本章节介绍边缘重保服务基于高考保障场景下的最佳实践案例。 客户背景 客户作为某大省高等教育招生考试委员会的办事机构，主要负责全省普通高校、职业院校、成人高校、研究生招生及考试的组织实施、评价分析、命题管理等工作。 该省份为国内的人口大省，参与高考的学生约占全国高考学生的5%。为了保障高考分数查询、志愿填报工作的顺利开展，客户对相关的保障工作给予了高度重视。 业务痛点 志愿填报并发高、流量大 2024年6月高考成绩发布后，60万左右数量的考生将分批次在有限时间内进行志愿填报，由于集中时间填报，存在访问并发高、流量大、后端服务器压力过载的风险，如何在保障正常业务运行的同时进行有效地流量分发和负载均衡，成为一大业务难题。 安全要求高 在应对大流量访问冲击的同时，由于志愿填报和历年高校招生数等数据具有高度敏感性，常常被国内外恶意组织或个人爬取敏感信息和流量攻击，及时有效地通过安全防护手段全面保障业务安全，对客户形成了巨大的挑战。 解决方案 专家团队重保护航服务 由资深运营专家团队实施全流程协同管控，通过深度访谈与多轮实地调研，精准把握客户核心诉求，科学制定个性化运营保障方案。 全程协助客户完成产品功能的配置，并参与完整的功能、性能测试，提供优化方案，有效确保业务系统的顺利部署及高效上线。 针对关键业务节点，重保专项团队提前部署应急预案，于查分当日派遣资深专家进驻客户现场，实施7×24小时无缝化值守保障机制，显著纾解客户在系统稳定性与安全防护层面的双重保障压力。

加强成本管理 弹性伸缩能够实现按需使用实例，并自动调整系统中的资源，节省了资源和人为调整资源带来的损耗，为您极大程度节约了成本。 提高可用性 弹性伸缩可确保应用系统始终拥有合适的容量以满足当前流量需求。 弹性伸缩和负载均衡结合使用 当您在使用弹性伸缩时，业务增长时应用系统自动扩容，业务下降时应用系统自动缩容，在伸缩组添加和删除实例时，须确保所有实例均可分配到应用程序的流量。弹性伸缩和负载均衡结合使用可以解决这个问题。 使用负载均衡后，伸缩组会自动地将加入伸缩组的实例绑定负载均衡监听器。访问流量将通过负载均衡监听器自动分发到伸缩组内的所有实例，提高了应用系统的可用性。若伸缩组中的实例上部署了多个业务，还可以添加多个负载均衡监听器到伸缩组，同时监听多个业务，从而提高业务的可扩展性。 提高容错能力 弹性伸缩可以检测到应用系统中实例的运行状况，并启用新实例以替换运行状况不佳的实例。

配置 解释 实例 名称 自定义别名的名称，只能包含字母、数字和中划线。只能字母开头，字母数字结尾，且值不能为LATEST。函数名称+别名名称总长度不超过45个字符。 product 描述 别名的备注，可以作为友好化提示。 生产环境 主版本 别名指向的版本。别名至少指向一个版本，不可为LATEST版本。 1 启用灰度版本 是否启用流量分割，开启后可以配置权重，实现一个别名指向两个版本。 是 灰度版本 别名指向的版本。 灰度类型 按百分比随机灰度：通过对灰度版本设置权重，使得部分流量部分转发到灰度版本。权重范围为[0,100]%。 10%

本文解释CDN缓存命中率较低可能的原因。 背景说明 网站使用CDN加速以后，大部分静态文件都将会被离用户较近的CDN边缘节点缓存，由此起到访问加速效果。如果用户访问的文件由CDN节点直接响应，无需回源，则称之为缓存命中。CDN缓存命中率越高，也就意味着加速效果越好，相应的回源量也会极大减少。 天翼云CDN控制台上【数据分析】模块，可以看到缓存流量命中率和请求命中率数据。缓存命中的流量除以总流量称之为流量命中率，缓存命中的请求数除以总请求数称之为请求命中率。只要在CDN边缘节点，或是在中间节点命中，均统计为缓存命中（CDN用户请求流向为：用户客户端>CDN边缘节点>CDN中间节点>源站）。如果命中率低，则较多用户的请求都会从CDN节点回源，不仅访问效果不佳，还会给源站造成较大压力。本文将介绍产生此类情况的可能原因。 可能原因 1. 如果域名刚接入天翼云CDN加速，则用户首次访问文件时CDN节点均需要回源获取，此时缓存命中率较低，需要经过一段时间后才能逐步把大部分文件缓存至CDN节点，这个时间往往要经过两三天至一周左右。 2. 如果域名已接入天翼云CDN较长时间，仍命中率较低，则可排查是否存在如下情况：

本文主要介绍 创建流控。 操作场景 本章节指导您在控制台对用户/客户端/Topic进行流量控制，控制生产/消费消息的上限速率。 用户/客户端的流控作用范围是整个broker，Topic的流控作用范围是指定Topic。 操作影响 当流控值达到上限后，会导致生产/消费的时延增大。 设置的流控值较小且生产者速率较大时，可能会造成生产超时、消息丢失，导致部分消息生产失败。 初始生产/消费的流量较大，如果设置一个较小的流控值，会导致生产/消费的时延增大、部分消息生产失败。建议逐次减半设置流控值，待生产/消费稳定后继续减半设置，直到设置为目标流控值。例如初始生产流量100MB/s，可先设置生产流控为50MB/s，待稳定后再修改为25MB/s，直到目标流控值。 前提条件 如果需要对用户进行流量控制，请在创建Kafka实例时，开启SASLSSL功能。然后在控制台的“用户管理”页面，获取用户名。 如果需要对指定客户端进行流量控制，请在客户端配置中获取client ID。 如果需要对指定Topic进行流量控制，请在控制台的“Topic管理”页面，获取Topic名称。 创建用户/客户端流控 步骤 1 登录管理控制台。 步骤 2 在管理控制台右上角单击，选择区域。 说明 请选择Kafka实例所在的区域。 步骤 3 在管理控制台左上角单击，选择“企业中间件”“分布式消息服务”“Kafka专享版”，进入分布式消息服务Kafka专享版页面。 步骤 4 单击Kafka实例的名称，进入实例详情页面。 步骤 5 在左侧导航栏单击“流控管理 > 流控列表”，进入流控列表页面。 步骤 6 在页面顶端单击“User/Client”，进入“User/Client”页签。 步骤 7 在页面左上角单击“创建流控”，弹出“创建流控”对话框。 步骤 8 设置流控参数。 表 流控参数说明 参数名称 说明 用户名 输入指定用户名，对此用户进行流控。如果需要对所有用户进行流控，在“用户名”后，单击“选择默认”。流控创建完后，无法修改“用户名”。 客户端ID 输入指定客户端ID，对此客户端进行流控。如果需要对所有客户端进行流控，在“客户端ID”后，单击“选择默认”。流控创建完后，无法修改“客户端ID”。 生产上限速率 设置生产上限速率，单位为MB/s。为空时，表示不设置速率。 消费上限速率 设置消费上限速率，单位为MB/s。为空时，表示不设置速率。 说明 未开启SASL的实例，在“创建流控”对话框中，不显示“用户名”。 “用户名”和“客户端ID”不可同时为空。 “生产上限速率”和“消费上限速率”不可同时为空。 步骤 9 单击“确定”，跳转到“后台任务管理”页面，当流控任务的“状态”为“成功”时，表示流控创建成功。 进入“流控管理 > 流控列表”页面，在“User/Client”页签中，单击页面右上角的“仅设置了用户名”/“仅设置了客户端ID”/“设置了用户名和客户端ID”，输入新创建的流控名称，单击，查看新创建的流控。 图 查看新创建的流控

