通过NAT网关实现公网访问虚拟机 1. 登录ECX控制台。 2. 单击左侧导航栏的【边缘网络>公网IP&带宽>公网IP】，在【IP列表】选择空闲状态的IP，单击【操作>绑定】。 3. 在【公网IP绑定】界面，实例类型选择【NAT网关实例】，选择需要绑定的NAT网关，单击【提交】完成弹性公网IP绑定NAT网关。 4. 单击左侧【NAT网关】导航栏，在【NAT网关列表】选择已绑定了弹性公网IP的NAT网关，单击【操作>设置规则】进入网关详情。 5. 在网关详情页，选择【DNAT规则】页签，单击【DNAT规则】，弹窗【添加DNAT规则】页面。 6. 在【添加DNAT规则】页面，端口类型可以选择【指定端口】或【所有端口】，【弹性公网IP】选择已绑定的公网IP，下拉项只会显示已绑定的公网IP；【私网IP】选择指定的虚拟机实例，单击【提交】完成规则设置。 7. 在【DNAT规则】页签可以查看已添加的规则。 8. 登录本地电脑，在命令行测试公网IP+端口的联通性，可测试成功。 注意 配置 DNAT 规则后，需要放通对应的安全组规则。 SNAT 规则不能和全端口的 DNAT 规则共用弹性公网IP。 SNAT 规则和 DNAT 规则一般面向不同的业务，如果使用相同的弹性公网IP，会面临业务互相抢占问题，请尽量避免。

存量容器镜像同步 对于存量容器镜像，可以通过创建手动同步任务，手动将镜像从源实例同步到目标实例，具体步骤如下: 1. 登录容器镜像控制台； 2. 在顶部菜单栏，选择所需资源池； 3. 在实例页面中选择需要同步的实例； 4. 在企业版实例管理页面的左侧菜单上选择【分发管理>实例同步】，选择“手动同步记录”的选项卡，点击左上角的“创建同步任务”； 5. 在“创建同步任务”对话框中，配置同步任务，然后点击“确定”，实现任务创建； 6. 任务创建完成后，可在“手动同步记录”的选项卡中查看任务执行情况。 配置实例访问控制 为实现跨地域访问，需要为企业版实例开通公网访问控制，具体步骤如下: 1. 登录容器镜像控制台； 2. 在顶部菜单栏，选择所需资源池； 3. 在实例页面中选择指定的企业版实例； 4. 在企业版实例管理页面的左侧菜单上选择【实例管理>访问控制】，在界面左上角点击“添加公网白名单”按钮； 5. 在弹出“添加公网白名”单选项卡中，录入地址段和备注信息，点击确定； 6. 添加完成后，该白名单网段所包含IP的主机都可以正常访问企业版实例。若删除所有白名单，则公网下机器均可访问企业版实例。

本节介绍了公网白名单的用户指南。 为保障镜像制品及企业版实例安全，需要配置公网的访问控制策略，以限制通过公网访问企业版实例。 前置条件 本功能只能在企业版实例使用，对于个人版实例不支持使用此功能。 说明 在企业版实例开通后，会默认创建一条“127.0.0.1/32”的公网白名单，以限制所有来自公网的访问。 操作步骤 1. 登录容器镜像服务控制台。 2. 在顶部菜单栏，选择所需资源池。 3. 在实例页面中选择指定的企业版实例。 4. 在企业版实例管理页面的左侧菜单上选择"访问控制" "公网白名单"，在页面左上角点击 "添加公网白名单" 按钮。 5. 在弹出添加公网白名单选项卡中，录入地址段和备注信息，点击确定，各参数说明如下： 参数 是否必填 说明 地址段 必填 白名单放行地址段，如192.168.1.1/32、192.168.1.0/24 备注 非必填 此项白名单放通的补充说明信息，可以为空 6. 添加完成后，该白名单网段所包含IP的主机都可以正常访问实例。 注意 删除所有白名单后，公网下机器均可通过凭证访问企业版实例。请注意完全暴露在公网的企业版实例存在被攻击的风险，请谨慎操作。

iBox边缘盒子（城管版）支持哪些告警模式 ？ 暂不支持实时告警提醒，可通过查询预警信息查看。也可配合平台软件实现告警功能。 图片、视频保存数量限制、时间期限是多少？ 保存图片时间周期可以在系统里面设置。 iBox边缘盒子（城管版）支持可以直接接显示器进行使用？ 不支持，需配合客户端电脑使用。 iBox边缘盒子是否支持一机双网？ 支持，双网口可独立使用。 iBox边缘盒子是否支持扩展存储？ 可支持扩展TF卡，但推荐仅作为刷机用。 人流量统计在哪里可以看到？ 人流量得配置推送服务，推送到第三方地址。 webhook推送只支持http, 暂不支持https,试用暂时可通过postman软件建立接口。 海康协议这个选项是支持的么？ 推荐使用标准的rtsp协议添加设备： 这个音频接口作用是什么？如果盒子要接硬件的声光报警器，可以么？ 接口是没有用的，不支持接硬件的声光报警器. 设备管理绑定算法是出现预览图像移位 显示器分辨率设置成100%: 无法查看人流统计数据怎么办？ 通过配置webhook地址，添加到推送配置中查看:

参数 说明 参数取值 名称 输入VPN连接的名称。 vpn001 VPN网关 选择步骤一创建的VPN网关。 vpngw001 网关IP 选择VPN网关的 主EIP 。 11.xx.xx.11 对端网关 选择步骤二创建的对端网关。 cgw001 连接模式 选择“静态路由模式”。 静态路由模式 对端子网 输入数据中心待和VPC互通的子网。 172.16.0.0/16 接口分配方式 支持“手动分配”和“自动分配”两种方式。 手动分配 本端隧道接口地址 配置在VPN网关上的tunnel接口地址。 说明 对端网关需要对此处的本端隧道接口地址/对端隧道接口地址做镜像配置。 169.254.70.2/30 对端隧道接口地址 配置在用户侧设备上的tunnel接口地址。 169.254.70.1/30 检测机制 用于多链路场景下路由可靠性检测。 说明 功能开启前，请确认对端网关支持ICMP功能，且对端接口地址已在对端网关上正确配置，否则会导致VPN流量不通。 勾选“使能NQA” 预共享密钥、确认密钥 VPN连接协商密钥。 VPN连接和对端网关配置的预共享密钥需要一致。 Test@123 策略配置 包含IKE策略和IPsec策略，用于指定VPN隧道加密算法。 VPN连接和对端网关配置的策略信息需要一致。 默认配置

