本文主要介绍弹性负载均衡的产品类型及其区别。 产品介绍 弹性负载均衡（Elastic Load Balance，简称ELB）是将访问流量根据分配策略分发到后端多台服务器的流量分发控制服务。弹性负载均衡可以通过流量分发扩展应用系统对外的服务能力，同时通过消除单点故障提升应用系统的可用性。 产品类型 弹性负载均衡服务提供独享型负载均衡 和共享型负载均衡两种类型的实例供用户选择。 表弹性负载均衡产品类型对比 类型 独享型 共享型 部署模式 负载均衡实例资源独享，实例的性能不受其它实例的影响，您可根据业务需要选择不同规格的实例。 集群部署，同资源池实例资源共享，实例的性能会受其它实例的影响。 实例规格 提供多种规格供选择，不同规格的实例提供差异化的性能指标。 不支持选择实例规格。 性能 当选择多个可用区后，对应的性能规格（新建连接数/并发连接数等）加倍。 例如：单实例最大支持2kw并发，那么双AZ就支持4kw并发。 不提供性能保障。 可用区 支持自定义可用区。 对于公网访问，会根据源IP的不同将流量分配到创建的多个AZ中的ELB上，多个AZ的ELB性能加倍。 对于内网访问： 当从创建ELB的AZ发起访问时，流量将被分配到本AZ中的ELB上，当本AZ的ELB不可用时，容灾到创建的其他AZ的ELB上。 如果本AZ的ELB正常，但是本AZ的流量超过规格，业务也会受影响，内网场景要考虑客户端访问的均衡性。内网流量使用率建议通过AZ粒度监控观察是否超限。 当从未创建ELB的AZ访问时，会根据源IP的不同将流量分配到创建的多个AZ中的ELB上。 对于云专线访问，流量优先分配到专线对接的AZ下部署的ELB，否则分配到其他AZ下的ELB。 对于客户端跨VPC访问，流量优先分配至源VPC子网所在AZ部署的ELB，否则分配到其他AZ下的ELB。 不涉及。 收费 按实例规格计费。 实例免费。 产品定位 具备强大的四层和七层处理能力，支持多种应用协议和高级转发策略。 基础的四层与七层处理能力。 推荐场景 大流量高并发的业务场景，如大型网站、云原生应用、车联网、多可用区容灾应用等。 流量负载较低的业务场景，如小型网站和普通应用。

性能项目 性能指标 200M流量处理能力 标准版 8C16G 400M流量处理能力+上网行为管理 增强版 16C32G 应用层最大流量处理能力(TLS/SSL) 标准版 200Mbps 应用层最大流量处理能力(TLS/SSL) 增强版 400Mbps 推荐最大防护AI云电脑数 标准版 200台 推荐最大防护AI云电脑数 增强版 400台

用户维度的监控 在用户维度上，您可以查看的监控指标为：用户级存储容量、用户级对象总数、本月公网流出流量、本月请求次数、用户级公网流出流量、用户级公网流入流量、用户级内网流出流量、用户级内网流入流量、用户级平均使用带宽、用户级公网请求次数、用户级内网请求次数、用户级有效请求率、数据取回流量、服务监控总览、请求状态详情。 用户维度监控指标 监控指标 说明 测量维度 取值范围 监控周期 用户级存储容量 用户的所有存储桶的总存储量之和。 用户 ≥0 bytes 1小时 用户级对象总数 用户的所有存储桶中存储的总对象数量之和。 用户 ≥0 个 1小时 状态码个数 用户的所有存储桶产生请求状态码的数量。可区分 2xx、3xx、4xx、5xx 状态码。 用户 ≥0 个 1分钟 本月公网流出流量 用户的所有存储桶在本月向公网传输数据的流量之和。 用户 ≥0 bytes 1小时 本月请求次数 用户的所有存储桶在本月的操作请求次数之和。 用户 ≥0 次 1小时 用户级公网流出流量 用户的所有存储桶向公网传输数据的流量之和。 用户 ≥0 bytes 1小时 用户级公网流入流量 用户的所有存储桶从公网接收数据的流量之和。 用户 ≥0 bytes 1小时 用户级内网流出流量 用户的所有存储桶向内网传输数据的流量之和。 用户 ≥0 bytes 1小时 用户级内网流入流量 用户的所有存储桶从内网接收数据的流量之和。 用户 ≥0 bytes 1小时 用户级平均使用带宽 用户的所有存储桶所使用的平均带宽量。 其下包含的指标的每个数据点是一小时内的流量之和除以3600秒计算得出的。 用户 ≥0 bytes 1小时 用户级公网请求数 用户的所有存储桶产生的公网请求的总次数之和。 用户 ≥0 次 1小时 用户级内网请求数 用户的所有存储桶产生的内网请求的总次数之和。 用户 ≥0 次 1小时 用户级有效请求率用 户的所有有效请求数占总请求数的百分比。有效有效请求数指返回状态码为2xx和3xx的请求总数。 用户 ≥0 % 1小时 数据取回流量 用户的所有存储桶发生数据取回操作取回数据的流量。可区分低频存储数据取回流量和归档存储数据取回流量。 用户 ≥0 bytes 1小时 服务监控总览 对象存储服务使用总体请求情况。包括1分钟内的总请求数、总有效请求数（返回状态码为2xx和3xx的请求总数）。 用户 ≥0 次 1分钟 服务监控总览 对象存储服务使用总体请求情况。包括1分钟内的总有效请求率（有效请求占总请求数的百分比）和可用性（存储服务的系统可用性衡量指标）。可用性计算方式：(15XX请求总数/总请求数)100% 用户 ≥0 % 1分钟 请求状态详情 根据请求返回状态码或者对象存储错误码进行分类的请求的监控信息。体现具体请求数的监控指标包括： 服务端请求错误请求数（返回状态码为5xx的系统级错误请求总数） 客户端授权错误请求数（返回状态码403的请求总数） 客户端资源不存在错误请求数（返回状态码为404的请求总数） 客户端其他错误请求总数（除了以上提到的客户端错误请求之外的其他返回状态码为4xx的请求总数） 成功请求数（返回状态码为2xx的请求总数） 重定向请求数（返回状态码为3xx的请求总数） 用户 ≥0 次 1分钟 请求状态详情 根据请求返回状态码或者对象存储错误码进行分类的请求的监控信息。体现请求数占比的监控指标包括： 服务端请求错误请求占比（服务端错误请求总数占总请求数的百分比） 客户端授权错误请求占比（授权错误请求数占总请求数的百分比） 客户端资源不存在错误请求占比（资源不存在错误请求数占总请求数百分比） 客户端其他错误请求占比（客户端其他错误请求数占总请求数的百分比） 成功请求占比（成功请求数占总请求数的百分比） 重定向请求占比（重定向请求数占总请求数的百分比） 用户 ≥0 % 1分钟

