使用统计 统计所选时间范围内的调用次数、网络出流量、错误次数。点击右侧的下载键还可以下载统计详情。 调用次数统计所选时间范围内的所有函数的总调用次数。 网络出流量统计所选时间范围内流出每个函数的流量总和。 错误次数统计所有函数的调用错误总次数。

计费项 说明 月使用量 单价 月计费 日志存储量 原始日志存储量100GB x 20% x 30天 600GB 被构建索引的日志存储量50GB x 30天 1500GB 2100GB 0.0004792元/GB/小时 （2100GB500MB免费额度/1024）× 0.0004792 × 24小时 × 30天 724.38元 日志读写流量 产生的读写流量100GB x 20% x 30天 600GB 600GB 0.18元/GB （600GB500MB免费额度/1024）× 0.18元/GB107.91元 日志索引流量 产生的日志索引流量50GB x 30天 1500GB 1500GB 0.35元/GB （1500GB500MB免费额度/1024）× 0.35元/GB524.82元

地区运营商 地区运营商支持客户按加速类型、标签、域名、运营商、地区、加速区域【中国内地/全球（不含中国内地）/北美/欧洲/亚太1区/亚太2区/亚太3区/中东&非洲/南美】、协议（ipv4/ipv6）、查询时间范围等搜索条件，自定义查询地区、运营商粒度的峰值带宽、流量、流量占总比、请求数和请求数占总比。默认按照峰值带宽降序排列，也可点击流量、请求数后面的箭头更改为使用流量或请求数排行。 高性能网络 高性能网络支持客户按加速类型、标签、域名、时间等搜索条件，自定义查询高性能网络的带宽或者流量数据。需要先开通高性能网络增值服务才能查看到对应的数据分析，如需开通，详情请见：开通高性能网络。 明细导出 每一个维度的统计数据均支持导出用量明细，您可单击下图的导出控件，即可导出格式为csv的文件在本地查看。 以【带宽流量】的带宽为例：

安全组与网络 ACL 的协同防护 安全组与网络 ACL 作为云上网络安全的核心防护手段，二者协同配合，形成多层次访问控制体系： 安全组是一种网络安全防护机制，用于防止未经授权的访问和保护计算机网络免受恶意攻击。它是一种虚拟防火墙，用于限制入向和出向网络流量。安全组工作在网络层和传输层，它通过检查数据包的源地址、目标地址、协议类型和端口号等信息来决定是否允许通过。安全组创建后，用户可以在安全组中定义各种访问规则，当弹性云主机加入该安全组后，即受到这些访问规则的保护。 最小权限原则：建议安全组规则采用 “白名单” 机制，仅开放业务必需端口（如 Web 服务开放 80、443 端口），拒绝所有不必要的入方向流量。例如，数据库实例安全组仅允许应用实例所在安全组访问 3306 端口，禁止公网直接访问。更多信息请参考 ++安全组概述++ 网络ACL是一个子网级别的流量防护策略：用户可以自定义设置网络ACL规则，并将网络ACL与子网绑定，实现对子网中云服务器实例流量的访问控制。通过出方向/入方向规则控制出入子网的流量数据，可作为安全组的补充防护，在子网层面阻断异常流量。 防御外部攻击：可在网络 ACL 中配置规则，拦截常见攻击 IP 段或端口扫描行为，例如，拒绝来自已知恶意 IP 段的流量，减少实例被攻击风险。更多信息请参考++网络ACL概述++ 协同防护建议：安全组与网络 ACL 配合使用，形成 “实例 子网” 双层防护。例如，Web 子网的网络 ACL 仅允许 80、443 端口公网流量进入，Web 实例安全组进一步限制仅允许负载均衡实例 IP 访问，双重保障 Web 服务安全。

套餐规格 套餐内容 生效区域 标准价格（元/月） 基础版 应用加速域名：1个 端口数：5个 流量：1TB DDoS防护：40Gbps/月（防护1次） 中国内地 2000 基础版 应用加速域名：1个 端口数：5个 流量：500GB DDoS防护：平台级尽力防 全球（不含中国内地） 3000 基础版 应用加速域名：1个 端口数：5个 流量：中国内地250GB，全球（不含中国内地）250GB DDoS防护：中国内地40Gbps/月（防护1次），全球（不含中国内地）平台级尽力防 全球 3400 定制版 定制版选配场景： 加速区域+计费方式（流量） + 定制版收费项 中国内地、全球（不含中国内地）、全球 ——

本文介绍用户分析。 功能说明 用户分析可展示用户的区域分布、运营商分布、独立IP访问数。并展示每个区域/运营商的带宽、流量、连接数。 操作指引 进入【统计分析】【用户分析】功能模块，即可选择域名、时间范围进行查询。并可以切换带宽、流量、连接数等指标进行展示。如下图： 访问区域分布 根据用户所在区域，分别展示每个省份的带宽、流量、连接数，并在地图中用不同的颜色进行展示。 访问运营商分布 根据用户所属运营商，分别展示每个运营商的带宽、流量、连接数信息。 独立IP访问数 可展示独立IP访问数的趋势图，并展示独立IP访问峰值。

