statusCode error message 1 LTS8000 请求失败，请稍候重试，或提交工单反馈 1 LTS8001 内容不合法，无法解析 1 LTS8004 日志内容包含的日志必须小于[x] MB和[y]条 1 LTS8006 日志内容解压失败 1 LTS8007 Token失效，请重新获取 1 LTS8009 无云日志服务产品实例，请先开通云日志服务 1 LTS8010 日志项目不存在 1 LTS8011 日志单元不存在 1 LTS8013 在1个日志项目下,写入流量最大限制:200MB/s 1 LTS8014 在1个日志项目下,写入次数最大限制:1000次/s 1 LTS8015 在1个日志单元下,写入流量最大限制:100MB/s 1 LTS8016 在1个日志单元下,写入次数最大限制:500次/s 1 LTS18000 调用ITIAM的接口失败

statusCode error message 1 LTS8000 请求失败，请稍候重试，或提交工单反馈 1 LTS8001 内容不合法，无法解析 1 LTS8004 日志内容包含的日志必须小于[x] MB和[y]条 1 LTS8006 日志内容解压失败 1 LTS8007 Token失效，请重新获取 1 LTS8009 无云日志服务产品实例，请先开通云日志服务 1 LTS8010 日志项目不存在 1 LTS8011 日志单元不存在 1 LTS8013 在1个日志项目下,写入流量最大限制:200MB/s 1 LTS8014 在1个日志项目下,写入次数最大限制:1000次/s 1 LTS8015 在1个日志单元下,写入流量最大限制:100MB/s 1 LTS8016 在1个日志单元下,写入次数最大限制:500次/s 1 LTS18000 调用ITIAM的接口失败

statusCode error message 1 LTS8000 请求失败，请稍候重试，或提交工单反馈 1 LTS8001 内容不合法，无法解析 1 LTS8004 日志内容包含的日志必须小于[x] MB和[y]条 1 LTS8006 日志内容解压失败 1 LTS8007 Token失效，请重新获取 1 LTS8009 无云日志服务产品实例，请先开通云日志服务 1 LTS8010 日志项目不存在 1 LTS8011 日志单元不存在 1 LTS8013 在1个日志项目下,写入流量最大限制:200MB/s 1 LTS8014 在1个日志项目下,写入次数最大限制:1000次/s 1 LTS8015 在1个日志单元下,写入流量最大限制:100MB/s 1 LTS8016 在1个日志单元下,写入次数最大限制:500次/s 1 LTS18000 调用ITIAM的接口失败

statusCode error message 1 LTS8000 请求失败，请稍候重试，或提交工单反馈 1 LTS8001 内容不合法，无法解析 1 LTS8004 日志内容包含的日志必须小于[x] MB和[y]条 1 LTS8006 日志内容解压失败 1 LTS8007 Token失效，请重新获取 1 LTS8009 无云日志服务产品实例，请先开通云日志服务 1 LTS8010 日志项目不存在 1 LTS8011 日志单元不存在 1 LTS8013 在1个日志项目下,写入流量最大限制:200MB/s 1 LTS8014 在1个日志项目下,写入次数最大限制:1000次/s 1 LTS8015 在1个日志单元下,写入流量最大限制:100MB/s 1 LTS8016 在1个日志单元下,写入次数最大限制:500次/s 1 LTS18000 调用ITIAM的接口失败

DDoS常见攻击类型 攻击类型 说明 举例 畸形报文攻击 畸形报文攻击指通过向目标系统发送有缺陷的IP报文，使得目标系统在处理这样的报文时出现崩溃，从而达到拒绝服务的攻击目的。 Ping of Death、Tear Drop、Fraggle、Smurf、Stream Flood、Land Flood等 网络层DDoS攻击 通过大流量拥塞被攻击者的网络带宽，或发起大量连接消耗服务器资源，导致被攻击者的业务无法正常响应客户访问。 SYN Flood、UDP Flood、ACK Flood、空连接 应用层DDoS攻击 通过占用服务器的应用处理资源，极大消耗服务器处理性能，达到拒绝服务的目的。 CC攻击、慢速攻击 如何判断是否遭受DDoS攻击 网络入方向流量出现明显增长，超过业务正常峰值。 服务器的CPU或者内存占用率出现明显增长。 服务器连接数出现明显增长。 业务访问出现访问慢、连接断开、用户掉线等情况。

本文主要介绍云专线的产品优势。 稳定时延 专线接入提供了高可靠的服务保证，单线接入可用性高，满足您的网络连接需求。 高安全性 用户通过云专线接入，用户独占网络链路，无惧数据泄露风险。 对上层应用透明承载，可承载数据、语音、视频等综合应用。 多端口多协议 天翼云专线接入支持100M、10G二种接入端口，支持MSTP、IPRAN、MPLS等多种接入协议，满足您多样网路接入需求。 支持大带宽 天翼云专线接入单线路最大支持10Gbps带宽连接。 稳定可靠 提供中国电信高质量链路，提供冗余方案，运营商级网络保障。 专用网络传数据，免去拥堵或故障绕行带来的时延，传输速率更有保障，传输更稳定。 接入方便 客户侧可选择IP虚拟专网、点到点专线等多种接入方式，可根据业务需求灵活选择。 每种接入方式均可与互联网接入同时使用，实现管理流量、业务流量分离。

本节为您介绍服务器迁移服务的功能特性。 数据"0"丢失 在数据传输过程中，服务器迁移服务通过数据校验确保数据的一致性，保障数据在迁移过程中不发生丢失。同时，通过数据稽核功能，用户可以准确检验两端数据的异同，实现真正意义上的数据"0"丢失。 增量同步 配置迁移任务时可以选择启用增量，启用增量后会在全量迁移完成后进入持续的增量状态，持续性地将源机的文件变动增量同步到目标机，直到用户按照计划割接时间停止业务后手动点击“停止增量”结束增量同步。 传输控制进程分离 服务器迁移服务将控制流量与监控流量区分，有效避免数据传输过程中网络中断导致任务失败的情况。监控流量将源机和目标机的监控数据通过单独传输上报至平台，让用户可以查看传输进度、使用率以及迁移状态。 批量绑定 服务器迁移服务支持通过Excel模板批量导入源机和目标机的对应关系，避免重复操作，减少用户手动配置的工作量，提高操作的便捷性。 自定义分区 用户可以在服务器迁移服务上对目标机进行灵活的扩缩容分区操作。根据当前的资源使用情况，可以自由调整资源，提高资源利用率。 断点续传 服务器迁移服务支持断网续传和重启续传功能，有效避免用户因网络波动或误操作Agent等情况导致的任务中断，保障任务的稳定性。 代理迁移 服务器迁移服务提供代理迁移功能，通过代理对网闸隔离后的内网进行跳转转发，无需直接打通内网与互联网，从而保障了迁移过程的安全性，满足相关安全需求。