统计指标 说明 热门URL 支持以流量或访问次数为展示维度，查询热门URL。 域名排行 支持以流量或访问次数为展示维度，查询TOP域名。 热门Referer 支持以流量或访问次数为展示维度，查询热门Referer。 TOP客户端IP 支持以流量或访问次数为展示维度，查询TOP的客户端IP。

本文主要介绍SQL Server实例的计费项。 SQL Server实例的计费项由实例规格、存储空间、备份空间、跨区域备份、对象存储流量来决定。具体内容见下表所示。 计费项 计费项说明 适用的计费模式 计费公式 实例规格 计费项：CPU、内存、实例类型、数据库引擎版本，不同规格的实例类型提供不同的计算、存储、高可用能力。 包年/包月、按需计费 实例规格单价 x 购买时长 存储空间 计费项：存储空间，按统一标准进行计费。 包年/包月、按需计费 存储空间单价 x 存储容量 x 购买时长 备份空间 计费项：备份空间，按统一标准进行计费。 对象存储：按需计费 云硬盘：包年/包月、按需计费 备份空间单价 x 备份收费容量 x 计费时长 说明 备份收费容量：对象存储的备份空间，开通时，赠送与存储空间同等大小的免费额度，超过免费额度外的备份将进行收费。 跨区域备份（可选） 计费项：跨区域备份存储空间，按统一标准进行计费。 按需计费 存储空间单价 x 存储容量 x 购买时长 对象存储流量 计费项：公网流出流量、跨区域备份流量，按统一标准进行计费。 按需计费 对象存储流量单价 x 对象存储流量的收费流量

步骤二：配置 VPC 路由 1. 创建路由表及规则：登录网络控制台，选择“路由表”选项，创建客户自定义子网路由表。在路由表中添加路由规则，将 DeepSeek 业务子网的默认路由指向 vCPE 所在的云主机；同时添加 IPv4 网关明细路由，将目的为 DeepSeek 业务子网的流量下一跳设置为 vCPE 所在的云主机。 2. 配置安全组规则：选择“访问控制 安全组”，为 vCPE 所在云主机添加安全组规则，确保放行 DeepSeek 业务子网的流量。 通过以上配置，可实现将 DeepSeek 业务流量经由 vCPE 接入天翼云 SDWAN 网络。 步骤三：配置跨境白名单 1. 告知白名单需求：联系 SDWAN 客户经理，明确告知需要访问的海外资源白名单，例如 github 等。 2. 白名单配置与通道绑定：天翼云 SDWAN 交付团队收到您的需求后，将协助您完成白名单配置工作，把 vCPE 所属的 SDWAN 网络绑定到高速跨境通道，并开启跨境加速功能。 步骤四：开启定向加速 流量分流实现加速：跨境定向加速功能开启后，vCPE 能够依据 DeepSeek 业务主机的访问类型对流量进行智能分流：对于映射到跨境白名单的流量，vCPE 会将其送入 SD WAN 高速跨境通道进行加速；对于普通上网流量，vCPE 则将其送入境内互联网。若客户购买了 SD WAN 入云服务，vCPE 还可将 SD WAN 内网访问流量送至云网关。 您可以通过DeepSeek访问海外资源验证配置是否生效。

VPN监控能不能查看每条连接的流量？ VPN的流量监控是基于VPN网关的，可查看该VPN网关的出入方向的流量、带宽等信息，无法查看单独的某一条连接的流量使用情况。 当VPN监控结果异常时，可以发送提醒信息吗？ 可以。 用户可以在“云监控服务”通过配置告警规则，实现VPN监控结果异常提醒。

本节介绍如何续订全流量分析服务。 全流量分析服务根据订购时长提供服务，服务到期后，立即停止全流量分析服务。建议在服务到期前为服务手动续费。 续订步骤 1. 登录托管检测与响应服务（原生版）控制台。 2. 在左侧导航栏选择“全流量分析服务”，点击服务列表操作列的“续订”按钮，跳转到续订界面。 3. 在续订页面，选择续订的时长。可按月续订，最长支持续订1年。 4. 点击“立即购买“按钮，跳转到支付页面。 5. 在“支付”页面，请选择付款方式进行付款。 6. 付款成功后，返回产品控制台，查看续订结果。