解决方案 Nacos中服务实例的权重仅为实例的一个属性。当修改权重值后，权重值会伴随实例信息被推送到Nacos客户端。实际使用时由于使用方式的不同，可能会导致权重属性被忽略。 1. 如果所使用的应用框架不支持按权重分配流量。例如Spring Cloud等框架，此类框架仅识别流量值为0（不引入流量）和非0（引入流量），不支持按照Nacos实例中的流量值进行流量负载均衡。您可以按照以下方法解决。 寻找扩展插件以增加流量分配支持。 更换其他应用框架。 2. 应用框架有自身的负载均衡配置方式，不支持使用Nacos的权重属性。如Dubbo、Spring Cloud Alibaba + Loadbalance等。可以在社区中询问或根据对应框架文档查看如何配置负载均衡。 3. 未使用应用框架进行开发，但是应用在处理时未使用权重值进行地址选择。 应用在获取到实例列表后，根据其中的weight字段实现自定义的选择逻辑。 使用Nacos客户端默认的selectOneHealthyInstance方法进行选择。 Nacos连接超时问题 问题现象 当程序连接Nacos出现超时问题时，可能出现如下几种报错： Connection timed out Read Timeout TimeoutException: Waited 3000 milliseconds 问题原因 可能是以下几种原因，导致程序连接Nacos出现超时问题。 1. 客户端与服务端的网络传输异常，导致客户端发出的请求无法抵达服务端或服务端的回复无法抵达客户端。或者服务端处理请求速度慢，导致客户端误认为超时。 2. 使用VPN导致的网络问题。 3. 客户端的处理线程阻塞或异常，亦或客户端处于Full GC、OOM或CPU争抢等状态， 无法及时处理服务端返回的数据包，导致客户端误认为超时。 4. Nacos集群处于异常状态，无法响应请求。

本文介绍如何查看CDN加速边缘函数的平台基本信息和整体使用情况。 未开通边缘函数 1. 未开通边缘函数时，单击【总览】和【函数管理】，页面均会展示边缘函数介绍、功能优势、产品架构图等信息。 2. 单击【立即开通】，若您尚未订购CDN加速或全站加速，页面则弹窗提示：如未开通CDN加速、全站加速，请先开通后再增配边缘函数。具体的开通步骤，详情请见：边缘函数开通。 已开通边缘函数 开通过边缘函数，进入总览页，页面会展示【数据概览】和【使用统计】。 数据概览 数据概览展示函数数量、本月调用次数、本月出流量。 函数数量统计已创建的函数总数，包含所有状态（未部署、配置中、配置异常、已启用、已停用、已禁用）的函数。 本月调用次数统计所有函数本月的总调用次数。 本月出流量统计本月流出每个函数的流量总和。 使用统计 统计所选时间范围内的调用次数、网络出流量、错误次数。点击右侧的下载键还可以下载统计详情。 调用次数统计所选时间范围内的所有函数的总调用次数。 网络出流量统计所选时间范围内流出每个函数的流量总和。 错误次数统计所有函数的调用错误总次数。

访问规则 访问规则用于控制访问翼甲卫士自身的流量，可控制流量是否允许访问翼甲卫士。 （1）规则添加：点击“添加规则”按键，可添加新的访问规则，添加规则所需字段包括：描述，源IP，源端口，目的IP，目的端口，协议（支持ICMP,TCP,UDP三种协议），是否阻止，启用状态； 若不希望符合条件的流量访问翼甲卫士，添加规则的时候应启用“阻止”。 （2）规则删除等操作与SNAT规则操作一致。 ACL规则 ACL过滤规则用于控制翼甲卫士转发的流量。默认阻断除带宽内网外全部流量，如果需要放行，请添加ACL过滤规则，并把该规则放在默认规则之前。 （1）规则添加：点击“添加规则”按键，可添加新的ACL过滤规则，添加规则所需字段包括：描述，源IP，源端口，目的IP，目的端口，协议（支持ICMP,TCP,UDP三种协议），是否阻止，启用状态； 若不希望符合条件的流量访问翼甲卫士，添加规则的时候应启用“阻止”。 （2）规则删除等操作与SNAT规则操作一致。 DNS服务 DNS服务用于翼甲卫士自身DNS解析，可选择新增静态解析和额外的DNS服务器解析。

场景二：基于服务权重将业务流量切分到新版本 步骤一：部署旧版本Service v1和常规Ingress 同“场景一：基于用户请求将匹配的业务流量切分到新版本”。 步骤二：部署新版本Service v2 同“场景一：基于用户请求将匹配的业务流量切分到新版本”。 步骤三：创建灰度Ingress，在灰度发布新版本 1. 基于服务权重新版本service v2的Ingress。 2. 在灰度Ingress一栏选择是；在生产ingress一栏选择旧版本service v1的常规Ingress；在流量切换方式一栏选择蓝绿，配置全部切到灰度的权重百分比；在域名路径规则一栏填写域名，指定服务名称和端口等。 执行命令进行访问测试， 为Nginx Ingress对外暴露的IP： $ for i in {1..10}; do curl H 'Host: testgray.com'; done; v2 v2 v2 v2 v1 v1 v1 v2 v1 v2 可以看出，有近50%的流量切分到新版本service v2服务，当请求的数量越多时比例会越接近50%。 步骤四：下线旧版本Service v1服务 1. 将service v1的常规Ingress的服务名称改为service v2服务。 2. 删除service v2的Ingress。 3. 删除旧版本service v1的无状态工作负载和配置项。 平滑下线旧版本后，通过原来的常规Ingress请求的流量都会切分到新版本Service v2服务了。

