本章节介绍应用容灾多活的单元配置。 概述 站点，是应用容灾的物理地域粒度，对应Region或AZ，如广州站点、北京站点。 单元，是应用在站点内的一个逻辑业务中心，对应一套完整的业务系统，流量可以实现在单元内闭环和单元间隔离。 站点管理 创建站点 1. 登录应用高可用服务控制台。 2. 单击左侧菜单栏应用容灾多活 ，在应用容灾多活菜单下单击数据双活/应用双活 ，进入数据双活/应用双活管理页面。 3. 单击应用系统名称，进入应用系统管理页面。 4. 单击左侧菜单栏系统架构配置，进入系统架构配置页面。 5. 单击站点管理右侧创建按钮 ，进入创建站点页面。 6. 填写站点名称，选择资源池，选择管控通道，单击确定完成创建。 7. 在站点列表，查看站点已创建成功。 配置项 描述 示例 站点名称 站点自定义标识。 名称不支持数字或符号开头，长度为132个字符；仅支持输入[中文、数字、字母、 ]。 广州站点 选择资源池 站点所在的物理资源池。 广州1 管控通道 资源池下已开通的注册配置中心RCC实例，用于管控规则下发。 rcc37d 修改站点 1. 登录应用高可用服务控制台。 2. 单击左侧菜单栏应用容灾多活 ，在应用容灾多活菜单下单击数据双活/应用双活 ，进入数据双活/应用双活管理页面。 3. 单击应用系统名称，进入应用系统管理页面。 4. 单击左侧菜单栏系统架构配置，进入系统架构配置页面。 5. 在站点列表 中找到需要修改的站点，单击修改操作，弹出修改站点页面。 6. 在弹出页面编辑站点信息，单击确定完成修改 。 7. 在站点列表，查看站点已修改成功。

本章主要介绍API调用常见问题。 API调用失败的可能原因有哪些？ 如果API调用出错，请仔细检查API的配置： 域名是否备案成功，且能正常解析。 域名是否绑定到正确的API分组。 API是否已发布。如果修改过API，则需要重新发布；如果发布到非RELEASE环境，请求XStage头的值需要填写发布的环境名称。 如果使用APP认证，App Key和Secret是否正确。 访问控制策略是否设置正确。 是否超过了流量控制范围。 请求参数的格式错误。 API调用报错“414 RequestURI Too Large” 可能原因：URL（包括请求参数）太长，建议将请求参数放在body体中传递。 调用API报“The API does not exist or has not been published in the environment” 调用API网关中开放的API报错，请按以下顺序排查可能原因： 调用API所使用的域名、请求方法、路径不正确。 比如创建的API为POST方法，您使用了GET方法调用。 比如访问的URL比API详情中的URL少一个“/”也会导致无法匹配上此API，例如 API没有发布。API创建后，需要发布到具体的环境后才能使用。如果发布到非生产环境，检查请求“XStage”头是否为发布的环境名。 域名解析不正确。如果API的域名、请求方法、路径正确，且已发布到环境，有可能是没有准确解析到您的API所在分组。请检查API所在的分组域名，例如您有多个API分组，每个分组有自己的独立域名，API调用时，使用了其他分组的独立域名。 检查API是否使用OPTIONS跨域请求，如果使用OPTIONS跨域请求，请在API中开启CORS，并创建OPTIONS方法的API。