电商行业场景 场景特点 电商行业为Web应用攻击的重点对象，经常遭受黑客攻击，譬如非法篡改交易数据、盗取用户个人账号信息进行网络诈骗等，不仅危害了用户的个人利益，同时也严重影响了商家的形象。 能解决的问题 网站遭遇大量请求以及异常连接导致用户服务性能严重下降，影响正常用户业务服务，部署WAF后可通过WAF爬虫策略将异常连接自动进行中断以及一部分常见的HTTP缓慢攻击等制定连接时长限制，降低网站受到爬虫类攻击而造成的影响，也避免了给网站用户带来负面使用体验。 航空行业场景 场景特点 航空行业、互联网售票平台等都拥有大量的旅客个人信息以及出行/未出行、行程信息，而这些信息经过黑色产业链，最终形成了退改签等诈骗活动，不仅危害了旅客的个人利益，也给各平台造成了经济损失。 能解决的问题 针对固定类型系统发布漏洞，如log4j等，WAF集群策略库会收集现网所有关于Web安全方面的漏洞，将在24小时内自动进行策略加固，无需用户侧手动介入完成0day相关安全保障，如客户侧针对安全方面不熟悉，可能无法第一时间收到通知，使用WAF将大大降低客户应用业务被漏洞利用的风险。

工作原理 Nginx Ingress由资源对象Ingress、Ingress控制器、Nginx三部分组成，Ingress控制器用以将Ingress资源实例组装成Nginx配置文件（nginx.conf），并重新加载 Nginx使变更的配置生效。当它监听到Service中Pod变化时通过动态变更的方式实现Nginx上游服务器组配置的变更，无须重新加载Nginx进程。工作原理如下图所示。 Ingress：一组基于域名或URL把请求转发到指定Service实例的访问规则，是Kubernetes的一种资源对象，Ingress实例被存储在对象存储服务etcd中，通过接口服务被实现增、删、改、查的操作。 Ingress控制器（Ingress controller）：用以实时监控资源对象Ingress、Service、Endpoint、Secret（主要是TLS证书和Key）、Node、ConfigMap的变化，自动对Nginx进行相应的操作。 Nginx：实现具体的应用层负载均衡及访问控制。 Nginx Ingress工作原理 使用约束 仅支持在1.15及以上版本的CCE集群中安装此插件。 通过api调接口创建的Ingress annotation必须添加kubernetes.io/ingress.class: "nginx"，如果是对接老的Ingress，annotation需添加为kubernetes.io/ingress.class: "cce"。 独享型ELB规格必须支持网络型（TCP/UDP），且网络类型必须支持私网（有私有IP地址）。 前提条件 在创建容器工作负载前，您需要存在一个可用集群。若没有可用集群，请参照“购买CCE集群”中的步骤创建。

本文介绍如何为ECI Pod配置公网连接。 默认情况下，系统只为ECI Pod（即ECI实例）分配一个私网IP，如果您的ECI Pod有连接公网的需求，例如需要拉取公网镜像等，您可以为其绑定EIP，以实现ECI Pod与公网互通。 为ECI实例绑定EIP 创建ECI Pod时，您可以在Pod metadata中添加Annotation来绑定已有EIP，或者自动创建并绑定一个EIP。 配置说明 EIP只支持为所绑定的ECI实例提供公网服务，一个EIP只能绑定一个ECI实例。如果您有多个ECI实例需要连接公网，您需要分别为其绑定EIP，或者在所属VPC中创建公网NAT网关。 使用已有公网IP,配置参考如下： shell apiVersion: apps/v1 kind: Deployment metadata: name: nginxdeployment labels: app: nginx spec: replicas: 1 selector: matchLabels: app: nginx template: metadata: annotations: k8s.ctyun.cn/ecieipinstanceid: eipxxxxxxxxxx 指定已有eip labels: app: nginx spec: containers: name: nginx image: registryhuadong1.crsinternal.ctyun.cn/opensource/nginx:1.25alpine ports: containerPort: 80 nodeName: vndu53cymkxxxxcnhuadong1jsnj1apublicctcloud 自动创建公网IP，配置参考如下： shell apiVersion: apps/v1 kind: Deployment metadata: name: nginxdeployment labels: app: nginx spec: replicas: 1 selector: matchLabels: app: nginx template: metadata: annotations: k8s.ctyun.cn/eciwitheip: true 指定需要使用eip k8s.ctyun.cn/eipbandwidth: 5

申请通知模板有格式要求吗？ 通知模板不需要添加退订方式相关内容，请去除退订方式。 模板中涉及的App、公众号、链接等产品内容均不能用变量表示。 不支持短链接与变量拼接的格式，建议修改为官网链接与变量拼接的形式，如：www.ctyun.com${code} 仅支持中英文模板内容。 申请通知模板有什么要求？ 通知模板即发送携带通知类内容的短信。如快递通知、消费通知、即时提醒等场景，无营销、推广内容。 通知内容需要与签名业务相关，申请时请带上业务指引，如APP应用商城链接、网站链接等。 模板内容只支持这些符号：~！@ ￥%$&（），。？+{}......^ ￥。 模板内容不能有变异字，如威信。 模板内容不支持加QQ、QQ群、微信群等。 哪些短信内容无法支持？ 详细信息，请参见模板规范。 提示“组合变量不支持”如何处理？ 出现这种提示是因为将变量拼接在一起，导致报错。模板默认不支持两个变量组合在一起的内容，建议去除一个变量或修改模板解决。 单个变量长度有限制吗，如果超过怎么解决？ 单个变量限制为1~25个字符，如果变量超过25字符，您需要升级为企业用户，可以将变量内容扩展为40个字符（特殊变量例如time、date等需要按照具体变量传参）。

