参数 参数类型 说明 示例 下级对象 addressDirection String 地址方向，dst，src dst blackWhiteDesc String 黑白名单描述 黑白名单描述 blackWhiteType String 黑白类型，black，white black firewallId String 防火墙ID a6449feab4db11e9a6b40242ac110007 ip String 127.0.0.1 ipBeginNum String ip的开始数字形式 ipEndNum String ip的结束数字形式 ipProto String IP协议，v4，v6 v4 mask Integer 掩码 24 privateIps String 私网ips 192.168.1.1/24 regionId String 资源池ID a6449feab4db11e9a6b40242ac110007 ruleId Long 规则ID 321 ruleName String 规则名称 status String 规则开关，disable，enable disable uid String 租户ID 9f3618ee1c594598a942550985345d0d

本文介绍配置安全组及其规则的最佳实践。您可以通过配置安全组规则,允许或禁止安全组内的ECS实例对公网或私网的访问。 安全组实践建议 云上的安全组提供类似虚拟防火墙功能，用于设置单台或多台ECS实例的网络访问控制，是重要的安全隔离手段。创建ECS实例时，您必须选择一个安全组。您还可以添加安全组规则，对某个安全组下的所有ECS实例的出方向和入方向进行网络控制。 在使用安全组前，您应先了解以下实践建议： 最重要的规则：安全组应作为白名单使用。 开放应用出入规则时应遵循最小授权原则。例如，您可以选择开放具体的端口，如80端口。 不应使用一个安全组管理所有应用，因为不同的应用存在不同的访问控制需求。对于分布式应用来说，不同的应用类型应该使用不同的安全组，例如，您应对Web层、Service层、Database层、 Cache层使用不同的安全组，暴露不同的出入规则。 避免为每台实例单独设置一个安全组，控制管理成本。 尽可能保持单个安全组的规则简洁。因为如果单个安全组规则过多，增加或者删除规则就变得很复杂，就会增加管理的复杂度。 天翼云的控制台提供了克隆安全组和安全组规则的功能。如果您想要修改线上的安全组和规则，您应先克隆一个安全组，再在克隆的安全组上进行调试，避免直接影响线上应用。（部分资源池支持，可提工单申请克隆功能。） 安全组TCP、UDP报文分片后，分片不带有端口信息，需要将端口范围指定为165535，不进行端口过滤。目前仅合肥2支持UDP大包分片后指定端口过滤功能，如有UDP大包分片，需要指定端口号过滤的需求，可联系客户经理开通此功能。 如果您想实现在不同安全组的资源之间的网络互通，您可使用安全组方式授权。同一安全组内云服务器实例内网互访默认是隔离状态，如您有同一安全组内的云服务器之间互通的需求，您可以在添加安全组规则时配置一条引用本安全组的规则，实现组内互通。

函数计算平台提供两种方式直接访问函数：自定义域名和Http触发器。这两种方式各自都支持公网访问和内网访问，根据不同的访问场景，部分需要额外配置。 公网访问 对于公网访问，根据相关规章制度，需要您提供合规的域名用于创建自定义域名，并在公网配置指定的公网CNAME记录，此举的目的是为了验证您拥有此域名的所有权 ，具体请看自定义域名。创建公网的自定义域名后，您既可直接通过自定义域名访问，也可以把该自定义域名用于创建公网Http触发器，具体请看Http触发器。 内网访问 内网访问也需要在公网配置指定的内网CNAME记录，操作步骤和公网一致，除此之外，根据不同的内网访问场景，还需要额外配置VPCE和内网DNS解析。 从vpc环境内直接访问函数，例如云主机。 创建函数计算服务的终端节点（VPCE）。创建步骤请查看创建VPCE，选择cn.ctyun.cnhuadong1.faas 函数服务，同时打开高级配置中的“私网域名”。 配置内网域名。具体步骤请查看内网域名，该内网域名保持和您的自定义域名一致。 创建解析记录，添加CNAME类型记录值。具体步骤请查看添加记录值，这里建议添加两条记录，一条主机记录为空，一条主机记录填写通配符，记录值均填写内网CNAME值。

本节介绍天翼AI云电脑(政企版)在外设方面的常见问题。 打印机、u盘等外设在天翼AI云电脑上如何使用？ 详细的设备使用指南可前往查看 天翼AI云电脑外设使用指南 哪些设备已完成了天翼AI云电脑的适配？ 详细的适配列表可前往查看终端适配列表 登录天翼AI云电脑提示USB连接异常怎么办？ 登录天翼AI云电脑后提示USB连接异常原因为客户端识别USB设备的USBDK异常，请在本地电脑控制面板卸载USBDK，并重启本地电脑重新安装客户端。 天翼AI云电脑插入U盘识别不到U盘怎么处理？ 排查方法： 1. 插拔U盘并查看天翼AI云电脑【设备管理器】是否有有刷新； 2. 退出天翼云电脑客户端，查看本地电脑/瘦终端查看U盘是否可以正常识别； 3. 退出天翼云电脑客户端，插着U盘登录天翼AI云电脑，查看是否可以识别到U盘； 4. 更换U盘尝试； 在天翼AI云电脑中，插拔U盘，点击U盘无法打开怎么处理？ 1. 查看U盘格式，U盘格式为FAT32的识别慢于NTFS，如没有重要文件可以将U盘格式化为NTFS格式； 2. 查看天翼AI云电脑系统，Windows Server 2016系统桌面识别U盘速度高于Windows Server 2008系统桌面，如果客户没有特殊要求，建议使用Windows Server 2016系统； 3. 确认本地网络情况，对于弱网(如手机热点)，U盘文件容量大的时候识别速度较慢，建议更换有线网络后重试。

本节介绍IP地址组的基本概念及使用场景。 什么是IP地址组？ IP 地址组是智能边缘云平台提供的网络管理资源，用于将多个 IPv4/IPv6 地址或网段进行统一归类、集中管理，可直接关联安全组规则实现批量 IP 访问控制，简化规则配置、减少重复录入，适用于多场景网络访问策略管理。 应用场景 批量配置安全组放行 / 拒绝规则，统一管理办公网段、业务网段。 对边缘云主机进行 SSH/RDP 远程访问白名单控制。 多安全组复用同一 IP 地址集合，降低配置成本。 边缘网络访问控制策略快速下发与变更。

文件的锁标是红色的并且无法正常打开 (1) 已加密文件的左下角会出现“锁”的图标。 (2) 若用户有文件的加密权限，则锁的颜色为黄色，可正常打开，不影响办公。 (3) 若用户没有文件的加密权限，则锁的颜色为红色，无法正常读写。 文件操作权限不足的情况有以下3种： (1) 用户密级比文件密级低。 (2) 非本租户的加密文件。 (3) 当前的AI云电脑没有开启加密保护。 通过脱密邮件下载的文件是加密文件 如果想在加密桌面内使用脱密后的文件，提交申请时类型要选“脱密下载”。 注意：脱密下载后的文件如果重新编辑保存会重新加密。 文件重定向盘或其他网络磁盘内打开加密文件乱码或报错 某些网盘机制不支持直接编辑文件或者编辑功能不稳定，而且在网盘内编辑文件速度会慢，建议复制到桌面内编辑。

本文主要介绍如何删除中转IP 操作场景 当您不需要某个中转IP时，可以进行删除操作。 操作步骤 1. 登录管理控制台。 2. 在系统首页，单击“网络 > NAT网关”。进入NAT网关页面。 3. 在NAT网关页面，单击“NAT网关> 私网NAT网关”。 4. 在“中转IP”页签，单击目标中转IP操作列的“释放”。 5. 单击“确定”。 说明 当中转IP已关联SNAT或DNAT规则时，无法删除。此时，如果要删除中转IP，请先释放该中转IP所关联的所有规则。

