以实现多个弹性公网IP共用一个带宽实例，弹性公网IP可以加入到共享带宽，实现同一区域下的所有已绑定弹性公网IP的虚拟机、裸金属服务器、弹性负载均衡、NAT网关等实例共享一条带宽资源。 NAT网关 NAT（Network Address Translation，简称NAT）网关能够为虚拟私有云（Virtual Private Cloud，简称VPC）内的计算实例提供网络地址转换服务，实现多个虚拟机使用共享弹性IP访问Internet（Source NAT，简称SNAT）或使多个虚拟机提供互联网服务（Destination NAT，简称DNAT）。 负载均衡 负载均衡（Server Load Balancer，简称SLB）是对多台云服务器进行流量数据按需分发的服务。通过将流量数据分发到不同的云服务器从而提高系统整体的服务吞吐能力，并通过消除单点故障以提高系统整体的可用性。天翼云SLB提供面向4层（TCP/UDP）及面向7层（HTTP）公网负载均衡和私网负载均衡。 内网VIP 内网虚拟IP（Virtual IP Address，简称VIP）是指从VPC子网网段内预占未使用的内网IP作为VIP，内网VIP可绑定到后端多台虚拟机，可以使用内网VIP访问后端绑定的多个主备部署的虚拟机，提高实例对象的内网访问可靠性。

本节介绍登录天翼云电脑（政企版）控制台的操作指导。 操作场景 登录AI云电脑（政企版）控制台后，才能进行如下业务操作： 订购并管理资源包：管理员可先订购包括AI云电脑计算、存储和网络配额的资源包，然后再通过使用资源包为终端用户分配AI云电脑实例、配置数据盘及上网带宽。 创建并管理AI云电脑：可以通过资源包或单实例方式开通Windows系统、Linux系统的AI云电脑，可以查看和管理租户下所有AI云电脑的使用情况。 管理组织结构：在管理控制台上创建部门、角色、用户、子账号等，更好地维护管理台用户的组织架构。 管理网络：管理员可自主配置和管理虚拟网络环境。可配置虚拟私有云（VPC）、业务子网、网络安全组、上网带宽等。 管理策略：管理员可以通过配置策略，对用户终端与AI云电脑之间的数据传输和外设接入的权限进行控制。 通过产品详情页进入 1. 使用管理员帐号登录天翼云门户； 2. 前往天翼AI云电脑（政企版）产品详情页面； 3.在产品详情页面点击“管理控制台”进入即可。

介绍关系数据库MySQL版在安全上的表现。 关系数据库MySQL版是天翼云自研的新一代高性能企业级关系数据库。MySQL 支持多种架构，同时拥有云上高可用、高可靠、高安全、扩缩容、快速备份恢复、监控等数据库关键能力，为客户提供完善的性能监控体系和多重安全防护措施，并配备专业的数据库管理平台，让用户能够轻松设置、操作和扩展关系型数据库。 为了保障操作安全、数据安全及服务运行安全，支撑客户安全有序开展业务活动，天翼云禁止运维人员删除资源时同时删除实例和备份数据，禁止运维人员未经客户书面授权，接入客户数据库实例，禁止运维人员对客户数据进行处理和转移。 MySQL 为保障租户数据库的可靠性和安全性提供了多个特性，如VPC、安全组、权限设置、SSL连接、自动/手动备份、跨可用区部署、按时间点恢复数据等功能。这些特性可以帮助租户更好地管理和保护数据库。 网络隔离 MySQL 实例运行在独立的 VPC 内，该VPC不与其他实例共享。在创建完实例后，MySQL 会为租户分配此子网的 IP 地址，用于连接数据库。MySQL 实例运行在租户独立的虚拟私有云内，可提升关系型数据库实例的安全性。 存储隔离 存储资源按照租户维度进行分配，每个租户的实例与其他租户的实例是相互独立的，并且有资源隔离，互不影响。