本文将介绍如何新增自定义基线检查计划。 操作场景 态势感知（专业版）支持根据基线检查计划检查您的资产是否存在风险，默认每隔3天，每次在00:00~06:00对您账号下当前region相关资产按照“安全上云合规检查1.0”遵从包自动执行基线检查，无需用户执行额外操作，系统默认开启。 另外，还可以自定义自动检测周期、时间以及检查范围。 约束与限制 同一个检查规范只能属于一个检查计划。 由于“等保2.0三级要求”、“GDPR”、“PCIDSS”、“NIST SP 80053”遵从包中的检查项为手动检查项目，因此不支持创建包含该遵从包的检查计划。 “操作系统配置基线”、“经典弱口令检测”、“口令复杂度策略检测”遵从包不支持在态势感知（专业版）侧执行基线检查，态势感知（专业版）仅支持查看HSS的基线检查结果。 支持检查“安全上云合规检查1.0”、“护网检查”、“云安全配置基线”遵从包中支持自动化项的检查项。 默认检查计划不支持变更包含的遵从包以及检查时间，仅支持执行开启或关闭操作。 创建检查计划 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“风险预防 > 基线检查”，进入基线检查页面后，选择“安全遵从包”页签，并在安全遵从包页面中，选择“检查计划”页签，进入检查计划管理页面。 5. 在检查计划页面中，单击“创建计划”，系统右侧弹出新建检查计划页面。 6. 配置检查计划。 参数名称 参数说明 基本信息 计划名称 自定义检查计划的名称。命名规则如下： 计划名称由中文、字母、数字、下划线和连接符组成。 长度为1~255个字符。 基本信息 检查时间 下拉选择检测周期和检查触发时间。 检测周期：每隔1天、3天、7天、15天、30天检查一次 检查触发时间：00:00~06:00、06:00~12:00、12:00~18:00、18:00~24:00 选择遵从包 勾选选择需要检测的遵从包。 7. 单击“确定”。 检查计划创建完成后，态势感知（专业版）会在指定的时间执行云服务基线扫描，扫描结果可以在“风险预防 > 基线检查”中查看。

云迁移服务CMS提供资源拓扑查看相关功能。 1. 云迁移服务CMS 提供拓扑查看功能，您可以通过左侧导航栏选择资源规划，点击【资源管理】按钮，选中需拓扑查看资源，进入[ 资源管理 ] 界面，点击【拓扑查看】按钮，进入[ 拓扑查看 ] 界面。如图所示。 2. 进入[ 拓扑查看 ] 界面，您可以根据资源名称、IP地址、UUID、MAC搜索对应资源，如图所示。 3. 您也可以通过资源发现任务下拉选择对应资源任务，如图所示。 4. 您可以根据列表提供资源选择对应设备，如图所示。 5. 如果您发现你选择的资源任务没有包含其他对象资源，你也可以通过点击【添加设备】加入其他资源设备。如图所示。 6. 选中资源，点击【添加】跳转至[ 拓扑查看 ] 页面，可以查看添加设备，如图所示。 7. 您可以根据添加设备绘制设备拓扑图，点击【保存】即可保存效果图，如果所示。 说明 其它设备中涵盖弹性网络图标名称如下 虚拟私有云、Subnet、弹性IP、弹性负载均衡、共享流量包、NAT网关、对等连接、DNS、内网DNS、公网DNS、VPC终端节点、Endpoint、二层连接网关。 其他设备中涵盖广域网络图标名称如下 VPN连接、云专线、云间高速 其他设备中涵盖通用图标名称如下 用户、Prometheus监控服务、用户数据中心

备份恢复 业务高峰时执行备份可能会备份失败，建议手动备份选择在业务低峰期间，自动备份建议根据业务需要自定义备份时间段（默认自动备份时间段为01:0002:00 (GMT+08:00)）。 实例写入业务较多时，建议备份策略设置成每天做一次自动备份。 建议根据业务需要设置备份保留天数（默认保留7天）。 建议根据业务需要设置Binlog本地保留时长（默认为0，表示Binlog备份完成后本地日志会被删除）。 使用表级时间点恢复功能时，建议提前确认所选时间点之前是否有对无主键大表的删除操作，如果有该操作，恢复完成时间不易评估。 删除实例后，自动备份的全量备份和Binlog备份也会删除，对数据有需要时，建议删除前进行手动全量备份。 SQL审计 需要定期做业务审计时，建议开启审计日志。 日常运维 建议定期关注慢日志和错误日志，提前识别业务问题。 建议定期关注数据库的资源使用情况，资源不足时，及时扩容。 建议关注实例监控，发现监控指标异常时，及时处理。 删除和修改记录时，需要先执行SELECT，确认无误才能提交执行。 安全 尽量避免数据库被公网访问，公网连接时必须绑定弹性公网IP。 尽量使用SSL连接，保证连接的安全性。

参数 说明 是否必填 pwd apmjavaagent.jar包所在路径。 必填 appName 组件名称，代表一个组件，一个组件可以包含多个环境。不能重复，如果要重复，使用instanceName区分。 必填 env 环境名称，代表一个应用在一个地方的部署。一个应用程序根据配置不同可以部署多个环境，比如测试环境，现网环境。每个环境都在一个region部署，具有唯一的region属性。该参数可以为空，代表默认环境。 选填 envTag 环境标签，主要用于环境过滤，多个环境打上相同的环境标签，在web页面上可以通过标签将这些环境过滤出来。该参数可以为空。 选填 business 应用英文名称，为全局概念。如果填写，则必须提前创建该应用。如果为空，则代表默认应用（开通APM时系统会自动创建一个默认应用）。 选填 subBusiness 子应用，为全局概念，在应用下面子文件夹。该参数可以为空，为空代表资源挂载在根应用下面，子应用最多支持三层。比如a/b/c，a、b、c各代表一层。 选填 instanceName 默认为空。当一个应用在机器上部署多个实例，可以通过instanceName来区分，比如7001或者8001两个端口实例。这种实际情况下很少发生，一台机器部署多个java实例往往是不同的应用程序，相同应用程序的部署两个实例很少见。 选填

