管控路由 路由表 在云间高速网络中，云企业路由器是一种连接网络并转发网络流量的重要设备。云企业路由器通过查询路由表中的路由条目信息，将网络流量准确地转发到目标网络。 每个云企业路由器都默认携带一个默认路由表，但您可以根据需要为云企业路由器创建自定义路由表。两个路由表之间互不相通，有助于实现访问隔离。 关联转发 关联转发功能控制网络实例的流量转发。网络实例通过与云企业路由器建立关联转发关系，可以将流量进行转发。云企业路由器则会通过查询路由表中的路由条目信息，来转发网络实例的流量。 一个网络实例只能与云企业路由器建立一种关联转发关系。 自定义路由条目 云企业路由器路由表支持添加自定义路由条目。您可以通过在云企业路由器路由表中添加自定义路由条目辅助控制网络实例流量的转发。 路由策略 路由策略功能可精准控制企业版转发路由器路由表中的路由传播。借助路由策略，您能够自主决定是否将企业版转发路由器路由表内的路由传播至网络实例，或是其他地域的转发路由器。不仅如此，您还能利用路由策略对企业版转发路由器路由表中路由的属性进行修改。 当您添加路由策略时，需选定与该路由策略相关联的企业版转发路由器路由表。值得注意的是，路由策略仅对其关联的路由表内的路由进行过滤和属性修改操作。

本文为您介绍弹性IP产品的收费项目。 弹性IP费用（后文称EIP保有费），弹性IP服务提供合法的公网IPv4地址资源，用于云资源的互联网访问。弹性公网IP必须配合带宽使用，带宽分为独享带宽和共享带宽，带宽单独计费，计费方式分为包年包月按带宽计费、按需按带宽计费、按需按流量计费。 弹性公网IP加入到包年/包月共享带宽中，若共享带宽到期后不续费，则会自动给每个弹性公网IP分配一个按需按流量计费的独享带宽，之后将按照按需按流量计费方式收费，如果共享带宽到期后，其中的弹性公网IP不再需要，请及时释放。

计费项 高级版资费 企业版资费 计费单位 基础套餐 2800 9600 元/月 公网流量处理能力扩展 50 50 元/Mbps/月 可防护公网IP数扩展 50 50 元/个/月 VPC边界防火墙实例数扩展包 2000 元/个/月 VPC流量处理能力扩展包 50 元/10Mbps/月

本章节向您主要介绍企业路由器的产品价格内容。 企业路由器目前支持按需计费方式，并按企业路由器中实际创建的连接数、流经企业路由器的流量收取费用。 下表是企业路由器的价格说明。 收费项 收费价格 连接费用 0.4元/个/小时 流量费用 0.13元/GB

本文帮助您快速了解负载均衡器功能作用及天翼云不同类型的负载均衡器。 负载均衡器是弹性负载均衡中分配和管理网络流量的关键组件，是承载业务的负载均衡服务实例，其作用是根据预先设定的规则，接收来自客户端的请求流量，并将流量分配到一个或多个可用的后端主机，以确保系统的稳定性和高可用性。创建负载均衡器后，您还需要添加监听器和后端主机，然后才能使用负载均衡服务提供的功能。 性能保障型和经典型负载均衡器 依据不同产品性能，天翼云提供性能保障型负载均衡器和经典型负载均衡器，您可以根据实际需求选择适合的配置。 性能保障型负载均衡 性能保障型负载均衡适用于对性能有较高要求的应用场景，能够提供更强大的性能和扩展能力。性能保障型负载均衡为收费产品，为集群模式部署，支持经典型升级为性能保障型，支持规格升级、降级。 经典型负载均衡 经典型负载均衡适用于访问量较小，应用模型简单的web业务，可满足大部分应用程序的负载均衡需求，具备基本的流量分发和健康检查功能。经典型负载均衡为免费规格，同VPC内多实例性能共享，为主备模式部署。

云产品 应用场景 描述 相关操作 弹性公网IP 单个ECS连接公网 申请一个弹性公网IP（EIP）并将其绑定到ECS上，ECS即可连接公网，实现主动访问公网或面向公网提供服务。 支持动态绑定和解绑ECS。可以使用共享带宽和共享流量包，降低公网成本。 使用EIP连接公网 （地址：文档VPC快速入门《搭建IPv4网络》） NAT网关 多个ECS共享弹性公网IP连接公网 NAT网关提供SNAT和DNAT两种功能：SNAT可实现同一VPC内的多个ECS共享一个或多个EIP主动访问公网， 有效降低管理成本，同时减少了ECS的EIP直接暴露的风险。DNAT功能还可以实现端口级别的转发， 将EIP的端口映射到不同ECS的端口上，使VPC内多个ECS共享同一EIP和带宽面向公网提供服务，但没有均衡流量的功能。 使用SNAT连接公网 （地址：文档NAT网关快速入门《使用SNAT连接公网》）， 使用DNAT面向公网提供服务（地址：文档NAT网关快速入门《面向公网提供服务》） 弹性负载均衡 通过将访问流量均衡分发到多个ECS的方式对外提供服务， 比如电商等高并发访问场景 弹性负载均衡（ELB）可以将访问流量均衡分发（支持4层和7层两种方式）到多个后端ECS上， 通过绑定EIP支撑海量用户从公网访问ECS。通过流量分发扩展应用系统对外的服务能力， 通过消除单点故障提升应用系统的可用性。 弹性负载均衡介绍 （地址：文档弹性负载均衡产品介绍）