在协同使用资源的场景下，如果您需要根据实际的职责权限情况配置用户使用权限，可使用统一身份认证（Identity and Access Management，简称IAM）服务，创建多个IAM用户并为其授予不同的权限，实现不同IAM子用户可以分权管理不同的资源，从而提高管理效率，降低信息泄露风险。通过IAM可实现精细化权限管理、安全访问、批量管理用户权限、委托其他帐号管理资源等功能。您可以创建并为IAM用户或用户组在全局授权或企业项目授权中添加一组权限策略后，即可让其有权限访问指定资源。 IAM是天翼云提供的免费基础服务，您只需为购买资源进行付费。 身份管理 访问控制IAM中的身份包括IAM用户、IAM用户组。 IAM用户有确定的登录密码和访问密钥，IAM用户组则用于分类职责相同的IAM用户，IAM用户和IAM用户组均可以被赋予一组权限策略。在需要协同使用资源的场景中，避免直接共享天翼云账号的密码等信息，限制不同IAM子用户的信息可见范围，可为IAM子用户和IAM用户组按需授权，即使不慎泄露机密信息，也不会危及天翼云账号下的所有资源。 权限管理 统一身份认证IAM通过权限策略描述授权的具体内容，权限策略包括固定的基本元素“Action”“Effect”等。为IAM用户、IAM用户组在全局授权或企业项目授权中添加一组权限策略后，即可让其有权限访问指定资源。 权限策略分为系统策略和自定义策略: 系统策略：预置的系统策略，您只能使用不能修改。云服务器ECS相关的系统策略包含如下： Admin：弹性伸缩服务的管理者权限，包含弹性伸缩所有控制权限（不含订单类权限）。 Viewer:弹性伸缩服务的观察者权限，包含弹性伸缩服务的列表页与详情页面权限。 自定义策略：您按需自行创建和维护的权限策略。

本节主要介绍为企业项目迁入资源 当资源需要按照企业业务进行分组管理或当资源分组发生变化时，可以对资源进行迁入或迁出操作，实现资源管理权限的重新分配。 企业项目管理支持跨资源节点将资源迁入到同一企业项目授权管理。 操作步骤 步骤 1 企业管理员使用已注册的天翼云帐号登录天翼云网门户，单击天翼云首页顶部右侧“控制台”。 步骤 2 在控制台首页顶部右侧，单击您的用户名后弹出下拉菜单，单击“企业管理”，在企业管理控制台左侧导航菜单中，单击“项目管理”。 步骤 3 在企业项目管理页中的项目列表，单击企业项目名称，在企业项目详情页中，单击“资源”页签。 步骤 4 在“资源”页签，单击“迁入”，弹出迁入资源对话框。 系统显示“迁入资源”页面。 步骤 5 选择“迁入方式”。 单资源迁入：将每个资源作为独立资源迁入，并且可以同时迁入多个资源。 如果是除ECS外的其他资源时，那么必须选择此项。 如果资源是ECS，可以选择此项，表示只迁入ECS，不迁入ECS的关联资源，例如该ECS绑定的云硬盘和弹性IP。 ECS关联迁入：只需选择ECS资源，其关联的资源将自动同时迁入。 仅当资源是ECS，才可以选择此项，目前仅支持ECS及其关联资源云硬盘、弹性IP同时迁入。 步骤 6 在资源列表上方的筛选框中对“服务”、“区域”和“企业项目”进行筛选，或者在搜索框中直接输入资源名称进行精确搜索。 步骤 7 单击列表中资源类型列的，对“资源类型”进行筛选。 下方展示符合条件的资源。 迁入方式为“ECS关联迁入”时，不支持对“服务”和“资源类型”进行筛选。 步骤 8 勾选待迁入资源，单击“确定”。 资源迁入完成，在当前企业项目的资源列表中即可查看迁入的资源。

本文介绍当源站响应302时，CDN针对不同场景可采用的相关处理手段来保障用户体验。 源站响应302时，可能有如下两种场景，分别对应不同解决方案： 场景一： 客户网站使用CDN加速后，用户的请求会经由CDN节点回源，此时如果源站基于用户的某些属性做了不同的跳转处理，例如针对PC端大屏用户返回页面A，针对手机端用户302跳转至页面B，此时如果CDN节点缓存了源站的302跳转页面，可能会导致PC端大屏用户访问到CDN节点时，也302跳转至页面B，与客户预期不匹配。 解决方案：如客户未在CDN加速控制台配置302缓存规则，则CDN节点一般遵循源站的缓存相关头部执行缓存策略。针对上述情况，可在源站增加不缓存头的方式（不缓存头包括CacheControl：nocache/private/nostore；Pragma：nocache），实现302响应在CDN节点不缓存；同时在CDN加速控制台上配置302跳转后的页面在CDN节点缓存。通过如上方式来确保客户源站对不同用户的302跳转策略生效的同时，仍能充分利用CDN的缓存特性，提升用户体验和感知。 场景二： 1. 部分客户源站做了请求粒度的负载均衡，即对不同CDN回源请求可能会302跳转至不同的源站地址。如果CDN直接把源站302跳转地址透传给用户，则用户会访问到客户源站，非客户预期。 2. 部分客户源站对CDN节点请求返回302，只是因为该文件内容转移到相同域名另外的地址，如果CDN直接把源站302地址透传给用户，则会增加用户与CDN节点间的302交互次数，增加用户获取内容的时延，影响用户体验。 解决方案：如要避免上述问题，可以配置回源302/301跟随功能。功能开启后，CDN节点会代替用户去处理源站给出的302/301状态码内容，即CDN节点会直接到源站302/301响应中的Location地址请求资源并缓存，同时将其返回给用户。回源302/301跟随功能的具体介绍及配置说明，详情请见：回源302/301跟随。