本章节介绍了分布式消息服务RocketMQ的产品优势、以及上云的好处。 分布式消息服务RocketMQ具有如下产品优势，旨在打造一个即开即用、全托管、低延迟、弹性高可靠、动态扩展、便捷管理和多样功能的消息队列。 即开即用 简单几步即可在云上构建自己专属的消息服务，RocketMQ实例创建完成后，使用实例提供的访问地址即可快速接入。兼容开源RocketMQ，业务代码无需改造，即可上云。 全托管服务 分布式消息服务RocketMQ提供自动部署与完备的运维系统和售后服务，提供包括监控告警在内的多种运维手段，业务无需过多关注分布式消息服务RocketMQ的部署与运维工作，可以专注于自身业务的开发。 低延迟 基于天翼云网络部署，在内网访问可达微秒级时延。 弹性高可靠 基于Raft协议实现集群内部节点的管理，及时发现故障节点并进行流量迁移，保证业务的连续性可靠。 动态扩展 提供业务集群动态扩容的能力，根据业务需要动态扩容集群规模。 便捷管理 提供监控告警、消息追踪和链路诊断等多样的监控定位手段，方便问题定位和日常维护。 多样功能 提供顺序延迟、定时、重投、死信、过滤和事务消息等多样的业务功能，适配多样化的业务场景。

与自建服务对比 对比项 自建节点 ECX 搭建效率 全国寻找洽谈资源。 分钟级全国算力快速下发。 资金投入 一次性投入大量资金建设。 按需租用，用完即走。 运维复杂度 建设自有运维平台。 批量可视化自动运维。 可靠性 缺乏有效的监测恢复手段。 24小时监控告警服务，专业运维支撑团队。 与传统服务对比 ECX相对传统的IDC服务，将计算、存储、网络能力从中心云经由电信网络下沉至城域网甚至区县，时延可降至毫秒级，可为用户提供属地化云服务。通过云边端协同，将数据处理下沉至边缘，提高数据处理响应的速度，同时提升数据存储、处理的安全性，敏感数据处理只在边缘进行，更适合对低时延、高效率、高安全性有要求的客户，如工业互联、智慧交通、智慧园区等。 与其它服务对比 ECX与其他服务相比，具有覆盖范围广、低时延等优势。 服务 位置及覆盖 提供能力 适用场景 ECX 各地市，全网边缘 提供多元算力，满足多种业务需求，用户通过就近部署业务，有效降低网络时延。 直播、视频、边缘渲染加速、游戏等。 CDN 各地市，全网边缘 提高用户访问网站的响应速度与网站的可用性，解决网络带宽小、用户访问量大、网点分布不均等问题。 内容加速、网站加速、文件下载加速等。 IDC 运营商机房 机房基础风、火、水、电服务。 服务器托管等本地化业务。 弹性云主机 各省中心云 提供传统中心云计算涉及的计算、存储、网络等IaaS功能。 密集算力需求，对于可靠性要求高、时延及本地化相对要求低的场景。 一体机iStack 客户现场机房 预装场景化PaaS能力的软硬一体化服务。 物联网、智能工厂、城市智能化等场景。

前提条件 请确定需要扩容的集群处于“可用”或者“非均衡”任意一种状态。 请确定计划扩容的节点数小于等于用户节点数的剩余配额，否则系统会无法进行扩容操作。 扩容集群 说明 离线扩容期间集群将变为只读状态，请谨慎操作。 为保证用户的数据安全建议在开始扩容操作之前创建手动快照。 1. 登录DWS 管理控制台。 2. 单击“集群 > 专属集群”。 默认显示用户所有的集群列表。 3. 在集群列表中，在指定集群所在行的“操作”列，选择“更多 > 扩容”。系统将显示扩容页面。如果原子网IP不够，可以跨子网扩容。 说明 在扩容开始前如果集群满足巡检条件，需单击“立即巡检”按钮先完成一次巡检，并保证巡检检查通过，通过后可进行下一步变更操作。 4. 在“增加节点数”选择一个扩容后的节点数。 扩容操作增加的是DN节点。 扩容后的节点数量，在原节点数量的基础上，须至少增加3个节点，最多可增加的节点个数为节点剩余配额的最大值。并且，此处设置的扩容后的节点数量不能超过32个节点。 如果可使用的节点配额不足，用户可以单击“申请扩大配额”，以提工单的形式申请更多节点配额。 扩容增加的节点规格，默认与集群当前各节点的规格相同。 扩容后的集群与原集群的虚拟私有云、子网和安全组也相同。 5. 设置高级配置。 选择“默认配置”：“在线扩容”默认关闭，“自动重分布”默认开启，“重分布模式”默认为离线模式。 选择“自定义”，您可以设置以下高级配置参数进行在线扩容操作： −“自动重分布”：支持打开自动重分布。自动重分布开启，扩容阶段结束后将立即执行数据重分布；如果选择关闭此功能则只进行扩容添加节点，需在“更多>节点变更>重分布”中选择执行数据重分布。 −“重分布并发配置”：自动重分布开启，支持设置并发数量。可配置并发数在1~32之间，默认值为4。 −“重分布模式”：可选择“在线模式”和“离线模式”，确认无误后在弹出的警告页面单击“确认”即可。 6. 单击“下一步：确认”。 7. 单击“提交”。 提交扩容申请后，集群的“任务信息”显示为“节点扩容”，扩容需要时间请耐心等待。扩容过程中，集群会自动重启，因此会有一段时间“集群状态”显示为“不可用”，重启成功后“集群状态”会变成“可用”。然后在扩容结束阶段，集群将重新分布数据，重分布过程中“集群状态”为“只读”。 只有“集群状态”显示为“可用”且“任务信息”显示的“节点扩容”状态结束，才表示扩容成功，用户可以开始使用集群。 如果集群的“任务信息”显示为“扩容失败”，表示集群扩容失败。