N100可以防护多个VPC之间的流量吗？ 防火墙可以实现多个VPC流量防护。 前提条件如下： VPC的虚拟路由器需要支持写全0默认路由，配置下一跳为对等连接，且写了默认路由不影响直接绑定EIP的业务主机转发。 该方式会打通原本隔离的2个VPC网络，能接受2个VPC网络打通带来的安全风险。 N100是否支持上网行为审计？ 支持，例如QQ用户、微信用户、微博用户的使用情况。N100在上网行为审计方面的功能相对有限，可能不如专门的审计工具或高级审计解决方案强大。如果您有特定的审计需求，可能需要考虑额外的审计工具以满足您的要求。然而，N100通常专注于网络安全和流量管理，提供基本的审计功能以辅助安全监控和合规性要求。 N100默认账号密码？ 强烈建议在N100安装交付后立即更改默认账号和密码以提高安全性。默认账号和密码是保密信息，为了确保您的网络的安全，无法在此提供默认凭据。 请在天翼云官网上提交N100的技术支持工单联系支持团队以获取有关如何更改及默认凭据的详细信息。保护默认凭据的机密性对于网络安全至关重要。 是否支持流量统计分析？ 支持流量统计分析功能。它可以提供外部访问和主机外联流量的统计数据，帮助您了解网络流量的模式、趋势、来源和目标。然而请注意，N100的主要焦点是在流量统计方面，而不是深入的流量分析。对于更深入的分析需求，您可能需要考虑使用专门的流量分析工具或安全解决方案。

如何理解对象存储的“文件夹”或“目录”？ 对象存储中不存在文件夹或目录的概念，但为了满足用户使用习惯，对象存储借鉴传统文件管理的目录结构，在控制台中模拟了文件夹或目录的展示方式。实际上创建目录是就是创建一个键值为project/，内容为空的对象。 对象存储的文件夹与文件系统的文件夹是否一样？ 不一样。 对象存储（简称ZOS）并没有文件系统中的文件和文件夹概念。为了使用户更方便进行管理数据，ZOS提供了一种方式模拟文件夹。实际上在ZOS内部是通过在对象的名称中增加“/”，将该对象在ZOS管理控制台上模拟成一个文件夹的形式展现。 为何公共读文件的访问链接会失效？ 若访问链接设置了有效期则超过有效期后会失效。当您只允许其他人在一定时间内可以访问到您的文件时，可以通过分享功能获取链接并对链接设置有效期。 当文件为公共读文件，如果希望其他人可以一直访问到您的文件时，可以直接复制对象URL；当文件为私有文件，如果希望其他人可以一直访问到您的文件时，需要将文件访问权限改为公共读后再复制对象的URL。 对象存储是否支持数据监控？ 支持，提供用户整体和桶维度的数据监控。 用户维度的监控指标：用户级存储容量、用户级对象总数、本月公网流出流量、本月请求次数、用户级公网流出流量、用户级公网流入流量、用户级内网流出流量、用户级内网流入流量、用户级公网请求次数、用户级内网请求次数、用户级有效请求率。 存储桶维度的监控指标：存储容量、存储对象数量、本月公网流出流量、本月请求次数、公网流出流量、公网流入流量、内网流出流量、内网流入流量、公网请求次数、内网请求次数、有效请求率。 通过这些数据监控指标，您可以了解和监控您的存储桶使用情况、流量消耗情况以及请求操作的次数，帮助您更好地管理和优化存储在ZOS中数据。具体相关操作可参考对象存储监控。

方向 策略 协议 源地址 目的地址 源端口范围 目的端口范围 说明 入方向 允许 ALL 192.168.0.229/32 0.0.0.0/0 165535 165535 允许来自云主机2的流量 入方向 允许 ALL 192.168.1.206/32 0.0.0.0/0 165535 165535 允许来自云主机1的流量 入方向 拒绝 ALL 0.0.0.0/0 0.0.0.0/0 165535 165535 拒绝来自所有地址的流量 出方向 允许 ALL 0.0.0.0/0 192.168.0.229/32 165535 165535 允许去往云主机2的流量 出方向 允许 ALL 0.0.0.0/0 192.168.1.206/32 165535 165535 允许去往云主机1的流量 出方向 拒绝 ALL 0.0.0.0/0 0.0.0.0/0 165535 165535 拒绝去往所有地址的流量

MDR容灾架构中的资源哪些是云下用户的，哪些是云上的？ 当前MDR纳管的资源中，部分资源支持由云下用户提供。 天翼云云上资源包括：ECS、ELB、MySQL、Redis等。 可以由云下用户提供，也可以使用云上的资源：ZOS。 MDR多活类型的容灾管理必须配置应用管理的流量配比吗，还是只创建容灾管理就行了？ 如果需要多活容灾场景生效，或业务需求要求在不同的场地或数据中心之间实现负载均衡或流量分配，则必须要配置应用管理的流量配比，不然当前流量无法打入应用的云主机中。 如果策略采用了主备模式，则无需手动配置流量配比。

参数 说明 取值样例 名称 VPC流日志的名称。 名称只能由中文、英文字母、数字、“”、“”和“.”组成，且不能有空格，长度不能大于64个字符。 flowlog495d 资源类型 选择要采集流量的资源类型，目前支持网卡类型。 网卡 选择资源 选择需要采集流量信息的具体资源。 说明 建议您选择处于开机状态的弹性云服务器。如果选择了关机状态的弹性云服务器，请在VPC流日志创建完成后，重启弹性云服务器，以便准确的记录网卡流量。 采集类型 全部：采集指定资源的全部流量。 接受：采集指定资源被安全组或网络ACL允许的流量。 拒绝：采集指定资源被网络ACL拒绝的流量。 全部 日志组 选择在云日志服务中创建的日志组。 ltsgroupwule 日志主题 选择在云日志服务中创建的日志主题。 LogTopic1 描述 VPC流日志的描述信息，非必填项。 描述信息内容不能超过255个字符，且不能包含“<”和“>”。