本节适用于南京3、重庆2、晋中、上海7、北京5、内蒙6、石家庄20节点。 场景描述 RocketMQ的按需转包周期的场景描述如下： 在使用RocketMQ时，可能会遇到需要设置按需转包周期的场景，例如： 消息积压处理：当RocketMQ中的消息积压较多时，可能会导致消息的消费速度跟不上消息的生产速度，进而影响系统的性能和稳定性。为了解决这个问题，可以设置按需转包周期，即将一定数量的消息打包成一个批次进行消费，以提高消费的效率和吞吐量。 业务流量波动：在某些业务场景下，业务流量可能会出现波动，即某个时间段内的消息产生速度较快，而另一个时间段内的消息产生速度较慢。为了更好地适应业务流量的波动，可以设置按需转包周期，以根据实际的消息产生情况进行灵活的批量消费。 系统资源优化：当RocketMQ的消费者资源有限时，可以通过设置按需转包周期来优化系统的资源利用。通过将一定数量的消息打包成一个批次进行消费，可以减少消费者的竞争和上下文切换，提高系统的并发处理能力。 消息处理延迟优化：在某些场景下，对消息的实时性要求较低，可以通过设置按需转包周期来优化消息的处理延迟。将一定数量的消息打包成一个批次进行消费，可以减少消息的处理次数，从而降低消息的处理延迟。 需要注意的是，在设置按需转包周期时，应根据实际业务需求和系统情况进行调整。同时，应考虑消息的重要性、消费者的处理能力、系统的资源限制等因素，以确保系统的稳定性和性能。

本文介绍云防火墙CFW服务在使用过程中的约束和限制。 CFW使用限制 仅支持对部署在云平台内的业务提供防护，不支持跨云使用。 支持弹性公网IP EIP的流量防护，不支持全域公网带宽GEIP、API网关APIG绑定的EIP的流量防护。 VPC边界流量防护功能依赖企业路由器ER服务引流，使用该功能时，需确保账号下至少有一个企业路由器。 云防火墙不支持防护中文域名。 防护策略配额限制 防护规则 一个防火墙实例最多添加20000条防护规则。 黑白名单 一个防火墙实例最多添加2000条黑名单。 一个防火墙实例最多添加2000条白名单。 成员组 IP地址组 每个防火墙实例下最多添加3800个IP地址组。 每个IP地址组中最多添加640个IP地址成员。 每个防火墙实例下最多添加30000个IP地址。 服务组 每个防火墙实例下最多添加900个服务成员。 每个防火墙实例下最多添加512个服务组。 每个服务组中最多添加64个服务成员。 域名组 域名组中所有域名被“防护规则”引用最多40000次，泛域名（例如：.example.com）被“防护规则”引用最多2000次。 应用域名组（七层协议解析） 每个防火墙实例下最多添加500个域名组。 每个防火墙实例下最多添加2500个域名成员。 每个应用域名组中最多添加1500个域名成员。 网络域名组（四层协议解析） 每个防火墙实例下最多添加1000个域名成员。 每个网络域名组中最多添加15个域名成员。 每个域名组最多支持解析1500条IP地址。 每个域名最多支持解析1000条IP地址。

介绍分布式消息服务Kafka计费模式互转的功能操作内容。 场景描述 Kafka的按需转包周期的场景描述如下： 在使用Kafka时，可能会遇到需要设置按需转包周期的场景，例如： 消息积压处理：当Kafka中的消息积压较多时，可能会导致消息的消费速度跟不K上消息的生产速度，进而影响系统的性能和稳定性。为了解决这个问题，可以设置按需转包周期，即将一定数量的消息打包成一个批次进行消费，以提高消费的效率和吞吐量。 业务流量波动：在某些业务场景下，业务流量可能会出现波动，即某个时间段内的消息产生速度较快，而另一个时间段内的消息产生速度较慢。为了更好地适应业务流量的波动，可以设置按需转包周期，以根据实际的消息产生情况进行灵活的批量消费。 系统资源优化：当Kafka的消费者资源有限时，可以通过设置按需转包周期来优化系统的资源利用。通过将一定数量的消息打包成一个批次进行消费，可以减少消费者的竞争和上下文切换，提高系统的并发处理能力。 消息处理延迟优化：在某些场景下，对消息的实时性要求较低，可以通过设置按需转包周期来优化消息的处理延迟。将一定数量的消息打包成一个批次进行消费，可以减少消息的处理次数，从而降低消息的处理延迟。 需要注意的是，在设置按需转包周期时，应根据实际业务需求和系统情况进行调整。同时，应考虑消息的重要性、消费者的处理能力、系统的资源限制等因素，以确保系统的稳定性和性能。