本文对创建筛选条件的操作步骤进行说明。 使用场景 筛选条件是用于指定镜像的网络流量的规则合集，您可以设置筛选条件来镜像符合条件的流量。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东华东1。 3. 依次选择“网络”，单击“虚拟私有云”；进入网络控制台页面。 4. 在左侧导航栏，选择“流量镜像筛选条件”选项。 5. 在筛选条件页面，点击右上角的“创建筛选条件”按钮。 6. 在创建筛选条件弹窗中，填写筛选条件的名称和描述。 7. 单击“确定”创建完成。 注意 筛选条件下无筛选规则时默认不镜像流量。

修改病毒防御动作提升防护效果 1. 登录管理控制台。 2. 在左侧导航栏中，单击左上方的，选择“安全> 云防火墙”，进入云防火墙的总览页面。 3. （可选）当前账号下仅存在单个防火墙实例时，自动进入防火墙详情页面，存在多个防火墙实例时，单击防火墙列表“操作”列的“查看”，进入防火墙详情页面。 4. 在左侧导航栏中，选择“攻击防御> 病毒防御”，进入“病毒防御”页面。 5. 单击“防御规则”列表中“操作”列的按钮，选择对应动作。 观察：修改为“观察”状态，修改后防火墙对当前协议的流量进行检测，匹配到攻击流量时，记录至“攻击事件日志”中，不做拦截。 拦截：修改为“拦截”状态，修改后防火墙对当前协议的流量进行检测，匹配到攻击流量时，记录至“攻击事件日志”中并进行拦截。 禁用：修改为“禁用”状态，修改后防火墙对当前协议的流量不进行病毒检测。 后续操作 整体防护概况请参见“通过安全看板查看攻击防御信息”，详细日志信息请参见“攻击事件日志”。

您可以在控制台上查看实例计算节点和存储节点的监控信息,例如CPU使用率、内存使用率、前端连接总数、TPS、慢SQL数、错误SQL数、广播SQL数等信息,以便您快速了解当前实例健康状态和运行状态。 监控说明 支持展示实例节点的多个维度监控数据，主要分类如下： 计算节点 模块 说明 分组 主要包含如下内容，具体以控制台显示为准： 资源监控：CPU使用率、内存使用率、磁盘使用率、磁盘容量等。 网络流量：网络流入流量、网络流出流量等。 连接监控：前端连接数、后端连接数等。 SQL类监控：TPS、跨事物数、慢SQL数、错误SQL数、广播SQL数、广播SQL占用的后端连接数、分布式锁检测（单个DBProxy内部存在锁等待的分布式事务数量）、获取序列的平均耗时、全局索引查询平均耗时、全局索引命中率等。 垃圾回收：FULL GC次数（历史完全垃圾回收次数）。 节点 主要包含如下内容，具体以控制台显示为准： 资源监控：CPU使用率、内存使用率、磁盘使用率、磁盘容量等。 网络流量：网络流入流量、网络流出流量等。 连接监控：前端连接数、后端连接数等。 SQL类监控：TPS、跨事物数、慢SQL数、错误SQL数、广播SQL数、广播SQL占用的后端连接数、分布式锁检测（单个DBProxy内部存在锁等待的分布式事务数量）、获取序列的平均耗时、全局索引查询平均耗时、全局索引命中率等。 垃圾回收：FULL GC次数（历史完全垃圾回收次数）。 全局序列 主要包含序列名称、使用率和监控时间。 存储节点 资源监控：CPU使用率、内存使用率、磁盘使用率、磁盘容量等。 读写次数：读次数和写次数。 网络流量：网络流入流量、网络流出流量等。 高可用：高可用切换次数、备库延迟。 连接监控：活跃连接数、空闲连接数和总连接数。 SQL类监控：TPS、QPS、存储节点的长事务个数和行锁个数。

本节介绍如何查看VPC边界防护情况。 在VPC边界防火墙开关页面上方，用户可以查看VPC边界流量监控信息、防护状态、配额状态和流量拓扑。 VPC边界流量监控：展示最近7天内所有已开启防护资产的VPC边界流量峰值带宽；以及当前已购买的带宽规格和带宽占用情况。 防护状态：统计了您已开启和未开启防护的资产数量，支持防护对等连接、云专线、云间高速资产。 配额状态：展示已经购买的VPC边界防火墙未使用和已使用的配额数，以及VPC边界防护配额总量。1个防护实例，消耗1个防护配额。 流量拓扑可视：展示VPC边界的网络资产互访关系和防护情况，便于您梳理VPC边界访问拓扑并直观掌握整体网络安全防护态势。 操作步骤 1. 登录云防火墙（原生版）控制台。 2. 在左侧导航栏，选择“防火墙开关 > VPC边界防火墙开关”。 3. 查看当前账号下对等连接、云专线、云间高速的防护情况。