本文主要介绍产品规格。 Kafka实例规格 Kafka实例兼容开源Kafka 1.1.0、2.3.0和2.7，实例规格以实例提供的ECS规格和代理个数分类，包括kafka.2u4g.cluster、kafka.4u8g.cluster、kafka.8u16g.cluster、kafka.12u24g.cluster和kafka.16u32g.cluster共5种类型。 说明 下表中TPS性能，是指以1K大小的消息为例的每秒处理消息条数。 表 Kafka实例规格 实例规格 代理个数范围 单个代理TPS 单个代理分区上限 单个代理Consumer Group上限 单个代理客户端总连接数上限 存储空间范围 kafka.2u4g.cluster 3~30 30000 250 20 2000 300GB~300000GB kafka.4u8g.cluster 3~30 100000 500 100 4000 300GB~600000GB kafka.8u16g.cluster 3~30 150000 1000 150 4000 300GB~900000GB kafka.12u24g.cluster 3~30 200000 1500 200 4000 300GB~900000GB kafka.16u32g.cluster 3~30 250000 2000 200 4000 300GB~900000GB Kafka新老规格对应关系 2种Kafka实例规格的对应关系如下表所示。 表 Kafka新老规格对应关系 老规格 分区数上限（老规格） TPS（老规格） 对应的新规格 带宽（新规格） 分区数上限（新规格） TPS（新规格） 100MB/s（c3.large.2 3） 300 10万 kafka.2u4g.cluster 3 225MB/s 750 10万 300MB/s（c3.xlarge.2 5） 900 30万 kafka.4u8g.cluster 3 450MB/s 1500 30万 600MB/s（c3.2xlarge.2 5） 1800 60万 kafka.8u16g.cluster 4 700MB/s 4000 60万 1200MB/s（c3.2xlarge.2 10） 1800 120万 kafka.8u16g.cluster 8 1400MB/s 8000 120万 例如：客户原先有4个节点（规格为8U16G），3个副本，总分区数为1000015000，每个节点的写流量为720Mb，读流量为7.2Gb，复制流量为90MB2，如果使用Kafka实例，预计需要什么样的规格？费用多少？ 总的写流量：720Mb341080MB/s，总的读流量：7.2Gb43686MB/s，总的复制流量：90MB24720MB/s，总的读写流量：1080+3686+7205486MB/s。考虑到流量预留的影响，建议读写流量按照总流量的80%估算，即总流量需要5486/80%6857.5MB。 Kafka实例单代理（超高I/O磁盘）最大支持350MB的流量，需要的代理个数6857.5/35020个。Kafka实例规格为kafka.8u16g.cluster20。kafka.8u16g.cluster单代理最大支持1000分区，客户需要1000015000的总分区数，通过流量算出的kafka.8u16g.cluster20规格满足要求。 kafka.8u16g.cluster单代理最小存储空间为800GB，总的存储空间为8002016000GB。 使用Kafka实例的费用：48600元（实例费用）+16000元（存储空间费用）64600元/月。

介绍查看用量统计的具体步骤。 适用场景 用户可以在控制台上数据统计菜单页面查看使用情况，并可指定查询的时间范围。目前支持对象存储与文件存储的使用情况查询。 对象存储可查看所有已开通的区域汇总情况、指定区域情况或单个Bucket使用情况，统计项包括： 存储空间：存储空间变化曲线/列表。 流量：公网下行流量、公网上行流量、内网下行流量、内网上行流量、CDN回源上行流量、CDN回源下行流量的变化曲线。 请求状态详情：总请求次数、有效请求次数、2XX、403 、404 、408、499、其他4XX、5XX请求次数以及占比情况。 请求次数：PUT、POST、GET、DELETED以及其他请求次数变化曲线/列表。此处请求次数仅统计返回状态码为2XX的请求。 文件存储可查看指定区域情况，统计项包括： 存储空间：存储空间变化曲线/列表。 使用说明 其中所有的列表数据均可导出。 按照时间段搜索时，起始时间与结束时间间隔时间最多支持31天。 请注意受采集时间及图表精度限制，所列数据仅供参考，不作为账目依据。 操作步骤 1. 登录媒体存储控制台后，点击【数据统计】菜单，根据需求选择【对象存储用量】或【文件存储用量】进行查询。 2. 支持按照存储区域、存储桶、以及时间段进行搜索。

功能模块 功能详情 相关文档 服务管理 支持可视化的服务管理，包括服务创建与详细信息查看，服务实例的添加、删除、上下线等，便于用户统一管理已接入的服务。 标签路由 通过标签将一个或多个服务的提供者划分到同一个分组，从而约束流量只在指定分组中流转，实现流量隔离的目的。 全链路灰度 通过创建泳道规则将一个或多个应用的相同版本划分到同一个泳道中，从而约束流量只在指定泳道中流转，实现全链路的流量隔离的目的。 离群摘除 检测Spring Cloud、Dubbo应用实例的可用性并进行动态调整，以保证服务成功调用，从而提升业务的稳定性和服务质量。 无损上下线 通过提供服务预热、延迟注册和微服务生命周期与K8s生命周期对齐等一系列功能保障应用安全发布，无损下线能够在应用下线过程中实现服务消费者无感知。 应用防护 从流量控制、隔离控制、热点参数防护、Web 防护等多个维度来保障业务的稳定性，提供更专业稳定的流量防护手段、秒级的流量水位分布分析功能。