网络预置指标 指标名称 指标对象 指标含义 指标单位 计算公式 k8spodnetworkreceivebytesbw Pod 网络入带宽 Byte/s sum(irate(containernetworkreceivebytestotal{image~".+", namespace~"$namespace", pod~"$pod"}[5m])) by (pod) k8spodnetworktransmitbytesbw Pod 网络出带宽 Byte/s sum(irate(containernetworktransmitbytestotal{image~".+", namespace~"$namespace", pod~"$pod"}[5m])) by (pod) k8spodnetworkreceivebytes Pod 网络入流量 Byte/s sum(rate(containernetworkreceivebytestotal{image~".+", namespace~"$namespace", pod~"$pod"}[5m])) by (pod) k8spodnetworktransmitbytes Pod 网络出流量 Byte/s sum(rate(containernetworktransmitbytestotal{image~".+", namespace~"$namespace", pod~"$pod"}[5m])) by (pod) k8spodnetworkreceivepackets Pod 网络入包量 个/s sum(irate(containernetworkreceivepacketstotal{image~".+", namespace~"$namespace", pod~"$pod"}[5m])) by (pod) k8spodnetworktransmitpackets Pod 网络出包量 个/s sum(irate(containernetworktransmitpacketstotal{image~".+", namespace~"$namespace", pod~"$pod"}[5m])) by (pod) 硬盘预置指标 指标名称 指标对象 指标含义 指标单位 计算公式 k8spodfsreadtimes Pod 硬盘读IOPS 次/s sum (irate(containerfsreadstotal{image~".+", namespace~"$namespace", pod~"$pod"}[5m])) by (pod) k8spodfswritetimes Pod 硬盘写IOPS 次/s sum (irate(containerfswritestotal{image~".+", namespace~"$namespace", pod~"$pod"}[5m])) by (pod) k8spodfsreadbytes Pod 硬盘读流量 Byte/s sum (rate(containerfsreadsbytestotal{image~".+", namespace~"$namespace", pod~"$pod"}[5m]))by (pod) k8spodfswritebytes Pod 硬盘写流量 Byte/s sum (rate(containerfswritesbytestotal{image~".+", namespace~"$namespace", pod~"$pod"}[5m])) by (pod)

网络预置指标 指标名称 指标对象 指标含义 指标单位 计算公式 k8spodnetworkreceivebytesbw Pod 网络入带宽 Byte/s sum(rate(containercpuusagesecondstotal{image~".+",pod~"$Pod",namespace"$namespace"}[5m])) by (pod) k8spodnetworktransmitbytesbw Pod 网络出带宽 Byte/s sum(irate(containernetworktransmitbytestotal{image~".+", namespace~"$namespace", pod~"$pod"}[5m])) by (pod) k8spodnetworkreceivebytes Pod 网络入流量 Byte/s sum(rate(containernetworkreceivebytestotal{image~".+", namespace~"$namespace", pod~"$pod"}[5m])) by (pod) k8spodnetworktransmitbytes Pod 网络出流量 Byte/s sum(rate(containernetworktransmitbytestotal{image~".+", namespace~"$namespace", pod~"$pod"}[5m])) by (pod) k8spodnetworkreceivepackets Pod 网络入包量 个/s sum(irate(containernetworkreceivepacketstotal{image~".+", namespace~"$namespace", pod~"$pod"}[5m])) by (pod) k8spodnetworktransmitpackets Pod 网络出包量 个/s sum(irate(containernetworktransmitpacketstotal{image~".+", namespace~"$namespace", pod~"$pod"}[5m])) by (pod) 硬盘预置指标 指标名称 指标对象 指标含义 指标单位 计算公式 k8spodfsreadtimes Pod 硬盘读IOPS 次/s sum (irate(containerfsreadstotal{image~".+", namespace~"$namespace", pod~"$pod"}[5m])) by (pod) k8spodfswritetimes Pod 硬盘写IOPS 次/s sum (irate(containerfswritestotal{image~".+", namespace~"$namespace", pod~"$pod"}[5m])) by (pod) k8spodfsreadbytes Pod 硬盘读流量 Byte/s sum (rate(containerfsreadsbytestotal{image~".+", namespace~"$namespace", pod~"$pod"}[5m]))by (pod) k8spodfswritebytes Pod 硬盘写流量 Byte/s sum (rate(containerfswritesbytestotal{image~".+", namespace~"$namespace", pod~"$pod"}[5m])) by (pod)