接口功能介绍 查询桶统计信息 1. 传bucket参数，表示查询该桶的统计信息 2. 不传bucket参数，表示查询所有桶的统计信息，即该用户所有桶的统计信息 统计项：  1). 每个小时累计的请求次数  2). 每个小时累计的公网流出流量  3). 每个小时累计的数据取回流量，仅在归档、低频存储类型时有此指标，归档的取回指归档对象解冻，低频的取回指低频对象的下载  4). 每个小时累计的数据取回次数，仅在归档、低频存储类型时有此指标，归档的取回指归档对象解冻，低频的取回指低频对象的下载  5). 存储容量在每个整点的值  6). 每个小时累计的跨域复制公网流出流量 计算方法：  1). 公网流出流量为通过公网调用GetObject接口访问、下载、预览文件或者进行图片处理操作产生的流量总值。  2). 请求次数为读操作API、写操作API和删除操作API的总值，其中，请求次数为公网请求数加内网请求数的总值。 接口约束 支持所有一类节点资源池。仅支持最近 30 天内的统计信息查询。使用量统计存在时延，如需查询上一小时用量，建议在当前时间 30 分钟后再发起请求。 URI GET /v4/oss/getbucketstatistics 路径参数 无 Query参数 参数 是否必填 参数类型 说明 示例 下级对象 bucket 否 String 存储桶名 bucket1 regionID 是 String 区域ID 332232eb63aa465e902852e5123866f0 startTime 是 String 日期小时 格式的时间字符串，时区为 UTC 时区 2023021305 endTime 是 String 日期小时 格式的时间字符串，时区为 UTC 时区 2023021307

适用场景 函数业务流量具有明显的周期性活动或可预测的流量高峰。 配置示例 一个典型的定时伸缩场景是：在函数调用流量高峰到来前（时刻t1），通过一个定时配置将预留实例配置在较高的水位；当流量减小后（时刻t2），通过另一个定时配置将预留实例配置在较低的水位。如下图所示。 给函数配置预留实例，依次进入高级功能 弹性管理 预留实例数策略 ，点击创建预留实例数策略 ， 详情请参考配置预留实例数。 最大可响应并发值 根据实例并发数的不同，函数实例可响应的最大并发值计算方式如下： 单实例单并发 最大可响应并发值 函数实例数量 单实例多并发 最大可响应并发值 函数实例数量 × 单实例并发度 相关文档 按量模式和预留模式实例的基本概念及计费方式，请参考实例类型及使用模式。 您可以通过配置并发实例数限制某个函数的实例数，具体请参考并发实例数上限配置。 如果您想提高预留实例使用率，减少资源浪费，请参考配置预留实例数。

本文主要介绍工作原理。 弹性负载均衡的工作原理如下： 客户端向您在天翼云搭建的应用程序发出请求。 您的负载均衡器中监听器接收与您配置的协议和端口匹配的请求。 您的监听器再根据您的配置将请求转发至相应的后端主机组。如果配置了转发策略，监听器会根据您配置的转发策略评估传入的请求，如果匹配，请求将被转发至相应的后端主机组。 您的后端主机组中健康检查正常的后端主机将根据分配策略和您在监听器中配置的转发策略的路由规则接收流量，处理流量并返回客户端。 客户端请求的流量分发与负载均衡器所绑定的监听器配置的转发策略和后端主机组配置的分配策略类型相关。

参数 说明 华东1 青岛2 0 名称 VPN连接的名称。 connection1 connection2 VPN网关 选择已经创建的VPN网关。 vpngateway1ipsec vpngateway2ipsec 用户网关 选择已经创建的用户网关。 usergateway1 usergateway2 路由模式 支持目的路由和感兴趣流两种路由模式。 目的路由 目的路由 协商生效 支持立即协商和流量触发两种协商方式。 流量触发 流量触发 认证方式 仅支持证书认证。 证书认证 证书认证 认证选择 选择要绑定的证书。 certvpn1 certvpn2 RemoteId 远端用户网关证书的名称，需要从证书中获取，目前国密只支持DN格式名称。 /CNvpn2.home.gm.sig/OUctyun/Octyun/Ccn /CNvpn1.home.gm.sig/OUctyun/Octyun/Ccn

计费项 计费说明 数据库实例 按照您选择的实例规格计费。针对实例暂只提供按需（小时）计费方式，后续计划支持包年包月计费模式。 数据库存储 按照您选择存储空间收费。 备份存储（可选） GeminiDB Redis的备份数据存储在对象存储上。购买实例存储空间后，GeminiDB Redis将同比例赠送备份存储空间，用于存储备份数据。 例如，您购买的实例存储空间为100GB时，会得到赠送的100GB备份存储空间。当备份数据没有超出100GB，将免费存储在对象存储上； 当备份数据超出100GB，超出部分将根据实例集群备份空间价格进行计费。 公网流量（可选） GeminiDB Redis实例支持公网访问，公网访问会产生带宽流量费；GeminiDB Redis实例在云内部网络产生的流量不计费。

容灾能力 地域级或可用区级容灾，取决于数据中心选址。 RPO：秒级~分钟级，取决于同步延迟。 RTO：一般为分钟级，需要等待同步延迟追平。 异地数据双活 适用场景 用户的业务应用部署在云上两个地域或可用区作为两个数据中心，数据中心资源不闲置，两个中心同时对外提供服务，期望每个数据中心承载一部分完整的流量调用，不受物理距离约束，灾难发生时可以互相接管。 架构特点 两个数据中心之间的距离没有特殊限制。 应用、数据库、中间件等两地冗余部署，同时对外提供服务。 业务流量中心内闭环，数据库、中间件数据双向同步。 建设成本 开通新地域或可用区作为扩展中心。 应用、数据库、中间件等两地冗余部署。 数据库、中间件数据双向同步。 业务能够选取合适的维度进行数据分片和流量路由。 业务流量带标改造，业务代码处理路由标、中间件升级改造。 容灾能力 地域级或可用区级容灾，取决于数据中心选址。 RPO：秒级~分钟级，取决于同步延迟。 RTO：一般为分钟级，需要等待同步延迟追平。