读写分离实例 读写分离实例当前只支持x86 CPU类型，具体规格如表。 Redis 4.0和Redis 5.0 读写分离实例的连接数限制暂不支持修改。 单个数据节点带宽限制(MB/s)总带宽限制(MB/s)/副本数(主+从)。 单个节点参考性能(QPS)参考性能(QPS)/副本数(主+从)。 读写分离实例使用限制： 读写分离实例读请求会发送到从节点，从节点从主节点同步数据会有一定的时延。 请确保业务侧不依赖主从同步的时延，如果对主从同步时延有依赖的场景，不适用读写分离实例，请考虑主备或集群。 读写分离实例适用于写少读多的场景，如果写流量过大，可能导致主从断连，或断连后主从同步失败，导致读请求性能下降。 写流量大的场景请考虑主备或集群 。 从节点故障后，需要一定的时间从主节点全量同步数据，同步数据期间，从节点不对外提供服务，此时实例读请求性能会下降。 推荐使用<32G内存规格的实例，内存规格越小，主从全量同步数据时间越少，同步断链时间越短。 Redis 4.0和Redis 5.0 读写分离实例产品规格 规格 实例可使用内存 (GB) 副本数 ( 主 + 从 ) 连接数限制 ( 默认 / 最大可配 ) 总带宽限制 (MB/s) 单个数据节点带宽限制 (MB/s) 参考性能 单个节点参考性能 (QPS) 产品规格编码 (对应 API的speccode) 8 8 2 20,000 192 96 160,000 80,000 redis.ha.xu1.large.p2.8 8 8 3 30,000 288 96 240,000 80,000 redis.ha.xu1.large.p3.8 8 8 4 40,000 384 96 320,000 80,000 redis.ha.xu1.large.p4.8 8 8 5 50,000 480 96 400,000 80,000 redis.ha.xu1.large.p5.8 8 8 6 60,000 576 96 480,000 80,000 redis.ha.xu1.large.p6.8 16 16 2 20,000 192 96 160,000 80,000 redis.ha.xu1.large.p2.16 16 16 3 30,000 288 96 240,000 80,000 redis.ha.xu1.large.p3.16 16 16 4 40,000 384 96 320,000 80,000 redis.ha.xu1.large.p4.16 16 16 5 50,000 480 96 400,000 80,000 redis.ha.xu1.large.p5.16 16 16 6 60,000 576 96 480,000 80,000 redis.ha.xu1.large.p6.16 32 32 2 20,000 192 96 160,000 80,000 redis.ha.xu1.large.p2.32 32 32 3 30,000 288 96 240,000 80,000 redis.ha.xu1.large.p3.32 32 32 4 40,000 384 96 320,000 80,000 redis.ha.xu1.large.p4.32 32 32 5 50,000 480 96 400,000 80,000 redis.ha.xu1.large.p5.32 32 32 6 60,000 576 96 480,000 80,000 redis.ha.xu1.large.p6.32

本文主要介绍算力网关侧的裸金属通过天翼云4.0侧的EIP访问公网。 操作步骤 一、 前提 通过公共算力服务提前完成跨域互联的创建。 二、 云专线产品配置全0路由 1. 云专线产品创建工单 在天翼云4.0侧控制台搜索云专线产品，在云专线产品上创建工单，问题类型选择“云专线开通”。 说明： 专线网关在添加云侧路由配置时支持基于”其他”类型的自定义地址段添加，可以配置0.0.0.0/0，用于把IDC机房访问Internet的流量引入VPC。在VPC页签下，点击VPC后的其他目的网段配置，填写目的网段IPv4：0.0.0.0/0（如不支持，请提交工单申请）。 2. 等待工单实施完毕 三、 创建EIP 在天翼云4.0侧，创建弹性IP。 四、 创建NAT网关 1. 在天翼云4.0侧，创建公网NAT网关 2. 配置SNAT规则 说明： 源网段类型：选择“手动输入自定义网段”。 源网段：输入算力网关侧需访问公网的裸金属IP地址。 弹性IP：选择第3步创建的EIP。 3. 配置DNAT规则 说明： 弹性IP：选择第3步创建的EIP。 类型：选择手动输入自定义地址。 端口设置：选择具体端口。 内网地址：输入算力网关侧裸金属IP地址。 公网端口：输入NAT网关对外提供服务的端口。 内网端口：输入算力网关侧裸金属IP的所在端口。 支持的协议：根据客户需求选取。

系统更新 1.为了提升系统性能和安全性，我们将定期对云手机系统进行更新。在您每次进入云手机时，如检测到更新，将弹窗提醒安装。或后续可在云手机内，点击悬浮球，打开“系统设置”“升级”页面中手动安装升级。 2.在云手机内，点击悬浮球，打开“系统设置”“升级”页面，可选择关闭“自动获取更新”，关闭后，将不再检测系统更新。 3.再次打开“自动获取更新”后，可立即检测最新的更新并提醒安装。 辅助导航栏 当云手机底部的导航栏无法呼出或不符合您的使用习惯时，您可以通过打开悬浮窗中的辅助导航栏开关，来实现该功能。 画质设置 您可根据喜好和网络状态，调整云手机呈现的画面清晰度。点击以展开“悬浮球”，选择目标画质，如看到屏幕底部出现提示，则表示切换成功。 文件自动同步 云手机支持将实体手机文件自动同步到云手机，开启方法如下： 1.点击以展开“悬浮球”，进入“系统设置“，选择“文件备份”进入，您可以选择全部备份或仅备份指定类型的文件。 该功能支持将实体手机中的照片、影音、下载文件自动同步在云手机中，您也可以打开“仅WIFI下备份“，以免消耗过多流量。 仅在云手机连接时才会开始同步，文件同步功能将会消耗云端存储。

