本节介绍如何创建自定义应用。 操作场景 SDWAN服务支持用户自定义应用，您可以在相应设备上开启DPI服务或配置QoS、智能选路策略，从而实现应用级别的流量监控和管理。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本节我们选择华东1。 3. 依次选择“网络”，单击“天翼云SDWAN”，进入天翼云SDWAN总览页面。 4. 选择“应用管理”，单击 “应用管理 >创建应用”。 5. 根据页面提示填写应用名称、五元组规则、所属应用组，具体参数配置如下： 参数 描述 应用名称 以中英文开头，支持中文、大小写字母、数字、下划线、中划线，长度为2~32个字符。 应用类型 若选择网站域名，则需要输入访问地址，支持网站名称（例如：www.ctyun.cn）或域名格式（例如：ctyun.cn）； 若选择五元组，则需要填写协议类型、源地址、源端口范围、目的地址、目的端口范围等信息，配置源/目的端口范围时，请先指定协议类型（TCP或UDP）；不配置协议或协议类型为ICMP时，不支持配置源/目的端口范围。 所属应用组 选择您新建的应用组。 6. 单击“确定”，完成自定义应用创建。

本文介绍基于标签快速查询某类域名统计数据的操作方法。 功能介绍 在完成域名绑定标签后，在日常运营时，如果您需要查询某一属性的域名数据，就可以基于标签筛选相关域名，查询对应的数据。 配置说明 1. 登录客户控制台。 2. 单击左侧导航栏【数据分析】【全站加速用量】。 3. 在筛选工具模块，【范围】的首个框先选定目标产品，在提示【请选择标签】的第2个框，选定本次计划筛选并查询的目标【标签组】、【标签】。 4. 在选定标签组和标签之后，系统会自动过滤并在提示【请选择域名】的第3个框中只显示符合条件的域名，您可再根据自己的实际需求勾选目标域名，运营商，区域，协议类型，协议版本，时间范围等，最后单击【查询】，最终带宽/流量显示的将是您预期的数据。 参数名 配置值 说明 标签组 必选项，按标签组筛选域名 如果先勾选某个标签组，则默认筛选出该标签组内全部标签所绑定的域名。 标签 必选项，按标签筛选域名 在选定某个标签组后，可以选择所关联的一个或多个标签进行筛选，选出目标标签绑定的域名。

本文主要介绍日志处理工具Logstash接入Kafka。 最佳实践概述 场景描述 Kafka与Logstash互联，可实现将Kafka作为inputs把消息传递给Logstash进行处理、或者是作为outputs将Kafka用作消息目的地。 技术架构图 暂无。 方案优势 可以异步处理数据：防止突发流量。 解耦：当发生异常的时候不会影响上游工作。 前提条件 需已购买Kafka实例、创建Topic，并且已成功消费消息。 资源规划 本实践方案内容仅涉及Kafka专享版实例和Logstash。 分布式消息服务 Figure 分布式消息服务 资源类型 配置项 配置明细 说明 :::: 企业中间件 DMS Kafka专享实例 需已购买kafka专享实例，创建好Topic，并成功消费消息。 Logstash下载与安装 下载并安装Logstash，验证运行成功。 方案正文 配置Kafka 1、登录分布式消息服务Kafka版控制台，按需要单击“实例名称”，进入实例基本信息页面。 图 Kafka控制台实例列表 2、在“连接地址”模块，获取Kafka连接IP地址。 图 连接IP地址与端口 3、创建Logstashtest的Topic。 图 创建Topic

本文简述如何退订资源包。 退订说明 用户可根据需要，在符合天翼云退订规则的前提下，灵活退订资源。只要流量包用量未用尽或者有效期未到期，均可按照天翼云的退订规则完成退订操作。 退订步骤 1. 登录天翼云官网，单击右上角【我的】，进入【费用中心】。 2. 单击左侧导航栏中的【订单管理】，进入【退订管理】。 3. 勾选要退订的资源，单击【退订】，进入退订详情页面。 4. 退订前，建议查阅【退订须知】，再次确认要退订的资源信息。确认无误后，选择退订原因并勾选【我已确认本次退订金额和相关费用】，单击【退订】完成退订操作。 5. 退订后资金退回账户余额，可以通过“余额提现”进行提现，提现操作详情请参见余额提现。更多退款说明，详情请参见退款说明。 说明 天翼云同时支持批量退订资源，详情请见如下操作步骤。 勾选要批量退订的资源，单击【批量退订】，进入退订详情页面。 再次确认已选资源，确认无误后，单击【退订】完成退订操作。

参数 说明 参数取值 名称 输入VPN连接的名称。 vpn002 VPN网关 选择步骤一创建的VPN网关。 vpngw001 网关IP 选择VPN网关的 主EIP2 。 11.xx.xx.12 对端网关 选择步骤二创建的对端网关。 cgw001 连接模式 选择“静态路由模式”。 静态路由模式 对端子网 输入数据中心待和VPC互通的子网。 172.16.0.0/16 接口分配方式 支持“手动分配”和“自动分配”两种方式。 手动分配 本端隧道接口地址 配置在VPN网关上的tunnel接口地址。 说明 对端网关需要对此处的本端隧道接口地址/对端隧道接口地址做镜像配置。 169.254.71.2/30 对端隧道接口地址 配置在用户侧设备上的tunnel接口地址。 169.254.71.1/30 检测机制 用于多链路场景下路由可靠性检测。 说明 功能开启前，请确认对端网关支持ICMP功能，且对端接口地址已在对端网关上正确配置，否则会导致VPN流量不通。 勾选“使能NQA” 预共享密钥、确认密钥 VPN连接协商密钥。 VPN连接和对端网关配置的预共享密钥需要一致。 Test@123 策略配置 包含IKE策略和IPsec策略，用于指定VPN隧道加密算法。 VPN连接和对端网关配置的策略信息需要一致。 默认配置