本节介绍什么是Web应用防火墙以及其防护原理。 什么是Web应用防火墙 Web应用防火墙（Web Application Firewall，WAF），通过对HTTP(S)请求进行检测，识别并阻断SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等攻击，保护Web服务安全稳定。 开通Web应用防火墙后，在WAF管理控制台将网站添加并接入WAF，即可启用Web应用防火墙。启用之后，您网站所有的公网流量都会先经过Web应用防火墙，恶意攻击流量在Web应用防火墙上被检测过滤，而正常流量返回给源站IP，从而确保源站IP安全、稳定、可用。 防护原理 申请WAF后，在WAF管理控制台将网站添加并接入WAF。网站成功接入WAF后，网站所有访问请求将先流转到WAF，WAF检测过滤恶意攻击流量后，将正常流量返回给源站，从而确保源站安全、稳定、可用。 网站接入WAF防护原理 流量经WAF返回源站的过程称为回源。WAF通过回源IP代替客户端发送请求到源站服务器，接入WAF后，在客户端看来，所有的目标IP都是WAF的IP，从而隐藏源站IP。 回源IP

监控数据出现实例已使用内存略大于实例可使用内存是什么原因？ DCS单机和主备实例已使用内存为redisserver进程统计的已使用内存。集群是基于分片机制实现的，集群的已使用内存为各个分片redisserver的已使用内存的总和。 由于开源redisserver内部机制的原因，有时会出现DCS缓存实例已使用内存略大于可使用内存的情况，此为正常现象。 Redis的usedmemory超过maxmemory的原因 Redis通过zmalloc分配内存，不会在每一次分配内存时都检查是否会超过maxmemory，而是在周期任务以及命令处理的开头处等地方，判断一次当前的usedmemory是否超过maxmemory，如果超过就触发逐出操作。所以，对于maxmemory策略的限制实施并不是实时、刚性的，会出现某个时间usedmemory大于maxmemory的情形。 为什么带宽使用率指标会超过100% 带宽使用率基本信息如下: 指标ID 指标名称 含义 取值范围 测量对象&维度 监控周期（原始指标） bandwidthusage 带宽使用率 当前流量带宽与最大带宽限制的百分比 0200% 测量对象：Redis 4.0/5.0主备实例数据节点Redis 4.0/5.0 Cluster集群实例数据节点测量维度：dcsclusternode 1分钟 其中带宽使用率的计算公式为，带宽使用率（网络瞬时输入流量+网络瞬时输出流量）/（2最大带宽限制） 100% 从计算公式可知，同时计算了网络瞬时输入流量和网络瞬时输出流量，这两个指标值是有统计主从同步的流量的。所以统计的总流量使用量会比正常的业务流量大一些。 判断当前是否被限流，请使用流控次数这个指标，这个指标值大于0时，表示当前已经被使用带宽超过最大限制被流控。 限流时，流控次数指标是不统计主从同步流量的，所以有时候会出现带宽使用率指标超过100%，但流控次数为0的情况。

本文主要介绍弹性IP的价格说明。 独享带宽按带宽计费 独享带宽费用如下。 表独享带宽 按带宽计费标准价格表 产品规格 包月标准价格（元/Mbps/月） 按需标准价格（元/Mbps/小时） 15Mbps带宽部分 20 0.056 6Mbps及以上带宽部分 36 0.1 说明： 自2021年4月1日4:00起，按需计费方式的独享/共享带宽将计费单元由小时调整为秒。 例：您在13:30:30创建了一台按需按带宽计费的独享带宽，然后在13:55:30释放实例。 则：结算周期为13:00:00～14:00:00，在13:30:30～13:55:30间产生计费，该结算周期内的计费时长为1500秒。期间费用实例小时价格/36001500。 独享带宽按流量计费 用户可指定固定带宽值，按实际使用流量计费，流量只计出资源池方向流量。 表独享带宽按流量计费标准价格表 计费项 按需价格（元/GB） 流量费 0.36 共享带宽按带宽计费 按需计费的弹性IP可加入共享带宽，加入共享带宽后，弹性IP原本绑定的独享带宽失效且不再收费，只收取共享带宽的带宽费用。 表共享带宽按带宽计费标准价格表 计费项 包月标准价格（元/Mbps/月） 按需标准价格（元/Mbps/小时） 共享带宽 36 0.1

本文介绍用量查询。 功能说明 该模块可供客户查看带宽流量、连接数、并发连接数、区域运营商统计等指标。 操作指引 进入【统计分析】【用量查询】功能模块，即可通过筛选项进行组合查询带宽、流量、连接数、并发连接数、区域运营商等统计指标。筛选项包括域名、运营商、地区、时间。 带宽 界面中展示的是您所选域名、运营商、地区、时间范围内的带宽统计图表，带宽图中包括了带宽峰值和95带宽峰值，同时给出了查询时间范围内每日总流量、带宽峰值、峰值时间点。 流量 界面中展示的是您所选域名、运营商、地区、时间范围内的流量统计图表，流量图中包括了查询范围内的总流量，同时给出了查询时间范围内每日总流量、带宽峰值、峰值时间点。 连接数 界面中展示的是您所选域名、运营商、地区、时间范围内的连接数和并发连接数统计图表，可通过切换“连接数”和“并发连接数”的按钮查看连接数和并发连接数，连接数图表中包括了总连接数、连接数峰值、连接数谷值，以及查询时间内每日的连接数、并发连接数峰值、峰值时间点；并发连接数图表中包括了并发连接数峰值、并发连接数谷值，以及查询时间内每日的连接数、并发连接数峰值、峰值时间点。