成员集群与联邦实例网络模式 默认互联策略 是否允许用户修改 可选互联策略 同资源池同VPC VPC内网直接互联 否 同资源池跨VPC VPCE：后台将尝试创建将成员集群APIServer地址，以内网VPCE IP方式暴露给联邦实例所在网络 否 跨资源池 默认公网互联 要求联邦实例所在VPC具备主动访问公网能力，同时成员集群APIServer有绑定EIP暴露公网，并放通了来自联邦实例VPC的公网请求 是 云间高速内网

OpenAPI门户提供了产品的描述、语法、参数说明及示例等内容。 关于用户如何使用天翼云NAT网关产品API的详细介绍，请参见公网NAT网关使用API、私网NAT网关使用API。您可以在OpenAPI门户可以了解到具体的API认证鉴权机制、接入终端节点、API概览、API详述、状态码接入点等内容，配合在线测试、sdk，API调试将更加方便。

Steam 游戏平台内，部分游戏启动慢，怎么办？ 点击Steam客户端左上角Steam，进入“菜单设置下载”，关闭着色器预缓存，可解决部分游戏启动速度慢的问题。 游戏云电脑镜像如何切换？ 可通过系统重装，重置或切换至其他游戏云电脑镜像，免下载切换预装游戏： 1. 将鼠标移动至云电脑客户端边缘悬浮条（通常为顶部或侧边），自动展开工具栏； 2. 点击“控制中心”，进入“系统重装切换操作系统功能”； 3. 选择所需镜像，确认重装后，等待 23 分钟重新进入云电脑。 注意 此操作将彻底清除系统盘（C盘）数据，导致所有数据不可逆丢失，请谨慎考虑后再操作。 游戏卡顿怎么解决？ 1. 网络问题：可依据云电脑客户端工具栏时延状态判断，时延标识需要保持为绿色，如频繁出现黄色/红色标识，请切换至更好的网络； 服务依赖稳定高速网络，用于实时传输云端游戏的画面。请选择稳定的网络环境，推荐带宽至少为 25 Mbps； 如本地网络带宽不足，可通过云电脑客户端工具栏进入设置画面设置，改为流畅优先； 如本地网络稳定性较差，可在云电脑客户端工具栏控制中心设置其他设置中，打开弱网优化，提升游戏体验； 2. 性能问题：部分游戏对配置要求极高，需酌情降低游戏画质； 云电脑客户端工具栏控制中心设置显示设置，将分辨率固定调整为 19201080，缩放设置调整为 100%； 在游戏设置中，降低游戏画质，关闭游戏光追等。参考设置：《黑神话：悟空》1080P、中画质、光线追踪关闭。

本节介绍了Web应用防火墙上报云监控服务的监控指标的命名空间，监控指标列表和维度定义。 用户可以通过云监控服务提供管理控制台或API接口来检索Web应用防火墙产生的监控指标和告警信息。 命名空间 SYS.WAF 说明 命名空间是对一组资源和对象的抽象整合。在同一个集群内可创建不同的命名空间，不同命名空间中的数据彼此隔离。使得它们既可以共享同一个集群的服务，也能够互不干扰。 防护域名监控指标 指标ID 指标名称 指标含义 取值范围 测量对象 监控周期（原始指标） requests 请求量 该指标用于统计测量对象近5分钟内WAF返回的请求量的总数。 单位：次 采集方式：统计防护域名请求量的总数 ≥0 次 值类型：Float 防护域名 5分钟 wafhttp2xx WAF返回码（2XX） 该指标用于统计测量对象近5分钟内WAF返回的2XX状态码的数量。 单位：次 采集方式：统计WAF引擎返回的2XX系列状态响应码的数量 ≥0 次 值类型：Float 防护域名 5分钟 wafhttp3xx WAF返回码（3XX） 该指标用于统计测量对象近5分钟内WAF返回的3XX状态码的数量。 单位：次 采集方式：统计WAF引擎返回的3XX系列状态响应码的数量 ≥0 次 值类型：Float 防护域名 5分钟 wafhttp4xx WAF返回码（4XX） 该指标用于统计测量对象近5分钟内WAF返回的4XX状态码的数量。 单位：次 采集方式：统计WAF引擎返回的4XX系列状态响应码的数量 ≥0 次 值类型：Float 防护域名 5分钟 wafhttp5xx WAF返回码（5XX） 该指标用于统计测量对象近5分钟内WAF返回的5XX状态码的数量。 单位：次 采集方式：统计WAF引擎返回的5XX系列状态响应码的数量 ≥0 次 值类型：Float 防护域名 5分钟 waffusedcounts WAF熔断量 该指标用于统计测量对象近5分钟内被WAF熔断保护的请求数量。 单位：次 采集方式：统计防护域名被熔断保护的请求数量 ≥0 次 值类型：Float 防护域名 5分钟 inboundtraffic 入网总流量 该指标用于统计测量对象近5分钟内总入带宽的大小。 单位：Mbit 采集方式：统计近5分钟内总入带宽的大小 ≥0 Mbit 值类型：Float 防护域名 5分钟 outboundtraffic 出网总流量 该指标用于统计测量对象近5分钟内总出带宽的大小。 单位：Mbit 采集方式：统计近5分钟内总出带宽的大小 ≥0 Mbit 值类型：Float 防护域名 5分钟 wafprocesstime0 WAF处理时延区间[010ms) 该指标用于统计测量对象近5分钟内WAF处理时延在区间[010ms)内的总数量。 单位：次 采集方式：统计近5分钟内WAF处理时延在区间[010ms)内的总数量 ≥0 次 值类型：Float 防护域名 5分钟 wafprocesstime10 WAF处理时延区间[1020ms) 该指标用于统计测量对象近5分钟内WAF处理时延在区间[1020ms)内的总数量。 单位：次 采集方式：统计近5分钟内WAF处理时延在区间[1020ms)内的总数量 ≥0 次 值类型：Float 防护域名 5分钟 wafprocesstime20 WAF处理时延区间[2050ms) 该指标用于统计测量对象近5分钟内WAF处理时延在区间[2050ms)内的总数量。 单位：次 采集方式：统计近5分钟内WAF处理时延在区间[2050ms)内的总数量 ≥0 次 值类型：Float 防护域名 5分钟 wafprocesstime50 WAF处理时延区间[50100ms) 该指标用于统计测量对象近5分钟内WAF处理时延在区间[50100ms)内的总数量。 单位：次 采集方式：统计近5分钟内WAF处理时延在区间[50100ms)内的总数量 ≥0 次 值类型：Float 防护域名 5分钟 wafprocesstime100 WAF处理时延区间[1001000ms) 该指标用于统计测量对象近5分钟内WAF处理时延在区间[1001000ms)内的总数量。 单位：次 采集方式：统计近5分钟内WAF处理时延在区间[1001000ms)内的总数量 ≥0 次 值类型：Float 防护域名 5分钟 wafprocesstime1000 WAF处理时延区间[1000+ms) 该指标用于统计测量对象近5分钟内WAF处理时延在区间[1000+ms)内的总数量。 单位：次 采集方式：统计近5分钟内WAF处理时延在区间[1000+ms)内的总数量 ≥0 次 值类型：Float 防护域名 5分钟 qpspeak QPS峰值 该指标用于统计近5分钟内防护域名的QPS峰值。 单位：次 采集方式：统计近5分钟内防护域名的QPS峰值 ≥0 次 值类型：Float 防护域名 5分钟 qpsmean QPS均值 该指标用于统计近5分钟内防护域名的QPS均值。 单位：次 采集方式：统计近5分钟内防护域名的QPS均值 ≥0 次 值类型：Float 防护域名 5分钟 wafhttp0 无返回的WAF状态码 该指标用于统计测量对象近5分钟内WAF无返回的状态响应码的数量。 单位：次 采集方式：统计近5分钟内WAF无返回的状态响应码的数量 ≥0 次 值类型：Float 防护域名 5分钟 upstreamcode2xx 业务返回码（2XX） 该指标用于统计测量对象近5分钟内业务返回的2XX系列状态响应码的数量。 单位：次 采集方式：统计近5分钟内业务返回的2XX系列状态响应码的数量 ≥0 次 值类型：Float 防护域名 5分钟 upstreamcode3xx 业务返回码（3XX） 该指标用于统计测量对象近5分钟内业务返回的3XX系列状态响应码的数量。 单位：次 采集方式：统计近5分钟内业务返回的3XX系列状态响应码的数量 ≥0 次 值类型：Float 防护域名 5分钟 upstreamcode4xx 业务返回码（4XX） 该指标用于统计测量对象近5分钟内业务返回的4XX系列状态响应码的数量。 单位：次 采集方式：统计近5分钟内业务返回的4XX系列状态响应码的数量 ≥0 次 值类型：Float 防护域名 5分钟 upstreamcode5xx 业务返回码（5XX） 该指标用于统计近5分钟内业务返回的5XX系列状态响应码的数量。 单位：次 采集方式：统计近5分钟内业务返回的5XX系列状态响应码的数量 ≥0 次 值类型：Float 防护域名 5分钟 upstreamcode0 无返回的业务状态码 该指标用于统计测量对象近5分钟内业务无返回的状态响应码的数量。 单位：次 采集方式：统计近5分钟内业务无返回的状态响应码的数量 ≥0 次 值类型：Float 防护域名 5分钟 inboundtrafficpeak 入网流量的峰值 该指标用于统计近5分钟内防护域名入网流量的峰值。 单位：Mbit/s 采集方式：统计近5分钟内防护域名入网流量的峰值 ≥0 Mbit/s 值类型：Float 防护域名 5分钟 inboundtrafficmean 入网流量的均值 该指标用于统计近5分钟内防护域名入网流量的均值。 单位：Mbit/s 采集方式：统计近5分钟内防护域名入网流量的均值 ≥0 Mbit/s 值类型：Float 防护域名 5分钟 outboundtrafficpeak 出网流量的峰值 该指标用于统计近5分钟内防护域名出网流量的峰值。 单位：Mbit/s 采集方式：统计近5分钟内防护域名出网流量的峰值 ≥0 Mbit/s 值类型：Float 防护域名 5分钟 outboundtrafficmean 出网流量的均值 该指标用于统计近5分钟内防护域名出网流量的均值。 单位：Mbit/s 采集方式：统计近5分钟内防护域名出网流量的均值 ≥0 Mbit/s 值类型：Float 防护域名 5分钟 attacks 攻击总次数 该指标用于统计近5分钟内防护域名攻击请求量的总数。 单位：次 采集方式：统计近5分钟内防护域名攻击请求量的总数 ≥0 次 值类型：Float 防护域名 5分钟 crawlers 爬虫攻击次数 该指标用于统计近5分钟内防护域名爬虫攻击请求量的总数。 单位：次 采集方式：统计近5分钟内防护域名爬虫攻击请求量的总数 ≥0 次 值类型：Float 防护域名 5分钟 baseprotectioncounts web基础防护次数 该指标用于统计近5分钟内由Web基础防护规则防护的攻击数量。 单位：次 采集方式：统计近5分钟内由Web基础防护规则防护的攻击数量 ≥0 次 值类型：Float 防护域名 5分钟 preciseprotectioncounts 精准防护次数 该指标用于统计近5分钟内由精准防护规则防护的攻击数量。 单位：次 采集方式：统计近5分钟内由精准防护规则防护的攻击数量 ≥0 次 值类型：Float 防护域名 5分钟 ccprotectioncounts cc防护次数 该指标用于统计近5分钟内由CC防护规则防护的攻击数量。 单位：次 采集方式：统计近5分钟内由CC防护规则防护的攻击数量。 ≥0 次 值类型：Float 防护域名 5分钟