本章节演示通过使用ServiceStage的灰度发布功能部署weather服务的新版本weatherbeta。 ServiceStage提供了灰度发布功能，可以达到上述目的。 本章节演示通过使用ServiceStage的灰度发布功能部署weather服务的新版本weatherbeta。 业务场景 微服务引擎提供负载均衡、降级、限流、容错、熔断、错误注入、黑白名单等治理策略。 用户故事 用户可以根据实际的业务场景提前配置相应的治理策略，灵活应对业务需求变化，保障应用的稳定运行。 降级：在本实践中，假设前台请求剧增，导致系统响应缓慢甚至可能崩溃，在这样的场景下，我们可以在fusionweather对forecast使用降级策略，对forecast 进行降级处理，只请求比较重要的实时天气weather的数据，保障重要业务功能的正常运行，等流量洪峰过去再进行复原。 体验微服务降级 ServiceStage支持从界面上设置按微服务或接口粒度降级。 以对forecast微服务降级为例，操作步骤如下。 1. 登录ServiceStage控制台，选择“微服务引擎 CSE”。 2. 选择创建环境时选择的微服务引擎，单击“查看控制台”。 3. 单击“服务治理”。 4. 单击创建应用时创建的应用名称（例如weathermap） 5. 配置降级策略。 a. 选择fusionweather微服务。 b. 选择“降级”。 c. 单击“新增”。 d. “降级对象”选择“forecast”和“所有方法”。 e. “降级策略”设置为“开启”。 f. 单击“确定”

功能特性 分布式消息服务RabbitMQ的功能特性主要体现在以下几个方面： 访问接口 支持通过API调用，提供交换器、队列增删查改等管控工作。管理控制台上进行的操作用于对交换器、队列、用户、策略等增删查改等管控工作。 队列能力 （1）优先级队列：相比低优先级的消息，要优先投递给消费者进行处理。 （2）延迟队列：延时消息，实现秒级精准定时；简单易用，在代码上只需一个参数设置即可完成，解决开源 RabbitMQ无延时队列的痛点。 （3）死信队列：支持被拒绝消息、TTL 过期消息、队列达到最大长度（消息队列 AMQP队列长度无上限）等 3 种类型消息自动进入死信队列的能力，确保消息不丢失。 消息能力 （1）广播消息：在同一个消费组内对所有消费者投递相同消息。 （2）事务消息：支持事务消息，可用于分布式应用。 （3）定时消息：支持消息延迟发送，解决开源 RabbitMQ 无延时队列的痛点。 安全防护 可追溯租户管理操作的记录。 起源于金融系统，支持权限控制和SSL协议。 运维监控 提供集群、交换器、队列的管理；集群、信道、连接、交换器、队列多维度指标监控。 更多信息请参见功能特性。 应用场景 分布式消息服务RabbitMQ适用于电子商务、金融服务、电信、物流和供应链管理、社交媒体、游戏开发、科学和研究领域等行业，通常用于业务的应用解耦、错峰流控与流量削峰、异步通信等场景。更多信息请参见应用场景。

客户域名可能会因为恶意攻击、网站恶意盗刷等各种恶意访问行为产生突发流量或带宽,进而在边缘安全加速平台产生超出日常正常加速的服务费用。本文侧重介绍如何避免因恶意攻击带来的高额账单风险。 方法一：设置可用额度预警 通过对客户在天翼云官网账户的可用额度预警进行设置，当用户的余额低于阈值，系统会发送短信提醒。 操作步骤： 1. 登录天翼云账户。 2. 单击右上角。 3. 单击【费用中心】。 4. 打开【可用额度预警】开关，修改预警阈值，当用户的余额低于阈值，系统会发送短信提醒。 方法二：开通安全防护功能 边缘安全加速平台（AOne）基于天翼云全球各地的分布式边缘资源与云原生技术，提供集性能、安全、算力能力为一体的产品服务，满足多样化场景需求。如果客户的业务存在潜在的被恶意访问风险，注意要开启安全防护功能，以防止DDoS和CC攻击。 方法三：开启带宽控制功能 边缘安全加速平台支持带宽控制功能，该功能可以控制带宽总用量，从而避免因带宽突发带来更多的费用。如果客户需要对使用天翼云边缘安全加速的域名带宽做限速，可通过提交工单或拨打4008109889热线电话联系天翼云客服进行咨询。相关功能介绍，详情请见：全网带宽控制。