对等连接关系 VPC对等关系 对等连接名称 本端VPC 对端VPC VPCA和VPCB内ECSB01对等 PeeringAB VPCA VPCB VPCA和VPCC对等 PeeringAC VPCA VPCC 路由表配置说明 路由表 目的地址 下一跳 路由类型 路由说明 RouterA（VPCA） 10.0.1.0/24 Local 系统路由 系统默认创建，用于VPC内部通信。 RouterA（VPCA） 10.0.2.0/24 Local 系统路由 系统默认创建，用于VPC内部通信。 RouterA（VPCA） 192.168.1.10(弹性云主机B01) PeeringAB 自定义路由 在VPCA的路由表中RouterA，添加一条路由规则，使其目的地址为弹性云主机B01的私有IP地址，下一跳为PeeringAB。 RouterA（VPCA） 192.168.0.0/16 (VPCC) PeeringAC 自定义路由 在VPCA的路由表RouterA中，添加一条路由规则，使其目的地址为VPCC的网段，下一跳为PeeringAC。 RouterB（VPCB） 192.168.1.0/24 Local 系统路由 系统默认创建，用于VPC内部通信。 RouterB（VPCB） 10.0.0.0/16 (VPCA) PeeringAB 自定义路由 在VPCB的路由表RouterB中，添加一条路由规则，使其目的地址为VPCA的网段，下一跳为PeeringAB。 RouterC（VPCC） 192.168.1.0/24 Local 系统路由 系统默认创建，用于VPC内部通信。 RouterC（VPCC） 10.0.0.0/16 (VPCA) PeeringAC 自定义路由 在VPCC的路由表RouterC中，添加一条路由规则，使其目的地址为VPCA的网段，下一跳为PeeringAC。 通过以上配置后，中心VPC可通过最长匹配原则与两个VPC建立对等连接，确保了流量的正确转发。

文件系统的读写速度与什么相关？ 读写速度同时受带宽及IOPS的影响，对于大文件的业务，受带宽影响较大。对于小文件业务，受IOPS影响较大。单个文件系统的读写性能上限与文件系统类型及大小相关，请参见产品规格弹性文件服务。 文件系统的性能指标有哪些？ 文件系统有三个性能指标：IOPS，带宽，时延。 IOPS (Input/Output Per Second)即每秒的IO操作次数(或读写次数)。对于小文件读写频繁的场景，主要关注IOPS指标。 带宽是指单位时间内最大的数据传输流量，对于主要访问大文件的场景，更多需要考虑该指标。 时延是指一次读/写所花费的时间，由于大IO可能包含多次读/写，一般指标采用的是小IO的平均时延。该指标受网络状态及文件系统繁忙程度影响较大。 如何提升Linux操作系统上访问NAS的性能？ NFS客户端对同时发起的NFS请求数量进行了控制，默认为2。修改sunrpc.tcpslottableentries可以提升单机访问NAS的吞吐，建议您将该参数值修改为8： echo "options sunrpc tcpslottableentries8" >> /etc/modprobe.d/sunrpc.conf echo "options sunrpc tcpmaxslottableentries8" >> /etc/modprobe.d/sunrpc.conf sysctl w sunrpc.tcpslottableentries8 以上指令需在首次挂载前执行，之后永久生效。 该参数决定了NFS单个链接内的通信slot数量。slot配置过高可能引起延迟增加，配置过低会引起吞吐不足。当您需要较低延迟时，建议将slot配置为16及以下。当您需要大吞吐时，建议将slot适当调大。

修改服务保护阈值 健康保护阈值为Nacos服务元数据中的一个属性，当该注册服务下的健康注册实例数 / 该注册服务下的总注册实例数的比值 实例列表。 3. 在实例列表页面，单击目标实例ID、实例名称或者目标行“管理”按钮均可跳转至实例基础信息页面。 4. 在基础信息页面，点击服务管理> 服务列表，选择命名空间，查看当前命名空间下注册的服务列表。 5. 找到目标服务所在行，点击“查看”按钮，进入服务详情页面，进一步点击“保护阈值”旁边的编辑按钮，设置具体的值，有效范围0~1之间的小数； 删除服务 您可以在控制台服务管理服务列表页面删除服务，只有当服务中的实例数量为0时才允许删除。 1. 登录微服务引擎MSE注册配置中心管理控制台，选择资源池； 2. 在左侧导航栏，选择注册配置中心 > 实例列表； 3. 在实例列表页面，单击目标实例ID、实例名称或者目标行“管理”按钮均可跳转至实例基础信息页面； 4. 在基础信息页面，点击服务管理> 服务列表，选择命名空间，查看当前命名空间下注册的服务列表； 5. 找到目标服务所在行，确认提供者数量为0，点击右侧删除按钮，弹出框点击确定，即可删除服务；