本小节介绍渗透测试的服务流程，帮助您了解服务开展过程。 渗透测试服务以人工服务为主，我们的渗透测试人员在取得您的授权后，将对目标系统进行全面的渗透测试工作，总体流程如下： 1. 客户订购与需求匹配的服务规格并下单付款。 2. 客户经理会与您取得联系，协助您完成《业务需求单》及《渗透测试授权书》的填写，您需要如实填写以下内容： 域名备案信息比对，必须为真实、合法信息。 被检测的IP主机信息。 如您为天翼云托管用户，需要提供域名清单，解析后必须为天翼云主机IP，才可提供渗透测试服务。 您所提供的应用URL描述须写明功能是什么或用途是什么。 业务接口人联系方式，您需提供一个具有对渗透测试方案及渗透测试过程中出现的问题有决定权的业务接口人联系人。 如您有安全防护设备，应在渗透测试开始阶段将渗透测试所用的公网IP加入安全防护设备白名单，避免因渗透测试工作带来的告警。（如在渗透测试开始阶段客户未将渗透测试所用的公网IP加入安全防护设备白名单，由此产生的告警及对渗透测试结果的影响，我方不承担责任。） 您需签订渗透测试授权书。 3. 我们会根据您提供的信息，与您进行沟通，编写渗透测试方案，并与您确认测试细节，双方确认无误后，将进入渗透测试环境，渗透测试工作主要包含如下步骤： 明确目标：确定渗透测试的范围，如IP、域名、内外网、整站或部分模块，确定规则，如能渗透到什么程度，是发现漏洞为止还是继续利用漏洞，确定需求，如Web应用的漏洞，业务逻辑漏洞，人员权限管理漏洞。 信息收集：在信息收集阶段要尽量收集关于项目软件的各种信息，例如，对于一个Web应用程序，要收集脚本类型、服务器类型、数据库类型以及项目所用到的框架、开源软件等。 漏洞探测：进行漏洞探测，包括手动和自动探测。 漏洞验证：对探测出的漏洞进行验证，确定其真实存在。 信息分析：对收集到的信息进行分析，尝试利用漏洞获取数据。 利用漏洞获取数据：如果能够利用漏洞获取数据，则进行数据获取。 信息整理：对获取到的数据进行整理，方便后续分析。 形成报告：根据渗透测试的实际情况，形成详细、专业的报告。 4. 形成报告后，我们会将报告发送给您，您可以根据报告内容，发现系统漏洞，及时加固完善。 以上为渗透测试的基本服务流程，如您在服务过程中有任何问题，请您与客户经理联系并反馈，我们会尽快为您处理。

本节介绍翼共享的产品简介。 产品简介 翼共享（Eshare）是专门为天翼AI云电脑定制的企业级文件共享解决方案。它打破数据壁垒，让企业员工能在天翼AI云电脑环境中高效共享文件，支持多人实时协作，提升团队协同效率，保障数据安全，助力企业数字化办公。 翼共享提供了NAS共享盘和网络共享盘两种类型： 网络共享盘 网络共享盘支持公网访问，具备强大的权限管控、访问审计和系统集成功能，适合企业在不同网络环境下进行数据管理与共享。支持公网访问，权限管控和访问审计功能强大，可与企业其他系统集成，提升信息化管理水平。适合对合规性管理要求和文件分享需求混合场景的企业，方便员工在不同网络环境下随时随地访问共享文件，满足复杂业务流程下的数据共享和管理需求，助力企业实现数据无缝流通与统一管理。 NAS共享盘 NAS共享盘专注于在AI云电脑环境内进行安全的文件共享存储，且在AI云电脑局域网环境下能实现高速大文件传输的共享盘。数据仅在AI云电脑内流转，安全私密，专注基本文件共享，局域网内传输速度快且稳定。适用于对数据保密性要求极高的金融、科研等企业，用于存储和共享核心数据。也适合设计、视频制作团队在局域网内共享大型设计文件、高清视频素材等，满足日常简单高效的文件协作需求。 产品优势

本章节介绍如何在服务网格中使用本地限流 前提条件 1. 已开通云容器引擎，至少有一个云容器引擎集群实例。产品入口：云容器引擎。 2. 开通天翼云服务网格实例。 操作步骤 我们以bookinfo应用为例演示本地限流能力，首先在default命名空间部署bookinfo应用。 然后在default命名空间部署针对productpage服务的限流策略，token数量最大为5，每2秒重新填充5个token： apiVersion: istio.ctyun.cn/v1beta1 kind: LocalRateLimiter metadata: name: productpagelimit spec: workloadSelector: 匹配工作负载 labels: app: productpage context: SIDECARINBOUND statPrefix: httplocalratelimiter configs: name: productpage routeConfig: vhost: name: 'inboundhttp9080' rateLimitConfig: tokenBucket: maxTokens: 5 tokensPerFill: 5 fillInterval: 2s filterEnabled: runtimeKey: localratelimitenabled defaultValue: numerator: 100 denominator: HUNDRED filterEnforced: runtimeKey: localratelimitenforced defaultValue: numerator: 100 denominator: HUNDRED responseHeadersToAdd: appendAction: OVERWRITEIFEXISTSORADD header: key: xlocalratelimit value: 'true' 我们使用gostresstesting工具验证效果，如下图所示，结果状态码中有200和429（请求被限流）；200的个数每2秒增加5个，符合我们设定的2秒重新填充5个token的设定；429状态码在持续增加。 单独请求productpage服务可以看到请求被限流的情况：

本节主要介绍产品定义 微服务云应用平台（ServiceStage）是面向企业的微服务云应用平台，提供应用发布、部署、监控与运维等一站式解决方案。支持Java、Go、Node.js、Docker、Tomcat等运行环境。支持Apache ServiceComb Java Chassis（Java Chassis）、Spring Cloud、Dubbo、Mesher服务网格等微服务应用，让企业应用上云更简单。 ServiceStage主要包含如下能力： 1. 应用管理：支持应用生命周期管理、环境管理。 2. 微服务应用接入：支持Java Chassis、Go Chassis、Spring Cloud、Dubbo微服务框架；支持Mesher服务网格。配合微服务引擎可实现服务注册发现、配置管理和服务治理。 3. 应用运维：通过日志、监控、告警支持应用运维管理。