通过VPC对等连接实现一个中心VPC的弹性云主机与两个VPC的弹性云主机对等 由于VPCB和VPCC的网段重叠，而且SubnetB01和SubnetC01子网的网段也重叠，无法同时创建VPCA和VPCB、VPCA和VPCC之间的对等连接。为了实现一个中心VPC（VPCA）的弹性云主机与两个VPC（VPCB和VPCC）的弹性云主机之间的对等连接，可以创建两个弹性云主机之间的对等连接来并实现互相通信。具体操作如下： 1. 在VPCA和VPCB之间创建一个名为PeeringAB的VPC对等连接，实现子网SubnetB01内的弹性云主机和SubnetA01内的弹性云主机的连通。 2. 在VPCA和VPCC之间创建一个名为PeeringAC的VPC对等连接,实现子网SubnetC01内的弹性云主机和SubnetA01内的弹性云主机的连通。 3. 在VPCA的路由表中添加一条路由规则，将指向弹性云主机B01所在子网私有IP地址范围的流量下一跳设置为PeeringAB。 4. 在VPCA的路由表中添加一条路由规则，将指向弹性云主机C01所在子网私有IP地址范围的流量下一跳设置为PeeringAC。 5. 在VPCB的路由表中添加一条路由规则，将指向弹性云主机A011所在子网私有IP地址范围的流量下一跳设置为PeeringAB。 6. 在VPCC的路由表中添加一条路由规则，将指向弹性云主机A012所在子网私有IP地址范围的流量下一跳设置为PeeringAC。 通过上述配置，VPCA中的弹性云主机与VPCB和VPCC中的弹性云主机可以通过对等连接进行互相通信。

本文介绍安全加速的计费项。 注意事项： 1.订购资源包之前需开通安全加速的按需服务 2.订购安全加速时，至少需要订购WAF和抗D其中一种 计费分类 计费项 是否必选 是否有资源包 备注 安全加速基础服务 静态https请求数 是 是 购买安全加速基础费用，必须选择静态https请求数与CDN带宽/流量；WAF防护和抗D防护至少开启一项能力 安全加速基础服务 CDN带宽/流量 是 是 购买安全加速基础费用，必须选择静态https请求数与CDN带宽/流量；WAF防护和抗D防护至少开启一项能力 安全加速WAF防护 基础功能费用 是（若需要WAF防护则为必选） 否 安全加速WAF防护 防护请求数 是（若需要WAF防护则为必选） 是 安全加速WAF防护 域名数量扩展 否 否 WAF防护基础套餐数量不够则需要购买扩展 安全加速抗D防护 基础套餐 是（若需要抗D防护则为必选） 否 安全加速抗D防护 弹性防护 否 否 安全加速抗D防护 动态请求数 否（若仅购买抗D防护则必选） 否（暂未上线） 安全加速抗D防护 域名数量扩展 否 否 抗D防护基础套餐数量不够则需要购买扩展

为了极致的使用体验,本文帮助您更快了解如何使用公网对外提供服务。 单个ECS对外提供服务 当您仅有单个应用服务，业务量较小时，您可申请一个EIP，绑定到ECS上，该ECS即可连接公网提供服务。 图1 EIP 多个ECS负载均衡 对于电商等高并发访问的场景，您可以通过ELB将访问流量均衡分发到多台弹性云服务器上，支撑海量用户访问。天翼云ELB无缝集成了弹性伸缩服务，能够根据业务流量自动扩容，保证业务稳定可靠。 图2 ELB

本文介绍边缘接入服务IP应用加速的DDoS攻击防护能力及配置。 功能介绍 边缘接入服务的DDoS防护可有效防御SYN Flood、ACK Flood、UDP Flood、ICMP Flood等网络层攻击以及SSL攻击。 前提条件 已经订购边缘安全加速平台边缘接入服务，若未订购，请参见服务开通。 在控制台新增域名/实例，请参见添加域名/实例。 注意事项 1. 需要开启对应区域的DDoS防护开关，才会进行对应区域的DDoS防护。 2. 超量处置仅对DDoS防护中国内地生效。 配置说明 新增接入时开启DDoS防护 1. 登录边缘安全加速控制台，选择【边缘接入】控制台。 2. 进入【域名】【IP应用加速接入】页面。 3. 点击左上角【新增接入】，完成加速配置后，点击右下角【下一步】进入【安全防护配置】页面。 4. 按需开启DDoS防护中国内地、DDoS防护全球（不含中国内地）开关。 修改DDoS防护 1. 登录边缘安全加速控制台，选择【边缘接入】控制台。 2. 进入【域名】【IP应用加速接入】页面。 3. 找到您要防护的域名/实例，点击操作列的安全防护，进入【安全防护配置】页面。 4. 按需开启DDoS防护中国内地、DDoS防护全球（不含中国内地）开关。 5. 【安全防护配置】页面还可修改DDoS攻击峰值超出订购规格后的超量处置规则，用户可选择将业务解析回源站或者解析至黑洞地址。默认解析至源站地址。 配置界面 1. 新增接入时，DDoS防护配置界面： 2. 修改安全防护时，DDoS防护配置和超量处置配置界面：

查看共享带宽和弹性公网IP的使用状况时,您可以获取特定时间段内的入网带宽、出网带宽、入网流量以及出网流量等详细使用数据。本文帮助您了解如何查阅共享带宽的监控细节。 通过共享带宽控制台 1. 登录网络控制台。 2. 在顶部菜单栏处，选择地域。 3. 在左侧导航栏单击共享带宽，进入共享带宽页面。 4. 在共享带宽列表中找到您想查看目标共享带宽，在“操作>更多>查看监控图表”。 5. 可以查看出入网流量、出入网带宽。 通过云监控控制台 1. 登录云监控控制台。 2. 顶部菜单栏处，选择地域。 3. 在左侧导航栏，单击“云服务监控”。 4. 在左侧导航栏，单击云服务监控>弹性IP监控，然后选择共享带宽列表项。 5. 在目标共享带宽实例操作列，单击“查看监控图表”，查看监控数据。 本功能仅在部分资源池可 见，请以控制台实际可见为准。

本文介绍对网站加速及防护的产品价值。 业务特点 网站承载了企业业务的重要线上流量，官网一般承担着企业品牌宣传的重要作用，但许多网站目前还面临着诸如访问不通、访问慢、内容加载不全、网站入侵、数据信息泄露、至网站开发部署安全规范建设等的业务挑战。 客户痛点 网页访问速度慢：静态内容分发瓶颈、回源请求传输不稳定、HTTPS性能消耗大、业务高峰源站压力大。 业务安全风险：恶意爬虫威胁、Web应用攻击、DDoS流量攻击、劫持问题频发。 运营维护困难：硬件安全设备扩容慢、存在单点故障风险、存在单点故障风险、缺少全面的监测机制。 产品价值 智能加速：通过多级缓存，就近响应用户请求；实时探测，选择最优路径动态回源；IPv6一键开启。 一体化安全+防护：提供安全加速的同时，赋能安全防护能力，对威胁访问实时追踪，及时发现进行拦截，DDoS服务为大流量攻击提供保驾护航。 智能调度，快速扩容：海量资源+智能化调度支撑，724小时一对一运营支撑，提供网站整体业务及安全状况的可视化大屏分析。 企业接入访问基于最小授权原则，规避供应链四方人员导致的安全隐患。