本文介绍了云防火墙的变配规则。 创建云防火墙实例后，如果当前实例配置无法满足您的业务需求，您可以修改实例规格。您可以对实例的可防护公网IP数、公网流量处理能力数值进行调整，升配和降配均可支持。 可防护公网IP数可支持的规格范围是20个2000个。 公网流量处理能力可支持的规格范围是10Mbps2000Mbps。 计费场景 某用户于2023/09/30 购买了一套1个月的云防火墙标准版，默认规格配置如下： 防护互联网边界公网IP数：20个 防护互联网边界的流量峰值：10 Mbit/s 用了一段时间后，用户发现云防火墙当前规格无法满足业务需要，于2023/10/15 进行了升级，升级后规格配置如下： 防护互联网边界公网IP数：30个 防护互联网边界的流量峰值：100 那么在9~10月份，共计花费了多少钱呢？ 计费构成分析 云防火墙标准版本费用：2800元/月 扩展包费用：扩展10个EIP，共计花费500元，因升配时间为月中，本月需要花费250元；扩展带宽90Mbit/s，共计花费4500元，本月需要花费2250元。扩展包费用总计需要花费2500元。 本月实际总计费用为：2800元+2500元5300元。

步骤 1 在ELB管理控制台上，记录任一独享引擎实例的流量权重后，将该实例的流量权重设置为“0”。新的请求不会转发到权重为0的后端。 步骤 2 待业务流量降下来后，升级独享引擎实例版本。查看独享实例的云监控信息，“新建连接数”较小时（例如，小于5），说明业务流量已经降下来。 1. 在WAF控制台的左侧导航树中，选择“系统管理 > 独享引擎”，进入“独享引擎”页面。 2. 在目标实例所在行的“操作”列，单击“升级”。 3. 在弹出的对话框中，确认并勾选业务已满足提示框中所描述的相关配置后，单击“确定”，升级实例版本。升级大约需要5分钟。 步骤 3 在独享引擎实例所属VPC下的任一台ECS上，执行curl命令，验证业务是否正常。 HTTP业务 curl http:// WAF独享引擎实例IP : 业务端口 H "host：业务域名 " H "UserAgent: Test" HTTPS业务 curl https:// WAF独享引擎实例IP : 业务端口 H "host：业务域名" H "UserAgent: Test" 检查业务是否正常，如果业务正常，请执行步骤4；如果业务异常，请参照业务中断排查排查故障后，再执行步骤4。 说明 执行curl命令的主机需要满足以下条件： 网络通信正常 已安装curl命令。Windows操作系统的主机需要手动安装

本节介绍当网站通过独享型方式接入WAF防护时，如何开启IPv6防护。 如果需要对网站的IPv6请求流量进行防护，需要在购买WAF独享版实例时，选择已开启IPv6功能的VPC和子网。 开启IPv6功能后，所有IPv6请求将先流转到WAF，WAF检测并过滤恶意攻击流量后，将正常流量转发给源站，实现恶意流量的拦截。 步骤一：子网开启IPv6 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“网络 > 虚拟私有云”。 4. 选择对应的虚拟私有云，选择对应子网，点击子网后的“修改”进入修改子网页面，勾选“开启IPv6”，单击“确定”。 步骤二：购买WAF独享版实例 在产品订购页面，选择已开启IPv6功能的子网 ，其他参数配置请参见购买WAF独享版实例。 步骤三：接入WAF防护 网站通过独享型接入方式接入WAF防护时，选择上述支持IPv6功能的实例，网站将自动开启IPv6防护。 详细操作请参见将网站接入WAF防护（独享型接入）。

本节介绍了遭受DDoS攻击如何向网监报案。 当您的业务遭受大规模DDoS攻击，除了使用DDoS高防（边缘云版）服务来保障您的业务安全与稳定，也建议您立即向网监部门进行报案。 报案流程 1. 遭受到大规模DDoS攻击后，您可尽快向当地网监部门进行报案，并根据网监部门的要求提供相关信息。 2. 网监部门判断是否符合立案标准，并进入网监处理流程。（具体立案标准请向您当地的网监部门进行咨询） 3. 正式立案后，天翼云将配合网监部门接口人提供攻击取证等信息。 天翼云能提供什么相关证据？ 您的报案在网监部门立案后，天翼云将配合网监部门提供以下协助： 天翼云会及时响应网监部门的协助调查要求，配合开展工作。 天翼云会配合网监部门，向网监接口人提供您在天翼云平台上的业务的流量日志、遭受的攻击详情等。 说明 向网监部门提供的流量日志、攻击详情等信息将作为法律证据，因此无法直接提供给您。您可以在天翼云控制台中自行查看攻击流量的相关信息。 天翼云作为证据提供方，不对流量日志和攻击信息等进行分析，直接给出谁是攻击者的结论。