本章节介绍故障演练服务的应用场景。 故障演练服务适用于多种复杂的业务和技术场景，旨在帮助用户从被动响应故障转变为主动发现和规避风险，全面提升系统的稳定性和韧性。 1. 验证高可用（HA）与容灾（DR）预案 这是故障演练的核心应用场景之一。通过模拟关键组件的失效，可以验证系统的自动切换、故障转移和恢复能力是否符合预期。 场景示例： 数据层 ：通过模拟分布式缓存服务Redis版的主备切换、节点宕机等场景，验证组件能否无感切换，量化对上层业务的影响，评估高可用架构的实际效果。 中间件 ：通过模拟分布式消息服务Kafka的Broker节点宕机等场景，检验消息中间件的高可用特性，评估业务数据的可靠性和业务消息生产/消费的合理性。 应用层 ：通过模拟承载关键业务的云主机宕机等场景，验证应用健康检查与流量转移的及时性和有效性，评估业务连续性是否符合架构设计要求。 2. 评估系统性能水位 在业务大促、秒杀等高并发场景来临前，通过主动对系统资源施加压力，可以提前发现性能瓶颈，为容量规划和扩容决策提供数据支持。 场景示例： 计算资源压测 ：通过模拟云主机CPU/内存高负载场景，监测应用服务的响应延迟与错误率变化，评估应用系统在资源瓶颈下的稳定性表现。 存储性能压测 ：通过模拟云主机磁盘I/O高负载场景，监测数据库事务处理、日志写入等关键操作在压力下的吞吐量、延迟及错误率表现，评估存储系统的性能瓶颈。

本文旨在为您介绍云原生API网关如何查看网关监控数据、资源监控数据、在云原生API网关开启日志和链路追踪、以及如何通过云原生API网关查看REST API、接口和路由的监控数据。这些功能将帮助您更高效地管理和优化接口性能,同时提升整体服务质量。 查看网关监控数据 操作步骤 1. 登录 云原生API网关控制台。 2. 在左侧导航栏，选择 "概览"。 3. 在实例监控模块，右上角下拉列表可选择实例。 4. 在实例监控页面，可看到该实例最近时刻的QPS，请求成功率，节点CPU使用率和已使用内存的指标信息。 查看网关资源监控数据 操作步骤 1. 登录 云原生API网关控制台。 2. 在左侧导航栏，选择 "实例"，并在顶部菜单栏选择地域。 3. 进入实例详情页，在左侧导航栏中，选择 "观测分析"。 4. 选择"监控分析"，可看到该实例最近时刻的流量监控，请求监控和延迟监控等指标信息。 5. 选择"资源监控"，可看到该实例每个节点最近时刻的CPU使用率，内存使用率，磁盘和网络等指标信息。 开启网关日志采集 云原生网关对接天翼云日志服务（LTS）实现了访问日志采集、上报和查询能力。开启日志采集后，您可以通过分析云原生API网关的访问日志了解客户端用户行为，以便排查问题。

云原生API网关通过插件市场提供可扩展能力,集成传输协议转换、精细化流量管控、多层次安全防护等标准化插件,支持用户根据业务需求对网关功能进行模块化定制与弹性扩展。本文主要介绍如何安装和卸载插件。 安装插件 安装插件是指将云原生API网关插件市场 中的插件安装到具体的网关实例的过程。有两种方式可以安装插件： 操作步骤1：在插件市场安装 1. 登录 云原生API网关控制台。 2. 在左侧导航栏，选择"插件"，并在顶部菜单栏选择地域。 3. 在插件市场页面的快捷导航栏处，选择插件类型或者搜索插件名称，单击插件卡片上的"安装"，在弹出的安装插件框中选择需要使用此插件的网关实例，单击"确定"。 操作步骤2：在网关实例中安装 1. 登录 云原生API网关控制台。 2. 在左侧导航栏，选择"实例"，并在顶部菜单栏选择地域。 3. 在实例页面，单击目标网关实例名称。 4. 在左侧导航栏，选择"插件"，并在顶部菜单栏选择地域。 5. 单击"安装插件"，在安装插件页面的快捷导航处，选择要安装的插件类型或者搜索插件名称，单击"插件"卡片，在弹出的安装插件框中，单击"安装并配置"。 卸载插件 当您想要将插件彻底从网关上删除时，您可以选择卸载插件。有两种方式可以卸载插件： 注意 卸载插件时，如果存在启用的插件规则，请先停用插件再卸载；如果插件未启用，卸载插件会将配置的插件规则一并删除。

如何决定天翼云目标机配置？ 目标机内存必须大于4G；目标机配置建议与迁移源一致，若迁移源内存小于4G，迁移完成后可以根据客户需求进行缩扩容等修改。 CMS能否迁移Oracle集群或其余集群？ 不可以。 迁移上云后集群会变为单机版。如Oracle RAC需要使用共享存储、部分使用ASM磁盘，迁移工具无法提供ASM磁盘迁移，RAC迁移。 CMS能否实现共享存储、对象存储的数据迁移？ 不可以。 由于共享存储存在数据量大、数据读写变动大等特点。可能导致迁移速率变慢、出错率增高。CMS为规避此问题，将共享存储与对象存储等目录进行过滤，并通过界面反馈告知过滤的具体内容。 使用迁移服务是否需要相关应用人员？ 需要。 您在使用产品时，为了保持一致性，在进行增量迁移时需要进行暂停业务处理。 相关业务应用人员进行暂停业务操作，业务上云后也需要相关熟悉业务人员进行测试验证，以此减少业务停机时间。 业务启用会受何种因素影响？ 当迁移源涉及未授权应用软件、盗版软件、集群数据库、UKey硬件验证以及一些硬件绑定验证时，业务启用会因为授权绑定等验证问题，导致业务无法正常启动，需要在迁移前进行预案处理。 CMS服务在使用时网络环境需要注意什么？ 若迁移过程中出现迁移速度瓶颈，您应先测试源端出口带宽以及目标端入流量带宽。注意是否存在特殊的网络、专线以及是否具备公网环境。