功能 说明 支持客户对日常关注的带宽流量、回源统计、请求数、状态码、命中率、PV/UV、地区运营商等维度，按加速类型、标签、域名、运营商、地区（大区/省份）、加速区域（中国内地/全球不含中国内地）、协议类型（HTTP/HTTPS/QUIC）、协议版本（IPv4/IPv6）、查询时间粒度（1分钟/5分钟/1小时/1天）、时间等条件进行自定义查询，实时感知业务运营状态。 支持客户对日常关注的用户访问热门URL、热门URL（回源）、热门Referer、域名排行、Top客户端IP等维度，按加速类型、标签、域名、状态码类型、流量优先、访问次数优先、时间等条件进行自定义查询，从不同角度快速获悉业务的发展态势。 支持客户对访问用户区域分布、访问运营商分布、独立IP访问数等维度，按域名、时间条件进行查询，并基于带宽、流量、访问次数、独立IP访问峰值(1小时统计)、日活跃IP总量进行分析，帮助客户快速得出目标用户群体分布，从而制定更加精准的市场推广策略。

功能 说明 支持客户对日常关注的带宽流量、回源统计、请求数、状态码、命中率、PV/UV、地区运营商等维度，按加速类型、标签、域名、运营商、地区（大区/省份）、加速区域（中国内地/全球不含中国内地）、协议类型（HTTP/HTTPS/QUIC）、协议版本（IPv4/IPv6）、查询时间粒度（1分钟/5分钟/1小时/1天）、时间等条件进行自定义查询，实时感知业务运营状态。 支持客户对日常关注的用户访问热门URL、热门URL（回源）、热门Referer、域名排行、Top客户端IP等维度，按加速类型、标签、域名、状态码类型、流量优先、访问次数优先、时间等条件进行自定义查询，从不同角度快速获悉业务的发展态势。 支持客户对访问用户区域分布、访问运营商分布、独立IP访问数等维度，按域名、时间条件进行查询，并基于带宽、流量、访问次数、独立IP访问峰值(1小时统计)、日活跃IP总量进行分析，帮助客户快速得出目标用户群体分布，从而制定更加精准的市场推广策略。

产品版本 接入方式 接入步骤 WAF SAAS版 域名接入 1. 进入云WAF产品控制台，在左侧导航栏选择“接入管理”，在接入管理页面选择“域名接入”页签。 2. WAF独享版 独享型接入 1. 进入云WAF产品控制台，在左侧导航栏选择“接入管理”，在接入管理页面选择“独享型接入”页签。 2. 添加防护对象：在列表上方点击“添加防护对象”，根据页面提示配置域名或IP、服务器协议、源站地址、代理情况、负载均衡策略等相关信息。

本章节主要介绍应用容灾多活产品类问题。 应用容灾多活解决什么问题？ 应用容灾多活是为应用提供高可用解决方案的产品，提供应用流量调度、数据同步、演练容灾一站式管理，助力企业云上业务实现多活高可用建设。 应用容灾多活支持哪些容灾架构？ 应用容灾多活目前支持应用双活和数据双活两种基本架构，客户可以根据自身业务的发展状况、业务规模、物理架构、容灾诉求和投入成本等，灵活选择合适的容灾架构。 应用容灾多活与其他云产品的关系？ 应用容灾多活是构建在已有应用之上的管控，协同其他云产品，但不负责其他云产品的生命周期。 应用容灾多活与云应用平台冲突吗？ 应用容灾多活与现有云产品均不存在功能冲突，通过深度集成云上业务使用的核心产品，对应用进行分层抽象，帮助业务屏蔽组件管理差异，自动编排有序的容灾流程。 应用容灾多活要求用户使用全套天翼云产品吗？ 不一定。容灾多活产品构建的容灾架构，对应用进行分层管理，通过控制面和数据面的管控编排与容灾逻辑织入，实现应用多活的容灾调度。 应用容灾多活提供控制面能力，根据组件化的程度，用户可以选择以下数据面策略： 流量入口使用多活配套网关，应用层相关组件自建。 流量入口使用多活配套网关，数据层使用多活支持的天翼云数据库产品与同步服务，应用层相关组件自建。 流量入口、微服务、数据库、消息等使用多活支持的天翼云产品与服务，其他组件可参考接入示例自建，或提交工单确认是否支持。

后续操作 开启防护后，您可以为防火墙设置防护策略、查看日志等，以便更好地管控弹性IP的流量访问。 配置访问控制策略 配置入侵防御策略 查看访问控制日志 查看入侵防御日志 查看流量日志 相关操作 关闭防护：若您不需要对弹性IP进行防护，可随时关闭防护。 在“弹性IP”页签，找到需要关闭防护的弹性IP，单击操作列的“关闭防护”，在弹出的对话框中，单击“确定”为该弹性IP关闭防护。

参数 参数类型 说明 示例 下级对象 firewallEdition String 防火墙版本 firewallId String 防火墙id firewallName String 防火墙名称 uid String 账户id userId String 用户id regionId String 资源池id azId String 可用区id masterOrderId String 主订单ID masterResourceId String 主资源ID orderId String 订单ID state Boolean 防火墙状态 true正常 false退订 flowProcessingCapacity Integer 公网流量处理能力(单位Mbps) 100 protectionIpNum Integer 可防护公网IP数 1 orderTime Long 订购时间 expireTime Long 到期时间 isDelete Boolean 是否软删除 email String email firewallType String 防火墙类型 NorthSouth 南北向 EastWest东西向 vpcFlowProcessingCapacity Integer vpc流量处理能力(单位Mbps) 100 vpcQuota Integer 可防护VPC配额 1