步骤三：购买私网NAT网关 1. 登录天翼云控制台，选择”网络>NAT网关>私网NAT网关”。 2. 进入NAT网关控制台，点击右上角“创建私网NAT网关”。 3. 选择付费方式，填写名称，选择可用区，VPC选择环境准备中的创建的VPC，子网选择创建好的中转子网，选择所需规格，点击”下一步”。 4. 确认规格，选择我已阅读并同意相关协议，单击“确认下单”，完成私网NAT网关的创建。 步骤四：创建中转IP地址 1. 登录天翼云控制台，选择”网络>NAT网关>私网NAT网关”。 2. 点击需要添加中转IP地址的私网NAT网关名称，进入私网NAT网关详情页，下拉至中转IP地址标签页，点击添加中转IP。 3. 根据界面提示，选择手动分配，并设定为线下IDC信任IP（192.168.3.5）。 4. 配置完成上述信息，点击“确定”，完成中转IP地址的添加。 步骤五：配置路由 由于私网NAT网关的子网已绑定默认路由表，在开通云专线时，会自动生成到专线网关去往云下IDC的路由，您只需要创建自定义路由表将业务流量引流到私网NAT网关，来管理网络流量。 配置自定义路由表：将云上业务流量引流到私网NAT网关 1. 创建一张“自定义路由表”，进入路由规则页面，绑定VPC的业务子网（192.168.1.0/24）。 2. 在路由规则页面单击“创建“，在弹出页面，选择 1. IP类型：IPv4 2. 目的地址：172.16.5.0/24（目标网段：云下IDC的客户侧子网） 3. 下一跳类型：NAT网关 4. NAT网关：选择刚创建的私网NAT网关（nattest1） 3. 点击“确定”，完成私网NAT网关的转发路由配置。

本章节介绍如何对DRDS读写分离操作指导 DRDS读写分离功能可以将只读查询的流量按比例分摊至下挂存储节点的主实例和只读实例，从而减轻主实例的工作负担，保障读写事务的性能。此功能对应用透明，业务代码无需改造，只需要在控制台上设置主实例和只读实例的读权重，即可实现将读流量按照权重分流到主实例和只读实例上，写流量不受影响，默认会分流到主实例上。一般来说该比例的设置需结合业务实际特点以及存储节点实际负载进行设置。 只读实例上的数据是从主实例上异步复制而来，所以存在毫秒级的延迟。如果只读查询对数据实时性要求不高（容忍亚秒级可见性延迟）且只读查询的开销较大并对业务核心读写事务有一定影响，设置主实例和只读实例的权重为0:100，即所有只读查询均由只读实例承担，最大程度保证主实例性能。对于其他场景，建议结合实际情况酌情调整。 使用须知 DRDS内核版本大于等于3.1.0版本时，需要手动开启读写分离，然后调整只读实例和主实例的读写权重来实现读写分离操作。 如果DRDS内核版本小于3.1.0版本，系统默认开启读写分离，只需要调整只读实例和主实例的读写权重即可以实现读写分离操作。 若select语句带有hint或者在事务中做了数据修改的select语句，读请求都会下发主实例执行。 如果存储节点主实例故障，此时只读实例上SecondsBehindMasterNULL，只读查询仍会下发到主实例执行，需要尽快恢复主实例。

云原生 API 网关是一款面向现代应用架构设计的高性能网关解决方案,集成流量治理、安全防护、服务集成与可观测能力于一体。

本章节介绍云主机网络包重复故障演练。 背景介绍 在网络传输过程中，因设备配置错误（如交换机端口镜像）、中间件异常（如负载均衡重复转发）或协议缺陷，可能导致数据包被复制并多次送达目标主机。虽然 TCP 协议能够识别并丢弃重复的数据包以保证数据完整性，但这个过程会消耗额外的网络带宽和CPU资源。更严重的是，对于应用层协议，如果缺乏幂等性设计，重复的请求可能导致业务逻辑被错误地执行多次（如重复下单、重复扣款）。本演练模拟此场景，帮助您检验系统的处理能力和业务逻辑的幂等性。 基本原理 预先在探针管理处将内部自研Agent安装至云主机上，使用管控通道下发动作执行命令。 原理是通过增加TC和Netem规则模拟主机内网络包重复。 注意 只对出方向流量生效，不会影响入流量；如果系统已配置有TC规则，动作执行会失败。 故障注入 1、纳管实例资源 1. 导航至 故障演练 > 目标应用 > 应用资源页面。 2. 在资源类型页签中选择云主机 ，然后单击添加资源。 3. 在弹出的对话框中，勾选目标云主机 实例，单击确定。 2、编排演练任务 1. 导航至 故障演练 > 目标应用 > 演练管理 页面，单击新建演练。 2. 在基本信息 页面，按提示填写演练名称和描述，然后单击下一步。 3. 在演练对象配置页面： 配置动作组 ：为动作组 命名，资源类型选择云主机。 添加实例 ：单击添加实例 ，勾选上一步中添加的云主机实例。 添加故障动作 ：单击立即添加 ，在列表中选择网络包重复动作。 4. 在弹出的参数配置框中，配置所需参数，然后单击确定。 持续时间：故障动作持续时间。 本地端口：仅对源端口为指定端口的流量生效。例如，可设置为您对外提供服务的端口。可以指定多个，使用逗号分隔或者连接符表示范围，例如 80,80008080。 远程端口：仅对目标端口为指定端口的流量生效。例如，可设置为您的应用访问数据库的端口。可以指定多个，使用逗号分隔或者连接符表示范围，例如 80,80008080。 排除端口：排除指定端口的流量。可以指定多个，使用逗号分隔或者连接符表示范围，例如 22,8000 或者 80008010。 这个参数不能与本地端口或者远程端口参数一起使用。 目标IP： 支持通过子网掩码来指定一个网段的IP地址, 例如 192.168.1.0/24. 则 192.168.1.0~192.168.1.255 都生效。也可以指定固定的 IP，如 192.168.1.1 或者 192.168.1.1/32，还可以通过逗号分隔多个参数，例如 192.168.1.1,192.168.2.1。 网卡设备：指定在哪个网络接口上实施故障，网卡可通过ifconfig命令查询，例如 eth0。 排除IP：排除受影响的 IP，支持通过子网掩码来指定一个网段的IP地址, 例如 192.168.1.0/24. 则 192.168.1.0~192.168.1.255 都生效。也可以指定固定的 IP，如 192.168.1.1 或者 192.168.1.1/32，还可以通过逗号分隔多个参数，例如 192.168.1.1,192.168.2.1。 包重复百分比：数据包被复制的概率（取值 0100）。例如，设置为 10 表示每100个包中约有10个会被复制并重复发送一次。