本节主要介绍示例场景 您可以根据用户职责规划用户组。使用安全管理员访问IAM并创建用户组，再根据职责赋予用户组对应的权限。 前提条件 请确保您已拥有天翼云帐号，若您还没有帐号，请先进行注册。 业务场景 A公司是一家负责网站开发的公司，公司中有三个职能团队。为了方便A公司统一创建、分配资源并管理用户，A公司的人员不需要每人都注册帐号，而是由公司的管理员注册一个帐号，在这个帐号下创建IAM用户并分配权限，然后将创建的IAM用户分发给公司的人员使用。 本节以A公司使用IAM创建用户及用户组为例，帮助您快速了解，企业如何使用IAM完成服务权限的配置。 A公司人员组成 负责管理公司的人员以及资源的管理团队（对应下图中的“admin”），进行权限分配，资源调配等。团队成员包括James和Alice。 负责开发公司网站的开发团队（对应下图中的“开发人员组”）。团队成员包括Charlie和Jackson。 对开发团队开发出的网站进行测试的测试团队（对应下图中的“测试人员组”）。团队成员包括Jackson和Emily。其中Jackson同时负责开发及测试，因此他需要同时加入“开发人员组”及“测试人员组”，以分别获得两个用户组的权限。 图 用户管理模型 A公司业务组成 admin组主要负责公司人员权限分配，需要使用IAM服务。 开发人员组在网站开发过程中，需要使用弹性云主机（ECS）、虚拟私有云（VPC）以及云硬盘（EVS）。 测试人员主要负责网站的监控及测试，需要使用云监控服务（CES）。

智算一体机从产品购买到正式交付，主要服务流程如下所示： 产品订购 确定需求：客户经理与客户确定项目需求，最终确定项目配置方案和交付时间，并完成下单。 项目设计：确定客户需求后，天翼云技术专家开始设计并输出网络集成规范、系统集成方案、测试用例等。 硬件/软件集成：天翼云技术专家进行硬件集成、网络配置、软件集成等。 测试验收：天翼云测试专家进行测试验收、输出对应报告并进行发货评审。 产品交付 产品发货：天翼云将按照与客户约定的时间依次发货。 交付部署：天翼云服务团队将现场上电、通网、现场系统测试、系统交付检查。 客户验收：由客户进行智算一体机全方位验收，验收通过后即进入计费周期，客户可以开始进行大模型训练或者推理。

本文为您介绍使用天翼云弹性高性能计算产品时的相关限制,请您务必仔细阅读后使用。 账号限制 限制项 配额值 提升配额方式 创建集群的账号限制 完成实名认证 无 使用弹性高性能计算限制 确定委托代理（未授权时将返回控制台） 委托代理 创建按量付费资源的限制 账户余额（即现金余额）和代金券的总值不得小于100.00元人民币。 / 产品功能（单个区域下） 限制项 配额值 提升配额方式 集群总数 5 提交工单 一个集群节点总数 500 提交工单 一个队列节点总数 99 提交工单 一次最多扩容的节点数 5 无 具体配额限制可详见开通弹性云主机、物理机及相关产品的配额说明。