本节介绍天翼AI云电脑(政企版)在网络流量方面的常见问题。 天翼AI云电脑使用的网络带宽和稳定的要求有多高？ AI云电脑普通办公大概5Mbit/s的带宽。对网络稳定性有一定要求，网络不稳定容易引起连接断开和卡顿，影响使用体验。因此为不影响使用，请确保网络处于良好的状态。 天翼AI云电脑会消耗我的手机流量吗? 连接天翼AI云电脑后，传输画面是需要消耗手机流量。 建议在WIFI网络环境下使用天翼AI云电脑APP，如果使用手机流量，可安装流量监控软件，以免造成流量消耗过多。 如何检测天翼AI云电脑网络状况？ 可以根据天翼AI云电脑工具栏网络状态查看网络数据，具体如下： 绿色：优良，网络时延0ms50ms，使用体验良好，无迟滞感； 黄色：一般，网络时延51ms100ms；使用体验一般，有轻微的迟滞感和卡顿； 红色：较差，网络时延101ms以上，使用体验差，有严重的迟滞和卡顿。 天翼AI云电脑可以访问互联网吗？ 天翼AI云电脑（政企版）默认是不可以，如果需要上网需要在控制台订购带宽，进行组网配置操作。带宽网络请参考上网带宽 天翼AI云电脑（公众版）提供配置的上网带宽，默认50M下行，2M/4M上行，可以访问互联网。

本章节主要向您介绍网络ACL配置示例。 网络ACL可以控制流入/流出子网的流量，当网络ACL和安全组同时存在时，流量先匹配网络ACL规则，然后匹配安全组规则。您可以灵活调整安全组的规则，并使用网络ACL作为子网的额外防护。以下为您提供了典型的网络ACL应用示例。 使用须知 在配置规则之前，请您先了解以下信息： 在网络ACL中，存在如下表所示的默认规则。当网络ACL中没有其他允许流量出入的自定义规则时，则匹配默认规则，拒绝任何流量流入或流出子网。 方向 生效顺序 策略 协议 源地址 源端口范围 目的地址 目的端口范围 入方向 拒绝 全部 0.0.0.0/0 全部 0.0.0.0/0 全部 出方向 拒绝 全部 0.0.0.0/0 全部 0.0.0.0/0 全部 您无需单独添加放通响应流量的规则，因为网络ACL是有状态的，允许响应流量流入/流出子网，不受规则限制。 拒绝外部访问子网内实例的指定端口 在本示例中，防止勒索病毒Wanna Cry对实例的攻击，因此隔离具有漏洞的应用端口，例如TCP 445端口。您可以为子网关联网络ACL，并添加对应入方向规则，如下表所示，其中目的地址10.0.0.0/24为需要防护的子网网段。 方向 生效顺序 类型 策略 协议 源地址 源端口范围 目的地址 目的端口范围 规则说明 入方向 1 IPv4 拒绝 TCP 0.0.0.0/0 全部 10.0.0.0/24 445 自定义规则01 入方向 2 IPv4 允许 全部 0.0.0.0/0 全部 10.0.0.0/24 全部 自定义规则02 入方向 拒绝 全部 0.0.0.0/0 全部 0.0.0.0/0 全部 默认规则 1. 网络ACL默认规则拒绝任何流量流入子网，因此需要先添加自定义规则02，放通入方向流量。 2. 添加自定义规则01，拒绝所有外部请求访问子网内实例的TCP 445端口。此时拒绝规则必须早于允许规则生效，因此需要将拒绝的规则插入到允许规则的前面。

本节介绍如何配置日志。 您可以将攻击事件日志、访问控制日志、流量日志记录到云日志服务（Log Tank Service，简称LTS）中，通过LTS记录的CFW日志数据，快速高效地进行实时决策分析、设备运维管理以及业务趋势分析。 LTS对于采集的日志数据，通过海量日志数据的分析与处理，可以为您提供一个实时、高效、安全的日志处理能力。 说明 防火墙支持通过“日志查询”查看并导出最近7天的日志数据，请参见“日志查询”。 LTS按流量单独计费。 配置日志 1. 登录管理控制台。 2. 在左侧导航栏中，单击左上方的，选择“安全> 云防火墙”，进入云防火墙的总览页面。 3. （可选）当前账号下仅存在单个防火墙实例时，自动进入防火墙详情页面，存在多个防火墙实例时，单击防火墙列表“操作”列的“查看”，进入防火墙详情页面。 4. 在左侧导航树中，选择“日志审计> 日志管理”，进入“日志管理”页面。开启对接云日志服务。 5. 创建日志组和日志流。操作步骤请参见“云日志服务> 快速入门 > 创建日志组和日志流”。 说明 为方便后续查看，建议您： 创建日志组时加入cfw为后缀。 创建日志流时分别为攻击事件日志、访问控制日志、流量日志加入attack、access、flow为后缀。 6. 选择已创建的日志组和日志流。选择日志组，开启并选择日志流，单击“确定”，完成日志配置。 说明 攻击、访问、流量日志的格式均不一样，需配置不同的日志流分别记录。 攻击日志：记录攻击告警信息，包括攻击事件类型、防护规则、防护动作、五元组、攻击payload等信息。 访问日志：记录命中ACL策略的流量信息，包括命中时间、五元组、响应动作、访问控制规则等信息。 流量日志：记录所有通过云防火墙的流量信息，包括开始时间、结束时间、五元组、字节数、报文数等信息。