模块 功能说明 说明 应用场景 企业使用远程零信任办公服务，部分场景下，需要对访问的来源进行控制，远程零信任办公服务支持对客户端访问来源、访问IP、用户粒度、访问时间等进行访问控制，实现更灵活和安全的企业远程办公访问体验。 DDoS防护可有效防御畸形报文攻击、SYN Flood、ACK Flood、UDP Flood、ICMP Flood等网络层攻击以及SSL、DNS等应用层攻击 自动防御大流量网络层攻击 针对横向扫描的行为进行设定不同策略模版，如IP类横向渗透防护、域名类横向渗透防护，支持针对单用户账号，设备，相同公网IP进行不同协议、端口、地址的组合判断其频次，若高于异常则进行阻断或挑战认证。该功能是实时统计，达到阈值立即处置。 目前已维护6套防护规则集，基于正则的规则防护引擎进行 Web 漏洞和未知威胁防护，能够抵御SQL 注入、XSS 攻击、恶意扫描、命令注入攻击、Web 应用漏洞、WebShell 上传、不合规协议、木马后门等17类通用的 Web 攻击 建议基于自身业务防护需求选择对应的防护规则集 针对企业管理要求，通过不同维度设置准入条件，仅满足准入条件的用户才可通过认证登录成功，进入内网访问，保障其企业安全性。 希望网站防止被恶意篡改页面内容时配置 基于零信任多维度综合分析引擎，根据采集和上报的不同指标数据，对用户访问行为进行可信评估并实时联动处置。 希望网站避免泄露身份证、手机号等敏感信息时配置 内外网隔离指的是将内部网络（内网）与外部网络（外网）物理或逻辑上分开，以防止未经授权的访问和数据泄露。通过内外网隔离，企业组织可以显著提高其安全性，因为即使外网遭受攻击，攻击者也难以渗透到内网，从而保护了组织的核心资产和数据。零信任模型强调的是一种持续的、动态的安全策略，它要求组织不断地评估和改进其安全措施，以应对不断变化的威胁环境。 针对不在HTTP请求合规、上传内容合规、配置符合网站处理规范内的请求进行相应处理 RBI云端浏览器 RBI云端浏览器是基于零信任网络+远程浏览器隔离技术，以“不让数据流出去、不让坏数据流进来”为宗旨，通过隔离浏览环境进行数据隔离、运行隔离，限制员工行为，保障员工终端安全，敏感数据不落地，提供全流程的行为审计，保证恶意行为证据可追溯。