本章节介绍如何使用云原生网关实现websocket流量代理 概述 WebSocket 协议允许客户端和服务器之间进行实时的双向数据传输，从而确保了连接的持久性和低延迟。可以在云原生网关中开启websocket支持，实现websocket流量代理。 前提 1. 已开通云原生网关实例； 2. 已部署后端websocket server服务 云原生网关中开启WebSocket支持 我们采用在MSE Nacos中注册后端websocket服务的方式进行服务部署，后端服务示例可部署demo应用（暴漏websocket应用路径为/ws/server）。在创建服务时打开“开启websocket支持”开关，则可对该服务进行websocket协议请求。 为该服务创建一条路由，匹配路径填写/即可。 结果验证 可通过postman软件发起到网关的websocket请求，请求协议前缀为ws://或wss://。当服务关闭websocket支持时，请求失败。 当服务开启websocket支持时，请求成功。 注意 后端服务开启/关闭websocket支持无法在已经被引用的多服务路由或标签路由上生效。

本文主要介绍什么是监听器。 创建负载均衡器后，需要为负载均衡器配置监听器。监听器负责监听负载均衡器上的请求，根据配置流量分配策略，分发流量到后端主机处理。 支持的协议类型 负载均衡提供四层协议和七层协议监听，您可根据从客户端到负载均衡器的应用场景选择监听协议。 对于支持四层能力的负载均衡器，在创建监听器时，支持选择TCP或者UDP。 对于支持七层能力的负载均衡器，在创建监听器时，支持选择HTTP或者HTTPS。 监听器协议类型说明表 协议类型 说明 适用场景 四层协议 TCP 基于源地址的会话保持。数据传输快。 四层协议 UDP 可靠性相对低数据传输快 七层协议 HTTP 基于Cookie的会话保持。 七层协议 HTTPS 加密传输数据，可以阻止未经授权的访问。 加解密操作在负载均衡器上完成，可减少后端的处理负载。 多种加密协议和加密套件可选。

产品分类 服务项 折扣说明 零信任服务远程办公 产品套餐（VPN版、基础版、企业版） 部署类型：混合部署/SaaS 按年购买，可享受1年8.5折、2年7.5折、3年6折、4年5.5折、5年4.5折折扣 零信任服务远程办公 流量中国内地流量包 无折扣 零信任服务远程办公 带宽扩展服务 支持按年购买，可享受1年8.5折、2年7.5折、3年6折、4年5.5折、5年4.5折折扣 零信任服务远程办公 账号数扩展 支持按年购买，可享受1年8.5折、2年7.5折、3年6折、4年5.5折、5年4.5折折扣 零信任服务远程办公 短信相关（资源包、扩展服务） 无折扣 网络服务（办公组网/全球加速) 区域带宽全球 无折扣 网络服务（办公组网/全球加速) 平台授权服务费 无折扣

指标ID 指标名称 指标含义 取值范围 测量对象 监控周期（原始指标） attachmentbytesin 入方向流量 该指标用于统计企业路由器连接入方向的网络流量。 单位：字节 ≥ 0 企业路由器连接 1分钟 attachmentbytesout 出方向流量 该指标用于统计企业路由器连接出方向的网络流量。 单位：字节 ≥ 0 企业路由器连接 1分钟 attachmentbitsratein 入方向带宽 该指标用于统计企业路由器连接入方向，每秒接收的比特数。 单位：比特/秒 ≥ 0 企业路由器连接 1分钟 attachmentbitsrateout 出方向带宽 指标用于统计企业路由器连接出方向，每秒发送的比特数。 单位：比特/秒 ≥ 0 企业路由器连接 1分钟 attachmentpacketsin 入方向PPS 该指标用于统计企业路由器连接入方向，每秒接收的数据包数。 单位：包/秒 ≥ 0 企业路由器连接 1分钟 attachmentpacketsout 出方向PPS 该指标用于统计企业路由器连接出方向，每秒发送的数据包数。 单位：包/秒 ≥ 0 企业路由器连接 1分钟 attachmentpacketsdropblackhole 黑洞路由丢弃包数量 该指标用于统计企业路由器连接中，由于黑洞路由导致的丢包数量。 单位：个 ≥ 0 企业路由器连接 1分钟 attachmentpacketsdropnoroute 无匹配路由丢弃包数量 该指标用于统计企业路由器连接中，由于路由无法匹配导致的丢包数量。 单位：个 ≥ 0 企业路由器连接 1分钟

云原生 API 网关是一款面向现代应用架构设计的高性能网关解决方案,集成流量治理、安全防护、服务集成与可观测能力于一体。

产品分类 服务项 折扣说明 零信任服务远程办公 产品套餐（VPN版、基础版、企业版） 部署类型：混合部署/SaaS 按年购买，可享受1年8.5折、2年7.5折、3年6折、4年5.5折、5年4.5折折扣 零信任服务远程办公 流量中国内地流量包 无折扣 零信任服务远程办公 带宽扩展服务 支持按年购买，可享受1年8.5折、2年7.5折、3年6折、4年5.5折、5年4.5折折扣 零信任服务远程办公 账号数扩展 支持按年购买，可享受1年8.5折、2年7.5折、3年6折、4年5.5折、5年4.5折折扣 零信任服务远程办公 短信相关（资源包、扩展服务） 无折扣 网络服务（办公组网/全球加速) 区域带宽全球 无折扣 网络服务（办公组网/全球加速) 平台授权服务费 无折扣

Affinity on only one core suffix"" for (( j${ aff}1; j>0; j )); do if [ "${aff:$j:1}" "," ];then continue fi if [ "${aff:$j:1}" ! "0" ];then affone"${aff:$j:1}${suffix}" break fi suffix+"0" done if [ z "$affone" ];then echo "Failed to find txq affinity core" exit 1 fi affoneecho $affone tr '13579bdf' '1' tr '26ae' '2' tr '4c' '4' if ((usetcp > 0)) ;then taskset $affone iperf3 c $server $tcpopts P 2 p $((5200+$i)) t $runtime & else taskset $affone iperf3 c $server $udpopts b ${udpbandMb}M P 2 p $((5200+$i)) t $runtime & fi ((i++)) done wait 测试pps(144B/64B小包)： bash bash iperfclient.sh s pps t 300 测试带宽(1500B大包)： bash bash iperfclient.sh s t 300 6. 打流的过程中虚拟交换机会根据流量做balance，所以我们流量测试应持续5分钟。等待底层balance到最佳状态，以得到较好的性能结果。