本文介绍全站加速高额账单出现的场景，潜在风险提示及应对方案。 当您的网站举行大型推广营销活动、域名受到恶意攻击或者网站被盗刷时，易产生突发的超出日常使用的带宽及流量，而由于这部分流量及带宽实际消耗了天翼云全站加速的带宽资源，所以需要您自行承担因此产生的流量、带宽、请求数的费用。 天翼云全站加速是面向公共的内容加速服务，不承担防止网络攻击的义务。当前仅具备基础的访问控制等防护能力，包括：IP黑/白名单、Referer防盗链、UA黑/白名单、URI黑/白名单、URL鉴权配置、全网带宽控制、有序回源等，不具备高阶的安全防护能力，无法防护所有的攻击行为。如果您的加速域名有被攻击风险或正在遭受攻击，建议购买天翼云边缘安全加速平台的相关产品保证域名的正常使用。 高额账单出现场景 场景一：特殊营销推广活动 某些金融网站经常不定期承办一些推广营销活动，如纪念币发行、优惠券发放等，客户往往无法预估活动期间的实际用户访问量级，易产生突发带宽。 场景二：网站受到恶意攻击 当网站域名受到恶意攻击时，天翼云全站加速会在边缘侧先进行一层防护，抵挡攻击流量，但是也因此消耗了部分带宽资源，易产生突发带宽。

本文主要介绍等保合规能力说明。 查项分类 安全控制点 等保合规检查项 风险等级参考 云防火墙CFW提供的对应能力说明 相关功能介绍 安全通信网络 网络架构 应避免将重要网络区域部署在边界处，重要网络区域与其他网络区域之间应采取可靠的技术隔离手段。 高 将重要网络区域隔离，使用云防火墙CFW实现业务流量的访问控制，并对恶意访问进行识别和拦截。 应用场景 安全通信网络 网络架构 应具有根据云服务客户业务需求提供通信传输、边界防护、入侵防范等安全机制的能力。 中 通过云防火墙自动识别业务在互联网的威胁暴露面，提供云上互联网边界的防护，入侵防御引擎对恶意流量实时检测和拦截。 应用场景 安全区域边界 边界防护 应能够对内部用户非授权连到外部网络的行为进行限制或检查。 高 云防火墙实现南北向访问的网络流量分析、全网流量可视化、对主动外联行为的分析和阻断、开通或变更白名单策略。 功能特性 安全区域边界 边界防护 应能够对非授权设备私自联到内部网络的行为进行限制或检查。 中 云防火墙实现南北向访问的网络流量分析、全网流量可视化、对主动外联行为的分析和阻断、开通或变更白名单策略。 功能特性 安全区域边界 边界防护 应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信。 中 云防火墙实现南北向访问的网络流量分析、全网流量可视化、对主动外联行为的分析和阻断、开通或变更白名单策略。 功能特性 安全区域边界 入侵防范 应在关键网络节点处检测、防止或限制从外部发起的网络攻击行为。 高 云防火墙实现对互联网上的恶意流量入侵活动和常规攻击行为进行实时阻断和拦截。 功能特性 安全区域边界 入侵防范 应在关键网络节点处检测、防止或限制从内部发起的网络攻击行为。 高 云防火墙实现云上资产对外流量的主动外联、失陷感知等出方向流量分析和攻击防护及访问控制。 功能特性 安全区域边界 入侵防范 当检测到攻击行为时，记录攻击源IP、攻击类型、攻击目的、攻击时间，在发生严重入侵事件时应提供报警。 中 云防火墙提供对业务流量中的攻击行为的检测和记录，并能根据策略设置提供攻击流量阻断功能，记录风险级别、事件名称、源IP、目的IP、方向、判断来源、发生时间和动作。 功能特性 安全区域边界 访问控制 应在网络边界或区域之间根据访问控制策略设置访问控制规则，默认情况下受控接口拒绝除允许通信外的所有通信。 高 云防火墙实现统一管理互联网到业务的南北向访问策略和业务，达到协议、端口、应用级访问控制粒度。 管理访问控制策略 安全区域边界 访问控制 应删除多余或无效的访问控制规则，优化访问控制列表，并保证访问控制规则数量最小化。 中 云防火墙提供策略命中计数功能，客户可以根据命中情况，及时调整策略的设置，确保没有冗余的策略。云防火墙访问控制策略可配置优先级，您可以根据业务需求优化访问控制列表。 管理访问控制策略 安全区域边界 访问控制 应对源地址、目的地址、源端口、目的端口和协议等进行检查，以允许或拒绝数据包进出。 高 云防火墙实现对进出访问控制策略进行严格设置。访问控制策略包括源类型、访问源、目的类型、目的、协议类型、目的端口、应用协议、动作、描述和优先级。 管理访问控制策略 安全区域边界 访问控制 应能根据会话状态信息为进出数据流提供明确的允许/拒绝访问的能力，控制粒度为端口级。 中 云防火墙对互联网上的恶意流量入侵活动和常规攻击行为进行实时阻断和拦截。 管理访问控制策略 安全区域边界 访问控制 应对进出网络的数据流实现基于应用协议和应用内容的访问控制。 中 云防火墙实现跨流量的应用协议、内容的访问控制。 管理访问控制策略 安全区域边界 安全审计 应在网络边界、重要网络节点进行安全审计，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计。 高 云防火墙提供日志审计功能，可以记录所有流量日志、事件日志和操作日志。 日志审计 安全区域边界 安全审计 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。 中 云防火墙提供日志记录事件功能，包括：时间、威胁类型、方向、源IP和目的IP、应用类型、严重性等级以及响应动作等信息。 日志审计 安全区域边界 安全审计 应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等。 中 云防火墙提供日志分析功能，对已分析的日志，默认提供存储6个月内的日志数据，并提供实时日志分析能力。 日志审计 安全区域边界 安全审计 应能对远程访问的用户行为、访问互联网的用户行为等单独进行行为审计和数据分析。 中 云防火墙提供日志分析功能，对已分析的日志，默认提供存储6个月内的日志数据，并提供实时日志分析能力。 日志审计