参数 子参数 说明 迁移参数模版 选择某个迁移参数模版后，页面根据模版的值自动设置网络类型、网络限流值、迁移方式、是否持续同步、是否调整分区、区域、项目;系统会为每个用户自动创建一个默认迁移参数模版，您也可以提前手动创建迁移参数模版，参见 网络类型 公网 若使用公网迁移，要求目的端服务器配置有“弹性IP”。 “网络类型”默认设置为公网。 私网 私网包括专线、VPN、对等连接、同VPC子网，如选择私网则需要提前创建，迁移时会使用目的端私有IP。 IP版本 IPv4 使用IPv4进行数据迁移。 IPv6 双栈网络下，可以选择使用IPv6进行主机迁移。 网络限流 根据要迁移的源端带宽大小及业务要求，设置限制带宽大小。 设置为0时，代表不限流。 Linux限流功能是基于TC(Traffic Control)模块控制，如果源端服务器没有TC模块，则无法支持限流。 部分Linux系统，暂不支持限流。（例如：CentOS 8.x以及基于其构建的其它发行版本均没有TC模块。） CPU限制 仅支持Linux迁移。 内存限制 磁盘吞吐限制 迁移方式 Linux文件级 Linux文件级迁移是指全量复制和持续同步最小粒度为文件，这种方式同步效率低，但兼容性好。 Windows块级 Windows块级迁移是指全量复制和持续同步的最小粒度为磁盘逻辑单位"块"。Windows当前仅支持块级迁移，这种迁移方式迁移和同步效率高。 是否持续同步 否 全量复制完成后，系统会自动启动目的端，无需用户进行操作。 若要同步新增数据，请单击操作列的“同步”，将增量数据同步至目的端服务器。 是 全量复制完成后，会进入持续同步阶段，该阶段系统会定时自动同步源端增量数据到目的端，此时目的端并未启动，无法操作。如需退出该阶段，单击“启动目的端”即可。 是否调整分区 否 选择否，目的端磁盘分区与源端保持一致。 是 选择是，用来调整目的端磁盘分区。具体操作参见调整磁盘分区。 迁移后主机状态 关机 选择关机，迁移完成后目的端服务器自动关机。 开机 选择开机，迁移完成后目的端服务器保持开机状态。 是否检测网络质量 否 不进行网络质量评估。 是 首次全量迁移时，会生成一个“迁移网络质量评估”的子任务，该子任务通过检测丢包率、抖动、网络时延、带宽以及内存占用率和CPU占用率，给出网络质量评估结果。 是否启用多进程 否 默认使用1个进程进行迁移、同步。 是 设置迁移和同步最大进程个数，SMSAgent根据设置的进程个数，启用多个进程执行迁移任务，仅适用Linux文件迁移。 迁移特殊配置项 Linux文件级配置不同步、不迁移等特殊配置信息。 Windows块级迁移，专线场景下，可配置目的端中转IP。

本节主要介绍OOS API请求结构。 接入地址 对象存储网络接入地址为：ooscn.ctyunapi.cn。对象存储网络2接入地址为：ooscn2.ctyunapi.cn。香港精品网接入地址为：ooscnhkhqnet.ctyunapi.cn。香港普通网接入地址为：ooscnhknqnet.ctyunapi.cn。 注意 对于对象存储网络、对象存储网络2中的OOS API，如果您的数据存储在某个资源池，建议您直接使用该资源池的Endpoint，详见 通信协议 为了保证通信的安全性，同时支持HTTP和HTTPS。 请求方法 OOS API支持GET、POST、PUT、HEAD、DELETE和OPTION请求方法发送请求。 请求参数 每个请求都需要指定如下信息： 每个操作接口都需要包含的公共请求参数。 操作接口所特有的请求参数。 本节主要描述公共请求参数和请求结果。 说明 在后续提到具体API时，举例中都会有 公共请求头、 公共响应头 ，但是不对其进行描述和解释。 公共请求头 以下是OOS API的公共请求头。 名称 描述 是否必须 ::: BucketName Bucket名称。 除GET Service (List Bucket)、GET Regions外，其他Bucket、Object操作都需要该参数。 是 Authorization 用于身份验证的请求头。Authorization的构造方式请参考安全策略部分，请先确定使用V2还是V4版本的签名方式，再按照对应的计算方式生成Authorization。 是 ContentLength 请求体的长度。 否 ContentMD5 按照RFC 1864，使用base64编码格式生成信息的128位MD5值。此请求头可以用作数据完整性检查，以验证数据是否与客户端发送的数据相同。 否 xamzcontentsha256 当使用V4签名对请求进行身份验证时，此请求头提供请求有效负载的哈希。 V4签名必填。 ContentType 描述请求内容的标准MIME类型。 否 Date 请求的日期和时间，GMT时间。 V2签名可以填写xAmzDate或Date。 xamzdate 请求的日期和时间。日期和时间格式必须遵循ISO 8601标准，并且必须使用“yyyyMMddT HHmmssZ”格式进行格式化。例如，如果日期和时间是“08/01/2018 15：32：41.982700”，则必须首先将其转换为UTC（协调世界时），然后提交为“20180801T083241Z”。 V4签名必填。 Host 请求的域名。 对象存储网络的请求域名为：ooscn.ctyunapi.cn。 对象存储网络2的请求域名为：ooscn2.ctyunapi.cn。 香港精品网的请求域名为：ooscnhkhqnet.ctyunapi.cn。 香港普通网的请求域名为：ooscnhknqnet.ctyunapi.cn。 是 Connection 客户端与OOS服务器之间的连接状态。 取值： keepalive：长连接，请求结束后继续保持连接。 close：短连接，请求结束后关闭连接。 默认值为：keepalive。 否

本节介绍IP地址组的基本概念及使用场景。 什么是IP地址组？ IP 地址组是智能边缘云平台提供的网络管理资源，用于将多个 IPv4/IPv6 地址或网段进行统一归类、集中管理，可直接关联安全组规则实现批量 IP 访问控制，简化规则配置、减少重复录入，适用于多场景网络访问策略管理。 应用场景 批量配置安全组放行 / 拒绝规则，统一管理办公网段、业务网段。 对边缘云主机进行 SSH/RDP 远程访问白名单控制。 多安全组复用同一 IP 地址集合，降低配置成本。 边缘网络访问控制策略快速下发与变更。

参数 参数类型 说明 示例 下级对象 ruleName String 规则名称 test firewallId String 防火墙id dca4f9ffaca2447aa24310c1e62c4690 ipProto String IP协议，可能值 v4,v6。 v4 direction String 方向，可能值 in,out。 in action String 动作，可能值 drop,pass。 pass dstIp String 目的IP V4必输 1.1.1.0 dstIpMask Integer 目的IP子网掩码 V4必输 24 dstIp6 String 目的IP6 V6必输 1:: dstIp6Mask Integer 目的IP6子网掩码 V6必输 96 srcIp String 源IP V4必输 2.2.2.0 srcIpMask Integer 源IP子网掩码 V4必输 24 srcIp6 String 源IP6 V6必输 2:: srcIp6Mask Integer 源IP6子网掩码 V6必输 96 service String 服务类型，可能值 any,icmp,tcp,udp。 tcp dstPort String 目的端口 8080 srcPort String 源端口 8182 icmpType String icmpType icmpCode String icmpCode app String 应用ID 多个ID用逗号隔开 20,30 status String 规则开关，可能值 disable,enable。 disable statistics String 统计开关，可能值 disable,enable。 disable policy Integer 优先级 1 policyDesc String 防护规则描述 防护规则描述 quota Integer 占用规格数量 1 pos String 移动策略ID到最前或最后，可能值 head,remove,tail。 head privateV4Ips Array of Strings V4私网ips privateV6Ips Array of Strings V6私网ips ipv4DstBeginNum Long 目的ipv4的开始数字形式 ipv4DstEndNum Long 目的ipv4的结束数字形式 ipv4SrcBeginNum Long 源ipv4的开始数字形式 ipv4SrcEndNum Long 源ipv4的结束数字形式 ipv6DstBeginNum Long 目的ipv6的开始数字形式 ipv6DstEndNum Long 目的ipv6的结束数字形式 ipv6SrcBeginNum Long 源ipv6的开始数字形式 ipv6SrcEndNum Long 源ipv6的结束数字形式 srcIpGroupId Integer 源地址组id dstIpGroupId Integer 目的地址组id srcPortGroupId Integer 源端口组id dstPortGroupId Integer 目的端口组id srcIpGroupName String 源地址组名称 dstIpGroupName String 目的地址组名称 srcPortGroupName String 源端口组名称 dstPortGroupName String 目的端口组名称