本节主要介绍快速创建负载均衡的相关操作流程。 操作流程 具体流程如下： 1.准备工作 在创建SLB之前，需要规划对应的网络，并创建对应的VPC和子网。 2.创建后端服务器实例并部署业务 创建后端服务器实例，其网络选择对应VPC和子网，并在已创建好的服务器实例下部署业务服务。 3.创建SLB实例 在使用SLB时，首先要创建一个SLB实例，选择对应VPC，后续的监听器和后端服务器组都是基于该SLB实例创建并使用。 4.添加后端服务器组并配置后端服务器 在SLB实例的后端服务器组选项中添加后端服务器，同时可以开启健康检查，添加权重等功能。 5.添加监听器 为SLB实例添加监听器并选择对应的后端服务器组，根据转发策略把访问流量转发到后端服务器组中的服务器实例，实现流量负载均衡。

计费项目 话单：计费单位 标准价格：计费单位 转换公式 vCPU vCpuSeconds 核/小时 1 核/小时 3600 vCpuSeconds 内存 GBSeconds GB/小时 1 GB/小时 3600 GBSeconds GPU GpuSeconds 块/小时 1 块/小时 3600 GpuSeconds 存储 GBSeconds GB/小时 1 GB/小时 3600 GBSeconds 虚拟机整机销售 CountSeconds 台/小时 1 台/小时 3600 CountSeconds 裸金属 CountSeconds 台/小时 1 台/小时 3600 CountSeconds 带宽按流量计费 byte（byte/5Minutes） GB 请结合您的带宽转换进制换算，进制配置请联系您的客户经理，默认为1000。1000进制：1 GB 1000000000 byte，1024进制：1 GB 1073741824 byte 带宽按月95峰值计费或按月均日95计费 bps Mbps 请结合您的带宽转换进制换算，进制配置请联系您的客户经理，默认为1000。1000进制：1 Mbps 1000000 bps，1024进制：1 Mbps 1048576 bps，通过每5分钟的流量转带宽：1 bps 1 byte 8 / 300 Seconds

问题描述 Service的标签（metadata.labels）中，需要配置app标签，并和关联的Deployment中（spec.template.metadata.labels）Pod的app标签一致。如果未配置或者值不一致，会报此异常。 说明 app标签在流量监控中用于流量的跟踪。 修复指导 步骤 1 登录CCE控制台。 步骤 2 在左侧导航栏选择“工作负载 > 无状态负载 Deployment”，单击对应负载后的“更多 > 编辑YAML”，查看Deployment中Pod的app标签（spec.template.metadata.labels）。 步骤 3 在左侧导航栏选择“资源管理 > 网络管理”，单击对应服务后的“编辑YAML”，查看Service的app标签（metadata.labels）。 步骤 4 修改Service的app标签与Pod的app标签值一致。 服务是否配置了默认版本的服务路由，路由配置是否正确 问题描述 Istio在VirtualService和DestinationRule中定义了服务的流量路由规则，所以需要为每个服务配置VirtualService和DestinationRule，需要满足以下的规则： VirtualService中必须配置了Service的所有端口。 VirtualService中的协议类型必须和Service中端口协议类型一致。 VirtualService和DestinationRule中必须配置了默认的服务版本。 说明 如果检查结果发生改变，可能Service的端口号或端口名称被修改。 修复指导 步骤 1 登录ASM控制台，选择服务所在网格，单击左侧导航中的“网格配置”，选择“istio资源管理”页签，在搜索框中选择“istio资源：virtualservices”及服务所属命名空间。 步骤 2 确保VirtualService中必须配置了Service的所有端口。 步骤 3 确保VirtualService中的协议类型必须和Service中端口协议类型一致。

选购项 是否必选 选购项说明及建议 套餐规格 是 不同的套餐规格，包含的保底防护带宽、CC防护能力、业务带宽、端口数和域名数会存在差异。您需要评估您业务的防护需求，以选择合适的套餐。 保底防护带宽：可防御的攻击流量峰值。 CC防护能力：可防御的CC攻击峰值 业务带宽：所接入业务日常入方向及出方向流量总和的峰值。 端口数：使用TCP和UDP协议添加接入的端口数量。 域名数：支持使用HTTP和HTTPS接入的域名数量。需梳理一级主域名的数量以及主域名下子域名的数量。 弹性防护 否 弹性防护带宽为超过保底带宽后的最高防护带宽，超过保底带宽值但不大于弹性带宽值的攻击仍然可以进行有效防护，但会根据超出保底带宽的部分产生后按照超出部分所属阶梯价格付费（按天收费），如防护超过选定的最高防护带宽，则通过解析回源，2小时后自动解封。 若您的业务有受到超大流量攻击的风险但次数不会太频繁，建议开启弹性防护。 域名扩展包 否 如果您需要防护的域名数量超过您购买套餐的域名数量，可以购买扩展包进行补充：一个扩展包支持1个主域名及域名下的9个子域名。 端口数 否 如果您需要防护的端口数量超过您购买套餐的端口数量，可以购买扩展包进行补充。 业务带宽 否 如果您需要的业务带宽量超过您购买套餐的使用量，可以购买扩展包进行补充。 缓存功能 否 如果您需要增加缓存功能，可以开启该功能。 购买时长 是 选择需要订购的时长。 自动续订 否 若开启，将在余额充足的情况下自动续订，续订时长可设置。