场景架构图 零信任存储防护体系 场景说明 HBlock 通过 iSCSI target 白名单、CHAP 认证与 QoS 流控三重防护，实现端到端的零信任存储访问体系。基于卷级粒度严格校验客户端 IQN 身份，确保未授权主机完全不可见；采用CHAP 认证进行连接握手，有效防御伪造身份和中间人攻击；结合 QoS 策略，以 IOPS/带宽双维度动态调控，实现异常流量实时阻断。最终达成存储性能零干扰、数据与流量安全隔离、关键业务持续稳定的三重保障。 产品优势 卷数据安全管理，实现不同业务卷数据隔离。 target访问控制结合CHAP，双重认证，更有安全保障。 权限配置灵活，支持通过IP地址和名称进行设置，支持在客户端和目标端进行多维度权限管控。 流量分类、策略联动和资源优化提升整体性能与安全性。 建议搭配产品 物理机 场景架构图 关键数据永久独立备份 场景说明 HBlock采用快照技术实现全量/增量备份，数据与生产系统隔离存储。支持将导出的备份文件存放在不同的存储介质，数据与平台解耦。即使遭遇系统瘫痪或勒索攻击，仍可精准恢复卷数据。适用于金融、医疗等行业，满足关键业务数据零丢失、长期归档与合规要求。

本文为您介绍弹性IP带宽测速方法。 测速说明 测速概述 当客户在天翼云购买弹性云主机并绑定弹性IP之后，可通过测速的方式验证云上公网出入方向的带宽。云上公网测速的主要目的是帮助用户判断网络是否足够快以满足其公网业务需求，如文件下载速率、视频流、web页面访问等。 测速原理 常用的测速方法可以在测试的两端（源、目的）分别安装iperf进行打流，从而观察两端的公网出入带宽。 iperf是一种网络性能测试工具，它可以用来测量网络带宽。iperf可以使用TCP和UDP两种协议进行流量测试，使用 iperf 进行 TCP 和 UDP 测试时，二者的测试方法和关注点有所不同： 1. TCP 测试 ● 连接建立：在进行 TCP 测试时，iperf 客户端与服务器之间会首先建立一个 TCP 连接。这个连接通过三次握手过程确保双方准备好后再开始数据传输。 ● 流量控制和拥塞控制：TCP 有流量控制和拥塞控制机制，iperf在测试时会自动调整发送速率，确保数据不会过快传输。当网络中出现拥塞时会启动拥塞控制，如快速重传机制。建议在iperf tcp测试时指定有效带宽参数，避免网络出现打流拥塞。 ● 可靠性：TCP 传输是可靠的，iperf会通过 TCP 协议确保每个数据包都被成功传输并按序到达，丢包时TCP 会进行重传。

本节介绍如何使用多账号管理能力。 说明 多账号管理为公测免费功能，请通过官网工单联系工程师开放此功能。 多账号管理是云防火墙（原生版）为企业级用户打造的功能，支持通过可信服务统一管理多个账号的网络资产（含弹性IP、公网NAT、弹性负载均衡等）实现企业网络安全的集中化、规范化运维，适用于多部门协作、多业务线独立运营的企业场景，有效降低跨账号管理复杂度，提升安全防护效率。 前提条件 拥有云防火墙（原生版）的账号为组织管理员或者委托管理员。 已在云防火墙控制台启用“多账号管理”功能（路径：云防火墙（原生版）> 设置中心 > 多账号管理 > 启用）。 企业中心中已添加至少2个有效账号（账号需完成身份验证与权限授权）。 全账号资产数量低于云防火墙（原生版）开通时可防护的配额上限。 使用前须知 资产同步频率：系统默认每24小时自动同步1次，若需实时获取资产变更，可手动触发“立即同步”（手动同步无次数限制）。 引流路由依赖：删除账号前，需确认该账号的引流路由无业务依赖（可通过“流量分析”页面查看路由的流量情况），避免删除后影响正常业务流量。如需进一步帮助，可联系天翼云客服热线或在控制台提交“工单支持”，天翼云将提供1对1技术指导。

本文介绍客户控制台概览页相关模块的用途。 天翼云客户控制台可以帮助您新增加速域名，完成域名配置等基本操作，同时提供了统计分析和日志下载等服务，您可以了解自身业务的基本流量趋势。 客户控制台功能界面介绍： 1. 导航栏： 控制台左侧菜单栏主要功能为概览、域名管理、证书管理、数据分析、刷新预取、日志下载、计费详情、API文档。 概览：可展示今日或本月的流量/带宽、近七天流量/带宽趋势、证书统计、域名统计、产品计费、信息中心。 域名管理：支持添加加速域名、管理、删除已有加速域名，并可以对加速域名基本信息和配置信息进行更改，支持对域名配置变更生成的域名操作工单进行状态跟踪和闭环以及历史工单溯源查询。支持标签管理功能方便客户做域名分类管理。 证书管理：可供客户自助添加、删除https证书，查看证书详情。 数据分析：数据分析模块支持客户自助查询，主要包含：用量分析、热门分析、用户分析。 刷新预取：您可以选择URL刷新、目录刷新、正则刷新和URL预取。 日志下载：可通过搜索域名、选择时间，下载该域名在该时间段的日志。 诊断工具：可通过该诊断工具查询指定IP是否为天翼云CDN节点IP以及对应归属地。 边缘函数：可创建边缘函数、查看已创建边缘函数的使用情况。 计费详情：可查看或变更各产品的计费方式、查看资源包的用量、历史操作记录。 API文档：可查看平台已支持客户调用的API功能及相关语法说明。 2. 流量/带宽： 展示客户所有域名的今日或者本月的总流量、峰值带宽。 3. 近七天趋势： 展示客户所有域名的近七天总流量趋势和带宽趋势图。 4. 证书统计： 统计客户证书总数和即将过期的证书数量。 5. 域名统计： 分别统计全部产品的额度、已配域名、授权域名和各个产品的额度、已配域名、授权域名。并且可以管理、添加域名，进入刷新预取的页面。 6. 产品计费： 展示客户使用的每个产品的计费方式，并且可以快捷进入订购全站加速资源包页面。 7. 信息中心： 该区域分为公告、域名信息、常见问题、使用手册四部分。 公告：显示更新说明、版本发布、相关动态等信息。 域名信息：显示域名的操作信息。 常见问题：介绍在使用天翼云全站加速中所遇到的常见问题的解决方案。 使用手册：介绍客户如何使用控制台的操作手册。 8. 语言切换： 支持客户通过语言切换按键，使用简体中文或English访问客户控制台页面，当切换到【English】后，控制台界面将切换为全英文展示。