流量控制类 并发限制limitconn插件 描述 限制并发请求（或并发连接）插件。 作用范围 该插件即可用于全局插件，也可用于路由级插件。全局插件配置的优先级高于路由级插件配置，当同时在某一路由上配置了limitconn的全局插件和路由级插件时，以全局插件配置中设置的属性值为准。 属性 名称 类型 必选项 默认值 有效值 描述 conn integer 是 conn > 0 允许的最大并发请求数。超过conn 的限制、但是低于conn +burst 的请求，将被延迟处理。 burst integer 是 burst > 0 允许被延迟处理的并发请求数。 defaultconndelay number 是 defaultconndelay > 0 默认的典型连接（或请求）的处理延迟时间。 onlyusedefaultdelay boolean 否 false [true,false] 延迟时间的严格模式。如果设置为true的话，将会严格按照设置的时间来进行延迟。 keytype string 否 "var" ["var", "varcombination"] key 的类型。 key string 是 用来做请求计数的依据。 如果keytype 为"var"，那么 key 会被当作变量名称，如 "remoteaddr" 和 "consumername"。 如果keytype 为"varcombination"，那么 key 会当作变量组合，如 "remoteaddr consumername"。 如果 key 的值为空，$remoteaddr 会被作为默认 key。 rejectedcode string 否 503 [200,...,599] 当请求超过conn +burst 这个阈值时，返回的HTTP 状态码。 rejectedmsg string 否 非空 当请求超过conn +burst 这个阈值时，返回的响应体。 allowdegradation boolean 否 false 当插件功能临时不可用时是否允许请求继续。当值设置为true 时则自动允许请求继续，默认值是 false。

对等连接关系 VPC对等关系 对等连接名称 本端VPC 对端VPC VPCA和VPCB内ECSB01对等 PeeringAB VPCA VPCB VPCA和VPCC对等 PeeringAC VPCA VPCC 路由表配置说明 路由表 目的地址 下一跳 路由类型 路由说明 RouterA（VPCA） 10.0.1.0/24 Local 系统路由 系统默认创建，用于VPC内部通信。 RouterA（VPCA） 10.0.2.0/24 Local 系统路由 系统默认创建，用于VPC内部通信。 RouterA（VPCA） 192.168.1.10(弹性云主机B01) PeeringAB 自定义路由 在VPCA的路由表中RouterA，添加一条路由规则，使其目的地址为弹性云主机B01的私有IP地址，下一跳为PeeringAB。 RouterA（VPCA） 192.168.0.0/16 (VPCC) PeeringAC 自定义路由 在VPCA的路由表RouterA中，添加一条路由规则，使其目的地址为VPCC的网段，下一跳为PeeringAC。 RouterB（VPCB） 192.168.1.0/24 Local 系统路由 系统默认创建，用于VPC内部通信。 RouterB（VPCB） 10.0.0.0/16 (VPCA) PeeringAB 自定义路由 在VPCB的路由表RouterB中，添加一条路由规则，使其目的地址为VPCA的网段，下一跳为PeeringAB。 RouterC（VPCC） 192.168.1.0/24 Local 系统路由 系统默认创建，用于VPC内部通信。 RouterC（VPCC） 10.0.0.0/16 (VPCA) PeeringAC 自定义路由 在VPCC的路由表RouterC中，添加一条路由规则，使其目的地址为VPCA的网段，下一跳为PeeringAC。 通过以上配置后，中心VPC可通过最长匹配原则与两个VPC建立对等连接，确保了流量的正确转发。