指标ID 指标名称 指标含义 取值范围 测量对象 监控周期（原始指标） nodestatus 实例节点状态 显示Proxy节点状态是否正常。 l 0：表示正常l 1：表示异常 Redis 4.0/Redis 5.0 Proxy集群、读写分离实例Proxy节点 1分钟 cpuusage CPU利用率 该指标对于统计周期内的测量对象的CPU使用率进行多次采样，表示多次采样的最高值。单位：%。 0100% Redis 4.0/Redis 5.0 Proxy集群、读写分离实例Proxy节点 1分钟 cpuavgusage CPU平均使用率 该指标对于统计周期内的测量对象的CPU使用率进行多次采样，表示多次采样的平均值。单位：%。 0100% Redis 4.0/Redis 5.0 Proxy集群、读写分离实例Proxy节点 1分钟 memoryusage 内存利用率 该指标用于统计测量对象的内存利用率。单位：%。 0100% Redis 4.0/Redis 5.0 Proxy集群、读写分离实例Proxy节点 1分钟 connectedclients 活跃的客户端数量 该指标用于统计已连接的客户端数量。 >0 Redis 4.0/Redis 5.0 Proxy集群、读写分离实例Proxy节点 1分钟 instantaneousops 每秒并发操作数 该指标用于统计每秒处理的命令数。 >0 Redis 4.0/Redis 5.0 Proxy集群、读写分离实例Proxy节点 1分钟 instantaneousinputkbps 网络瞬时输入流量 该指标用于统计瞬时的输入流量。单位：KB/s。 >0KB/s Redis 4.0/Redis 5.0 Proxy集群、读写分离实例Proxy节点 1分钟 instantaneousoutputkbps 网络瞬时输出流量 该指标用于统计瞬时的输出流量。单位：KB/s。 >0KB/s Redis 4.0/Redis 5.0 Proxy集群、读写分离实例Proxy节点 1分钟 totalnetinputbytes 网络收到字节数 该指标用于统计周期内收到的字节数。单位：byte。 >0byte Redis 4.0/Redis 5.0 Proxy集群、读写分离实例Proxy节点 1分钟 totalnetoutputbytes 网络发送字节数 该指标用于统计周期内发送的字节数。单位：byte。 >0byte Redis 4.0/Redis 5.0 Proxy集群、读写分离实例Proxy节点 1分钟 connectionsusage 连接数使用率 该指标用于统计当前连接数与最大连接数限制的百分比。单位：%。 0100% Redis 4.0/Redis 5.0 Proxy集群、读写分离实例Proxy节点 1分钟 commandmaxrt 最大时延 节点从接收命令到发出响应的时延最大值。单位：us。 >0us Redis 4.0/Redis 5.0 Proxy集群、读写分离实例Proxy节点 1分钟 commandavgrt 平均时延 节点从接收命令到发出响应的时延平均值。单位：us。 >0us Redis 4.0/Redis 5.0 Proxy集群、读写分离实例Proxy节点 1分钟

本节介绍如何添加自定义IPS特征。 CFW支持自定义网络入侵特征规则，添加后，CFW将基于签名特征检测数据流量是否存在威胁。 自定义IPS特征支持添加HTTP、TCP、UDP、POP3、SMTP、FTP的协议类型。 注意 自定义的特征建议具体化，避免太宽泛，否则可能会导致大部分流量匹配到该特征规则，影响流量转发性能。 约束条件 仅“专业版”支持自定义IPS特征。 最多支持添加500条特征。 自定义的IPS特征不受修改基础防御防护模式的影响。 特征设置“方向”为“客户端到服务器”且“协议类型”为“HTTP”时，“内容选项”才能设置为“URI”。 自定义IPS特征 1. 登录管理控制台。 2. 在左侧导航栏中，单击左上方的，选择“安全> 云防火墙”，进入云防火墙的总览页面。 3. （可选）当前账号下仅存在单个防火墙实例时，自动进入防火墙详情页面，存在多个防火墙实例时，单击防火墙列表“操作”列的“查看”，进入防火墙详情页面。 4. 在左侧导航栏中，选择“攻击防御> 入侵防御”。单击“自定义IPS特征”中的“查看规则”，进入“自定义IPS特征”页面。 5. 在“自定义IPS特征”页签中，单击列表右上角“添加自定义IPS特征”，填写规则如下表所示。 参数名称 参数说明 名称 需要添加的特征名称。 命名规则如下： 可输入中文字符、英文大写字母（A～Z）、英文小写字母（a～z）、数字（0～9）和特殊字符（）。 长度不能超过255个字符。 风险等级 设置特征的风险等级。 攻击类型 选择特征的攻击类型。 影响软件 选择受影响的软件。 操作系统 选择操作系统。 方向 选择该特征匹配流量的方向。 Any：任意方向，符合其他条件的任意方向的流量都会匹配到当前规则。 服务器到客户端 客户端到服务器 协议类型 选择特征的协议类型。 源类型 选择源端口类型。 Any：任意端口类型，等同于包含所有类型。 包含 排除 说明 建议您优先选择“Any”。 源端口 “源类型”选择“包含”或“排除”时，设置源端口。 支持设置单个或多个端口，多个端口之间用半角逗号（,）隔开，如：80,100。 支持连续端口组，中间使用“”隔开，如：80443。 目的类型 选择目的端口类型。 Any：任意端口类型，等同于包含所有类型。 包含 排除 说明 建议您优先选择“Any”。 目的端口 “目的类型”选择“包含”或“排除”时，设置目的端口。 支持设置单个或多个端口，多个端口之间用半角逗号（,）隔开，如：80,100。 支持连续端口组，中间使用“”隔开，如：80443。 动作 防火墙检测到该特征流量时，采取的动作。 观察：仅对攻击事件进行检测并记录到日志中，日志记录查询请参见“日志查询”。 拦截：实施自动拦截操作。 说明 建议您优先选择“观察”，确认“攻击事件日志”记录正确后，再切换至“拦截”。 内容 特征规则中匹配的内容。 内容：跟特征匹配的内容字段，例如：cfw。 内容选项：选择“内容”匹配的限制规则。 十六进制：匹配十六进制时，“内容”需填写十六进制格式，例如：0x1F。 忽略大小写：匹配时不区分大小写。 URL：匹配URL中跟“内容”一致的字段。 相对位置：匹配特征时，指定开始的位置。 头部：从报文“偏移”值的位置开始匹配特征，例如偏移：10，则该条内容从第11位开始。 说明 当“内容选项”选择“URL”时，头部的匹配位置从域名结束（包含端口）开始计算。 例如：www.example.com/test，偏移为0，则该条内容从com后的/开始。 或www.example.com:80/test，偏移为0，则该条内容从80后的/开始。 上一个内容之后：报文中截取的位置从指定位置开始。 公式：上一条“内容”字段长度+上一条“偏移”值+“偏移”值+1 例如：上一条设置内容：test，偏移：10，本条偏移：5，则该条内容的匹配位置从第20（4+10+5+1）位开始。 偏移：匹配特征时开始的位置，例如偏移：10，则代表该条内容的匹配位置从第11位开始。 深度：匹配特征时，截止匹配的位置，例如深度：65535 ，则代表该条内容的匹配位置到第65535位截止。 说明 “深度”值需大于“内容”字段长度。 一条IPS特征中最多添加4条内容。 6. 单击“确认”，完成添加IPS特征。