天翼云支持哪些类型的物理专线？ 天翼云依托中国电信丰富的网络资源，云专线兼容底层IPRAN、MSTP、MPLS VPN、OTN等多种线路类型，可适配用户不同接入场景的地理位置和环境条件，满足用户多种组网需求。 物理专线支持的最大带宽是多少？ 支持1G/10G/100G等多种端口带宽规格；同时提供端口聚合和链路能力，实现专线带宽弹性扩容，帮助企业轻松应对大流量业务传输场景。如需帮助请联系客户经理咨询详细业务。 物理专线是否支持高可用部署？ 您可以通过负载冗余专线或主备冗余专线方式，实现物理专线的高可用。具体操作，请参见： 双专线负载方式实现客户站点与VPC互通 双专线主备方式实现客户站点与VPC互通 是否支持通过物理专线将本地的VLAN 延伸到VPC中？ 不支持。 天翼云云专线服务目前仅支持与用户本地网络进行三层互连。 物理专线的互联IP地址是什么含义？ 为了客户本地数据中心与天翼云资源池之间的通信，您需要为物理专线两端同时规划IP地址，且两个IP地址处于同一网段，可以直接通信，这两个IP地址被称为互联IP。 用户的互联IP通常有两个：本端互联IP、远端互联IP。 本端互联IP：天翼云资源池到本地数据中心的路由网关。 远端互联IP：本地数据中心到天翼云资源池的路由网关。

本文将为您介绍云专线服务相关的术语概念,例如客户站点、接入点等。 客户站点 客户站点是用户线下需要与云上互通的站点的统称，包括用户数据中心、本地机房、企业总部、企业分支机构等。 接入点 接入点是指用户通过云专线接入天翼云资源池的专线POP。专线POP可以提供多种端口类型，用于物理专线的接入。 物理专线 物理专线是对客户侧站点和云资源池交换机之间的网络链路的抽象。与传统互联网链路相比，物理专线提供用户本地数据中心上云的专属通道，业务传输质量更高，并采用虚拟化技术实现用户业务数据逻辑隔离，更加安全可靠，云专线兼容底层IPRAN、MSTP、MPLS VPN、OTN等多种线路类型，支持1G/10G/100G等多种端口带宽规格；同时提供端口聚合和链路能力，实现专线带宽随选和弹性扩容，帮助企业轻松应对大流量业务传输场景。 用户可申请独享物理专线和共享物理专线。独享物理专线，用户独占一个物理端口资源；共享物理专线，多用户共享一条物理线路，通过三层子接口方式实现多租户数据隔离。 专线网关 专线网关是客户站点和天翼云VPC之间的虚拟路由转发设备。作为数据从客户站点到云上VPC之间的传输桥梁，专线网关一端绑定物理专线，一端与客户站点需要访问的VPC直连。一个VPC可以关联一个专线网关，多条物理专线可以通过一个专线网关访问一个或多个VPC。

本文对云搜索服务的节点选型方案进行描述,帮助您判断云搜索服务购买时不同场景的型号选择方案。 天翼云云搜索服务，支持根据业务需求，灵活选择合适的实例配置。我们根据天翼云搜索团队丰富的实际业务经验，在此提供一些搜索引擎常见使用场景下，配置选择的建议。您可以根据业务的读写请求、数据存算和搜索与分析等需求进行参考。当然，也需要您根据业务的实际使用情况逐步去探索。 实例版本： 我们同时提供Elasticsearch和OpenSearch两种选择。 天翼云基于Elasticsearch7.10.2，默认搭配同版本的Kibana使用，并在开源版本做了大量的能力增强，包括压缩算法、中文分词、SQL兼容、异步搜索、向量检索、跨实例复制、索引管理、拼音分词、简繁体转换、HDFS存储等，并进行了安全漏洞修复、BUG修复、性能优化等。 天翼云OpenSearch基于开源OpenSearch打造，默认搭配同版本OpenSearch Dashboards使用。在开源版本的基础上也做了大量的能力增强和优化，包括中文分词优化、流量控制、监控告警、对象存储适配、拼音分词、简繁体转换等。此外，OpenSearch 提供了更具优势的持续版本演进能力，OpenSearch脱胎于Elasticsearch7.10版本，突破了旧版本的限制，持续提供最新功能与卓越的读写性能。其自带的强大向量检索功能，不仅支持丰富的近邻搜索（KNN）算法，更在检索精度与低延迟上表现优异，轻松应对海量高维数据的复杂查询。建议订购版本OpenSearch3.5.0。

SOURCEIP 根据收到请求的客户端源IP地址信息，ELB将相同源IP地址的流量分发到相同的后端服务器上。 使用说明 当后端主机返回的请求状态码为4xx或5xx时，弹性负载均衡不会进行植入或重写cookie。 前提条件 您已在所在可用区创建VPC，并创建业务主机，完成服务配置。 您已创建负载均衡实例。 操作步骤 1. 登录天翼云控制中心，选择资源节点；本文我们选择的是华东华东1。 2. 在控制中心页面，依次选择“网络 > 弹性负载均衡”。 3. 在负载均衡页面，点击“ELB实例名称”，进入详情页面。 4. 在监听器页签，点击“添加监听器”按钮，创建监听器。 5. 在监听器创建页面填写监听器名称，设置负载均衡器协议/端口等参数信息，完成后点击“下一步”。 6. 创建后端主机组，选择后端云主机，添加到后端主机组，添加完成点击“下一步”。 7. 在“负载均衡&健康检查”配置页面，找到“会话保持方式”，点击下拉框便可以选择不同的会话保持类型。在实际业务中，您可以根据具体情况进行会话方式的选择，最后完成负载方式、健康检查等其它配置。 8. 点击“立即创建”完成配置并创建监听器。