步骤二：配置 VPC 路由 1. 创建路由表及规则：登录网络控制台，选择“路由表”选项，创建客户自定义子网路由表。在路由表中添加路由规则，将 DeepSeek 业务子网的默认路由指向 vCPE 所在的云主机；同时添加 IPv4 网关明细路由，将目的为 DeepSeek 业务子网的流量下一跳设置为 vCPE 所在的云主机。 2. 配置安全组规则：选择“访问控制 安全组”，为 vCPE 所在云主机添加安全组规则，确保放行 DeepSeek 业务子网的流量。 通过以上配置，可实现将 DeepSeek 业务流量经由 vCPE 接入天翼云 SDWAN 网络。 步骤三：配置跨境白名单 1. 告知白名单需求：联系 SDWAN 客户经理，明确告知需要访问的海外资源白名单，例如 github 等。 2. 白名单配置与通道绑定：天翼云 SDWAN 交付团队收到您的需求后，将协助您完成白名单配置工作，把 vCPE 所属的 SDWAN 网络绑定到高速跨境通道，并开启跨境加速功能。 步骤四：开启定向加速 流量分流实现加速：跨境定向加速功能开启后，vCPE 能够依据 DeepSeek 业务主机的访问类型对流量进行智能分流：对于映射到跨境白名单的流量，vCPE 会将其送入 SD WAN 高速跨境通道进行加速；对于普通上网流量，vCPE 则将其送入境内互联网。若客户购买了 SD WAN 入云服务，vCPE 还可将 SD WAN 内网访问流量送至云网关。 您可以通过DeepSeek访问海外资源验证配置是否生效。 返回DeepSeek专题导航。

本小节介绍微隔离防火墙的术语解释。 微隔离 微隔离（IdentityBased Segmentation），亦称为微分段、软件定义分段、基于身份的分段、零信任分段、逻辑分段等；其基于工作负载身份，通过访问控制策略或加密规则，对位于本地或云端数据中心的工作负载（物理机/虚拟机/容器等）、应用、程序进行细粒度隔离和精细化访控，从而实现缩减暴露面、阻止攻击横向侧移的安全目的。 南北向流量 进出互联网边界的流量称为南北向流量。 东西向流量 数据中心中不同服务器之间的流量称为东西向流量。 授权码 指安装客户端时所验证匹配的校验码。 工作负载 泛指承载业务的主机，包含物理机、虚拟机、容器等一系列计算主机的统称。 工作组 通过“位置”、“应用”、“环境”三维标签来确定一个工作负载的集合。 连接线 工作负载之间互相访问的路径，通过计算引擎计算后显示在Web界面的线。 策略 针对工作负载之间，工作组之间的访问流量设置白名单的方法。 策略状态 指创建策略应用至工作负载或工作组的状态，分别为建设状态、测试状态、防护状态。 建设状态 只在管理中心生效的策略状态，用于策略制定，该状态下策略不会应用至工作负载。 测试状态 策略下发至工作负载，但不生效，会记录所创建的策略，不对业务产生影响，该状态下适用于测试策略是否正常的情况。 防护状态 在工作负载上应用，且只允许创建的策略通过，未指定策略的访问流量将无法通过。

类型 计费方式 计费项 计费公式 IPsec VPN 包周期 IPsec连接数费用、带宽费用 IPsec连接数费用 + 带宽费用 IPsec VPN 按量付费 IPsec连接数费用、流量费用 IPsec连接数费用 + 流量费用 SSL VPN 包周期 SSL并发连接数费用、带宽费用 SSL并发连接数费用 + 带宽费用 SSL VPN 按量付费 SSL并发连接数费用、流量费用 SSL并发连接数费用 + 流量费用

本章节进行Ingress相关概述介绍 概述 K8s Ingress用于暴露集群内部的服务给给外部访问，作为流量入口承载所有外部进入集群内部的流量；通过K8s Ingress资源可以配置外部流量访问集群内部服务的各种规则，实现流量路由、负载均衡等丰富的流量治理策略。除了路由策略配置，还需要数据面实际承载流量，执行Ingress中指定的路由策略，这里的数据面对应K8s Ingress controller，整体架构如下： MSE云原生网关支持标准K8s Ingress，当前MSE云原生网关为虚机部署模式，通过在云容器引擎集群中部署mse ingress controller把Ingress资源转成网关配置资源并下发，整体架构如下： 组件功能说明 1. mse ingress controller：K8s controller，监听K8s Ingress及apisix Ingress资源，转成数据面配置并下发到数据面。 2. mse云原生网关：承载业务流量的数据面，接收控制台及mse ingress controller下发的配置指令。 注意 通过Ingress生成的配置不可以通过控制台修改

中国内地价格 基本描述：按流量阶梯价格计费，当月分别超额累进（以自然月为一个累计周期）。 流量阶梯 标准资费 单位 （0TB,10TB] 3 元/GB （10TB,50TB] 2.7 元/GB （50TB,+∞] 2.25 元/GB 注意事项 如果您对websocket加速服务有突发带宽使用需求，请至少提前3个工作日（重大节日的突发，包括但不限于春晚，双十一等，需要提前至少1个月）联系天翼云申请突发带宽用量。若申请成功，在双方约定的突发量级内，可确保您的服务不受影响；若申请不成功或未申请的，天翼云有权采取限流等措施来保障全网用户的稳定性，由此导致的可用性问题，天翼云不承担责任 。符合以下情况之一的都属于“突发带宽”： a.带宽计费客户：本自然月（日）带宽增量超过100Gbp，或本自然月（日）的带宽增量超出上月（日）计费带宽的30%（另有约定的，从其约定）； b.流量计费客户：本自然月带宽峰值超过10Gbps。 带宽利用率 实际使用流量值(GB) /（带宽峰值Mbps x 10.54）；1Mbps带宽每日100%利用率产生的流量约为10.54GB。 websocket加速计费的流量比日志中记录的流量多。因为websocket加速日志中记录的流量数据是应用层日志统计出的流量，但是实际网络请求中存在TCP/IP包头的消耗和TCP重传消耗，要比应用层统计到的流量高出7%~15%，因此按照业界标准，应用于账单的计费数据会比基于访客日志计算得出的计费值上浮10%。 如果您的websocket加速月消费金额大于10万元，天翼云可提供更灵活优惠的按月计费方式。您可以提交工单或拨打4008109889电话联系客服咨询。 websocket加速计费按照1000进制换算，例如：1Gbps1000Mbps；1GB1000MB。