本文主要介绍通过控制台使用ELB Ingress。 前提条件 Ingress为后端工作负载提供网络访问，因此集群中需提前部署可用的工作负载。若您无可用工作负载，可参考创建无状态负载(Deployment)、创建有状态负载(StatefulSet)或创建守护进程集(DaemonSet)部署工作负载。 独享型ELB规格必须支持应用型（HTTP/HTTPS），且网络类型必须支持私网（有私有IP地址）。 注意事项 建议其他资源不要使用Ingress自动创建的ELB实例，否则在删除Ingress时，ELB实例会被占用，导致资源残留。 添加Ingress后请在CCE页面对所选ELB实例进行配置升级和维护，不可在ELB页面对配置进行更改，否则可能导致Ingress服务异常。 Ingress转发策略中注册的URL需与后端应用暴露的URL一致，否则将返回404错误。 IPVS模式集群下，Ingress和Service使用相同ELB实例时，无法在集群内的节点和容器中访问Ingress，因为kubeproxy会在ipvs0的网桥上挂载LB类型的Service地址，Ingress对接的ELB的流量会被ipvs0网桥劫持。建议Ingress和Service使用不同ELB实例。 请勿将Ingress与使用HTTP的Service对接同一个ELB下的同一个监听器，否则将产生端口冲突。

本文带您了解弹性负载均衡产品的准备工作。在使用弹性负载均衡前,您需要根据您的业务确定弹性负载均衡的网络类型和实例类型等。 选择实例地域 弹性负载均衡默认不支持跨地域部署，请确保您选择的地域与ECS实例在同一个地域。举例来说明一下，ECS实例所属地域为华东华东1，您规划的弹性负载均衡实例地域为华东华东1，ECS实例和弹性负载均衡实例在同一个地域。 选择实例的网络类型 在创建负载均衡实例的时候可以选择不同的网络类型： 如果您需要使用负载均衡分发来自公网的请求，网络类型请选择外网，该实例拥有一个公网IP，用来接收来自互联网的请求。 如果您需要使用负载均衡分发来自私网的请求，网络类型请选择内网，当网络类型选择内网的时候，负载均衡虚拟IP可以自动分配也可以手动分配。 选择实例类型 您可以根据业务需求选择不同的负载均衡实例类型： 如果您的业务访问量较小，应用模型简单，可以选择经典型负载均衡，经典型负载均衡为免费产品。经典型负载均衡也具备基本的流量分发和健康检查功能。 如果您的业务对性能有较高的要求，可以选择性能保障型负载均衡，性能保障型负载均衡为收费产品。性能保障型负载均衡能够提供更强大的性能和扩展能力。

本节为您介绍Oracle RAC系统安装的系统环境配置信息。 Oracle RAC系统的安装，需要进行较多的实例配置，配置遗漏或者错误会导致安装失败。详细配置方法请参照具体的配置手册，或咨询Oracle专家，示例仅展示CentOS7下静默安装Oracle RAC的主要步骤。实例配置可参考Oracle官方文档。 系统及软件信息 在本次示例中： 实例的操作系统为：CentOS Linux release 7.6.1810，内核版本为：3.10.0957.el7.x8664。 Oracle RAC的软件版本为：19c（19.3）Linux x8664。 NTP配置 Oracle RAC需要集群内所有实例的时间保持一致，时钟差距过大，会导致集群节点无法正常启动。可以通过公网或者内网NTP server同步好集群内各个实例的时钟。 ntpdate swap空间配置 Oracle文档建议内存在4GB16GB的实例，swap空间配置与内存空间一致，内存大于16GB的实例，swap空间配置为16GB即可。 fallocate l 16G /swapfile 此⽅式，swapon可能会失败，可以直接dd⼀个文件 dd if/dev/zero of/swapfile count1024k bs16384 chmod 600 /swapfile mkswap /swapfile swapon /swapfile /dev/shm 共享内存配置 需要确认/etc/fstab中配置了/dev/shm共享内存设备的正确挂载，类型需为 tmpfs 。 防火墙 检查Oracle相关服务没有被防火墙阻止（不建议直接关闭防火墙服务，除非在内网可信任网络内）。

Web攻击事件 “实时检测”Web恶意扫描器、IP、网马等威胁。 共支持检测38种子类型的Web攻击威胁。 支持检测的Web攻击威胁 包括Webshell攻击（3种）、跨站脚本攻击、代码注入攻击（7种）、SQL注入攻击（9种）、命令注入攻击。 接入的HSS服务上报的告警事件 包括Webshell攻击、Linux网页篡改、Windows网页篡改。 接入的WAF服务上报的告警事件 包括跨站脚本攻击、命令注入攻击、SQL注入攻击、目录遍历攻击、本地文件包含、远程文件包含、远程代码执行、网站后门、网站信息泄露、漏洞攻击、IP信誉库、恶意爬虫、网页防篡改、网页防爬虫。 后门木马事件 “实时检测”资产系统是否存在后门木马风险，以及被后门木马程序入侵后的恶意请求行为。 共支持检测5种子类型的后门木马威胁。 检测主机资产上Web目录中的PHP、JSP等后门木马文件类型。 检测资产被植入木马特性 检测内容包括资产系统存在win32/ramnit checkin木马、被入侵后执行wannacry勒索病毒相关的DNS解析请求、被入侵后尝试下载木马程序，被入侵后访问HFS下载服务器等。 僵尸主机事件 “实时检测”资产被入侵后对外发起攻击的威胁。共支持检测7种子类型的僵尸主机威胁。 对外发起SSH暴力破解 对外发起RDP暴力破解 对外发起Web暴力破解 对外发起MySQL暴力破解 对外发起SQLServer暴力破解 对外发起DDoS攻击 被入侵后安装挖矿程序