负载方式&健康检查配置 说明 负载方式 从下拉列表框选择负载方式，UDP协议只支持选择轮询算法和最小连接算法。 轮询算法：请求以轮询的方式依次分发给各后端主机，加权轮询对权重高的主机会获得更多的轮询次数。 最小连接算法：动态调度算法，通过主机当前活跃的连接数来评估主机的负载情况，负载均衡将请求分发给活跃连接数最小的后端主机。加权最小连接数会结合权重分配后端主机。 源算法：基于源IP地址的一致性哈希，相同的源地址会调度到相同的后端主机。 会话保持 选择是否开启会话保持。开启会话保持后，负载均衡监听器会把来自同一客户端的访问请求分发到同一台后端主机上。 会话保持方式 UDP协议的会话保持方式为SOURCEIP方式。即来自同一IP地址的访问请求转发到同一台后端主机上。 会话保持时间 设置会话保持的时间，取值范围为1 86400，缺省1000s。 健康检查 开启健康检查，负载均衡对后端主机的服务状态进行探测。负载均衡将不会分发流量给服务异常的主机。 健康检查类型 UDP，UDP协议监听器只可选UDP。 间隔时间 健康检查的检查间隔，缺省5s。 超时时间 健康检查超时时间，缺省2s。 最大重试次数 健康检查的重试次数，缺省2，连续检查失败达到重试次数，则判断健康检查失败。

服务名称 交互功能 相关内容 虚拟私有云VPC 创建弹性负载均衡时，需要指定弹性负载均衡关联的VPC和子网 弹性云主机 弹性负载均衡的后端主机组，关联开启后端的主机实例 物理机 弹性负载均衡的后端主机组，关联开启后端的主机实例 弹性IP 创建公网弹性负载均衡时，需要绑定公网IP来做公网服务的流量分发 弹性伸缩 弹性伸缩服务可以与弹性负载均衡集成，根据实际的负载情况自动调整云主机实例的数量。 云监控服务 云监控服务可以监控弹性伸缩的性能指标，如请求数、连接数、响应时间等。

本节介绍云等保专区产品的功能特性。 云安全中心 云安全中心系统主要包含安全态势、资产中心、风险管理、威胁管理、分析中心、告警管理、编排响应、报表中心、集成配置以及数据源监控等功能。 主机安全 为云服务器提供基于客户端的防护，提供主机系统防护与加固、主机网络防护与加固等功能，具备业界领先的勒索专防专杀、网页防篡改、网络隔离与防护、补丁修复、外设管控、文件审计、违规外联检测与阻断等主机安全能力，帮您快速发现网站潜在安全隐患。 Web应用防火墙 精准覆盖各类Web应用攻击，为客户识别恶意请求，防御未知威胁，分钟级接入实现防入侵、防扫描、防攻击、防数据泄露、防CC攻击等防护，等保必备。 下一代防火墙 提供云上互联网边界和VPC边界的防护，包括：实时入侵检测与防御、全局统一访问控制、全流量分析可视化、日志审计与溯源分析。 堡垒机 4A统一安全管控平台，为企业提供集单点登录、统一资产管理、多终端访问协议、文件传输、会话协同等功能于一体的运维管理服务。 漏洞扫描 能够对Web应用的资产进行识别分类以及对Web应用进行深度弱点探测。通过漏洞产生的原理和渗透测试的方法，快速分析出被测目标所开放的端口服务和对应的协议信息，发现资产暴露面。漏洞库覆盖国内外常见CMS、中间件、操作系统等严重漏洞，帮助用户全面分析Web应用网络环境中存在的安全弱点。

本章节介绍故障演练服务的应用场景。 故障演练服务适用于多种复杂的业务和技术场景，旨在帮助用户从被动响应故障转变为主动发现和规避风险，全面提升系统的稳定性和韧性。 1. 验证高可用（HA）与容灾（DR）预案 这是故障演练的核心应用场景之一。通过模拟关键组件的失效，可以验证系统的自动切换、故障转移和恢复能力是否符合预期。 场景示例： 数据层 ：通过模拟分布式缓存服务Redis版的主备切换、节点宕机等场景，验证组件能否无感切换，量化对上层业务的影响，评估高可用架构的实际效果。 中间件 ：通过模拟分布式消息服务Kafka的Broker节点宕机等场景，检验消息中间件的高可用特性，评估业务数据的可靠性和业务消息生产/消费的合理性。 应用层 ：通过模拟承载关键业务的云主机宕机等场景，验证应用健康检查与流量转移的及时性和有效性，评估业务连续性是否符合架构设计要求。 2. 评估系统性能水位 在业务大促、秒杀等高并发场景来临前，通过主动对系统资源施加压力，可以提前发现性能瓶颈，为容量规划和扩容决策提供数据支持。 场景示例： 计算资源压测 ：通过模拟云主机CPU/内存高负载场景，监测应用服务的响应延迟与错误率变化，评估应用系统在资源瓶颈下的稳定性表现。 存储性能压测 ：通过模拟云主机磁盘I/O高负载场景，监测数据库事务处理、日志写入等关键操作在压力下的吞吐量、延迟及错误率表现，评估存储系统的性能瓶颈。