计费项 计费说明 标准价格 免费额度 日志存储量 包括日志（压缩后）的存储量和日志（未压缩）被建立索引所产生的存储量。 0.0004792元/GB/小时 500MB/月 日志读写流量 数据（压缩后）被上传到云日志服务时，按照传输的数据量计算写流量费用。 0.18元/GB 500MB/月 日志索引流量 日志数据开启全文索引、字段索引时产生的流量。 0.35元/GB 500MB/月

本章主要介绍响应消息头。 调用API时，API网关增加如下响应消息头。 XApigMode: debug表示响应消息头增加API网关调试信息。 响应消息头 描述 说明 ::: XRequestId 请求ID 所有合法请求，都会返回此参数 XApigLatency 从API网关接收请求到后端返回消息头的用时 仅在请求消息头包含XApigMode: debug时，返回此参数 XApigUpstreamLatency 从API网关请求后端到后端返回消息头的用时 仅在请求消息头包含XApigMode: debug，且后端服务类型不为Mock时，返回此参数 XApigRateLimitapi API流量控制信息 示例：remain:9,limit:10,time:10 second 仅在请求消息头包含XApigMode: debug，且API配置了API流量控制时，返回此参数 XApigRateLimituser 用户流量限制信息 示例：remain:9,limit:10,time:10 second 仅在请求消息头包含XApigMode: debug，且API配置了用户流量限制时，返回此参数 XApigRateLimitapp 应用流量限制信息 示例：remain:9,limit:10,time:10 second 仅在请求消息头包含XApigMode: debug，且API配置了应用流量限制时，返回此参数 XApigRateLimitip 源IP流量限制信息 示例：remain:9,limit:10,time:10 second 仅在请求消息头包含XApigMode: debug，且API配置了源IP流量限制时，返回此参数 XApigRateLimitapiallenv API默认流控信息 示例：remain:199,limit:200,time:1 second 仅在请求消息头包含XApigMode: debug时，返回此参数

热门分析 热门URL统计：统计访问的URL排行，展示URL访问的流量、流量占比、访问次数、访问次数占比信息。 热门URL（回源）统计：统计回源URL排行，展示回源URL的访问流量、流量占比、访问次数、访问次数占比信息。 热门Referer统计：统计Referer排行，展示Referer的流量、流量占比、访问次数、访问次数占比信息。 域名排行统计：统计访问的域名排行，展示域名的流量、流量占比、带宽峰值、峰值时刻、访问次数信息。 TOP客户端IP统计：统计客户端IP排行，展示IP的流量、访问次数信息。 用户分析 访问用户区域分布统计：展示用户带宽、流量、访问次数的区域分布信息。 独立IP访问数统计：按小时统计并展示独立IP访问峰值的趋势信息。 访问运营商分布统计：展示了运营商带宽、流量、访问次数信息。 安全报表 安全报表功能包含了Web安全报表、DDoS安全报表、CC安全报表，帮您及时了解网站的受攻击情况。 Web安全报表 Web安全报表统计展示了Web攻击趋势、Web攻击类型分布、攻击IP排行、受攻击情况、全国攻击分布、攻击来源地区排行等报表信息。 总览统计：展示请求总次数、Web攻击次数、拦截次数、攻击源个数、攻击网站数信息。 Web攻击趋势统计：默认按5分钟粒度统计展示了总请求数、总攻击次数、拦截次数、告警次数的趋势信息，统计粒度自定义选择。 Web攻击类型分布：展示了不同攻击类型的占比分布，以及受到不同攻击类型攻击的URL排行信息。 攻击IP：展示了攻击IP的攻击归属地、攻击次数以及占比等信息。 受攻击情况：按域名、URL两种粒度统计展示了受攻击次数和占比情况信息。 全国攻击分布：展示各个省份的攻击分布及攻击次数信息。 攻击来源地区排行：按攻击次数展示了攻击来源地区排行信息。

在应用的发布、重启过程中，不可避免的会造成流量的损失，可能会因为服务没有预热而出现抖动，或因为服务没有完全初始化之前就注册在注册中心导致访问失败。微服务治理提供了服务上线的保护能力，提供服务预热、延迟注册服务的能力解决流量损失问题。 使用无损下线 默认情况下，当应用开启服务治理后即可享受无损下线功能，无需额外操作 功能入口 1. 完成灰度应用部署后，即可查看应用当前存在的标签。 2. 登录云应用引擎控制台。 3. 在左侧导航栏选择 应用管理 > 应用列表，单击目标应用名称。 4. 应用基础信息页面，选择 微服务治理 > 流量治理，单击 无损上下线 服务预热 应用在启动后，由于内部资源还未彻底初始化，直接处理大流量可能会导致出现请求阻塞或报错的情况。在应用刚启动的一段时间内，通过小流量预热的方式使应用完成内部资源的初始化，这样可以有效的避免应用上线后出现的抖动问题。 预热参数说明： 参数 说明 预热时长（秒） 应用实例下一次启动的预热时间，默认预热时长为120秒。服务预热时长设置范围为0~86400秒（即24小时）。 预热曲线 默认为2（适合于一般预热场景），表示在预热周期内服务提供者的流量接收曲线形状呈2次曲线形状。预热曲线设置范围为0~20。