路由表配置说明 VPCA的路由表（RouterA）的配置： 对等连接创建完成后，为了确保VPCA将能够正确地将流量传递给相应的目标（弹性云主机B02），并避免同一子网内不同服务器的冲突。有如下两种配置方案供您选择： 在VPCA的路由表（RouterA）中，添加目的地址为弹性云主机B02的私有IP地址，下一跳为PeeringAB的路由规则。根据最长匹配原则，确保VPCA将响应流量正确地送达弹性云主机B02。 路由表 目的地址 下一跳 路由类型 路由说明 RouterA（VPCA） 10.0.1.0/24 Local 系统路由 系统默认创建，用于VPC内部通信。 RouterA（VPCA） 192.168.1.130 (弹性云主机B02) PeeringAB 自定义路由 在VPCA的路由表RouterA中，添加一条路由规则，使其目的地址为弹性云主机B02的私有IP地址，下一跳为PeeringAB。 RouterA（VPCA） 192.168.1.128/25 (SubnetC02) PeeringAC 自定义路由 在VPCA的路由表RouterA中，添加一条路由规则，使其目的地址为SubnetC02的网段，下一跳为PeeringAC。 在VPCA的路由表中，需要添加两条自定义路由规则，一条规则的目的地址为VPCB的子网SubnetB02网段，下一跳为PeeringAB；另一条规则的目的地址为VPCC的子网SubnetC01网段，下一跳为PeeringAC。通过如上设置以确保VPCA能够将响应流量返回到VPCB的子网SubnetB02。 路由表 目的地址 下一跳 路由类型 路由说明 RouterA（VPCA） 10.0.1.0/24 Local 系统路由 系统默认创建，用于VPC内部通信。 RouterA（VPCA） 192.168.1.128/25(SubnetB02) PeeringAB 自定义路由 在VPCA的路由表RouterA中，添加一条路由规则，使其目的地址为SubnetB02的网段，下一跳为PeeringAB。 RouterA（VPCA） 192.168.1.0/25 (SubnetC01) PeeringAC 自定义路由 在VPCA的路由表RouterA中，添加一条路由规则，使其目的地址为SubnetC01的网段，下一跳为PeeringAC。 VPCB的路由表（RouterB）和VPCC的路由表（RouterC）配置如下： 路由表 目的地址 下一跳 路由类型 路由说明 RouterB（VPCB） 192.168.1.0/25 Local 系统路由 系统默认创建，用于VPC内部通信。 RouterB（VPCB） 192.168.1.128/25 Local 系统路由 系统默认创建，用于VPC内部通信。 RouterB（VPCB） 10.0.0.0/16(VPCA) PeeringAB 自定义路由 在VPCB的路由表RouterB中，添加一条路由规则，使其目的地址为VPCA的网段，下一跳为PeeringAB。 RouterC（VPCC） 192.168.1.0/25 Local 系统路由 系统默认创建，用于VPC内部通信。 RouterC（VPCC） 192.168.1.128/25 Local 系统路由 系统默认创建，用于VPC内部通信。 RouterC（VPCC） 10.0.0.0/16 (VPCA) PeeringAC 自定义路由 在VPCC的路由表RouterC中，添加一条路由规则，使其目的地址为VPCA的网段，下一跳为PeeringAC。 通过以上配置，VPCA 将能够正确地将流量传递给相应的目标，VPCB和VPCC将能够正确地将流量传递给VPCA的网段，并避免了路由冲突问题。

路由表配置说明 VPCA的路由表（RouterA）的配置： 对等连接创建完成后，为了确保VPCA将能够正确地将流量传递给相应的目标（弹性云主机B02），并避免同一子网内不同服务器的冲突。有如下两种配置方案供您选择： 在VPCA的路由表（RouterA）中，添加目的地址为弹性云主机B02的私有IP地址，下一跳为PeeringAB的路由规则。根据最长匹配原则，确保VPCA将响应流量正确地送达弹性云主机B02。 路由表 目的地址 下一跳 路由类型 路由说明 RouterA（VPCA） 10.0.1.0/24 Local 系统路由 系统默认创建，用于VPC内部通信。 RouterA（VPCA） 192.168.1.130 (弹性云主机B02) PeeringAB 自定义路由 在VPCA的路由表RouterA中，添加一条路由规则，使其目的地址为弹性云主机B02的私有IP地址，下一跳为PeeringAB。 RouterA（VPCA） 192.168.1.128/25 (SubnetC02) PeeringAC 自定义路由 在VPCA的路由表RouterA中，添加一条路由规则，使其目的地址为SubnetC02的网段，下一跳为PeeringAC。 在VPCA的路由表中，需要添加两条自定义路由规则，一条规则的目的地址为VPCB的子网SubnetB02网段，下一跳为PeeringAB；另一条规则的目的地址为VPCC的子网SubnetC01网段，下一跳为PeeringAC。通过如上设置以确保VPCA能够将响应流量返回到VPCB的子网SubnetB02。 路由表 目的地址 下一跳 路由类型 路由说明 RouterA（VPCA） 10.0.1.0/24 Local 系统路由 系统默认创建，用于VPC内部通信。 RouterA（VPCA） 192.168.1.128/25(SubnetB02) PeeringAB 自定义路由 在VPCA的路由表RouterA中，添加一条路由规则，使其目的地址为SubnetB02的网段，下一跳为PeeringAB。 RouterA（VPCA） 192.168.1.0/25 (SubnetC01) PeeringAC 自定义路由 在VPCA的路由表RouterA中，添加一条路由规则，使其目的地址为SubnetC01的网段，下一跳为PeeringAC。 VPCB的路由表（RouterB）和VPCC的路由表（RouterC）配置如下： 路由表 目的地址 下一跳 路由类型 路由说明 RouterB（VPCB） 192.168.1.0/25 Local 系统路由 系统默认创建，用于VPC内部通信。 RouterB（VPCB） 192.168.1.128/25 Local 系统路由 系统默认创建，用于VPC内部通信。 RouterB（VPCB） 10.0.0.0/16(VPCA) PeeringAB 自定义路由 在VPCB的路由表RouterB中，添加一条路由规则，使其目的地址为VPCA的网段，下一跳为PeeringAB。 RouterC（VPCC） 192.168.1.0/25 Local 系统路由 系统默认创建，用于VPC内部通信。 RouterC（VPCC） 192.168.1.128/25 Local 系统路由 系统默认创建，用于VPC内部通信。 RouterC（VPCC） 10.0.0.0/16 (VPCA) PeeringAC 自定义路由 在VPCC的路由表RouterC中，添加一条路由规则，使其目的地址为VPCA的网段，下一跳为PeeringAC。 通过以上配置，VPCA 将能够正确地将流量传递给相应的目标，VPCB和VPCC将能够正确地将流量传递给VPCA的网段，并避免了路由冲突问题。