本文为您介绍密钥管理服务KMS（Key Management Service）的退订规则及退订流程。 KMS服务支持退订，可通过KMS服务控制台界面、天翼云费用中心发起并完成退订操作。 退订说明 您可根据需要，在符合天翼云退订规则的前提下，灵活退订KMS服务。目前退订包含七天无理由全额退订和非七天无理由退订以及其他退订，退订规则详情见退订规则说明。 退订完成后，退款金额会退回账户余额，客户可根据需要进行提现。提现操作详情见余额提现。 说明 KMS基础版、企业版服务支持退订；默认密钥由天翼云云服务创建，为免费资源，无须退订。 成功发起退订后，KMS将转入冻结状态，冻结期15天。冻结期间，密钥等资源及配置会保留15天，15天后资源被释放，释放后无法恢复。 操作步骤 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > 密钥管理”。 4. 在左侧导航栏，选择“信息概览”，进入信息概览页面，在页面上方选择目标服务。 5. 在当前服务信息展示页面，点击“退订”。 6. 进入退订申请页面，确认退订信息，信息确认无误后选择退订原因，勾选“我已确认本次退订金额和相关费用”后，点击“退订”后即可进行退订。 7. 系统提示退订申请提交成功，可前往订单详情查看退订进度。

在云主机上搭建网站对外提供Web服务 安全组默认拒绝所有来自外部的请求，如果您在云主机上搭建了可供外部访问的网站，则您需要在安全组入方向添加对应的规则，放通对应的端口，例如HTTP(80)、HTTPS(443)。 方向 优先级 策略 类型 协议端口 源地址 入方向 1 允许 IPv4 自定义TCP: 80 IP地址：0.0.0.0/0 入方向 1 允许 IPv4 自定义TCP: 443 IP地址：0.0.0.0/0 注意 端口80、443需要在天翼云备案中心完成备案后，才可放开流量通路。 使用ping命令验证网络连通性 ICMP协议用于网络消息的控制和传递，因此在进行一些基本测试操作之前，需要开通ICMP协议访问端口。比如，您需要在某个人PC上使用ping命令来验证云主机的网络连通性，则您需要在云主机所在安全组的入方向添加以下规则，放通ICMP端口。 方向 优先级 策略 类型 协议端口 源地址 入方向 1 允许 IPv4 ICMP：全部 IP地址：0.0.0.0/0 入方向 1 允许 IPv6 ICMP：全部 IP地址：::/0 实现不同安全组的实例内网网络互通 同一个VPC内，位于不同安全组内的实例网络不通。如果您需要在同一个VPC内的实例之间共享数据，比如安全组sgA内的云服务器访问安全组sgB内的MySQL数据库，您需要通过在安全组sgB中添加一条入方向规则，允许来自安全组sgA内云主机的内网请求进入。 方向 优先级 策略 类型 协议端口 源地址 入方向 1 允许 IPv4 自定义TCP: 3306 安全组：sgA 注意 如果您通过中间网络实例在不同子网的实例之间转发流量，由于存在中间网络实例，此时安全组规则的源地址选择实例所在的安全组时，无法放通中间网络实例转发的流量，源地址必须设置成中间网络实例的私有IP地址或者子网网段。

本章节介绍云数据库ClickHouse数据备份和数据恢复功能。 备份恢复方案 云数据库ClickHouse支持自动备份和手动备份，您可以定期对数据库进行备份，当数据库故障或数据损坏时，可以通过备份文件恢复数据库，从而保证数据可靠性。实例恢复可根据备份任务做相应的数据恢复。可选择恢复到本实例，也可以选择恢复到同region下同租户的其他ClickHouse实例。恢复的实例必须要求和备份实例节点top结构一致。 说明 在备份过程中会进行数据文件的读取与复制，这可能会影响集群的读写效率。建议在业务低峰期启动备份任务。 备份内容 云数据库ClickHouse备份分为元数据备份和数据备份。数据备份时，选择相应库表备份，选中后会把集群内所有节点当前表都选中。 元数据备份：云数据库ClickHouse只针对实例库表数据结构进行备份。 数据备份：云数据库ClickHouse会把库表和数据文件一起备份。 备份位置 云数据库ClickHouse目前备份都存放在对象存储中，不会占用实例的存储空间。 根据保留时间，备份的数据到期后会自动删除。 注意 由于对象存储是按需计费的，余额欠费后，不会影响自动备份和手动备份功能，实例备份占用的备份空间会持续扣费。 备份操作步骤 1. 登入++天翼云ClickHouse 控制台++，在实例列表选择对应的实例，进入实例详情页面单击备份恢复。 2. 如果备份任务页出现未开启备份服务页面，可先去点击开启下备份设置（开启过程会涉及几分钟，请耐心等待）。 3. 点击创建备份，可以手动开启一次备份，手动备份任务是实时启动。也可以在备份策略页面，设置两种备份的备份策略，系统会根据设置的策略周期性进行备份任务，同时根据设置的保留时间，对定时备份进行到期清理。 4. 在备份任务页面，可查看所有的备份任务。备份过程中，正在备份的任务也可以进行取消，后台会把备份进行暂停，同时删除备份过程的数据。