本节为您介绍Web应用防火墙（独享版）攻击防护类问题。 什么是防护IP？ 防护IP是指需要保护的网站的IP地址。 Web应用防火墙支持漏洞检测吗？ WAF的Web基础防护功能可以对第三方漏洞攻击等威胁进行检测和拦截。在配置Web基础防护规则时，如果您开启了扫描器，WAF将对扫描器爬虫，如OpenVAS、Nmap等进行检测。 Web应用防火墙是否支持Exchange里的相关协议？ WAF支持exchange里登录网页webmail时的http和https协议；WAF不支持exchange里的SMTP 、POP3 、IMAP 等邮件相关的协议。 Web应用防火墙是否支持防御XOR注入攻击？ Web应用防火墙支持防御XOR注入。 如何理解WAF日志里的bindip参数？ 网站接入WAF后，WAF作为反向代理存在客户端与源站服务器之间，检测过滤恶意攻击流量，用bindip（WAF的回源IP）将正常的流量转发传输到源站。 通过IP接入WAF后，WAF可以防护映射到这个IP的所有域名吗？ 不支持。WAF的独享模式支持源站IP接入WAF防护，且该IP支持私网IP或者内网IP，但WAF仅防护通过IP访问的流量，不能防护映射到这个IP的域名，如需防护域名，需要单独将域名接入WAF进行防护。 Web应用防火墙是否支持SSL双向认证？ 不支持。您可以在WAF上配置单向的SSL证书。

Fork源码 步骤1 登录个人GitHub帐号，并Fork Demo源码。 Demo源码地址： 组织管理”。 2、单击“创建组织”，在弹出的页面中填写“组织名称”。 3、单击“确定”。 创建环境 1、登录ServiceStage，选择“环境管理”，单击“创建环境” 。 2、设置环境信息。 1. “环境名称”:输入本实例的环境名称，如“testenv”。 2. “虚拟私有云(VPC)”:在下拉列表选择已创建的虚拟私有云VPC。 3. “基础资源”:单击“新增基础资源”，选择该VPC下的基础资源，本例使用云容器引擎(CCE)。 4. “可选资源”:单击“新增可选资源”，选择该VPC下可选资源，本例使用名称为“Cloud Service Engine”的专业版微服务引擎。 说明 选定VPC后，会加载该VPC下的基础资源和可选资源供选择，不在该VPC下的资源无法选择。 3、单击“立即创建”，完成环境创建。 新建应用 1、登录ServiceStage，选择“应用管理 > 应用列表”，单击“创建应用”。 2、设置应用基本信息，输入“应用名称”、“描述”等信息。 3、单击“确定”，完成应用创建。 新建组件 步骤1 登录ServiceStage，选择“应用管理 > 应用列表”。 步骤2 选择上一步创建的应用，在“操作”栏单击“新增组件”。 步骤3 “配置方式”选择“自定义配置”，“选择组件类型”选择“微服务”，单击“下一步”。 步骤4 “选择运行时”选择“Java8”，单击“下一步”。 步骤5 “选择框架/服务网格”选择“Java Chassis”，单击“下一步”。 步骤6 设置组件信息： 1. “组件名称”:输入名称，如“javatest”。 2. “源码/软件包”:选择“源码仓库”。选择“GitHub”。然后选择“授权信息”、“用户名/组织”、“仓库名称（ServiceCombSpringMVC）”及“master分支”。 步骤7 打开“开启构建”开关并设置。 • “组织”:选择创建组织时创建的组织名称。 • “选择集群”:选择创建环境时选择的CCE集群 步骤8 单击“立即创建”，创建静态组件。

本章节介绍推空保护功能的使用 概述 推空保护功能用于处理客户端在请求注册中心订阅服务端地址列表时，在服务端注册异常的场景下，注册中心返回了空列表，此时客户端忽略该空返回的变更，从缓存中获取上一次正常的服务端地址进行服务访问。能够在注册中心在进行变更（变配、升降级）或遇到突发情况（例如，可用区断网断电）或其他不可预知情况下的列表订阅异常收到空的地址列表推送时，可以有效保护业务调用，增加业务可靠性。 版本限制 框架 限制 详情 Spring Cloud Spring Cloud Edgware及以上版本 客户端：Feign、RestTemplate； 负载均衡：Ribbon、LoadBalancer。 Dubbo 2.5.3+ 支持Alibaba Dubbo、Apache Dubbo。 注册中心 Nacos、Eureka、Zookeeper 无。 jdk版本 1.8+ 无。 开启推空保护 1.登录微服务治理中心控制台。 2.在左侧导航栏选择 微服务治理中心 >应用治理。 3.在应用治理页面单击目标应用卡片。 4.在左侧导航栏选择流量治理 推空保护，即可开启推空保护。 查看推空保护事件 若发生推空保护，在推空保护页面即可查看推空保护事件。

本节介绍企业主机安全动态端口蜜罐功能。 动态端口蜜罐概述 什么是动态端口蜜罐 动态端口蜜罐功能是一个攻击诱捕陷阱，利用真实端口作为诱饵端口诱导攻击者访问；在内网横向渗透场景下，可有效地检测到攻击者的扫描行为，识别失陷主机，延缓攻击者攻击真正目标，从而保护用户的真实资源。 用户可选择系统推荐端口或自定义端口开启动态端口蜜罐，诱捕失陷主机，降低真实资源被入侵的风险。 如何使用动态端口蜜罐 约束与限制 使用动态端口蜜罐功能，须满足以下条件： 服务器未绑定EIP。 服务器已开启HSS旗舰版、网页防篡改版或容器版防护。 服务器已安装Agent的版本为以下版本且Agent状态为“在线”。 Linux：3.2.10及以上版本。 Windows：4.0.22及以上版本。 一台服务器最多支持添加10个蜜罐端口。 一个蜜罐端口只能绑定一个协议，支持TCP和TCP6协议。 创建动态端口蜜罐防护策略 操作场景 动态端口蜜罐功能是以真实端口作为诱饵端口诱导攻击者访问，因此开启动态端口蜜罐防护时，用户需要创建防护策略以添加服务器端口作为蜜罐端口并绑定服务器开启防护。 本节介绍如何创建动态端口蜜罐防护策略。