本章节介绍如何配置WEB行为 配置WEB行为 在Web行为分析中，可以对Web类型的埋点资源进行监控，以便在满足某种规则时触发自定义处理行为。例如，如果某个Web接口触发了流控规则，则可以返回"Blocked by Sentinel"的提示文本。 新增行为 1. 登录微服务治理控制台。 2. 在控制台左侧导航栏中选择应用治理。 3. 在应用治理页面的应用卡片页签单击目标应用卡片。 4. 进入应用之后，在左侧导航栏，单击流量防护，在流量防护 防护配置 行为管理，单击新增行为，在新增行为对话框中完成以下配置，然后单击新建。 修改或删除行为 1. 登录微服务治理控制台。 2. 在控制台左侧导航栏中选择应用治理。 3. 在应用治理页面的应用卡片页签单击目标应用卡片。 4. 进入应用之后，在左侧导航栏，单击流量防护，在流量防护 防护配置 行为管理。 5. 行为列表页，您可以查看各个行为的具体描述，修改或删除行为。 关联行为 1. 登录微服务治理控制台。 2. 在控制台左侧导航栏中选择应用治理。 3. 在应用治理页面的应用卡片页签单击目标应用卡片。 4. 在左侧导航栏选择规则管理，在流控规则页签单击新增流控规则，然后在弹出的对话框中配置规则信息。 5. 完成选择防护场景和配置防护规则后，在配置限流行为区域，完成下列设置： 选择接口类型为Web；在关联行为的下拉列表中选择目标行为进行关联，或单击新增行为来创建新的行为进行关联。

名词 说明 子网（subnet）是指在一个大的网络范围内，为了更好地进行资源管理，而将网络划分成的小型网络。每个子网有一个唯一的IP地址序列，可用于分配给该子网中的主机和其他网络设备。子网是虚拟私有云中的一个IP地址段，虚拟私有云中的所有资源都必须部署在子网上。 可用区资源池：路由表用于控制虚拟私有云的流量走向，路由表分为默认路由表和自定义路由表两种类型。默认路由表随着VPC自动创建，所有新建子网与默认路由表关联，不能创建也不能删除默认路由表，但可以在默认路由表中创建自定义路由规则。地域资源池：分为VPC级路由表和子网级路由表，VPC级路由表用于控制整个VPC粒度的网络流量，子网路由表和子网关联后用于控制子网粒度的网络流量。 虚拟IP（Virtual IP Address，简称VIP）是一个从子网中分配的一个内网IP地址，没有分配给真实弹性云主机网卡。虚拟IP地址拥有私有IP地址同样的网络接入能力，用户也可以像主私网IP地址一样通过虚拟IP去访问弹性云主机。您可以通过将虚拟IP与主备弹性云主机绑定，根据是否需要访问公网可以为虚拟IP绑定一个弹性IP，配合高可用软件（例如Keepalived）使用，实现业务的高可用。 安全组是一个逻辑上的分组，为同一个虚拟私有云内具有相同防护需求的弹性云主机、物理机提供安全访问策略。安全组创建后，用户可以根据业务需求自定义防护规则，当弹性云主机、物理机加入该安全组后，即受到这些访问规则的保护。 网络ACL是一个子网级别的流量防护规则，您可以自定义配置网络ACL规则，并将网络ACL与子网关联，通过出方向/入方向规则管理出入子网的流量，实现对子网中云服务器实例流量的访问控制。安全组对云主机、物理机等实例进行防护，网络ACL对子网进行防护，两者结合起来，可以实现更精细、更复杂的安全访问控制。 流量镜像（Traffic Mirror）功能可以将网络流量从一个或多个源端口复制到一个目标端口，以便进行分析、监控和调试。流量镜像主要是复制网卡上的流量并筛选出符合条件的报文，因此它可以在不影响网络性能的情况下，捕获和记录网络流量，帮助管理员诊断网络故障、检测网络攻击和优化网络性能。 IPv4网关是连接虚拟私有云和公网的网络组件。虚拟私有云访问IPv4公网的流量经过IPv4网关，由IPv4网关实现路由转发以及私网地址到公网地址的转换，最终实现对公网的访问。对于地域资源池，没有IPv4网关产品概念。 弹性网卡是虚拟私有网络VPC中的虚拟网络接口，用于连接ECS与私有网络。弹性网卡可以灵活的绑定/解绑云服务器，实现云服务器和网络的解耦。 NAT网关（NAT Gateway）是一种支持 IP 地址转换的网络云服务，能够为虚拟私有云内的计算实例提供网络地址转换，天翼云NAT网关分为SNAT和DNAT两个功能，通过SNAT可使多个弹性云主机共享使用弹性IP访问Internet。通过DNAT可使多个弹性云主机提供互联网服务。 对等连接（VPC Peering Connection）是指两个同一区域内的VPC之间的网络连接。用户可以使用私有IP地址在两个VPC之间进行内网通信，就像两个VPC在同一个网络中一样。用户可以在自己帐号的VPC之间创建对等连接，也可以在自己账号的VPC与同一区域内其他帐号的VPC之间创建对等连接。 VPC终端节点（VPC Endpoint，CTVPCEP）使您能够将 VPC 私密地连接到终端节点服务（天翼云服务、 用户私有服务），该连接使用天翼云内部网络进行连接，不再绕行公网，为您提供性能更加强大、更加灵活的网络。VPC终端节点为您提供“终端节点服务”和“终端节点”两种资源。