本节介绍了云数据库TaurusDB的读写分离最佳实践。 用户认证 用户账号如果需要使用数据库代理登录，则必须赋予账号远程登录权限，否则无法通过数据库读写分离访问。 操作步骤 1、连接TaurusDB实例。 通过DAS连接TaurusDB实例 通过内网连接TaurusDB实例 通过公网连接TaurusDB实例 2、实例连接成功后，执行下列SQL语句，查看使用的账号的host是否包含数据库读写分离地址。 SELECT user,host FROM mysql.user; 读写分离地址获取方式： 登录管理控制台。 单击管理控制台左上角的，选择区域和项目。 在页面左上角单击，选择“数据库 > 云数据库TaurusDB”。 在“实例管理”页面，选择目标实例，单击实例名称，进入实例的“基本信息”页面。 在左侧导航栏，单击“数据库代理”。 方法一：在“数据库代理”页面中，在“代理地址”模块“链接地址”，获取当前实例的数据库读写分离地址。 方法二：在“读写分离”页面中，在“读写分离信息”模块“读写分离地址”处，获取当前实例的数据库读写分离地址。 3、如果查询的host不包含数据库代理所在网段，则需要赋予远程访问权限。例如root用户从192.168.0网段连接到TaurusDB数据库： GRANT ALL PRIVILEGES ON . TO 'root'@'192.168.0.%' IDENTIFIED BY password WITH GRANT OPTION; flush privileges; 4、当修改安全组时，确保入方向规则和出方向规则允许读写分离的地址访问，读写分离默认端口号为3306。 登录管理控制台。 单击管理控制台右上角的，选择Region。 在页面左上角单击，选择“数据库 > 云数据库TaurusDB”。 在“实例管理”页面，选择目标实例，单击实例名称，进入实例的“基本信息”页面。 在“基本信息”页面中，在“网络信息”模块的“内网安全组”处，单击安全组名称，进入安全组页面。 在入方向规则页签下，默认允许3306端口访问。如果没有该条规则，单击“快速添加规则”，弹框页面中勾选“MySQL（3306）”，单击“确定”。 图 放通3306端口 图 快速添加3306端口 说明 当您使用MySQL8.0客户端访问数据库读写分离时，可能会报错auth user failed。 在连接数据库时添加 defaultauthmysqlnativepassword。

参数 参数类型 说明 示例 下级对象 custName String 主机名称 testservername id Integer 主键 1 guid String 被防护服务器对应agentGuid 111111111111 remoteGuid String 远端备份服务器GUID 111111111111 remoteServerIp String 远端备份服务器私网ip 192.168.1.1 backupDirectory String 远端备份目录，字符串反转后进行base64编码,如abc，变成 cba后，用base64编码 bWl2L25pYi9yc3Uv remotePort Integer 远端备份服务器端口 15551 createTime String 创建时间 20251010 00:00:00 updateTime String 修改时间 20251010 00:00:00 表 tamperproofDirectoryConfigList

配置分类 配置项 配置建议 基础配置 计费模式 选择“按需计费”。 基础配置 集群版本 根据需要选择，建议选择最新版本。 网络配置 网络模型 选择“容器隧道网络”。 网络配置 虚拟私有云 选择已有的虚拟私有云，若列表中没有合适的选项，单击“创建虚拟私有云”完成创建。 网络配置 控制节点子网 选择已有的子网，若列表中合适的选项，单击“创建子网”完成创建。 网络配置 容器网段 勾选“自动设置网段”。

智能网关目前可支持串接、旁挂和网桥三种部署模式,本文带您了解什么是串接模式、旁挂模式和网桥模式。 串接模式 在串接模式下，智能网关作为本地分支/机构访问公网/内网的流量出口设备。本地分支/机构的所有流量均需要通过智能网关传输。 旁挂模式 在旁挂模式下，智能网关作为本地分支/机构访问远端分支/机构及云服务器内网流量的出口设备。旁挂模式不改变用户现有网络拓扑，智能网关将内网流量转发到天翼云，去往公网的流量仍可通过用户本地出口设备进行传输。 网桥模式 网桥模式部署也不需要改变用户现有网络拓扑，智能网关桥接在用户本地出口网关设备和核心路由器的中间，智能网关和PoP建立IPSec隧道来转发SDWAN流量。

操作场景 某企业已经在地域A创建了天翼云VPC并在其中部署了应用服务，该企业购买两台设备，采用单机双臂旁挂组网方式接入天翼云，并配置OSPF动态路由主备，实现本地机构和云上资源互通，同时提高可用性。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已经在地域A创建了VPC，具体操作，请参见创建虚拟私有云VPC。 您已经完成云间高速（标准版）的创建，具体操作，请参见创建云间高速（标准版）实例。 您已经将地域A的VPC加载到同一云间高速（标准版）实例中，请参见加载网络实例。 操作步骤 步骤一：购买两台智能网关 您可以通过天翼云官网自行购买智能网关实例，也可以联系客户经理购买智能网关实例。通过天翼云官网自行下单，操作步骤如下： 1. 登录天翼云SDWAN控制台，选择“智能网关”，在“智能网关”页面单击“创建智能网关”，选择“创建智能网关”。 2. 根据页面提示配置参数，部分参数信息可参考如下： 参数 描述 实例名称 智能网关实例名称，长度为164字符，以大小写字母或中文开头，可包含数字、“.”、 “”、“”。 区域 选择设备接入的区域。 基础带宽 该分支接入SDWAN骨干网的带宽大小。 是否购买设备 表示是否需要从天翼云购买设备。选择“是”，则天翼云会为您准备一台设备；选择“否”，则需要用户自备设备。 网关形态 可选择硬件版、软件版，这里我们选择硬件版。 设备类型 购买设备时，需要选择设备的型号。可以选择经济版、标准版、企业版、企业增强版。 使用方式 表示设备的使用方式。这里选择“双机”。 地址信息 表示设备的装机地址。请准确填写地址信息。 购买数量 默认为1。如果您购买的两台设备配置相同，则可以将数量修改为2；如果两台设备的配置不相同，则需要分成两次下单，且购买数量均填写为1。 3. 单击“提交订单”。确认订单信息无误后，勾选“我已阅读并同意相关协议《天翼云SDWAN产品服务协议》”，单击“确认下单”。 4. 订单支付成功后，完成购买。

参数 子参数 说明 迁移参数模版 选择某个迁移参数模版后，页面根据模版的值自动设置网络类型、网络限流值、迁移方式、是否持续同步、是否调整分区、区域、项目;系统会为每个用户自动创建一个默认迁移参数模版，您也可以提前手动创建迁移参数模版，参见 网络类型 公网 若使用公网迁移，要求目的端服务器配置有“弹性IP”。 “网络类型”默认设置为公网。 私网 私网包括专线、VPN、对等连接、同VPC子网，如选择私网则需要提前创建，迁移时会使用目的端私有IP。 IP版本 IPv4 使用IPv4进行数据迁移。 IPv6 双栈网络下，可以选择使用IPv6进行主机迁移。 网络限流 根据要迁移的源端带宽大小及业务要求，设置限制带宽大小。 设置为0时，代表不限流。 Linux限流功能是基于TC(Traffic Control)模块控制，如果源端服务器没有TC模块，则无法支持限流。 部分Linux系统，暂不支持限流。（例如：CentOS 8.x以及基于其构建的其它发行版本均没有TC模块。） CPU限制 仅支持Linux迁移。 内存限制 磁盘吞吐限制 迁移方式 Linux文件级 Linux文件级迁移是指全量复制和持续同步最小粒度为文件，这种方式同步效率低，但兼容性好。 Windows块级 Windows块级迁移是指全量复制和持续同步的最小粒度为磁盘逻辑单位"块"。Windows当前仅支持块级迁移，这种迁移方式迁移和同步效率高。 是否持续同步 否 全量复制完成后，系统会自动启动目的端，无需用户进行操作。 若要同步新增数据，请单击操作列的“同步”，将增量数据同步至目的端服务器。 是 全量复制完成后，会进入持续同步阶段，该阶段系统会定时自动同步源端增量数据到目的端，此时目的端并未启动，无法操作。如需退出该阶段，单击“启动目的端”即可。 是否调整分区 否 选择否，目的端磁盘分区与源端保持一致。 是 选择是，用来调整目的端磁盘分区。 迁移后主机状态 关机 选择关机，迁移完成后目的端服务器自动关机。 开机 选择开机，迁移完成后目的端服务器保持开机状态。 是否检测网络质量 否 不进行网络质量评估。 是 首次全量迁移时，会生成一个“迁移网络质量评估”的子任务，该子任务通过检测丢包率、抖动、网络时延、带宽以及内存占用率和CPU占用率，给出网络质量评估结果。 是否启用多进程 否 默认使用1个进程进行迁移、同步。 是 设置迁移和同步最大进程个数，SMSAgent根据设置的进程个数，启用多个进程执行迁移任务。仅适用Linux文件迁移。 迁移特殊配置项 Linux文件级配置不同步、不迁移等特殊配置信息。 Windows块级迁移，专线场景下，可配置目的端中转IP。