背景介绍 istio服务网格默认通过iptables的方式劫持流量，一次请求会多次经过iptables和TCP/IP协议栈，增加请求的耗时。通过ebpf技术，可以绕过iptables和协议栈，加速同pod内业务容器和sidecar容器之间以及同节点的sidecar之间的通信，降低网络开销。 使用限制 开启条件： 操作系统发行版启用 cgroup v2。 Linux 内核为 5.8 或更高版本。公共镜像建议使用ctyunos 23.01以上版本，该版本内核为5.10。 cpu架构暂时只支持x86。 关于启用cgroup v2 需要进入对应节点，登录入口在ccse控制台>集群>节点>操作>更多>远程登录 登录后执行以下步骤： 1. 修改/etc/default/grub的GRUBCMDLINELINUX，增加一个参数systemd.unifiedcgrouphierarchy1 2. 重新生成grub.cfg文件，grub2mkconfig o /boot/grub2/grub.cfg（若使用了efi引导分区，则执行grub2mkconfig o /boot/efi/EFI/ctyunos/grub.cfg） 3. 重启操作系统 注意 开启cgroup v2有以下风险，请细致评估后再进行操作： 1. cgroup v2布局方式与v1完全不同，如果您已经有挂载v1的业务节点（非系统自带的节点），建议完全清空切换到v2。 2. 有部分节点为cgroup v1部分节点为cgroup v2的情况下，可能会产生不可知的风险，建议整个集群都统一切换到一个版本。 3. cgroup v2依赖systemd进行配置分发，在一些极端场景下可能需要额外对system进行性能调优。 4. 集群中已经存在pod使用 cgroup 特性时，重启节点后，存量pod未必会生效。 综上，建议在新开通的集群中进行cgroup切换，并保证后续扩容节点也要及时对齐cgroup版本。已有业务的存量集群不建议进行切换。

本文介绍无端访问配置相关说明。 无端访问介绍 AOne 零信任无端访问（WebVPN）通过浏览器即服务的轻量化设计，兼顾便捷性与安全性，适用于需要远程访问内部资源的企业、高校、机构等场景。通过灵活选择 CNAME 或域名映射模式，配合动态权限管控和全流程加密，帮助用户构建安全、高效的零信任网络访问体系。 无端访问接入方式 目前提供两种接入方式进行服务，可按需选择具体接入模式。 CNAME 模式 适用场景 ：希望保留原有域名访问习惯，无需改变用户输入的域名。 配置方法 ： 将企业现有域名通过 DNS 解析设置 CNAME 记录，指向 Aone 提供的 CNAME 地址。 配置域名证书（HTTPS 场景），用于网关进行SSL流量处理。 访问流程 ： 1. 用户在浏览器输入原有域名（如www.ctyun.cn），DNS 解析将请求转发至 AOne 边缘网关。 2. 网关校验用户身份（未认证则跳转登录页，认证通过则继续）。 3. 网关将域名解析为内网地址，用户通过网关安全访问内部应用。 优势 ：用户无需记忆新域名，保持原有访问习惯；隐藏内网真实 IP，提升安全性。 域名映射模式 适用场景 ：需要将公网访问域名改写为指定地址，或拆分多域名配置。 配置方法 ： 平台自动生成无端访问地址（如具体应用为www.ctyun.cn，将改写为wwwtest.ctyun.cn），用户需通过该地址访问。 若涉及 HTTPS，需在网关关联证书。 访问流程 ： 1. 用户访问改写后的域名（如wwwtest.ctyun.cn），请求到达网关。 2. 网关校验身份后，将请求转换回实际内网域名（www.ctyun.cn），后续交互均基于实际域名进行。 注意事项 ： 若前端页面存在 JS 拼接 URL 或响应内容加密混淆，可能导致改写失败，需针对性适配。 建议通过 Aone 返回的应用资源页面发起访问，确保流程稳定。

本文介绍如何使用边缘安全加速平台实现企业零信任办公。 边缘安全加速平台提供零信任网络能力，帮助企业快速构建比传统VPN更安全、更便捷的零信任办公安全体系。企业在边缘安全加速平台完成配置和操作后，能够实现员工远程零信任VPN办公、上网行为流量管控和终端基线安全准入等场景效果。本文介绍零信任网络的业务原理和使用逻辑流程，帮助企业管理员在开通边缘安全加速平台零信任服务后，快速入门企业零信任办公配置使用流程。 什么是企业内网安全访问 天翼云边缘安全加速平台零信任服务基于软件定义边界SDP（Software Defined Perimeter）架构，企业无需改造原有网络架构也无需暴露公网地址即可完成远程访问企业内网业务系统，实现应用、端口隐藏，并基于零信任“永不信任，持续验证”理念，对行为、环境、身份进行动态授权，打造兼具安全、性能、稳定的零信任网络。当您的员工需要远程访问企业的内部业务系统时，您可以在边缘安全加速平台控制台进行配置，完成配置后，企业的员工下载并安装零信任客户端，完成身份合法性识别后，即可安全地远程访问您的内网业务系统。 操作说明 登录边缘安全加速平台，在首页全部产品栏目，选择零信任，进入产品配置页。 首次订购使用零信任，需要进行设置企业认证标识，企业标识为登录客户端的重要标识，建议使用企业名称等方便企业办公终端用户记忆的信息作为企业认证标识，暂不允许控制台修改，若有需要可提交工单进行配置。