本章节主要介绍翼MapReduce服务LdapServer健康检查指标项说明。 SlapdServer服务可用性检查 指标项名称： SlapdServer服务可用性 指标项含义： 系统对SlapdServer服务状态进行检查。如果检查结果不正常，则SlapdServer服务不可用。 恢复指导： 如果该指标项检查结果不正常，原因可能是SlapdServer服务所在节点故障或者SlapdServer进程故障。操作人员进行SlapdServer服务恢复时，请尝试如下操作： 检查SlapdServer服务所在节点是否故障。详细操作请参见告警ALM12006处理。 检查SlapdServer进程是否正常。详细操作请参见告警ALM12007处理。 服务健康状态 指标项名称： 服务状态 指标项含义 ：系统对LdapServer服务状态进行检查。如果检查结果不正常，则LdapServer服务不可用。 恢复指导： 如果该指标项检查结果不正常，原因可能是主LdapServer服务所在节点故障或者主LdapServer进程故障。详细操作请参见告警ALM25000处理。 检查告警 指标项名称： 告警信息 指标项含义 ：系统对LdapServer服务的告警信息进行检查。如果存在告警信息，则LdapServer服务可能存在异常。 恢复指导： 如果该指标项检查结果不正常，建议根据告警内容，查看对应的告警资料，并进行相应的处理。

本章节主要介绍翼MapReduce的存储资源操作。 简介 HDFS是大数据集群中的分布式文件存储服务，存放大数据集群上层应用的所有用户数据，例如写入HBase表或Hive表的数据。 目录是HDFS存储资源分配的基本单位。HDFS支持传统的层次型文件组织结构。用户或者应用程序可以创建目录，在目录中创建、删除、移动或重命名文件。租户通过指定HDFS文件系统的目录来获取存储资源。 调度机制 系统支持将HDFS目录存储到指定标签的节点上，或存储到指定硬件类型的磁盘上。例如以下业务场景： 实时查询与数据分析共集群时，实时查询只需部署在部分节点上，其数据也应尽可能的只存储在这些节点上。 关键数据根据实际业务需要保存在具有高度可靠性的节点中。 管理员可以根据实际业务需要，通过数据特征灵活配置HDFS数据存储策略，将数据保存在指定的节点上。 对于租户，存储资源是各租户所占用的HDFS资源。可以通过将指定目录的数据存储到租户配置的存储路径中，实现存储资源调度，保证租户间的数据隔离。 用户可以添加/删除租户HDFS存储目录，设置目录的文件数量配额和存储空间配额来管理存储资源。

本节介绍如何在云审计服务事件列表查看Web应用防火墙（原生版）审计事件。 操作场景 本服务现已对接天翼云云审计服务，云审计服务提供对各种云资源操作的记录和查询功能，用于支撑合规审计、安全分析、操作追踪和问题定位等场景，同时提供事件跟踪功能，将操作日志转储至对象存储实现永久保存。 云审计可提供的功能服务具体如下： 记录审计日志：支持用户通过管理控制台或API接口发起的操作，以及各服务内部自触发的操作。 审计日志查询：支持在管理控制台对7天内操作记录按照事件类型、事件来源、资源类型、筛选类型、操作用户和事件级别等多个维度进行组合查询。 使用限制 云审计服务本身免费，包括时间记录以及7天内时间的存储和检索。 用户通过云审计能查询到多久前的操作事件：7天。 用户操作后多久可以通过云审计查询到数据：5分钟。 其它限制请参考使用限制云审计。 支持审计的关键操作列表 事件名称 读写类型 租户管理获取ICP状态 读类型 租户的所有实例详情 读类型 独享版租户节点实时信息 读类型 独享版租户查询实例列表 读类型 独享版租户详情 读类型 独享版租户修改实例信息 读类型 独享版租户查询用户可用的eip列表 写类型 独享版租户绑定eipipv4 写类型 独享版租户解绑eipipv4 写类型 独享版防护对象新增 写类型 独享版防护对象更新 写类型 独享版防护对象查询 读类型 独享版防护对象详情 读类型 独享型和saas型的防护对象查询 读类型 ELB防护对象查询ELB防护对象的可用资源池 读类型 安全策略详情 读类型 安全策略更新 写类型 规则组查询 读类型 增强型bot规则查询统计 读类型 增强型bot规则查询 读类型 精准防护查询统计 读类型 精准防护查询 读类型 访问规则新增 写类型 访问规则查询统计 读类型 访问规则查询 读类型 访问规则详情 读类型 访问规则查询加密套件 读类型 访问规则获取可用端口 读类型 访问规则API安全获取防护对象 读类型 访问规则查询WAF回源IP段 读类型 访问规则查询域名是否备案 读类型 访问规则根据资源池id获取cname 读类型 API列表查询 读类型 API安全业务用途查询 读类型 全局规则表对应非全局配置的policy表详情 读类型 管理归档日志查询 读类型 管理归档日志获取当前实例已使用的归档空间 读类型