本节主要介绍安全组的组成、产品优势、应用场景和使用限制。 安全组概述 安全组用于虚拟机的出入流量的访问控制，其由一系列的安全组规则组成，是云上网络安全防护的主要方式。安全组通过设置的规则实现具体的访问控制，当虚拟机实例或者网卡加入到对应安全组后，即受到这些规则的保护。安全组具备有状态的特性，即数据包在入方向是被允许的，则对应此连接在出方向也自动被允许，反之亦然。 根据业务的访问控制需求，可以创建自定义安全组，也可以在默认安全组中添加或者删除安全组规则来调整安全访问策略。 每个虚拟机实例或者网卡至少加入一个安全组，可以同时加入多个安全组。 默认安全组 系统默认为用户创建的安全组，不同安全组规则不同，具体规则可进入安全组详情页查看。 安全组规则 安全组规则由源/目的IP、协议、端口、策略（允许或者拒绝）和优先级组成，其包括入方向和出方向的规则。 应用场景 根据业务的安全访问控制需求，为不同的应用使用不同的安全组，确保应用之间的安全隔离。 针对公网和混合云方向做安全隔离，使对应的虚拟机只对外暴露相关的服务协议和端口，防止额外的端口暴露，确保应用安全。 产品优势 灵活配置：安全组可基于业务需求实时调整对应的安全规则。 访问隔离：通过不同的安全组设置，实现了不同虚拟机之间的访问控制隔离。

托管检测与响应服务（原生版）购买后的相关问题答疑。 服务购买后，有相应的操作指导吗？ 服务购买后，我们将指派服务经理与您取得联系，沟通具体服务开展流程并指导您相关操作步骤。此外，您可以参考服务接入流程： 基础版/企业版服务接入流程 护航版服务接入流程 应急响应服务接入流程 安全评估服务接入流程 全流量分析服务接入流程 服务购买后，有哪些服务保障？ 服务购买后，天翼云安全服务团队将与您取得联系，确定服务内容及范围，定期输出整体安全风险服务报告，按照SLA协议承诺对客户服务内容进行交付。 若遇到问题，安全服务团队会提供支持和解答，其他问题，您可以通过天翼云客服反馈，我们将竭诚为您服务，保障您的业务安全。 托管检测与响应服务（原生版）可以根据用户需求提供个性化服务吗？ 当前服务为标准化服务内容，如果您有个性化服务需求，可与服务经理沟通，确定需求范围及内容，经评估后，服务经理会向您反馈评估结果，如果在可接受范围内，您无需支付任何费用，如超出服务范围，我们将提供新的服务方案。 欢迎您向我们提出新的服务需求，我们将积极支持，不断优化服务内容及流程，更好地服务客户。

本页介绍了文档数据库服务的一些基本概念。 地区与资源池 即订购时需要选择的资源池（Region）信息。在您订购文档数据库服务的时候，需要进行地区与资源池的选择，与您的已有业务在业务流量、VPC网络、网络白名单等拥有最优的搭配。 可用区 即同一资源池下，网络、电力、容灾等都相对隔离的独立区域，也称AZ。文档数据库服务在部分资源池具有多AZ可选择，具备跨AZ部署能力，具备更高的业务容错性。 文档数据库服务实例 文档数据库服务实例，用户订购及管理的最小单元。每个实例的资源之间都是隔离的，独立的。您可以通过管理控制台查看和管理您拥有的实例。 参数模板和参数组 文档数据库服务，为3.4，4.0版本的实例，都提供了默认的一套参数模板，您可以修改、添加、应用、比较各参数模板和参数组。 数据库连接数 即业务客户端与数据库实例之间的TCP连接数。集群实例一般是和Mongos角色的连接数量，副本集实例一般可与Primary节点、Secondary节点、ReadOnly节点连接。 集群 即文档数据库服务提供的集群类型规格实例，由Mongos、Shard、ConfigServer三类角色节点组成的分布式文档数据库服务。 副本集 即文档数据库服务提供的副本集类型规格实例，可以选择三节点、五节点、七节点规格，同时还可以在开通时选择只读从节点，或者开通后扩展只读从节点。

客户端最大连接数最大多少？ 单机主备或者每个代理层接入机默认最大连接数是10000；连接数不是越多越好，建议控制连接数不超过3000。 备份策略有哪些？ 支持手动和周期自动备份；最大提供3份备份副本，超出可选择删除再次进行备份。 过期逐出策略是怎样的？ 主动过期，系统周期性的检测，发现已过期的key时，会将其删除。惰性删除，当个key被访问时，如果已经过期，则将其删除。 Redis实例支持的单个Key和Value数据大小是否有限制？ 数据大小：单条记录(key+value)建议大小不超过32K； 内存使用率多少比较合适？ 内存使用： redis实例内存使用率最好不要超过80%，建议为6070%；预留20%应对突发流量和实例运维。 redis实例使用慢日志查询？ 进入redis集群管理，点开慢日志菜单，选择对应redis节点查询是否有慢查询，redis默认服务侧耗时超过10ms为慢日志。具体操作请参考慢日志查询 如何在控制台页面操作redis实例？ 点击“命令窗口”标签页，可进入命令窗口页面。选择DB，可以在命令行窗口执行redis命令，操作对应DB中的数据。 通过命令设置redis密码，为何重启后失效？ 使用命令设置的密码只临时生效，重启后失效。 需要将修改配置文件才能永久生效，可以修改密码后再执行config rewrite 将当前所使用的配置记录到 redis配置文件中。 redis的db数量有多少？ 每个实例支持256个DB，范围[0,256]