混合云一体机集成天翼云平台，提供计算、存储、网络、监控、管理等全栈云服务。 计算 弹性云主机：由CPU、内存、镜像、云硬盘组成，是一种可随时获取、即开即用、可弹性扩展的计算服务器。一体机支持创建通用型、计算增强型、内存优化型多种云主机类型，同时支持云主机组、云主机快照等功能。 GPU云主机：结合了GPU计算力与CPU计算力，满足客户在人工智能、高性能计算、专业图形图像处理等场景中的需求。一体机通过扩展GPU服务器的方式支持GPU云主机，GPU云主机支持虚拟化、直通技术。 标准裸金属：具有物理资源独享、高性能的特点，适合部署核心数据库等关键系统。一体机通过虚拟裸金属网关实现对物理服务器的统一纳管。 镜像服务：是弹性云主机实例可选择的运行环境模板，一般包括操作系统和预装软件。云镜像服务包括公共镜像、私有镜像及共享镜像。 弹性伸缩服务：通过策略自动调整计算资源的管理服务。用户通过管理控制台设定弹性伸缩组策略，弹性伸缩服务将根据预设规则自动调整伸缩组内的云主机数量，降低人为反复调整资源以应对业务变化和高峰压力的工作量，帮助用户节约资源和人力成本。 存储 云硬盘：基于分布式架构的、可弹性扩展的数据块级存储设备。可为云主机提供系统盘和数据盘，满足文件系统、数据库或者其他应用等的存储。 云硬盘备份：针对云主机的系统盘、数据盘提供的备份服务。用户可对存储重要数据的磁盘进行备份，并在云主机磁盘故障、用户误删数据、遭到黑客攻击等情况下将备份数据快速恢复到源盘，有效保证用户数据的安全性。 云主机备份：支持多云硬盘一致性快照技术的备份服务，支持利用备份数据恢复弹性云主机数据，提供数据备份和操作恢复的整体方案，具备实时增量备份、快速数据恢复能力，有效保障用户数据的安全性和正确性，确保业务安全。 文件存储：提供按需扩展的高性能文件存储，可为多个弹性云主机、标准裸金属提供共享访问，具备高可用性和高数据持久性。 对象存储：存储非结构化数据（图片、音视频、文本等格式文件），根据客户需求空间确定存储容量。 网络 扁平网络：可与物理机网络直通，也可通过物理网络设置网关和路由直接访问互联网的网络。 虚拟私有云：为云主机等云上资源提供可配置、可管理的虚拟网络环境，不同虚拟私有云之间二层逻辑隔离。 弹性IP：将弹性IP地址和子网中关联的弹性云主机绑定和解绑，可以实现VPC中的弹性云主机通过固定的公网IP地址与互联网互通。 负载均衡：通过将访问流量自动分发到多台云主机，扩展对外的服务能力，解决大量并发访问服务器的问题，实现更高水平的应用程序容错性能。 对等连接：是指两个VPC之间的网络连接。用户可以使用私有IP地址在两个VPC之间进行通信，就像两个VPC在同一个网络中一样。用户可以在自己租户的VPC之间创建对等连接，也可以在自己租户的VPC与其他租户的VPC之间创建对等连接。 安全组：是云主机级别的流量防护规则，默认安全组default放通全部协议全部端口的流出。 ACL：是一个子网级别的流量防护规则，用户可以自定义设置网络ACL规则，并将网络ACL与子网绑定，实现对子网中云主机实例流量的访问控制。通过与子网关联的出方向/入方向规则控制出入子网的流量数据。 NAT网关：能够为虚拟私有云内的弹性云主机提供网络地址转换服务，使多个弹性云主机可以共享使用弹性IP访问Internet。 VPN连接（选配）：基于Internet、通过IPSec加密通道连接用户的企业数据中心和一体机的虚拟私有云（VPC），实现两侧资源的内网互通，帮助用户轻松实现混合云环境的部署。 监控 云主机监控：包括CPU使用率、网络流入流出流量的速率、内存使用率、磁盘分配率、磁盘使用率、磁盘剩余存储量等图表数据。 云硬盘监控：包括磁盘读速率、磁盘读请求速率、磁盘写速率、磁盘写请求速率。 弹性IP监控：包括流入流出带宽、网络流入流出速率。 负载均衡监控：包括入网流量、出网流量、出网带宽、活跃连接数、新建连接数、并发连接数等。 管理 云服务：为用户提供资源创建、管理能力，比如创建云主机、管理VPC等。 运维监控：支持通过拓扑、大屏、仪表盘等形式提供告警、性能监控、日志等基础运维服务。 运营管理：匹配组织架构，提供用户管理、配额管理、角色管理等管理能力。

介绍Kafka配置必须的监控告警 告警指标 在实际业务中，建议按照以下告警策略，配置监控指标的告警规则。 指标ID 指标名称 告警策略 指标说明 告警处理建议 brokerbytesin 节点流量告警 告警阈值：原始值>50MB/s 持续时间：可自定义 告警级别：重要 该指标为从Kafka节点虚拟机层面采集的数据写入流量。 出现该告警时，先检查该监控是否长期处于接近或超过告警阈值状态，如果是，需要修改实例代理个数，即扩节点。具体操作请参考扩容。 brokermessagein 节点tps告警 告警阈值：原始值>10000 持续时间：可自定义 告警级别：重要 该指标为从Kafka节点虚拟机层面采集的tps。 出现该告警时，先检查该监控是否长期处于接近或超过告警阈值状态，如果是，需要修改实例代理个数，即扩节点。具体操作请参考扩容。 topicbytesin 主题流量告警 告警阈值：原始值>50MB/s 持续时间：可自定义 告警级别：重要 该指标为从topic机层面采集的数据写入流量。 出现该告警时，先检查该监控是否长期处于接近或超过告警阈值状态，如果是，需要修改实例代理个数，即扩节点。具体操作请参考扩容。 topicmessagein 主题tps告警 告警阈值：原始值>10000 持续时间：可自定义 告警级别：重要 该指标为从topic机层面采集的tps。 出现该告警时，先检查该监控是否长期处于接近或超过告警阈值状态，如果是，需要修改实例代理个数，即扩节点。具体操作请参考扩容。 grouptotallag 消费组堆积数告警 告警阈值：原始值>10000 持续时间：可自定义 告警级别：重要 该指标为统计的消费组未消费的消息堆积量 出现该告警时，请先检测消费者客户端消费速度是否过慢，检查消费者客户端是否有扩充的可能（消费者客户端数量和对应tpic的分区数相等）