本文为您介绍创建数据订阅任务的操作场景、前提条件和操作步骤。 操作场景 场景一：数据实时分析 使用云监控数据订阅功能，将业务进行异步解耦，在不影响源库业务的情况下，实时同步监控数据（指标、事件）或告警数据到客户自有分析系统中，帮助企业用户进行实时数据分析。 场景二：数据归档存储 使用云监控数据订阅功能，您可将资源监控或告警数据的增量更新数据，实时地推送到归档数据库或数据仓库。 说明 数据订阅功能当前为受限开放，如有需求可以联系客户经理为您开放此功能。 资源池下单个用户最多可创建10个数据订阅任务。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 注意 数据订阅功能数据类型支持指标数据、事件数据，订阅方式支持分布式消息服务及API方式。 指标数据订阅支持分布式消息服务（kafka）及remotewriteapi方式。 事件数据订阅支持分布式消息服务（kafka）及apipush方式。（事件订阅入口为：云监控服务>事件监控>事件订阅） 创建订阅任务需提前创建订阅渠道。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东1。 3. 依次选择“管理与部署”，单击“云监控”，进入监控概览页面。 4. 单击左侧“数据订阅”菜单，进入数据订阅任务列表。 5. 单击“创建订阅任务”功能，进入数据订阅任务创建二级页面。 6. 创建订阅任务参数配置如下： 模块 参数 参数说明 配置示例 备注 选择订阅对象 服务维度 选择需要订阅数据的服务维度信息，支持多选 云主机云主机 选择订阅对象 监控对象类型 具体实例 选择订阅对象 选择对象 选择资源实例对象 具体实例 定义订阅方式 订阅通道 选择公网/内网 分布式消息服务 定义订阅方式 发送渠道 Kafka Kafka 定义订阅方式 订阅失败缓存时间 输入用户客户端地址 基础信息 订阅任务名称 填写自定义订阅任务名称 testtask 基础信息 描述 填写订阅任务描述信息 说明 关于告警数据订阅全部资源的场景，涉及两个周期： 订阅服务subscription同步订阅配置的周期，预计上线配置2分钟。 数据订阅配置全部资源，也需要周期同步全量的实例资源，预计线上配置3分钟。 因此，考虑极限情况，告警订阅服务在周期1 + 周期2之后产生的告警，订阅服务才能匹配消费到。