本章节介绍如何为应用设置公网访问 概述 应用发布到K8s集群后，无法直接被外部访问，可为应用添加公网负载均衡来实现应用的公网访问。 设置公网访问 前提条件 已订购开通公网弹性负载均衡实例（需与应用所发布环境相同VPC），并导入到环境。 添加负载均衡(公网)访问方式 左侧导航栏，选择容器应用实例 > 应用发布 > 应用实例。点击需要设置公网的应用实例，进入应用实例详情页面，左下角访问方式配置出，添加负载均衡（公网）。 服务名称：输入合法名称即可 选择ELB：选择订购成功的公网ELB 外部流量策略：建议选择Cluster流量策略，网络插件cubecni的云容器引擎不支持Local流量策略。

本文主要介绍云防火墙（Cloud Firewall，CFW）的产品定义。 云防火墙（Cloud Firewall，CFW）是新一代的云防火墙，提供云上互联网边界和VPC边界的防护，包括实时入侵检测与防御、全局统一访问控制、全流量分析可视化、日志审计与溯源分析等，同时支持按需弹性扩容、AI提升智能防御能力、灵活扩展满足云上业务的变化和扩张需求，极简应用让用户快速灵活应对威胁。云防火墙服务是为用户业务上云提供网络安全防护的基础服务。 智能防御 CFW通过安全能力积累和全网威胁情报，提供AI入侵防御引擎对恶意流量实时检测和拦截，与安全服务全局联动，防御木马蠕虫、注入攻击、漏洞扫描、网络钓鱼、暴力破解等攻击。 灵活扩展 CFW可对全流量进行精细化管控，支持互联网边界防护，防止外部入侵、内部渗透攻击和从内到外的非法访问；同时，防护IP与防护带宽等关键性能规格可无限扩展，集群部署高可靠，满足大规模流量的安全防护。 极简应用 云防火墙作为云防火墙，支持一键开启，多引擎安全策略一键导入，资产自动秒级盘点，操作页面可视化呈现，大幅提高管理和防护效率。

流量/带宽 分别展示今日和本月的总流量与峰值带宽。 近七天趋势 近七天的流量和带宽趋势图展示。 证书统计 显示直播控制台添加的证书数量，以及即将过期的证书数量。 域名统计 可查看已添加的加速域名个数并管理域名配置。 信息中心 支持更新说明、视频直播相关动态以及域名相关操作信息的展示。 公告：显示更新说明、版本发布、视频直播相关动态等信息。 域名消息：在直播控制台中进行域名管理操作的相关信息。

本节主要介绍路由表的组成、产品优势、应用场景和使用限制。 路由表基于路由规则实现对虚拟私有云中子网的出方向的流量走向的控制，可以按需配置多个路由规则。VPC下的一个路由表可以同时关联多个子网，但一个子网只能同时关联一个路由表。 默认路由表，创建VPC时系统会为该VPC自动创建一个默认路由表，默认路由表不能被删除，但可以在默认路由表中添加自定义路由。VPC下所有子网在创建时会自动关联该VPC的默认路由表。 路由即路由规则，其实现路由表中流量走向的控制，由目的地址、下一跳类型、下一跳组成。可以按需在默认路由表中添加和删除自定义路由，自定义路由的目的地址建议不与虚拟私有云内的子网地址重叠，不同自定义路由的目的地址不能重叠，当前自定义路由支持的下一跳类型有虚机实例、边缘云专线、对等连接、VPN网关、自定义类型等。 应用场景 通过在虚拟私有云的路由表中添加自定义路由，可以对特定目的地址的流量进行路由引流到对应的虚拟机实例、边缘云专线和对等连接，做到基于目的地址的网络路由的灵活管理，常用于在VPC与VPC互通、VPC与IDC互通，以及基于在虚拟机上部署自定义服务的流量引流等场景。 产品优势 路由灵活控制 基于路由表中的自定义路由可以做到对流量的精确引流，如同传统网络中添加路由的效果。 产品化路由配置 只需要在控制台即可简单完成路由配置的下发，无需关注底层实现。

安全策略可视化管理 在业务拓扑中利用红绿线标识符合策略的流量及不符合策略的流量，并支持查看流量阻断日志。 由于工作负载带有业务角色属性，所以非常有利于基于学习到的连接关系生成一张综合的可视化视图，可以直观呈现环境间、业务间、工作组间、工作负载间的互访关系。基于此能力，实现如下价值： 有利于梳理资产、摸清家底，知道有哪些工作负载，知道工作负载开放了什么端口（暴露面），护网时可利用此功能生成资产台账和端口台账； 便于以学习到的情况为基础，清晰的梳理内部的互访关系； 业务连接可视化分析解决了管理者对数据中心东西向流量不可视、无感知的难题，同时也是进一步确定流量基线，部署访问控制策略的依据。 自适应策略调整 在业务迁移、弹性拓展等场景下，可自动调整安全策略，并支持API自动化编排。 全局策略自适应计算，是指微隔离系统根据工作负载的变化而自动调整符合其业务角色的安全策略。这样的场景在云化数据中心中时常发生，如业务从物理机迁移至虚拟机、新的数据中心建设、新的业务上线、动态扩缩容等。 这里我们示例了一种最简单的策略自适应计算场景： 用户基于标签，使用接近自然语言的描述配置一条策略； 自适应策略计算引擎将标签翻译为对应的IP地址； 当某一个工作负载发生IP变化时，BEA迅速上报该信息，自适应策略引擎则基于这个变化快速进行策略计算，并将新的策略下发至相关工作负载上。