后续操作 开启防护后，您可以为防火墙设置防护策略、查看日志等，以便更好地管控公网NAT网关的流量访问。 配置访问控制策略 配置入侵防御策略 查看访问控制日志 查看入侵防御日志 查看流量日志 相关操作 关闭防护：若您不需要对公网NAT网关进行防护，可随时关闭防护。 在“公网NAT”页签，找到需要关闭防护的NAT网关，单击操作列的“关闭防护”，在弹出的对话框中，单击“确定”为该NAT网关关闭防护。

Kafka作为一款热门的消息队列中间件，具备高效可靠的消息异步传递机制，主要用于不同系统间的数据交流和传递，在企业解决方案、金融支付、电信、电子商务、社交、即时通信、视频、物联网、车联网等众多领域都有广泛应用。 异步通信 将业务中属于非核心或不重要的流程部分，使用消息异步通知的方式发给目标系统，这样主业务流程无需同步等待其他系统的处理结果，从而达到系统快速响应的目的。 如网站的用户注册场景，在用户注册成功后，还需要发送注册邮件与注册短信，这两个流程使用Kafka消息服务通知邮件发送系统与短信发送系统，从而提升注册流程的响应速度。 图 串行发送注册邮件与短信流程 图 借助消息队列异步发送注册邮件与短信流程 错峰流控与流量削峰 在电子商务系统或大型网站中，上下游系统处理能力存在差异，处理能力高的上游系统的突发流量可能会对处理能力低的某些下游系统造成冲击，需要提高系统的可用性的同时降低系统实现的复杂性。电商大促销等流量洪流突然来袭时，可以通过队列服务堆积缓存订单等信息，在下游系统有能力处理消息的时候再处理，避免下游订阅系统因突发流量崩溃。消息队列提供亿级消息堆积能力，3天的默认保留时长，消息消费系统可以错峰进行消息处理。 另外，在商品秒杀、抢购等流量短时间内暴增场景中，为了防止后端应用被压垮，可在前后端系统间使用Kafka消息队列传递请求。 图 消息队列应对秒杀大流量场景 日志同步 在大型业务系统设计中，为了快速定位问题，全链路追踪日志，以及故障及时预警监控，通常需要将各系统应用的日志集中分析处理。 Kafka设计初衷就是为了应对大量日志传输场景，应用通过可靠异步方式将日志消息同步到消息服务，再通过其他组件对日志做实时或离线分析，也可用于关键日志信息收集进行应用监控。 日志同步主要有三个关键部分：日志采集客户端，Kafka消息队列以及后端的日志处理应用。 1. 日志采集客户端，负责用户各类应用服务的日志数据采集，以消息方式将日志“批量”“异步”发送Kafka客户端。 Kafka客户端批量提交和压缩消息，对应用服务的性能影响非常小。 2. Kafka将日志存储在消息文件中，提供持久化。 3. 日志处理应用，如Logstash，订阅并消费Kafka中的日志消息，最终供文件搜索服务检索日志，或者由Kafka将消息传递给Hadoop等其他大数据应用系统化存储与分析。 图 日志同步示意图 上图中Logstash、ElasticSearch分别为日志分析和检索的开源工具，Hadoop表示大数据分析系统。

指标ID 指标名称 指标含义 取值范围 测量对象 监控周期（原始指标） fdused 文件句柄数 该指标用于统计当前节点RabbitMQ所占用的文件句柄数。单位：Count 0~65535 RabbitMQ实例节点 1分钟 socketused Socket连接数 该指标用于统计当前节点RabbitMQ所使用的Socket连接数。单位：Count 0~50000 RabbitMQ实例节点 1分钟 procused Erlang进程数 该指标用于统计当前节点RabbitMQ所使用的Erlang进程数。单位：Count 0~1048576 RabbitMQ实例节点 1分钟 memused 内存占用 该指标用于统计当前节点RabbitMQ内存占用。单位：Byte 0~32000000000 RabbitMQ实例节点 1分钟 diskfree 可用存储空间 该指标用于统计当前节点可使用的存储空间。单位：Byte 0~500000000000 RabbitMQ实例节点 1分钟 rabbitmqalive 节点存活状态 表示Rabbitmq节点是否存活。 1：存活 0：离线 RabbitMQ实例节点 1分钟 rabbitmqdiskusage 磁盘容量使用率 统计Rabbitmq节点虚拟机的磁盘容量使用率。单位：% 0~100% RabbitMQ实例节点 1分钟 rabbitmqcpuusage CPU使用率 统计Rabbitmq节点虚拟机的CPU使用率。单位：% 0~100% RabbitMQ实例节点 1分钟 rabbitmqcpucoreload CPU核均负载 统计Rabbitmq节点虚拟机CPU每个核的平均负载。 >0 RabbitMQ实例节点 1分钟 rabbitmqmemoryusage 内存使用率 统计Rabbitmq节点虚拟机的内存使用率。单位：% 0~100% RabbitMQ实例节点 1分钟 rabbitmqdiskreadawait 磁盘平均读操作耗时 该指标用于统计磁盘在测量周期内平均每个读IO的操作时长。单位：ms >0 RabbitMQ实例节点 1分钟 rabbitmqdiskwriteawait 磁盘平均写操作耗时 该指标用于统计磁盘在测量周期内平均每个写IO的操作时长。单位：ms >0 RabbitMQ实例节点 1分钟 rabbitmqnodebytesinrate 网络入流量 统计Rabbitmq节点每秒网络访问流入流量。单位：Byte/s >0 RabbitMQ实例节点 1分钟 rabbitmqnodebytesoutrate 网络出流量 统计Rabbitmq节点每秒网络访问流出流量。单位：Byte/s >0 RabbitMQ实例节点 1分钟 rabbitmqnodequeues 节点队列数 该指标用于统计Rabbitmq节点队列个数。单位：个 >0 RabbitMQ实例节点 1分钟 rabbitmqmemoryhighwatermark 内存高水位状态 表示Rabbitmq节点是否触发内存高水位，如果触发，会阻塞集群的所有生产者。 1：触发 0：没有触发 RabbitMQ实例节点 1分钟 rabbitmqdiskinsufficient 磁盘高水位状态 表示Rabbitmq节点是否触发磁盘高水位，如果触发，会阻塞集群的所有生产者。 1：触发 0：没有触发 RabbitMQ实例节点 1分钟 rabbitmqdiskreadrate 磁盘读流量 统计节点磁盘每秒的读字节大小。单位：KB/s > 0 RabbitMQ实例节点 1分钟 rabbitmqdiskwriterate 磁盘写流量 统计节点磁盘每秒的写字节大小。单位：KB/s > 0 RabbitMQ实例节点 1分钟