本文汇总了使用虚拟私有云产品时常见的计费类问题。 VPC是否收费？ 不收费。 虚拟私有云VPC作为基础上云产品是免费的。VPC提供隔离的、私密的网络环境，使得您能够在一个安全可控、隔离的网络环境中实现云资源的高效管理和利用。 虚拟私有云具备丰富的产品特性，使得您可以自定义网络地址、路由表、安全组等。同时，虚拟私有云提供丰富的网络连接，可以满足云上虚拟私有云互访、公网访问、通过专线或者VPN与线下IDC互通等网络场景。 流量镜像是否收费？ 流量镜像公测期间创建的资源可免费提供服务，公测结束后创建的资源会收取费用。流量镜像产品收费对象包含如下两个计费项：实例费和流量处理费。具体收费方式可参考计费说明。 流量镜像功能可以将网络流量从弹性网卡镜像到其他指定的云服务器的网卡上，以便于应用到内容检查、监控分析、问题排查等场景。流量镜像搭配使用的其他云产品（例如弹性云主机）将会按照其自身的计费规则收取相应的费用，弹性云主机的计费详情可参考“计费说明”。 组播是否收费？ 组播在内测期间暂不收取费用。 内测结束后会转商用，商用具体的开始收费的时间会发布公告另行通知，包括计费相关规则及存量资源的计费方式，届时请以官网公告为准。组播搭配使用的其他云产品（例如弹性云主机）将会按照其自身的计费规则收取相应的费用，计费详情请参考“计费说明”。

本节介绍天翼AI云电脑(公众版)在网络流量方面的常见问题。 天翼AI云电脑使用的网络带宽和稳定的要求有多高？ AI云电脑普通办公大概5Mbit/s的带宽。对网络稳定性有一定要求，网络不稳定容易引起连接断开和卡顿，影响使用体验。因此为不影响使用，请确保网络处于良好的状态。 天翼AI云电脑会消耗我的手机流量吗? 连接天翼AI云电脑后，传输画面是需要消耗手机流量。 建议在WIFI网络环境下使用天翼AI云电脑APP，如果使用手机流量，可安装流量监控软件，以免造成流量消耗过多。 如何检测天翼AI云电脑网络状况？ 可以根据天翼AI云电脑工具栏网络状态查看网络数据，具体如下： 绿色：优良，网络时延0ms50ms，使用体验良好，无迟滞感； 黄色：一般，网络时延51ms100ms；使用体验一般，有轻微的迟滞感和卡顿； 红色：较差，网络时延101ms以上，使用体验差，有严重的迟滞和卡顿。 天翼AI云电脑可以访问互联网吗？ 天翼AI云电脑（公众版）提供配置的上网带宽，默认50M下行，2M/4M上行，可以访问互联网。 天翼AI云电脑（政企版）默认是不可以，如果需要上网需要在控制台订购带宽，进行组网配置操作。

本文主要介绍流量镜像工作原理。 以下为您介绍流量镜像的工作原理，以下图为例，在镜像会话中，关联了两个镜像源，一个筛选条件以及一个镜像目的，详细介绍如下： 镜像源01是弹性网卡B，弹性网卡B属于ECSB。本示例中，ECSB访问ECSA，需要镜像弹性网卡B的出方向和入方向流量。 镜像源02是弹性网卡C，弹性网卡C属于ECSC。本示例中，公网客户端访问ECSC，需要镜像弹性网卡C的入方向和出方向流量。 筛选条件包含流量的入方向规则和出方向规则。 镜像目的使用弹性负载均衡ELB实例，用来接受镜像的流量。 在下表中，以镜像源弹性网卡B和弹性网卡C为例，为您介绍网络流量的镜像原理。 镜像源 访问路径 报文 方向 说明 ::::: 弹性网卡B ECSB访问ECSA 请求报文：报文01 出方向 从ECSB发出的请求报文01，对弹性网卡B来说，属于出方向。当报文01匹配上筛选条件的出方向规则时，则将报文01镜像到ELB实例。 弹性网卡B ECSB访问ECSA 响应报文：报文02 入方向 从ECSA返回的响应报文02，对弹性网卡B来说，属于入方向。当该报文匹配上筛选条件的入方向规则时，则将报文02镜像到ELB实例。 弹性网卡C 公网访问ECSC 请求报文：报文03 入方向 从公网发出的请求报文03，对弹性网卡C来说，属于入方向。当报文03匹配上筛选条件的入方向规则时，则将报文03镜像到ELB实例。 弹性网卡C 公网访问ECSC 响应报文：报文04 出方向 从ECSC返回的响应报文04，对弹性网卡C来说，属于出方向。当报文04匹配上筛选条件的出方向规则时，则将报文04镜像到ELB实例。 筛选条件配置示例如下表所示，结合配置示例，为您介绍镜像会话是如何筛选网络流量的。 方向 优先级 协议类型 策略 类型 源地址 源端口范围 目的地址 目的端口范围 筛选示例说明 入方向 1 TCP 采集 IPv4 172.16.0.0/24 1000010001 10.0.0.3/32 8080 当网络流量进入镜像源的弹性网卡时，镜像会话将会镜像符合以下条件的报文：使用TCP (IPv4)协议，源地址网段为172.16.0.0/24、源端口为10000或者10001，目的地址为10.0.0.3/32、目的端口为80。 出方向 1 全部 不采集 IPv4 192.168.0.0/24 全部 10.2.0.0/24 全部 当网络流量从镜像源的弹性网卡出去时，镜像会话将不会镜像符合以下条件的报文：使用全部(IPv4)协议，源地址网段为192.168.0.0/24、源端口为全部，目的地址网段为10.2.0.0/24、目的端口为全部。