检查网络ACL是否放通子网流量 检查VPC的子网是否关联了网络ACL，如果关联了网络ACL，请检查“ 网络ACL”规则。 1. 登录管理控制台。 2. 在管理控制台左上角单击，选择区域和项目。 3. 在系统首页，选择“网络 > 虚拟私有云”。 4. 在左侧导航栏选择“子网”。 5. 查看NAT网关对应的子网是否关联了网络ACL。 显示具体的网络ACL名称说明已关联网络ACL。 6. 单击网络ACL名称查看网络ACL的详细信息。 7. 检查入方向规则和出方向规则是否添加了放通子网流量的规则。 如果未添加放通子网流量的规则，请添加入方向、出方向规则放通子网流量或者将网络ACL与子网取消关联。 检查弹性公网IP的带宽是否超限 公网NAT网关绑定了弹性IP时，通过带宽提供公网和公网NAT网关间的访问流量。 如果出现网络不通，请排查弹性IP带宽是否超过带宽最大上限。 检查公网NAT网关业务量是否超过规格上限 1. 登录管理控制台。 2. 在管理控制台左上角单击，选择区域和项目。 3. 选择“管理与监管 > 云监控服务”。 4. 单击页面左侧的“云服务监控”，选择“NAT网关”。 5. 单击“操作”列的“查看监控指标”，查看公网NAT网关的监控指标详情。 6. 检查公网NAT网关SNAT连接数是否超过NAT网关规格上限。 − 如果SNAT连接数未超过公网NAT网关规格上限，请检查下一项。 − 如果SNAT连接数超过公网NAT网关规格上限，请提升公网NAT网关规格。

相关文档 访问控制策略的整体防护概况请参见通过策略助手查看防护信息。 流量趋势的整体防护概况请参见查看流量数据。 网络攻击防护的整体防护概况请参见通过安全看板查看攻击防御信息。

计费项 计费项说明 存储空间（元/GiB/月） 按用户数据占用的存储空间量收取费用 公网流出流量（元/GiB） 按存储数据被调用或下载产生的公网流量收取费用 请求费用（元/万次） 按调用API各种请求的次数收取费用 数据取回（元/GiB） 按从对象存储服务端读取的数据量收取费用

本章节介绍接入应用容灾多活的基本流程，帮助您快速上手产品使用。 概述 应用容灾多活是包含架构加管控的解决方案，提供引导式的应用架构改造接入和一站式的云产品协同管理，在使用上遵循架构适配、资源纳管、规则配置和容灾切流的基本流程。 准备工作 应用容灾多活是构建在已有应用之上的管控，协同其他云产品，但不负责其他云产品的生命周期，需要您提前规划与创建。 同时，数据分区与流量封闭也需要您对业务应用进行必要的改造，一般来说，有如下设计和研发工作需要您考虑和实施： 设计 明确容灾需求，选定是应用双活还是数据双活架构。 适配应用架构，确定数据、服务和组件依赖。 分析业务现状，明确流量、数据和代码改造点。 规划物理架构，开通目标区域、可用区、网络和中间件等资源。 研发 如要求服务调用分区闭环，需进行业务垂直拆分和微服务改造。 如要求数据访问分区闭环，需进行数据水平拆分，确定分片键。 如要求流量调度分区闭环，需进行入口流量带标以及路由标传递改造。 使用流程 应用容灾多活基本使用流程如下所示。 序号 步骤 说明 1 创建应用系统 根据容灾需求，选定应用架构，跳转“应用双活”或“数据双活”页面创建应用系统，开通功能模块。 2 系统架构配置 根据规划的物理架构，在应用系统内按指引创建站点与单元，绑定管控通道。 3 路由规则配置 根据服务分组与分流预期，在应用系统内按指引创建单元组，配置路由规则。 4 应用分层配置 根据组件依赖，分层添加应用资源与应用系统绑定。 接入层配置：为每个站点绑定应用网关，创建URI配置，关联单元组与单元流量入口。 数据层配置：为每个单元组服务绑定数据源，创建数据同步任务。 服务层配置：为每个单元服务生成授权，应用节点通过探针接入。 5 基础配置推送 应用分层配置完成后，创建基础配置推送任务，自动有序地将规则下发到组件和应用节点。 6 多活容灾运维 不同故障场景都通过一键切流实现故障逃逸，日常巡检也有助于帮助业务发现问题。 多活切流：创建流量切换任务，自动有序地调拨流量和数据。 系统监控：架构地图提升可观测性，暴露问题节点，日常巡检自主发现异常，及时通知。

本文汇总了使用虚拟私有云产品时常见的路由类问题。 路由表可以跨VPC存在吗？ 不可以。 路由就是指导IP数据报文转发的路径。路由表由一系列路由规则组成，配置路由规则需要指定目的地址、下一跳类型、下一跳实例。通过路由条目，生成路由表，根据路由表中的条目，进行路径选择。路由表用于管理VPC内的实例流量走向，只能存在于某个VPC内。 路由表收费吗？ 不收费。 路由表由一系列路由规则组成，配置路由规则需要指定目的地址、下一跳类型、下一跳实例。默认路由表随着VPC自动创建，您也可以根据业务流量规划自定义路由表及路由规则。默认路由表、自定义路由表均不收费。 默认路由表的作用是什么？ 路由表用于控制虚拟私有云的流量走向。对于可用区资源池来说，在新建VPC时，会默认生成一个默认路由表，每个VPC都会对应一个默认路由表。新建的子网也会关联到默认路由表下，您也可以创建自定义路由表，将子网关联到自定义路由表。 从对等连接、专线网关、VPN网关过来的流量且目的地址不在本VPC时，会自动匹配本VPC的默认路由表。通过默认路由表可以实现跨VPC防火墙引流场景，具体参考如何通过对等连接部署第三方公共防火墙。