云企业路由器 在云间高速（标准版）产品中，是区域（资源池）范围内的核心网络设备，承担当前区域内流量和跨域间流量的转发，同时支持自定义路由表和自定义路由策略。 网络实例 在云间高速（标准版）产品中，可以无缝接入云间高速的网络实例，包含用户购买的天翼云产品：虚拟私有云（VPC）、云专线、天翼云SDWAN、VPN连接（CTYUN4.0资源池）和云桌面网络。 跨域互联带宽包 购买云间高速（标准版）产品，同时需要购买各个跨域网络实例的互通网络带宽，所有的跨域互通网络实例使用的带宽总和即为带宽包。 跨域连接 云间高速（标准版）实例中，任意两个云企业路由器实例间建立的连接称为跨域连接。跨域连接的带宽需从互联带宽包中分配，且带宽为双向。所有跨域连接带宽的总和不得超出其所属带宽包的容量。请根据实际的业务网络需求，提前合理规划跨域连接的带宽。 路由表 云间高速（标准版）产品实例中，云企业路由器通过配置在其上的路由表进行流量转发，每个云企业路由器包含一张默认路由表，支持创建多自定义路由表和自定义路由，并支持通过路由表关联转发和路由学习功能定义互通、隔离，满足网络多样化的需求。 说明 支持自定义路由表能力的资源池：CTYUN4.0资源池。

添加该配置，改为true } ] } 3. 重建Cubecni Pods使得配置生效。 plaintext 滚动重建Pod kubectl nkubesystem rollout restart ds/cubecni 等待Pod重建完成 kubectl nkubesystem get po l appcubecni owide w IPv6支持 IPv6处于内测阶段，当开启IPv6后，有如下限制： 暂不支持使用多个Pod子网； 单个节点可申请50个IPv6地址，故单节点最多创建50个使用容器网络的Pod。 低网络时延 Pod直接访问Pod场景，时延对比如下图所示。可见cubecni IPVLAN模式时延接近主机网络。独占ENI模式时延有时约略优于主机网络，理想情况下相比于calico IPIP模式提升约30%： 图示中，host表示主机网络时延，集群停止k8s服务后，节点运行sockperf客户端访问另一节点sockperf服务端的时延； cubecni IPVLAN模式时延接近baseline，该场景流量不经主机网络栈处理，不会因此额外引入时延； cubecni 独占ENI模式，Pod独占弹性网卡，时延无限接近主机网络； cubecni PolicyRoute模式，流量经主机网络栈处理，故时延较高； calico IPIP模式，流量均经过主机网络栈处理，且有IPIP解封包开销，iptables更为复杂，故时延较高。 当集群部署监控和日志等消耗带宽的插件后，容器网络整体时延均会增加，calico IPIP模式时延增加幅度大于cubecni。

添加该配置，改为true } ] } 3. 重建Cubecni Pods使得配置生效。 plaintext 滚动重建Pod kubectl nkubesystem rollout restart ds/cubecni 等待Pod重建完成 kubectl nkubesystem get po l appcubecni owide w IPv6支持 IPv6处于内测阶段，当开启IPv6后，有如下限制： 暂不支持使用多个Pod子网； 单个节点可申请50个IPv6地址，故单节点最多创建50个使用容器网络的Pod。 低网络时延 Pod直接访问Pod场景，时延对比如下图所示。可见cubecni IPVLAN模式时延接近主机网络。独占ENI模式时延有时约略优于主机网络，理想情况下相比于calico IPIP模式提升约30%： 图示中，host表示主机网络时延，集群停止k8s服务后，节点运行sockperf客户端访问另一节点sockperf服务端的时延； cubecni IPVLAN模式时延接近baseline，该场景流量不经主机网络栈处理，不会因此额外引入时延； cubecni 独占ENI模式，Pod独占弹性网卡，时延无限接近主机网络； cubecni PolicyRoute模式，流量经主机网络栈处理，故时延较高； calico IPIP模式，流量均经过主机网络栈处理，且有IPIP解封包开销，iptables更为复杂，故时延较高。 当集群部署监控和日志等消耗带宽的插件后，容器网络整体时延均会增加，calico IPIP模式时延增加幅度大于cubecni。

前置须知 全站加速所有类型的资源包有效期均为一年。 全球（不含中国内地）不同计费区域的资源包仅支持抵扣本区域产生的用量，不支持跨区域抵扣。 资源包仅支持在购买时长≤7天且未进行任何使用的情况下申请退款，除此之外均不符合退款条件，不予以退款。 订购资源包前需开通对应产品基础服务的按量计费。“日带宽峰值”计费客户，如需使用流量包，按量计费的计费方式需变更为“流量”，否则流量包会在成功订购后立刻被冻结，且冻结期间的流量包有效期不会延长。 操作指导 1. 登录客户控制台。 2. 单击左侧导航栏【计费详情】【全站加速】。 3. 在【计费详情】【我的资源包】页面，可单击【订购全站加速资源包】，进入对应详情页面，完成全站加速资源包的订购。 4. 在【计费详情】【我的资源包】页面，可单击【退订】，进入对应详情页面，完成CDN加速资源包的退订。 注意事项 1. 已订购中国内地和全球不含中国内地的全站加速按量计费，支持通过单击【变更加速区域】减配全球（不含中国内地）的加速区域；仅订购中国内地的全站加速按量计费，支持通过单击【变更加速区域】增配全球（不含中国内地）的加速区域。 2. 仅当开通全站N加速全球（不含中国内地）服务时，支持通过单击【增配高性能网络】开通高性能网络增值服务。若退订全站加速按量计费或减配全球不含中国内地的加速区域，则高性能网络同步停用。 3. 退订全站加速按量计费后，全站加速功能产品也将失效，包括全站加速上传加速、全站加速websocket加速、高性能网络服务、边缘函数。