勒索软件是当前主要网络攻击威胁，一般通过木马病毒的形式传播，将自身掩盖为看似无害的文件，利用钓鱼邮件或软件漏洞等方式进行攻击，攻击后将受害者主机硬盘上的文件进行加密，以此来达到勒索的目的。所有的勒索软件都会要求受害者缴纳赎金以取回对电脑的控制权，或是取回受害者根本无从自行获取的解密密钥以便解密文件，对全球的政府、金融、医疗等各行业都造成了严重损失。 勒索攻击阶段 准备阶段：感染准备阶段，包括最初攻击阶段的漏洞利用信息，以及勒索软件自身模块释放之后对环境系统及应用终止，还包括勒索病毒在内网环境的自我扩散等。 感染阶段：遍历文件加密阶段，勒索病毒在入侵之后会遍历系统文件，如果有高价值数据、文件，则进入加密环节，完成勒索前重要一步。 勒索阶段：弹窗勒索环节，该阶段是勒索病毒的最终下发环节，意味着数据、文件已经被加密，企业如不支付赎金，数据、文件将处于不可用状态。 常见攻击手法 暴力破解：对密码进行破解的行为，破解成功登录主机后，便可获得主机的控制权限。 漏洞利用：利用系统或者第三方软件存在的已知或未知漏洞实施攻击。 钓鱼邮件：发送钓鱼邮件，将恶意脚本/程序掩盖为普通的文件，欺骗受害者下载、运行。

参数 说明 参数取值 名称 输入VPN连接的名称。 vpn002 VPN网关 选择步骤一创建的VPN网关。 vpngw001 网关IP 选择VPN网关的 主EIP2 。 11.xx.xx.12 对端网关 选择步骤二创建的对端网关。 cgw001 连接模式 选择“静态路由模式”。 静态路由模式 对端子网 输入数据中心待和VPC互通的子网。 172.16.0.0/16 接口分配方式 支持“手动分配”和“自动分配”两种方式。 手动分配 本端隧道接口地址 配置在VPN网关上的tunnel接口地址。 说明 对端网关需要对此处的本端隧道接口地址/对端隧道接口地址做镜像配置。 169.254.71.2/30 对端隧道接口地址 配置在用户侧设备上的tunnel接口地址。 169.254.71.1/30 检测机制 用于多链路场景下路由可靠性检测。 说明 功能开启前，请确认对端网关支持ICMP功能，且对端接口地址已在对端网关上正确配置，否则会导致VPN流量不通。 勾选“使能NQA” 预共享密钥、确认密钥 VPN连接协商密钥。 VPN连接和对端网关配置的预共享密钥需要一致。 Test@123 策略配置 包含IKE策略和IPsec策略，用于指定VPN隧道加密算法。 VPN连接和对端网关配置的策略信息需要一致。 默认配置

类别 规范 模板格式规范 500字符以内（含变量）。 注意： 不支持【】，会与签名混淆。不支持繁体字和特殊符号，例如：①★※→等。 支持中文，英文，数字，符号，例如：~!@$%&（），。？,。+{}￥……^。 内容规范 短信模板需明确表述短信发送的实际内容，且所有模板均禁止发送金融相关的所有内容。 不支持发送未经许可的信息，主要指邀请注册、邀请成为会员的商业性信息。 禁止发送涉及：色情、赌博、毒品、党政、法律维权、众筹、慈善募捐、宗教、迷信、股票、留学移民、面试招聘、博彩、贷款、催款还款、信用卡提额、投资理财、中奖、抽奖、一元夺宝、一元秒杀、一元云购、二类电商、A货、烟酒、交友、暴力、恐吓、皮草、返现返利、代开发票、运营商禁止发送的信息、代理注册、代办证件、加群、加QQ或者加微信、贩卖个人信息、运营商业务、流量营销、违反广告法用语、殡葬、刷单、做任务、空包网、邀请好评、转店类、拉新、众包业务、POS机、积分兑换等内容的短信。 禁止在关键字或关键信息中出现错别字、变体字、异体字、各类干扰符号等；禁止出现各类非正常混合字以及非常用的表达法。 不支持内容中含有直接或间接访问应用内测分发平台的行为。 备注： 地产、留学、招聘、交友、游戏等行业仅支持发送验证码短信。 注意： 如出现违法违规或者损害到相关他人权益的，平台将保留最终追究的权利！请各会员严格遵守规范要求，加强自身业务安全，发送合规短信。

步骤一：创建虚拟私有云和子网 在创建VPC之前，您需要根据具体的业务需求规划VPC的数量、子网的数量和IP网段划分等。 说明 IPv4/IPv6双栈网络的基本操作与之前的IPv4网络相同。只有部分页面的配置参数会略有差异，具体请以管理控制台显示为准。 如需了解IPv6收费策略、支持的ECS类型及支持的区域等信息，请参见IPv4/IPv6双栈网络。 请按如下操作，创建一个VPC“vpcipv6”和一个IPv6默认子网“subnetipv6”。 1. 登录管理控制台。 2. 在管理控制台左上角单击，选择区域和项目。 3. 选择“网络>虚拟私有云 VPC”。 4. 单击“创建虚拟私有云”。 5. 根据界面提示配置虚拟私有云和子网参数。 子网配置时，请务必勾选“开启IPv6”，将自动为子网分配IPv6网段。该功能一旦开启，将不能关闭。暂不支持自定义设置IPv6网段。 6. 单击“立即创建”。 步骤二：创建集群 1. 登录CCE控制台，创建一个CCE集群。 网络配置请按如下设置，其余配置可参考购买CCE集群： 网络模型：选择“容器隧道网络”。 虚拟私有云：选择已创建的“vpcipv6”。 控制节点子网：请务必选择已开启了IPv6的子网。 IPv6双栈：选择开启，开启后将支持通过IPv6地址段访问集群资源，包括节点，工作负载等。 容器网段：容器网段要设置合理的掩码，掩码决定集群内可用节点数量。集群中容器网段掩码设置不合适，会导致集群实际可用的节点较少。 2. 创建节点。 CCE控制台会过滤出支持IPv6的机型，可直接选择。 创建完成后，您可以进入集群，单击节点名称进入ECS详情页查看自动分配的IPv6地址。