本节介绍分布式消息服务Kafka实例常见问题 为什么可用区不能选择2个？ Kafka 通常选择三个可用区而不是两个的原因在于数据的容错性和高可用性。通过将副本分布在三个可用区中，Kafka 能够实现更高级别的容错性和可用性，即使一个可用区发生故障，系统仍然可以继续正常运行。这种三个可用区的配置是为了提供更强大的冗余和容错能力，确保 Kafka 集群在面对故障时仍能保持数据的可靠性和可用性。 创建实例时为什么无法查看子网和安全组等信息？ 创建实例时，如果无法查看虚拟私有云、子网、安全组、弹性IP，可能原因是该用户还没创建相关网络实例，需要到对应天翼云网络产品购买相应的网络产品实例。 如何选择实例硬盘大小？ 磁盘大小：流量均值×存储时长×3（备份），建议在迁移上云过程中优化Topic以降低成本。 Kafka实例的超高IO和高IO如何选择？ 选择Kafka磁盘类型主要取决于应用的需求和预算。通常，对于Kafka来说，高IO磁盘是更常见的选择，因为它提供了更好的性能和吞吐量。更多信息请参考计费及购买类问题Kafka磁盘选择超高IO还是高IO？ Kafka服务端支持版本是多少？ 分布式消息服务Kafka支持2.132.8.2版本和2.133.6.2版本服务端。 Kafka实例是否支持修改访问端口？ 分布式消息服务Kafka支持在实例创建时指定访问端口。

本文介绍分布式缓存服务Redis版控制台操作常见问题 实例的连接地址是什么？ 实例的连接地址为统一的虚拟vip+固定端口，实例经过扩容等变更后，虚IP会自动漂移到新的虚机上，对应用保持地址不变，无需修改应用代码配置。 实例的公网IP如何开通？ 当用户需要从公网访问redis的场景时，可以打开实例详情，点击绑定公网IP按钮进行公网IP的绑定与开通。 注意 通过公网连接首先需要申请弹性IP，具体操作请参见 若实例为原生集群架构直连模式，则不支持申请公网连接，无法通过公网连接Redis实例，请通过专有网络连接实例。 实例的到期时间怎么理解？ 包周期的实例到期时间为自然月的整数，按需的实例无具体到期时间。 实例的维护时间是什么？ 实例的维护时间，您可以根据业务规律，将可维护时间段设置在业务低峰期，以免维护过程中可能对业务造成的影响。 分布式缓存Redis缓存实例创建后，若需要修改实例维护时间窗，可进入管理控制台的实例详情页面进行修改。在该时间窗内服务运维人员可对实例进行维护操作。

本文为您介绍多活容灾服务与其它服务的关系。 弹性云主机 当保护组创建完成后，需要容灾的云主机可以添加到指定的保护组中。 在故障切换或容灾演练时，云上容灾恢复会部署云主机，确保业务的连续性。 具体产品详情请参考：弹性云主机。 虚拟私有云 虚拟私有云为弹性云主机构建隔离的、用户自主配置和管理的虚拟网络环境，提高云上资源的安全性并简化网络部署。 容灾的生产中心和容灾中心都需要配置VPC，以确保网络环境的隔离性和安全性。 具体产品详情请参考：虚拟私有云。 弹性IP 弹性IP（EIP）是可以独立申请的公网 IP 地址，可以实现 VPC 中的云资源通过固定的公网 IP 地址与互联网互通。 具体产品详情请参考：弹性IP。 弹性负载均衡 弹性负载均衡（ELB）可将访问流量自动分发到多台弹性云主机上，提高搭建在弹性云主机上应用系统对外的服务能力，提高应用程序容错能力。 具体产品详情请参考：弹性负载均衡。 数据库 数据库产品提供数据备份、实时同步等功能，为容灾服务提供基础支持。 容灾服务利用实时同步功能，确保在发生灾难时，备用数据库可以立即接管主数据库的工作，保证业务的连续性。 具体产品详情请参考：关系数据库MySQL版、分布式缓存服务Redis版。

本页介绍分布式融合数据库HTAP的资源管控功能。 资源管控简介 使用资源管控特性，您可以定义资源组 (Resource Group)，资源组是实现资源规划的逻辑单元，通过控制读写请求的流量和优先级，实现应用资源的隔离，满足服务质量要求。使用资源组可以保证即使个别应用过度使用资源，也不会影响其他应用的资源需求，从而实现应用间的有效资源分配和隔离。 使用场景 资源管控特性将一个分布式融合数据库HTAP实例划分成多个逻辑单元（资源组），即使个别单元对资源过度使用，也不会挤占其他单元所需的资源。合理利用资源管控特性可以减少实例数量，降低运维难度及管理成本。利用该特性： 您可以将多个中小型业务合入一个实例中，并为之分配不同的资源组，形成资源隔离的效果，当个别应用的负载升高，也不会影响其他业务的正常运行。 当系统中存在多种类型的负载时，可以将不同的负载分别放入各自的资源组。利用资源管控技术，确保实时类业务的响应时间不受数据分析或批量业务的影响。 使用限制 资源管控将带来额外的调度开销。因此，开启该特性后，分布式融合数据库HTAP实例的性能可能会有轻微下降（低于 5%）。 基本资源单位RU Request Unit (RU) 是分布式融合数据库HTAP实例对 CPU、IO 等系统资源的统一抽象的计量单位，用于表示对数据库的单个请求消耗的资源量。