本文为您介绍如何将您的网站通过域名接入WAF实例进行防护。 开通云WAF SaaS版实例后，需要将您需要防护的网站域名接入WAF，使网站的访问流量全部流转到WAF进行检测并转发，实现恶意流量的拦截。 域名接入WAF后，WAF作为一个反向代理存在于客户端和服务器之间，服务器的真实IP被隐藏起来，Web访问者只能看到WAF的IP地址。 WAF SaaS版提供CNAME接入方式，可以防护通过域名访问的Web应用/网站，包括Web业务服务器部署在天翼云上、非天翼云或线下的域名。 CNAME接入流程 在WAF控制台添加需要防护的网站域名后，通过修改域名的DNS解析设置，将网站流量解析到WAF，使访问网站的流量经过WAF并受到WAF的防护。WAF将过滤和处理后的请求转发回该域名的源站服务器。接入流程如下： 1. 添加域名 ：配置域名、协议、源站等相关信息，详情请参见添加域名。 2. 放行WAF回源IP段 ：WAF使用特定的回源IP段将经过防护引擎检测后的正常流量转发回网站域名的源站服务器。网站接入WAF进行防护时，您需要设置源站服务器的安全软件或访问控制策略，放行WAF回源IP段的入方向流量，详情请参见放行WAF回源IP段。 3. 本地验证 ：添加域名后，在本地电脑上搭建简易的模拟环境，验证网站流量转发设置已经生效，避免转发设置未生效时修改域名的DNS解析设置，导致业务访问异常，详情请参见本地验证。 4. 修改域名DNS ：若域名在接入WAF前未使用代理，则需要到该域名的DNS服务商处，修改域名的DNS解析配置，将网站的流量解析到WAF；若域名在接入WAF前使用了代理（DDoS高防、CDN等），则需要将使用的代理类服务（DDoS高防、CDN等）的回源地址修改为的目标域名的“CNAME”值，详情请参见修改域名DNS。 说明 完成接入流程后，网站访问流量将经过WAF转发检测。WAF包含多种防护检测模块，帮助网站应对不同类型的安全威胁，其中Web基础防护模块默认开启，用于防御常见的Web应用攻击（例如SQL注入、XSS跨站、Webshell上传等），其他防护模块需要您手动开启并配置具体防护规则。

本章主要介绍删除特殊凭据或租户。 操作场景 在特殊凭据/租户没有作用之后，删除为流控策略添加的特殊凭据/租户。本节以删除特殊凭据为例。 操作场景 已创建流控策略。 已添加特殊凭据/租户。 删除特殊凭证 步骤 1 进入API网关控制台页面。 步骤 2 根据实际业务在左侧导航栏上方选择实例。 步骤 3 在左侧导航栏选择“API管理 > API策略”。 步骤 4 在“策略管理”页面，单击待删除特殊凭据的流量控制策略的名称，进入流量控制详情页面。 步骤 5 单击“特殊凭据”，进入“特殊凭据”页面。 步骤 6 在待删除的特殊凭据所在行，单击“删除”，弹出“删除特殊凭据”对话框。 步骤 7 单击“确定”，完成对特殊凭据的删除。 删除特殊租户 步骤 1 进入API网关控制台页面。 步骤 2 根据实际业务在左侧导航栏上方选择实例。 步骤 3 在左侧导航栏选择“API管理 > API策略”。 步骤 4 在“策略管理”页面，单击待删除特殊租户的流量控制策略的名称，进入流量控制详情页面。 步骤 5 单击“特殊租户”，进入“特殊租户”页面。 步骤 6 在待删除的特殊租户所在行，单击“删除”，弹出“删除特殊租户”对话框。 步骤 7 单击“确定”，完成对特殊租户的删除。

参数 说明 温州 办公点 杭州办公点 宁波办公点 名称 VPN连接的名称。 connection1 connection2 connection3 VPN网关 选择已经创建的VPN网关。 vpngateway1 vpngateway1 vpngateway1 用户网关 选择已经创建的用户网关。 usergateway1 usergateway2 usergateway3 路由模式 支持目的路由和感兴趣流两种路由模式。 目的路由 目的路由 目的路由 协商生效 支持立即协商和流量触发两种协商方式。 流量触发 流量触发 流量触发 认证方式 支持密钥认证和证书认证两种认证方式。 密钥认证 密钥认证 密钥认证 预共享密钥 设置自定义密钥。 ctyun01 ctyun01 ctyun01 确认密钥 设置确认密钥。 ctyun01 ctyun01 ctyun01

本章节主要介绍如何实现数据面sidecar升级过程中，不中断服务的业务流量。 应用服务网格作为集群网络管理的重要工具，为网格内的服务提供流量治理与流量监控的能力。sidecar作为应用服务网格数据面的重要组件，需要依赖服务业务pod的更新来实现sidecar的升级和重新注入。 配置服务实例数 为保证您的服务在sidecar升级的过程中不中断业务流量，首先确保您的服务实例数大于等于2，升级策略为滚动升级（rollingUpdate）。 相关滚动升级策略如下，供参考： kubectl get deploy nginx n namespacename oyaml grep strategy a10 添加readiness探针 添加readiness探针，可以保证您的新实例pod在真正准备就绪时，才开始接管业务流量。这就避免了在新的实例pod未启动时，接管业务流量造成的访问不通问题。 相关配置如下： kubectl get deploy nginx n namespacename oyaml grep readinessProbe a10 配置项说明： readiness探针配置项：deployment.spec.template.spec.containers[i].readinessProbe 其中，包括探针检查初始时间，检查间隔，超时时间等配置。 设置服务就绪时间 服务就绪时间，minReadySeconds：用于标识pod的ready时间至少保持多长时间，才会认为服务是运行中。 相关配置如下： kubectl get deploy nginx n namespacename oyaml grep minReadySeconds a1