本文介绍子网ACL实例的相关功能。 子网ACL概述 子网ACL(Access Control List, ACL)是虚拟私有云网络VPC(Virtual Private Cloud, VPC)中的网络访问控制功能。可以通过自定义设置网络ACL规则，实现对子网中虚拟机实例流量的访问控制。 使用限制： 一个子网ACL实例可以关联多个子网，但一个子网同一时间只能关联一个子网 ACL。 关联子网后，子网ACL默认拒绝所有出入子网的流量。 默认放通同一子网内的流量及预留子网。 创建子网ACL 1. 登录公共算力服务控制台。 2. 单击左侧导航栏的【网络>子网ACL】，点击左上角【创建子网ACL】。 3. 在创建子网ACL页面，配置以下参数，完成创建。 参数说明： 参数 说明 名称 输入子网ACL的名称。 描述 输入子网ACL的描述。 查看子网ACL 1. 登录公共算力服务控制台。 2. 单击左侧导航栏的【网络>子网ACL】，进入子网ACL列表，点击任意实例查看详情信息。 关联子网 1. 登录公共算力服务控制台。 2. 单击左侧导航栏的【网络>子网ACL】，进入子网ACL列表。 3. 在子网ACL列表页点击【关联子网】进入到子网ACL详情页面。 4. 在【关联子网】页签，点击【关联子网】。 5. 勾选要关联的子网，点击【绑定】。 6. 查看子网ACL详情，显示关联的子网已完成绑定。 说明： 已被网络ACL关联的子网将不会展示在其他ACL关联子网的弹窗中，如您需要更换ACL与子网之间的绑定关系，请先解除已绑定的ACL和子网，再重新关联。 一个子网同一时间仅支持一个ACL，一个ACL支持关联多个子网。

本文主要介绍如何添加或移除后端云主机(共享型)。 操作场景 在使用负载均衡服务时，确保至少有一台后端云主机在正常运行，可以接收负载均衡转发的客户端请求。如果请求的需求流量上升，用户需要向负载均衡器添加更多后端云主机处理需求。 移除负载均衡器绑定的后端云主机，后端云主机将不再收到负载均衡器转发的需求，但不会对云主机本身产生任何影响，只是解除了后端云主机和负载均衡器的关联关系。您可以在业务增长或者需要增强可靠性时再次将它添加至后端主机组中。 约束与限制 仅支持添加与共享型负载均衡实例同VPC的云主机。 移除后端云主机后，长连接在超时时间内会复用TCP连接，请求会继续转发，仍然会有流量进入后端云主机。 已有连接在请求超时时间后没有数据传输，负载均衡器会将连接断开。 每台后端云主机的权重取值范围为[0, 100]，新的请求不会转发到权重为0的后端云主机上。 仅当流量分配策略为加权轮询算法、加权最少连接算法和源IP算法时支持权重设置。 添加后端云主机 1. 登录管理控制台。 2. 在管理控制台左上角选择区域和项目。 3. 选择“服务列表 > 网络 > 弹性负载均衡”。 4. 在“负载均衡器”界面，单击需要添加后端云主机的负载均衡名称。 5. 切换到“后端主机组”页签，单击目标后端主机组名称。 6. 在目标后端主机组的基本信息页面，单击“添加”。选择后端云主机所在的子网，勾选需要添加的后端云主机，单击“下一步”。 说明 如果云主机有多张网卡时，只能选择主网卡所在的子网，通过主网卡添加后端云主机。 不支持通过虚拟IP添加后端云主机。 7. 设置业务端口和云主机的权重，单击“完成”。

您可以通过包年包月计费提前预留资源,同时享受比按量计费更大的价格优惠。 VPN连接支持两种计费模式：包周期、按量付费。 包周期方式：根据购买的VPN网关带宽大小、连接数和购买时长计算费用； 按量付费方式：根据购买的VPN网关连接数数量和实际产生的流量计算流量费用。 计费周期 计费周期 扣费及出账时间 计费项 ::: 小时 账单出账时间通常在当前计费周期结束后下一小时，具体以系统实际出账时间为准。 流量费用 、连接数费用 月 账单出账时间通常在当前计费周期结束的下个自然月1日，具体以系统实际出账时间为准。 VPN网关带宽费用 、连接数费用 计费方式变更 包周期到期转按需 包周期转按需指的是包周期计费模式转换为按量计费模式，用户进行转按需操作后，在资源到期时生效，计费模式转换为按量计费。 1. 对于以包周期方式订购的VPN网关资源，在资源到期之前，可以通过单击操作列中“更多”下的“到期转按需”按钮执行到期转按需操作。 2. 点击“到期转按需”按钮之后，会进入到续订管理页面，确认资源信息无误后，点击“转按需”即可完成计费方式变更。 3. 在操作完成之后，在费用中心页面，单击“订单管理”下的“续订管理”，可以查看到期转按需的订单。 4. 在订单到期之前，可以手动取消到期转按需订单。 说明 要转换付费方式的VPN网关不能是已过期状态，只有未过期的VPN网关才可以修改付费方式，已过期的VPN网关要想修改付费方式需要先续费。