Web防护版本说明 版本 免费版 基础版 高级版 企业版 旗舰版 适用场景 适用于小型网站、个人网站，有流量安全检测需求。 适用于小型网站流量安全防护需求。 适用于中小型网站的标准防护。 适用于中型企业级网站或服务对互联网公众开放，有较高标准的安全需求。 适用于中大型企业网站，具备较大的业务规模，或是具有特殊定制的安全需求。 流量/带宽 订购流量或者带宽 订购流量或者带宽 订购流量或者带宽 订购流量或者带宽 订购流量或者带宽 动态请求数 订购动态请求数 订购动态请求数 订购动态请求数 订购动态请求数 订购动态请求数 支持主域名个数 1 1 1 1 1 支持总域名个数（包括主域名和其下的子域名） 1 10 10 10 10 下表描述了主要功能模块在不同套餐中的支持情况。 √：表示在当前版本中支持。 ×：表示在当前版本中不支持。 分类 功能模块 描述 免费版 基础版 高级版 企业版 旗舰版 业务接入 泛域名防护 支持接入泛域名。 √ √ √ √ √ 业务接入 静态加速 支持将静态资源缓存到边缘节点，达到加速效果。 √ √ √ √ √ 业务接入 动态加速 支持动态资源采用最优链路回源。 × √ √ √ √ 业务接入 WebSockets 支持WebSockets协议 付费支持 付费支持 付费支持 付费支持 付费支持 业务接入 quic协议 支持quic协议 × × √ √ √ 业务接入 HTTPS防护 支持HTTPS防护。 √ √ √ √ √ 业务接入 IPv6 访问 支持对IPv6访问流量安全检测与防护。 √ √ √ √ √ 业务接入 IPv6 外链改造 提高网站链接的IPv6支持度，解决IPv6天窗问题。 × √ √ √ √ 业务接入 IPv6支持度检测 支持检测网站IPv6链接支持度，并输出分析结果与检测报告。 1 10 20 30 40 业务接入 非标准端口防护 支持防护80、443以外的非标准端口上的业务。 × × √ √ √ 业务接入 HTTP2防护 支持防护使用HTTP/2协议的网站。 √ √ √ √ √ 业务接入 回源IP管理 为了防止攻击者获取您的源站IP直接攻击源站，您可以设置源站服务器的访问控制策略，只放行边缘云节点回源IP段的入方向流量。 × √ √ √ √ 基础安全防护 DDoS防护 主动防御网络层DDoS攻击。 付费支持 付费支持 付费支持 付费支持 付费支持 基础安全防护 自定义防护界面 支持用户自定义响应给客户端的拦截界面。 × × √ √ √ 基础安全防护 规则防护引擎 支持防护常见的Web攻击。 √，（仅支持监测） √ √ √ √ 基础安全防护 自定义规则 支持自定义web防护规则。 × 10条规则/域名 20条规则/域名 50条规则/域名 200条规则/域名 基础安全防护 AI防护引擎 智能AI识别攻击和误拦截。 × × × × √ 基础安全防护 访问控制 支持基于基础字段和高级字段进行组合，设置白名单和黑名单。 5条/域名 10条/域名 20条/域名 50条/域名 100条/域名 基础安全防护 频率控制 支持基于基础字段和高级字段进行组合，设置访问频率。 5条/域名 10条/域名 20条/域名 50条/域名 100条/域名 基础安全防护 合规性检测 支持对HTTP请求信息中的方法以及参数长度等信息进行检测。 √ √ √ √ √ 基础安全防护 CC防护 支持防护常见的CC攻击，支持阈值和永久模式。 √，（默认策略） √，（默认策略 √ √ √ 基础安全防护 0Day 漏洞虚拟补丁 自定更新0day漏洞攻击防护规则。 × √ √ √ √ 基础安全防护 扫描防护 支持常见扫描工具封禁。 × √ √ √ √ 高级安全防护 网页防篡改 支持锁定网站页面，防止源站页面内容被恶意篡改带来的影响。 × √ √ √ √ 高级安全防护 防敏感信息泄露 支持防止网站敏感信息泄露（银行卡、身份证、手机号、邮箱）。 × √ √ √ √ 高级安全防护 Cookie防护 支持Cookie加密和Cookie签名。 × × √ √ √ 高级安全防护 广告防护 实现广告防护和监测功能。 × × √ √ √ 高级安全防护 账户安全 支持防护暴力破解、批量注册。 × × √ √ √ 高级安全防护 攻击挑战 支持识别反复攻击客户端IP，并且封禁 × √ √ √ √ 高级安全防护 大数据深度学习引擎 基于网站访问流量深度学习，自动生成防护策略。 × × × × √ 高级安全防护 验证码 为网页、小程序开发者提供全面的人机验证，适用于登录注册、电商大促、数据保护等场景。 × × √ √ √ 高级安全防护 Bot管理 缓解大量针对网站的爬取和异常注册登录行为。 付费支持 付费支持 付费支持 付费支持 付费支持 高级安全防护 API安全 支持对已接入WAF的API资产进行全面安全防护。 付费支持 付费支持 付费支持 付费支持 付费支持 网站风险监测 漏洞扫描 支持远程扫描Web漏洞和按照国际权威安全机构WASC分类的25种Web应用漏洞，全面覆盖OWASP Top 10 Web应用风险。 1/域名/次/月 1/域名/次/月 2/域名/次/月 3/域名/次/月 4/域名/次/月 网站风险监测 安全事件监测 支持监测网页中挂马及黑链的恶意代码，网页是否被非法篡改 × 任务数：1/个/域名 最小监测周期：24小时 任务数：1/个/域名 最小监测周期：12小时 任务数：1/个/域名 最小监测周期：6小时 任务数：1/个/域名 最小监测周期：3小时 网站风险监测 内容安全监测 支持监测网站文字和图片是否包含涉黄、涉毒、涉政、赌博、暴恐、邪教等敏感内容。 × 文本敏感词检测任务数：1/个/域名 最小监测周期：24小时 任务数：1/个/域名 最小监测周期：12小时 任务数：1/个/域名 最小监测周期：6小时 任务数：1/个/域名 最小监测周期：3小时 网站风险监测 DNS监测 多线路远程实时监测目标站点在多种网络协议下的响应速度、可访问性等反映网站性能状况的内容 × 任务数：1/个/域名 最小监测周期：60分钟 任务数：1/个/域名 最小监测周期：30分钟 任务数：1/个/域名 最小监测周期：10分钟 任务数：1/个/域名 最小监测周期：5分钟 网站风险监测 可用性监测 支持实时监测各地主流ISP的DNS缓存服务器和用户DNS授权服务器的解析过程及结果。 × 任务数：1/个/域名 最小监测周期：60分钟 任务数：1/个/域名 最小监测周期：30分钟 任务数：1/个/域名 最小监测周期：10分钟 任务数：1/个/域名 最小监测周期：5分钟 产品服务 日志服务 提供攻击日志、业务日志。 √ √ √ √ √ 产品服务 安全报表 提供Web攻击、CC攻击报表。 15天 31天 92天 180天 180天 产品服务 监控告警 支持自定义监控告警。 √ √ √ √ √ 产品服务 安全VIP服务 提供专业安全专家主动运营服务，持续深入定制整体防护方案。 付费支持 付费支持 付费支持 付费支持 付费支持 产品服务 态势感知大屏 提供数据大屏服务，让安全攻防状态一目了然。 付费支持 付费支持 付费支持 付费支持 付费支持