特性维度 SaaS化部署模式（使用天翼云边缘节点网关能力） 混合部署模式（独享网关） 核心架构 使用天翼云共享的全球边缘节点作为网关。 客户本地私有化部署独享网关。 业务数据流访问链路 用户 > 天翼云边缘节点 <连接器（反向建连到网关） > 内网应用。 1、未启用连接器： 独享网关直接访问到内网，无需安装连接器，适用于只有一个数据中心的场景。 数据流：用户 > 独享网关（客户网络机器） > 内网应用。 2、启用连接器场景： 连接器反向连接到独享网关，不同数据中心，通过连接器集群的关联应用功能，管理不同的网络数据中心访问内网的链路。 用户 > 独享网关（客户网络机器）< 连接器 > 内网应用。 控制数据链路 经过天翼云（仅用于认证和策略下发）。 经过天翼云（仅用于认证和策略下发）。 业务数据流链路差异 业务流量经过天翼云节点（数据加密、不同客户的网络空间严格隔离）。 业务流量完全不经过天翼云，直达客户内网，保障客户数据隐私安全。 网络要求 客户侧无需暴露公网IP和端口对外开放，通过连接器反向代理，连接器需放行出口方向流量。 客户需为独享网关提供公网接入IP和端口开放，用于不同网络区域的客户端接入。 独享访问出方向流量需放行访问天翼云AOne中心的流量，用于对接AOne零信任中心获取配置和策略，作为控制面管理。 部署连接器场景，独享网关需放行连接器建连的流量。 SPA单包认证 SaaS模式对客户侧无端口暴露，天翼云边缘节点支持SPA单包认证机制。 支持SPA，客户侧公网开放的IP和端口遵循SPA单包认证机制，需要客户端完成可信认证后，网关才允许客户端方对该IP端口进行连接请求。 说明 若外部使用扫描工具对客户侧公网接入点进行扫描时， 独享网关开放IP和端口不会响应扫描器，端口开放标识为DOWN 。 时延性能 依托天翼云 全球2800+边缘节点 ，智能调度能力，保障不同区域接入天翼云节点的网络质量，整体接入效果更佳。 无天翼云边缘节点加速效果，时延根据客户提供的享网关节点链路和客户端接入距离有不同差异， 若客户端接入地点和独享网关属于同区域同运营商，可达到本地本网直连的最佳效果 。 安全性与合规 依托天翼云高等级安全保障。 满足对数据不出域、金融场景、政务监管的合规要求。 运维成本 轻运维，天翼云负责网关运维、高可用和迭代更新。 客户需负责独享网关的运维、高可用、安全补丁等。 适用客户 适用于众多场景客户，使用天翼云安全、加速、连接能力。需要标准、快速交付、对远程安全性办公要求较高的企业 。 对数据业务流向有要求的客户； 本地直连场景的客户，且客户可提供公网接入点的设备，可满足对本地时延敏感性极高的客户使用需求。