监控Agent状态 在“Agent管理”页面，在已安装Agent列表的操作列下点击“监控”进入“Agent监控信息”页面，用户可以根据需要设置监控的时段，或者选择不同的监控指标（CPU占用、内存占用、转发速率、丢包数量、磁盘读写）。 修改Agent配置 1. 在“Agent管理”页面，选择需要修改配置的Agent，在列表中单击“操作”列中的“配置”。 2. 弹出修改配置对话框，可根据需要修改相关参数，修改完成后单击“确定”。 各配置项参数请参见下表。 配置项 配置项说明 CPU亲和性 启用后，Agent将仅在单颗CPU核心上工作。 CPU亲和性指的是进程在指定的CPU上尽量长时间运行而不被迁移到其他处理器，也称为CPU关联性。在多核运行的机器上，每个CPU会有缓存，缓存着进程使用信息，如果进程被调度到其他CPU上，CPU缓存命中率会降低，导致处理性能降低。 一旦修改配置，Agent会自动重启生效。 CPU使用上限 默认值为100%，取值范围：0%~100%，填0表示不限制。 内存使用上限 Agent缓存数据包所用的内存，默认值200MB，不能超过设备的最大内存。 系统CPU使用阈值 默认值100%，取值范围：0%~100%，填0表示不限制。 系统内存使用阈值 默认值100%，取值范围：0%~100%，填0表示不限制。 系统磁盘读IO阈值 默认值0，表示不限制。不能超过系统磁盘的最大读速率。 系统磁盘写IO阈值 默认值0，表示不限制。不能超过系统磁盘的最大写速率。 抓包网口 配置后将只抓取指定网口上的流量，为空时抓取全部网口上的流量，多个网口请用空格分隔。 抓包过滤串 配置后，抓包网口将只抓取匹配该过滤串（通常设置为指定主机的指定端口流量，例如：host 192.168.0.1 and port 3306）的流量。一旦配置，将不再根据配置的资产自动抓包。 按工具过滤 填写后将不再转发指定客户端工具的流量，可填写多个，多个值请用逗号分隔。 按账号过滤 填写后将不再转发指定数据库账号的流量，可填写多个，多个值请用逗号分隔。 本地回环配置 系统支持本地回环审计功能，此功能可以实现不通过TCP/IP连接的本地数据库访问审计。 本地回环审计是指Agent为客户端工具注入.so程序，客户端工具与服务端的通信流量客户端工具会复制一份发送给Agent，Agent转发给天翼云数据库审计。 Agent安装成功后，需要在Web界面开启“本地审计”功能。 回环网口 回环网口的名称，为空时会自动识别，不建议配置此项。 回环抓包过滤串 配置后回环网口将只抓取匹配该过滤串的流量。一旦配置，将不再根据配置的资产自动抓包。 回环网口替换IP(v4/v6) 将流量中本地回环的IPv4或IPv6地址改为设置的值，为空则不替换。 远程登录审计 默认关闭。 启用后，本地流量中的IP端口会被远程连接的IP端口所替换。需要在资产界面添加被远程连接的服务器IP地址，若没有远程连接，则不做替换。 一旦开启，性能会明显下降。 本地审计 支持审计非网络形式（进程间通信等）的数据库通信数据，目前仅支持Oracle，PostgreSQL，MySQL，SQL Server ，DB2的特定版本。 调试模式 默认关闭。开启后会记录下更详细的调试日志。 数据传输加密 默认关闭。开启后会对Agent转发的数据进行加密。 CPU异常保护阈值 当Agent的CPU使用超过该值时，Agent将自动修复异常。 正常情况下，Agent的CPU使用不会超出所配的上限，该配置可作为兜底保护，防止特殊情况发生。默认值100%，填0表示关闭CPU异常保护功能。 内存异常保护阈值 当Agent的内存使用超过该值时，Agent将自动修复异常。该配置可作为兜底保护，防止特殊情况发生。默认值300M，填0表示关闭内存异常保护功能。

本章节介绍WEB场景防护功能 WEB场景防护 Web场景防护功能是一种用于保护提供Web服务的应用程序的防护机制，可以对访问请求中的参数项进行精细化的流量控制。该功能可以用于处理使用主流Web框架（如Servlet容器、Spring Web、SpringBoot）的应用程序，并配置了API粒度的请求参数解析，以便对请求中的IP地址、主机名、头部信息和URL参数等参数维度进行流量控制。通过这种控制，可以保护应用程序和系统的稳定性。 背景信息 在提供Web服务的场景中，除了API维度的限流降级防护，对于来源IP和访问参数等资源调用的限流防护可以更好地保证业务应用的正常运行。在一些大流量的Web业务场景下，可能需要对多个接口进行限制，以保证系统的稳定性。通过对当前访问频次最高的来源IP或访问频次最高的商品序号进行有针对性的限制，可以有效地保护系统。比如： 对于一段时间内最频繁购买的商品序号，可以进行限制以防止击穿缓存导致大量请求到数据库。 对于一段时间内频繁大量访问的来源IP，可以进行限制以防止利用虚假信息恶意刷单。这样可以保证系统的稳定性和可靠性。 功能入口 1. 登录微服务治理控制台。 2. 在控制台左侧导航栏中选择应用治理。 3. 在应用治理页面的应用卡片页签单击目标应用卡片。 4. 在左侧导航栏选择流量防护 WEB场景 WEB流控，单击新增WEB防护规则。 5. 在新增WEB防护规则对话框，配置规则信息： 在选择防护场景页面，修改接口名称，然后单击下一步。 在配置防护规则页面，配置防护规则，然后单击下一步。 在配置防护行为页面，然后单击下一步并单击新增。 在下面规则列表的页面，选择对应的规则并在状态栏下单击开启。