IKEv1和IKEv2的区别 协商过程不同。 IKEv1协商安全联盟主要分为两个阶段，其协议相对复杂、带宽占用较多。IKEv1阶段1的目的是建立IKE SA，它支持两种协商模式：主模式和野蛮模式。主模式用6条ISAKMP消息完成协商。野蛮模式用3条ISAKMP消息完成协商。野蛮模式的优点是建立IKE SA的速度较快。但是由于野蛮模式密钥交换与身份认证一起进行无法提供身份保护。IKEv1阶段2的目的就是建立用来传输数据的IPsec SA，通过快速交换模式（3条ISAKMP消息）完成协商。 IKEv2简化了安全联盟的协商过程。IKEv2正常情况使用2次交换共4条消息就可以完成一个IKE SA和一对IPsec SA，如果要求建立的IPsec SA大于一对时，每一对SA只需额外增加1次交换，也就是2条消息就可以完成。 说明 IKEv1协商，主模式需要6+3，共9个报文；野蛮模式需要3+3，共6个报文。IKEv2协商，只需要2+2，共4个报文。 认证方法不同。 数字信封认证（hssde）仅IKEv1支持（需要安装加密卡），IKEv2不支持。 IKEv2支持EAP身份认证。IKEv2可以借助AAA服务器对远程接入的PC、手机等进行身份认证、分配私网IP地址。IKEv1无法提供此功能，必须借助L2TP来分配私网地址。 IKE SA的完整性算法支持情况不同。IKE SA的完整性算法仅IKEv2支持，IKEv1不支持。 DPD中超时重传实现不同。 retryinterval参数仅IKEv1支持。表示发送DPD报文后，如果超过此时间间隔未收到正确的应答报文，DPD记录失败事件1次。当失败事件达到5次时，删除IKE SA和相应的IPsec SA。直到隧道中有流量时，两端重新协商建立IKE SA。 对于IKEv2方式的IPsec SA，超时重传时间间隔从1到64以指数增长的方式增加。在8次尝试后还未收到对端发过来的报文，则认为对端已经下线，删除IKE SA和相应的IPsec SA。 IKE SA与IPsec SA超时时间手工调整功能支持不同。 IKEv2的IKE SA软超时为硬超时的9/10±一个随机数，所以IKEv2一般不存在两端同时发起重协商的情况，故IKEv2不需要配置软超时时间。