计费项 计费项说明 适用的计费模式 计费公式 VPN网关 企业版VPN：不同规格的网关实例单价不同。 经典版VPN：不涉及。 按需计费 必选，网关规格单价 购买时长 VPN连接（组） 企业版VPN：默认支持10个免费的VPN连接组，超出10个部分需要额外购买。 经典版VPN网关：不涉及 按需计费 必选，连接（组）单价 购买时长 EIP 仅公网场景下需要购买。 按需计费 按需计费（按带宽计费）：按带宽大小收取带宽费用。 按需计费（按流量计费）：按流量多少收取流量费用。 ER 企业版VPN：仅关联ER场景下需要购买。 按需计费 可选，连接单价 计费时长+流量单价 计费流量

参数 参数类型 说明 示例 下级对象 hostid String 主机名 time String 时间 ipproto Integer IP协议 1:v4; 2:v6 proto Integer 协议 1:icmp; 6:tcp; 17:udp sip String 源IP dip String 目的IP sport Integer 源端口 dport Integer 目的端口 dir Integer 方向 1:in2out; 2:out2in appid Integer 应用id action Integer 动作, 1:pass; 2:drop ruleid Long 规则id（入侵防御/访问控制/流量日志有） level String 事件等级, 1:Low; 2:Middle; 3:High （入侵防御/访问控制日志有） origin Integer 来源, 1:基础防御 2:虚拟补丁 3:访问控制 4:黑名单 5:白名单 （入侵防御/访问控制日志有） originbytes Long 正向字节数（流量日志有） originpackets Long 正向报文数（流量日志有） responsebytes Long 应答字节数（流量日志有） responsepackets Long 应答报文数（流量日志有） origintime String 发起时间（流量日志有） terminaltime String 终止时间（流量日志有） gwlbeid String gwlbe id（入侵防御日志有） className String 攻击类型（入侵防御日志有） virus String 病毒名称 (病毒日志有) md5 String md5值 (病毒日志有)

本章节为媒体存储用量统计概述。 使用场景 用户可以在控制台上数据统计菜单页面查看使用情况，并可指定查询的时间范围。目前支持对象存储与文件存储的使用情况查询。 对象存储可查看所有已开通的区域汇总情况、指定区域情况或单个Bucket使用情况，统计项包括： 存储空间：存储空间变化曲线/列表。 流量：公网下行流量、公网上行流量、内网下行流量、内网上行流量、CDN回源上行流量、CDN回源下行流量的变化曲线。 请求状态详情：总请求次数、有效请求次数、2XX、4XX、5XX请求次数以及占比情况。 请求次数：PUT、POST、GET、DELETED以及其他请求次数变化曲线/列表。此处请求次数仅统计返回状态码为2XX的请求。 文件存储可查看指定区域情况，统计项包括： 存储空间：存储空间变化曲线/列表。 使用说明 其中所有的列表数据均可导出。 按照时间段搜索时，起始时间与结束时间间隔时间最多支持31天。 请注意受采集时间及图表精度限制，所列数据仅供参考，不作为账目依据。 使用方式 操作途径 使用方法 控制台 可参考：用量统计。

企业认证标识 在使用服务之前，您需要设置企业认证标识，您的企业员工在登录客户端时，需先输入企业认证标识将其身份与您的企业进行关联，实现身份合法性认证。企业认证标识是您企业员工成功登录远程零信任办公服务客户端的重要凭证，首次订购后使用控制台，则会引导配置企业认证标识，暂不支持自助配置企业认证标识，如有需求，请联系我们。 基础信息 列出企业接入远程零信任办公服务的关键数据情况，您可以点击对应的字段跳转到实际的相关数据页面内容： 用户数：企业的员工账号总数。 应用数：企业创建的应用个数。 连接器数：创建的连接器集群个数。 访问控制：访问控制规则个数。 计费方式 展示您订购的零信任服务的套餐情况，您可以点击详情查看更多。基本内容包括套餐版本，用户数指允许进行创建的最大用户个数，流量指您通过远程零信任办公服务访问企业内网应用的每月流量最大值。 用量分析 统计企业使用远程零信任办公服务的用量使用情况，支持按照带宽和流量粒度进行查询。快速查询支持按照昨日，今日，7天，30天粒度，也可指定时间范围查询。 用户流量排名：指企业指定时间范围内使用流量最多的账号，按照总使用流量从大到小排序。同时展示对应的登录用户名（账号名）、终端类型、总流量大小。支持下拉框快速查询最近24小时，最近3天，最近7天，最近30天的对应数据统计。 应用流量排名：指企业指定时间范围内被访问的应用中，访问流量最多的应用名称以及其被访问流量大小，按照流量的大小进行降序排序。支持下拉框快速查询最近24小时，最近3天，最近7天，最近30天的对应数据统计。