本节介绍了如何配置策略以应对CC攻击。 使用场景 CC攻击（Challenge Collapsar）是DDoS（分布式拒绝服务）的一种。CC攻击是目前应用层攻击的主要手段之一，借助代理服务器生成指向目标系统的合法请求，实现伪装和DDoS。 CC攻击就是模拟多个正常用户不停地访问需要大量数据操作的动态页面，造成服务器资源的浪费，CPU长时间处于满载，永远都有处理不完的请求，网络拥塞，正常访问被中止。 这种攻击技术性含量较高，通常不会出现特别大的异常流量，但服务器就是无法进行正常连接。 配置前提 套餐生效且域名为“已启用”状态，否则无法进行防护配置。 配置思路 梳理项 配置建议 域名每天的请求峰值情况 根据域名每天的请求峰值情况，配置防护模式。防护模式包括阈值模式和永久模式两种。 阈值模式（推荐）：当请求触发检测条件后，对请求进行CC防护验证；若未达到阈值，则不进行验证，业务影响风险小。 永久模式：对每个请求进行CC防护验证，适用于不清楚域名请求峰值的场景或需要严格校验的场景。 业务影响风险评估 若您的业务中存在APP客户端、H5客户端等非PC端网站访问的场景，这类请求可能无法通过CC防护验证从未被丢弃，导致正常的请求受影响。 建议您可以提交工单获得技术支持对这类业务进行非生产环境的验证，若有影响则可以通过技术支持对这类业务添加例外。

类别 规范 模板格式规范 500字符以内（含变量）。 注意： 不支持【】，会与签名混淆。不支持繁体字和特殊符号，例如：①★※→等。 支持中文，英文，数字，符号，例如：~!@$%&（），。？,。+{}￥……^。 内容规范 短信模板需明确表述短信发送的实际内容，且所有模板均禁止发送金融相关的所有内容。 不支持发送未经许可的信息，主要指邀请注册、邀请成为会员的商业性信息。 禁止发送涉及：色情、赌博、毒品、党政、法律维权、众筹、慈善募捐、宗教、迷信、股票、留学移民、面试招聘、博彩、贷款、催款还款、信用卡提额、投资理财、中奖、抽奖、一元夺宝、一元秒杀、一元云购、二类电商、A货、烟酒、交友、暴力、恐吓、皮草、返现返利、代开发票、运营商禁止发送的信息、代理注册、代办证件、加群、加QQ或者加微信、贩卖个人信息、运营商业务、流量营销、违反广告法用语、殡葬、刷单、做任务、空包网、邀请好评、转店类、拉新、众包业务、POS机、积分兑换等内容的短信。 禁止在关键字或关键信息中出现错别字、变体字、异体字、各类干扰符号等；禁止出现各类非正常混合字以及非常用的表达法。 不支持内容中含有直接或间接访问应用内测分发平台的行为。 备注： 地产、留学、招聘、交友、游戏等行业仅支持发送验证码短信。 注意： 如出现违法违规或者损害到相关他人权益的，平台将保留最终追究的权利！请各会员严格遵守规范要求，加强自身业务安全，发送合规短信。

方案效果 可降低源站99%以上应用更新类业务产生的下行流量，客户端可就近接入服务节点获取最新应用数据包，用户下载体验升级，相关投诉和用户流失问题显著下降。 业务正常状态码分布占99.5%以上，应用更新中断、更新失败、更新异常等现象不再频发，应用更新的可用性提高，用户黏性增加。 提供完善全面的业务分布统计分析数据，助力客户对客户端的地域分布、运营商分布、业务活跃度等信息了如指掌，为客户提供业务决策依据和数据保障。

与云监控的关系 数据仓库服务使用云监控（Cloud Eye）监控集群中的多项性能指标，从而集中高效地呈现状态信息。云监控支持发送自定义告警，用户可以即时获取异常通知。 与云审计服务的关系 数据仓库服务使用云审计服务（Cloud Trace Service，简称CTS）审计用户在管理控制台页面的非查询操作，可用于检视是否存在非法或越权操作，完善服务安全管理。 与云日志服务的关系 数据仓库服务用户可以在云日志服务（Log Tank Service，简称LTS）查看采集的集群日志或进行日志转储。 与消息通知服务的关系 数据仓库服务使用消息通知服务（Simple Message Notification，简称SMN）依据用户的事件订阅需求主动推送通知消息，使用户可以在事件发生（如集群关键操作）时能立即接收到通知。 与标签管理服务的关系 数据仓库服务使用标签管理服务（Tag Management Service，简称TMS）为用户提供跨区域、跨服务的集中标签管理和资源分类功能，让用户可以对资源进行自定义标记，实现资源的分类，然后可以对资源按标签进行搜索。 与云解析服务的关系 数据仓库服务使用云解析服务（Domain Name Service，DNS）可以提供域名映射到DWS 集群的IP地址。 与弹性负载均衡的关系 数据仓库服务利用弹性负载均衡（Elastic Load Balance，简称ELB）健康检查机制可将集群的CN请求快速转发到正常工作的CN节点上，当有CN故障节点时，也能第一时间切换流量到健康节点上，最大化降低集群访问故障。