控制台接口 权限三元组 IAM（资源池/全局） 企业项目（资源组） 创建云主机 ecs:cloudServers:create √ √ 创建相同配置 ecs:cloudServers:create √ √ 克隆云主机 ecs:cloudServers:create √ √ 恢复包周期退订云主机 ecs:cloudServers:create √ √ 云主机列表获取 ecs:cloudServers:list √ √ 搜索 ecs:cloudServers:list √ √ 刷新 ecs:cloudServers:list √ √ 导出全部实例 ecs:cloudServers:list √ √ 导出所选实例 ecs:cloudServers:list √ √ 云主机详情获取 ecs:cloudServers:get √ √ 修改云主机名称 ecs:cloudServers:put √ √ 修改实例名称 ecs:cloudServers:put √ √ 修改云主机描述 ecs:cloudServers:put √ √ 编辑云主机属性 ecs:cloudServers:put √ √ 云主机（批量）开机 ecs:cloudServers:start √ √ 云主机（批量）关机 ecs:cloudServers:stop √ √ 云主机（批量）重启 ecs:cloudServers:reboot √ √ 云主机全部开机（仅支持IAM） ecs:cloudServers:startAll √ 云主机全部关机（仅支持IAM） ecs:cloudServers:stopAll √ 云主机全部重启（仅支持IAM） ecs:cloudServers:rebootAll √ 续订 ecs:cloudServers:create √ √ 退订(包周期) ecs:cloudServers:delete √ √ 删除(按需付费) ecs:cloudServers:delete √ √ 立即释放 ecs:cloudServers:delete √ √ 重置密码 ecs:cloudServers:resetServerPwd √ √ 一键重装 ecs:cloudServers:rebuild √ √ 全部重启 ecs:cloudServers:reboot √ √ VNC远程登录 ecs:cloudServers:rlogin √ √ TeleCloudShell登录 ecs:cloudServers:rlogin √ √ 开启实例删除保护 ecs:delProtect:update √ √ 关闭实例删除保护 ecs:delProtect:update √ √ 创建快照 ecs:snapshot:create √ √ 制作镜像 ims:serverImages:create √ √ 变配 ecs:cloudServers:update √ √ 到期转按需 ecs:switchRequired:create √ √ 转包周期 ecs:switchPeriod:create √ √ 云主机详情页 云主机详情获取 ecs:cloudServers:get √ √ 云主机详情页 设置委托策略 ecs:delegationPolicy:change √ √ 云主机详情页 弹性网卡列表获取 vpc:cloudServerNics:list √ 云主机详情页 弹性网卡详情获取 vpc:cloudServerNics:get √ 云主机详情页 绑定弹性网卡 ecs:cloudServerNics:binding √ 云主机详情页 解绑弹性网卡 ecs:cloudServerNics:unbinding √ 云主机详情页 修改内网IP ecs:publicIps:change √ 云主机详情页 修改内网IP vpc:cloudServerNics:change √ 云主机详情页 修改内网IP vpc:subnets:list √ 云主机详情页 更换VPC（绑定） ecs:vpcs:change √ 云主机详情页 更换VPC（绑定） vpc:cloudServerNics:change √ 云主机详情页 更换VPC（绑定） vpc:subnets:list √ 云主机详情页 更换VPC（绑定） vpc:securityGroups:list √ 云主机详情页 更换VPC（绑定） vpc:vpcs:list √ 云主机详情页 管理辅助私网ip vpc:cloudServerNics:change √ 云主机详情页 云硬盘列表获取 evs:volumes:list √ √ 云主机详情页 云硬盘详情获取 evs:volumes:get √ √ 云主机详情页 卸载磁盘 evs:volumes:detach √ √ 云主机详情页 挂载磁盘 evs:volumes:attach √ √ 云主机详情页 释放设置（云硬盘） evs:volumes:release √ √ 云主机详情页 安全组列表获取 vpc:securityGroups:list √ √ 云主机详情页 安全组详情获取 vpc:securityGroups:get √ √ 云主机详情页 更改安全组 vpc:cloudServerNics:change √ √ 云主机详情页 弹性IP列表获取 vpc:publicIps:list √ √ 云主机详情页 弹性IP详情获取 vpc:publicIps:get √ √ 云主机详情页 绑定弹性IP vpc:publicIps:update √ √ 云主机详情页 解绑弹性IP vpc:publicIps:detach √ √ 云主机详情页 挂载文件系统 ecs:filesSystem:mount √ √ 云主机详情页 卸载文件系统 ecs:filesSystem:unmount √ √ 云主机详情页 一键安装监控Agent ecs:MonitorAgent:install √ √ 云主机详情页 查看云主机监控 cm:monitor:query √ √ 云主机组 创建云主机组 ecs:ServersGroups:create √ 云主机组 修改云主机组名称 ecs:ServersGroups:update √ 云主机组 云主机组列表获取 ecs:ServersGroups:list √ 云主机组 云主机组详情获取 ecs:ServersGroups:get √ 云主机组 添加云主机 ecs:ServersGroups:attach √ 云主机组 移除云主机 ecs:ServersGroups:detach √ 云主机组 云主机列表获取 ecs:cloudServers:list √ 云主机组 删除云主机组 ecs:ServersGroups:delete √ 快照 创建快照 ecs:snapshot:create √ √ 快照 云主机列表获取 ecs:cloudServers:list √ √ 快照 快照列表获取 ecs:snapshot:list √ √ 快照 快照详情获取 ecs:snapshot:get √ √ 快照 删除快照 ecs:snapshot:delete √ √ 快照 恢复数据 ecs:snapshot:rollback √ √ 快照 申请云主机 ecs:cloudServers:create √ √ 快照 删除快照 ecs:snapshot:delete √ √ 快照 创建快照策略 ecs:snapshotpolicy:create √ 快照 快照策略列表 ecs:snapshotpolicy:list √ 快照 快照策略详情 ecs:snapshotpolicy:get √ 快照 修改快照策略 ecs:snapshotpolicy:update √ 快照 停用快照策略 ecs:snapshotpolicy:stop √ 快照 删除快照策略 ecs:snapshotpolicy:delete √ 快照 启用策略/立即执行快照策略 ecs:snapshotpolicy:start √ SSH密钥对 创建密钥对 ecs:serverKeypairs:create √ √ SSH密钥对 导入密钥对 ecs:serverKeypairs:create √ √ SSH密钥对 密钥对列表获取 ecs:serverKeypairs:list √ √ SSH密钥对 绑定/更换密钥对 ecs:serverKeypairs:set √ √ SSH密钥对 解绑密钥对 ecs:serverKeypairs:unset √ √ SSH密钥对 删除密钥对 ecs:serverKeypairs:delete √ √ 云主机启动模板 创建云主机启动模板 ecs:templates:create √ √ 云主机启动模板 从启动模板创建云主机 ecs:cloudServers:create √ √ 云主机启动模板 从启动模板创建弹性伸缩组 as:groups:create √ √ 云主机启动模板 修改云主机启动模板 ecs:templates:update √ √ 云主机启动模板 删除云主机启动模板 ecs:templates:delete √ √ 云主机启动模板 查看云主机启动模板列表 ecs:templates:list √ √ 专有宿主机 创建一台或多台专有宿主机 ecs:dedicatedHosts:create √ √ 专有宿主机 删除一台或多台专有宿主机 ecs:dedicatedHosts:delete √ √ 专有宿主机 销毁一台或多台宿主机 ecs:dedicatedHosts:delete √ √ 专有宿主机 续订一台或多台包周期的宿主机 ecs:dedicatedHosts:create √ √ 专有宿主机 查询专有宿主机规格信息（仅支持IAM） ecs:dedicatedHosts:get √ 专有宿主机 更新宿主机的部分信息 ecs:dedicatedHosts:put √ √ 专有宿主机 查询宿主机列表 ecs:dedicatedHosts:list √ √ 专有宿主机 专有宿主机列表导出 ecs:dedicatedHosts:list √ √

配置项 参数说明 示例 名称 工作流调度的名称 httpTicker 请求方法 触发器支持的Http请求方法，目前只支持POST。 POST 公网 选择已创建的自定义域名，并确保该域名已经配置CNAME记录，记录值每个地域的内外网不同，具体留意页面提示。适用于公网环境访问。 认证方式 无需认证：请求没有认证限制，任何人都能访问。 JWT认证：请求启用JWT认证，访问时需要带上jwt，函数网关会自动校验请求的合法性。配置方式请参考 函数计算HTTP触发器 > JWT配置指南 部分

参数 参数说明 虚拟私有云 默认为集群所在VPC，不可修改。 节点子网 节点子网默认使用创建集群时的子网配置，也可以选择其他子网。 l 多个子网：可选择同一VPC下的多个子网作为节点可用网段，扩容节点会优先消耗排序靠前的子网IP资源。 l 单个子网：当节点池关联的单个子网IP资源较为紧张时，推荐配置多个子网，否则可能会出现节点池扩容失败的问题。 节点IP 支持随机分配。 弹性公网IP 未绑定弹性公网IP的云服务器无法直接访问外网。若需要进行外网访问，您可以为云服务器绑定一个弹性公网IP。 默认为“暂不使用”，如果需要创建请选择“自动创建”。 关联安全组 指定节点池创建出来的节点使用哪个安全组。最多选择5个安全组。 创建集群时会默认创建一个节点安全组，名称为{ 集群名}ccenode{ 随机ID} ，默认会使用该安全组。 节点安全组需要放通一些端口以保障节点通信，如选择其他安全组，需要放通这些端口。 说明 节点池创建完成后，关联安全组不可修改。

参数 参数类型 说明 示例 下级对象 ruleName String 规则名称 test firewallId String 防火墙id dca4f9ffaca2447aa24310c1e62c4690 ipProto String IP协议，可能值 v4,v6。 v4 direction String 方向，可能值 in,out。 in action String 动作，可能值 drop,pass。 pass dstIp String 目的IP V4必输 1.1.1.0 dstIpMask Integer 目的IP子网掩码 V4必输 24 dstIp6 String 目的IP6 V6必输 1:: dstIp6Mask Integer 目的IP6子网掩码 V6必输 96 srcIp String 源IP V4必输 2.2.2.0 srcIpMask Integer 源IP子网掩码 V4必输 24 srcIp6 String 源IP6 V6必输 2:: srcIp6Mask Integer 源IP6子网掩码 V6必输 96 service String 服务类型，可能值 any,icmp,tcp,udp。 tcp dstPort String 目的端口 8080 srcPort String 源端口 8182 icmpType String icmpType icmpCode String icmpCode app String 应用ID 多个ID用逗号隔开 20,30 status String 规则开关，可能值 disable,enable。 disable statistics String 统计开关，可能值 disable,enable。 disable policy Integer 优先级 1 policyDesc String 防护规则描述 防护规则描述 quota Integer 占用规格数量 1 pos String 移动策略ID到最前或最后，可能值 head,remove,tail。 head privateV4Ips Array of Strings V4私网ips privateV6Ips Array of Strings V6私网ips ipv4DstBeginNum Long 目的ipv4的开始数字形式 ipv4DstEndNum Long 目的ipv4的结束数字形式 ipv4SrcBeginNum Long 源ipv4的开始数字形式 ipv4SrcEndNum Long 源ipv4的结束数字形式 ipv6DstBeginNum Long 目的ipv6的开始数字形式 ipv6DstEndNum Long 目的ipv6的结束数字形式 ipv6SrcBeginNum Long 源ipv6的开始数字形式 ipv6SrcEndNum Long 源ipv6的结束数字形式 srcIpGroupId Integer 源地址组id dstIpGroupId Integer 目的地址组id srcPortGroupId Integer 源端口组id dstPortGroupId Integer 目的端口组id srcIpGroupName String 源地址组名称 dstIpGroupName String 目的地址组名称 srcPortGroupName String 源端口组名称 dstPortGroupName String 目的端口组名称