参数 是否必填 参数类型 说明 示例 下级对象 concurrency 否 Integer IstioProxy线程数 2 enableCoreDump 否 Boolean 核心转存 false enableDnsCapture 否 Boolean 是否开启istio内置dns false enableElegantTermination 否 Boolean 是否开启优雅终止 false excludeIPRanges 否 String 不拦截对外访问的地址范围 127.0.0.1 excludeInboundPorts 否 String 设置端口使入口流量免于经过Sidecar代理 80,8080 excludeOutboundPorts 否 String 设置端口使出口流量免于经过Sidecar代理 80,8080 holdApplicationUntilProxyStarts 否 Boolean 生命周期管理 true includeIPRanges 否 String 拦截对外访问的地址范围 192.168.0.0/16 includeInboundPorts 否 String 设置端口使入口流量经过Sidecar代理 443 includeOutboundPorts 否 String 设置端口使出口流量经过Sidecar代理 443 interceptionMode 否 String Sidecar对入向流量的拦截策略，REDIRECT：默认的拦截策略，Sidecar将使用重定向方式拦截入向流量。TPROXY：透明代理拦截策略，Sidecar将以透明代理的方式拦截入向流量。NONE:不拦截流量 REDIRECT lifecycleStr 否 String Sidecar代理生命周期JSON字符串 logLevel 否 String 日志等级，如果不设置则为warning info outboundTrafficPolicy 否 String 出向流量策略。取值：ALLOWANY：允许访问所有外部服务。REGISTRYONLY：只能访问注册到网格内的服务。 ALLOWANY proxyMetadata 否 Map of String 环境变量 proxyStatsMatcher 否 Object 统计相关指标 CustomProxyConfigProxyStatsMatcher selector 否 Map of String workload的标签选择器 sidecarProxyInitResourceLimit 否 Object Sidecar代理初始化容器资源限制 ResourcesLimitReq sidecarProxyInitResourceRequest 否 Object Sidecar代理初始化容器资源最低申请额度 ResourcesRequestReq sidecarProxyResourceLimit 否 Object Sidecar代理容器资源限制 ResourcesLimitReq sidecarProxyResourceRequest 否 Object Sidecar代理容器资源最低申请额度 ResourcesRequestReq terminationDrainDuration 否 String Istio Proxy终止等待时长 5s

此小节介绍配置IP地址组和服务组访问策略的实践。 当防护对象成功接入云防火墙后，您可以配置IP地址组和服务组的访问控制策略，以验证配置的组规则是否生效，即验证配置访问控制策略的访问控制效果。本实践以配置IP地址组和服务组为例，说明如何批量配置IP地址和服务访问控制策略。 应用示例 例如，您的业务部署在企业，由于IP地址和服务有多个，针对多个IP地址和服务在同一个企业的业务场景，为了确保业务正常运行，您需要对用户的IP地址组和服务组统一配置访问控制策略，以放行或阻断访问请求，提升云防火墙防护效果。 前提条件 防护网站已成功接入云防火墙。 已开启“入侵防御”，且拦截模式为“拦截”。 配置访问控制策略 添加IP地址组请参见添加IP地址组。 添加服务组请参见添加服务组。 添加防护规则请参见添加防护规则。 查看防护效果 访问控制策略配置完成后，可以参考以下步骤查看防护效果。 1. 在左侧导航树中，选择“流量分析”，进入“流量分析”页面，可查看不同时间段互联网出入口流量、攻击趋势和TOP访问IP。 2. 选择“主动外联访问”页签，查看不同时间段主动外联的出入口流量，以及攻击趋势。 3. 在左侧导航树中，选择“日志审计”，进入“攻击事件日志”页面，可查看近一周的攻击事件详情。 4. 在左侧导航树中，选择“流量分析”，进入“流量分析”页面，可查看不同时间段互联网出入口流量、攻击趋势和TOP访问IP。 5. 选择“流量日志”页签，可查看近一周的流量字节数和报文数。

开启防护后，云防火墙默认放行所有流量，您可以配置防护规则，实现流量的拦截/放行。 防护规则支持防护以下几种场景： 防护互联网边界中公网资产的流量，请参见“互联网边界防护规则”。 防护互联网边界中私网资产的场景，请参见“NAT流量防护规则”。 防护VPC与VPC之间、VPC与线下IDC之间的访问流量，请参见“VPC边界防护规则”。 注意 如果IP为Web应用防火墙（WAF）的回源IP，建议配置放行的防护规则或白名单，请谨慎配置阻断的防护规则，否则可能会影响您的业务。 回源IP的相关信息请参见《Web应用防火墙用户指南》中《放行WAF回源IP》。 配置白名单请参见“通过添加黑白名单拦截/放行流量”。 规格限制 仅“专业版”支持VPC边界防护和NAT流量（私网IP）防护。 约束条件 CFW不支持应用层网关(Application Level Gateway，ALG)。ALG能够对应用层数据载荷中的字段进行分析，并针对在载荷中会包含端口和IP地址的多通道协议（例如FTP、SIP等）动态调整策略。但CFW的防护策略仅支持对端口设置静态策略。如果需要允许多通道协议通信，建议配置一条放通所有端口的规则。 CFW长连接业务场景限制，配置策略的时候需要同时开启双向放通的安全策略，如果只开启单向策略，部分场景（开启和关闭防护）需要客户端重新发起连接。 配额限制： 最多添加20000条防护规则。 单条防护规则最大限制如下： 最多添加20条IP地址（源和目的各20条）。 最多关联2条“IP地址组”（源和目的各2条）。 最多关联5条服务组。 域名防护限制： 域名防护时不支持添加中文域名格式。 网络型域名组最多只能保存1000个地址解析结果，超出时，可能导致无法正常访问对应的域名；对于解析结果较多或变化频繁的域名，如果防护流量是HTTP、HTTPS协议，建议优先使用应用型域名组添加策略。 域名防护依赖于用户配置的域名服务器。默认域名服务器可能存在域名解析对应的IP地址不全，建议有访问自身业务相关域名场景时配置“DNS服务器配置”。 仅入方向规则（“方向”配置为“外内”）的“源”地址支持配置“预定义地址组”。