企业账号是否有调试域名每天最多可以访问1000次的限制？ 有。每个子域名（调试域名）每天最多可以访问1000次的限制同样适用于企业账号。 API的流量控制策略不生效怎么处理？ 如果流控策略的API流量限制或源IP流量限制不生效，检查API是否绑定流控策略。 如果流控策略的用户流量限制不生效，检查API的安全认证方式是否为APP认证或IAM认证。 如果流控策略的应用（凭据）流量限制不生效，检查API的安全认证方式是否为APP认证。 调用绑定JWT认证策略的API报“Public key does not exist” 如果JWT认证策略的公钥获取方式为“定时拉取”，请检查填入的JWKSURI远程服务是否运行正常，调用该地址是否有JWKS公钥响应返回；此外，请检查返回的公钥是否符合正确的JWKS格式。 请检查请求携带Token中的kid，是否与JWKS中某一个公钥的kid匹配；网关会使用kid查找对应的公钥，如果JWKS中没有匹配的公钥，则会报错公钥不存在。

流量类型 标准资费（元/G） 对象存储流量 0.5

本文主要介绍弹性负载均衡异常检查类的常见问题。 为什么通过负载均衡无法访问后端业务？ 问题描述 当出现以下问题时，可以参考本章节排查解决。 可以直接访问后端业务，但是无法通过负载均衡访问后端业务。 通过私网IP可以访问负载均衡，但是公网IP无法访问负载均衡。 后端服务器健康检查异常。 背景介绍 客户端通过负载均衡访问云主机流量可参看如下介绍。 公网客户端的流量经过EIP传送到负载均衡器；私网客户端的流量直接通过私网IP传送到负载均衡器。 负载均衡器根据监听器配置的前端协议/端口，将流量转发给匹配到的监听器。 监听器首先判断后端云主机的健康检查是否正常，只有健康检查为正常时，才会转发流量给后端云主机。 监听器会根据后端服务器的权重和分配策略，转发流量给相应的后端服务器。 通常情况下，客户端通过负载均衡器无法访问后端云主机可能原因包括安全控制和健康检查配置问题。 建议您按照从后端到前端的顺序进行排查，从而帮助您快速找到问题的原因。 排查思路 步骤一：排查是否可直接访问后端云主机 使用客户端直接访问后端云主机，确认后端云主机配置和业务配置无问题。 可以通过客户端直接访问后端云主机的IP地址来快速定界是ELB配置问题，还是后端云主机本身业务配置问题。使用客户端直接访问后端云主机时，请注意放通客户端到后端云主机之间的网络ACL。

本章节为您解决数据安全专区产品相关的问题。 数据安全专区支持哪些计费方式？ 目前数据安全专区的产品套餐（包括数据分类分级、数据脱敏与水印）为包周期，包年8.33折，服务套餐（数据分类分级服务、数据安全咨询规划服务）为一次性计收计费，注意不支持退订。 数据安全专区是否支持试用？ 产品套餐（包括数据分类分级、数据脱敏与水印）支持试用730天，服务套餐（数据分类分级服务、数据安全咨询规划服务）不支持试用。 购买数据安全产品是否还要额外购买云主机、弹性IP？ 数据分类分级、数据脱敏与水印不需要额外购买云主机和弹性IP，开通成功后点击管理即可使用产品。 数据脱敏可以应用于哪些场景？ 数据共享交换：灵活策略 为了确保数据安全，数据提供方需要按照需求方的实际用途对数据进行脱敏处理并添加水印信息。在数据开放时，提供方需要筛选出可开放字段，对不可开放字段进行脱敏处理。可通过数据脱敏与水印系统基于用户业务情况制定不同的脱敏策略，灵活遮蔽、清洗各类敏感数据。 开发测试环境：规避风险 在业务系统开发测试过程中，为确保数据质量存在直接引用生产数据的情况。可通过数据脱敏与水印系统一致性脱敏算法，将生产数据经过脱敏处理后导入开发测试环境，在保证数据的“真实性”的同时规避生产数据泄漏的风险。 共享数据泄漏：溯源追责 当数据被共享给第三方后，第三方有责任对数据进行有效保护。可通过数据脱敏与水印系统将三方单位信息、共享时间等信息以数据水印的方式嵌入到共享数据中。一旦发生数据泄漏，用户只需提供少量的泄漏数据样本就可以通过嵌入的水印信息溯源泄漏源头，明确责任方并采取相应的追责措施。 数据分析计算：隐私保护 数据脱敏与水印系统支持保留计算特征的脱敏方式，在剔除数据敏感性的同时最大程度保留AI建模相关数据的可用性。可通过数据脱敏与水印系统对个人识别信息进行脱敏处理，可完成数据去标识化且不影响统计分析结果，确保个人隐私安全。