当您需要使用安全引流服务时，请参考本节先开通对应业务。 操作场景 SDWAN服务支持安全引流，通过为指定智能网关实例开启安全引流功能，您可以将该智能网关实例上的流量引流到云防火墙上，从而增强数据传输安全性。 开通安全引流服务后，用户可以通过“快捷链接”登录云防火墙，配置流量分析、管控等其他高级功能。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 安全引流功能需开通相应业务后方可使用。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东1。 3. 依次选择“网络”，单击“天翼云SDWAN”，进入天翼云SDWAN总览页面。 4. 选择“安全引流”，根据页面提示联系客户经理或天翼云客服开通安全引流业务。 说明 如需关闭业务，请联系客户经理或天翼云客服进行操作。

本文向您介绍如何查看VPN的监控指标。 操作场景 查看VPN连接状态、带宽、弹性公网IP的使用情况。 背景信息 表监控指标的支持情况 监控指标名称 VPN支持情况 是否默认开启 VPN连接状态 企业版VPN、经典版VPN均支持。 是 链路往返平均时延 链路往返最大时延 链路丢包率 接收包速率 发送包速率 接收速率 发送速率 SA接收包速率 SA发送包速率 SA接收速率 SA发送速率 仅企业版VPN支持。 否 单击VPN连接名称，在“基本信息”页签添加健康检查项。 隧道往返平均时延 隧道往返最大时延 隧道丢包率 仅企业版VPN支持。 是 仅VPN连接使用静态路由模式，且开启NQA检测机制场景时支持私网相关监控指标。 查看VPN连接监控指标 通过VPN服务入口 1. 登录管理控制台，单击“网络 > VPN”进入VPN控制台。 2. 选择“虚拟专用网络 > 企业版VPN连接”。 3. 单击，查看VPN连接相关信息。 仅支持查看VPN连接状态，如需查看更多监控指标，请通过云监控服务入口查看。 支持查看“近1小时”、“近3小时”、“近12小时”、“近24小时”和“近7天”的数据。 通过云监控服务入口 1. 登录管理控制台，单击“管理与部署 > 云监控服务”。 2. 选择“云服务监控 > 虚拟专用网络”。 3. 在“企业版VPN连接”页签下，单击“操作”列的“查看监控指标”，查看VPN连接状态。 支持查看“近1小时”、“近3小时”、“近12小时”、“近24小时”和“近7天”的数据。

本章主要介绍增强高速网络。 增强高速网络 增强高速网络架构图： 增强高速网络通过云数据中心实现内网互通互连，可以提供高质量、高速度、低时延的内网环境。具有如下特点： 高速带宽内部互联网络 客户可灵活自定义的内部网络 端口总带宽大于10GE 增强高速网络基于上一代高速网络进行了软硬件的优化升级。下图分别介绍上一代高速网络架构，以及高速网络和增强高速网络对比。 上一代高速网络架构图： 两代高速网络对比图： 相比上一代高速网络，增强高速网络具有如下三大优势： 带宽提升至10GE及以上。 租户自定义网络平面数量，最多支持4K个子网。 说明 目前支持的区域有：长沙2、广州4和成都3。 增强高速网络查看方式 增强高速网络的网络接口（即增强高速网卡）可以在管理控制台查看（物理机详情页“网卡”页签下）。

本章节介绍应用服务网格CSM应用场景 应用服务网格CSM主要适用于微服务架构下的流量治理、安全治理和可观测场景，常用场景如下： 多语言微服务统一治理 应用服务网格（CSM）采用无侵入式的sidecar模式，提供了与语言无关的服务治理能力，无需修改业务代码即可实现对多语言应用的灰度发布、熔断限流、标签路由、全链路灰度等治理能力。 解决问题： 服务治理能力与业务代码耦合问题，业务无需关注非业务的技术问题，提高业务迭代效率。 企业内部多语言业务互通问题，服务网格通过sidecar和统一控制面，屏蔽了语言和框架的差异，使得多语言框架应用之间的通信就像语言框架内部的通信一样简单。 多集群统一服务治理 应用服务网格（CSM）采用主从集群模式，主集群（云容器引擎）作为控制面部署集群，支持对多个从集群（云容器引擎）实行统一纳管，对多个云容器引擎集群上的服务进行统一治理。 解决问题： 服务扩展问题：随着业务的发展，业务通过单个容器集群难以支撑时，CSM服务网格可以在一个网格实例下实现对多个容器集群的统一治理。 容灾问题：基于多集群和服务标签，通过服务网格的路由能力可以实现业务的多活容灾。

指标类型 指标名称 单位 描述 并发请求数 最大并发请求数（FunctionMaxConcurrentRequests） 个 函数实例中并发执行的请求个数。按1分钟或1小时粒度统计求最大值。 并发请求数 平均并发请求数（FunctionAvgConcurrentRequests） 个 函数实例中并发执行的请求个数。按1分钟或1小时粒度统计求平均值。 vCPU使用情况（实例级别指标） 最大vCPU（FunctionMaxvCPUCores） vCPU 函数实际使用的vCPU数，其中1代表1vCPU，按1分钟或1小时粒度统计多个实例求最大值。 vCPU使用情况（实例级别指标） 平均vCPU（FunctionAvgvCPUCores） vCPU 函数实际使用的vCPU数，其中1代表1vCPU，按1分钟或1小时粒度统计多个实例求平均值。 vCPU利用率（实例级别指标） 最大利用率（FunctionMaxvCPUUtilization） % 函数实际使用的vCPU核数占vCPU配额的比例。按1分钟或1小时粒度统计多个实例求最大值。 vCPU利用率（实例级别指标） 平均利用率（FunctionAvgvCPUUtilization） % 函数实际使用的vCPU核数占vCPU配额的比例。按1分钟或1小时粒度统计多个实例求平均值。 网络流量（实例级别指标） 入网流量（FunctionRXBytesPerSec） Mbps 函数单位时间的入网流量。 网络流量（实例级别指标） 出网流量（FunctionTXBytesPerSec） Mbps 函数单位时间的出网流量。 内存使用情况（实例级别指标） 最大使用内存（FunctionMaxMemoryUsageMB） MB 函数实例实际使用的内存。按1分钟或1小时粒度统计求最大值。 内存使用情况（实例级别指标） 平均使用内存（FunctionAvgMemoryUsageMB） MB 函数实例实际使用的内存。按1分钟或1小时粒度统计求平均值。 内存使用率（实例级别指标） 最大使用率（FunctionMaxMemoryUtilization） % 函数实例实际使用的内存占内存配额的比例。按1分钟或1小时粒度统计多个实例求最大值。 内存使用率（实例级别指标） 平均使用率（FunctionAvgMemoryUtilization） % 函数实例实际使用的内存占内存配额的比例。按1分钟或1小时粒度统计多个实例求平均值。