云迁移服务CMS提供资源拓扑查看相关功能。 1. 云迁移服务CMS 提供拓扑查看功能，您可以通过左侧导航栏选择资源规划，点击【资源管理】按钮，选中需拓扑查看资源，进入[ 资源管理 ] 界面，点击【拓扑查看】按钮，进入[ 拓扑查看 ] 界面。如图所示。 2. 进入[ 拓扑查看 ] 界面，您可以根据资源名称、IP地址、UUID、MAC搜索对应资源，如图所示。 3. 您也可以通过资源发现任务下拉选择对应资源任务，如图所示。 4. 您可以根据列表提供资源选择对应设备，如图所示。 5. 如果您发现你选择的资源任务没有包含其他对象资源，你也可以通过点击【添加设备】加入其他资源设备。如图所示。 6. 选中资源，点击【添加】跳转至[ 拓扑查看 ] 页面，可以查看添加设备，如图所示。 7. 您可以根据添加设备绘制设备拓扑图，点击【保存】即可保存效果图，如果所示。 说明 其它设备中涵盖弹性网络图标名称如下 虚拟私有云、Subnet、弹性IP、弹性负载均衡、共享流量包、NAT网关、对等连接、DNS、内网DNS、公网DNS、VPC终端节点、Endpoint、二层连接网关。 其他设备中涵盖广域网络图标名称如下 VPN连接、云专线、云间高速 其他设备中涵盖通用图标名称如下 用户、Prometheus监控服务、用户数据中心

本章节主要介绍云搜索服务的终端节点服务。 云搜索服务提供了终端节点服务，用户开启了此服务后，可以通过内网域名访问集群。在开启终端节点服务时，系统会默认给用户创建一个终端节点。创建终端节点需要有相关的权限，请参考VPC终端节点。 注意 公网访问和终端节点服务功能使用的是同一个负载均衡。如果开启了公网访问白名单，由于白名单是作用在负载均衡上面，会同时限制公网访问集群和内网通过VPCEP访问集群的IP。此时需要在公网访问白名单中添加一个网络白名单198.19.128.0/20，该白名单用来放通经过VPCEP的流量。 创建集群时开启终端节点服务 1.登录云搜索服务管理控制台。 2.在创建集群页面，“高级配置”选择“自定义”后，开启终端节点服务。 “创建内网域名”：如果开启，系统将会自动为用户创建一个内网域名，可以通过内网域名访问集群。 “终端节点服务白名单”：您可以在“终端节点服务白名单”中添加需要授权的账号ID，只要其账号ID被添加到终端节点服务白名单中，就可以通过内网域名或者节点IP访问集群。 如果需要添加多个账号，可以通过单击进行添加。也可以通过单击“操作”列下面的“删除”，进行删除不允许访问的账号。 说明 授权账号ID配置成，则表示允许全部用户访问该集群。 需要授权的账号ID可在“我的凭证”中进行查看。 集群开启终端节点服务之后，终端节点将按需进行收费，终端节点的费用将由用户进行支付，详细的计费方式请参考终端节点计费说明。

本文介绍当攻击发生且触发平台稳定性红线时的处理预案及注意事项等。 场景说明 天翼云全站加速是公共的加速服务，平台承载着成千上万的域名加速业务，是一个多客户共用的加速平台，默认不提供防攻击服务。当某个客户的域名遭受攻击（例如CC攻击），而出现带宽或QPS异常大幅上涨触发平台稳定性红线时，全站加速平台有权（根据域名业务情况、攻击影响程度等因素综合判断）将对应客户的域名切入专用隔离资源池以隔离异常业务，避免影响其他正常用户的加速服务。在攻击较严重的情况下，同账户下的其他域名也会切入隔离资源池。 域名被切入隔离资源池后，天翼云全站将不再保证服务质量，部分时段可能会出现无法服务的情况。 说明 隔离资源池是天翼云全站的一组特殊节点，这组节点与常规节点之间相互隔离，隔离资源池被用于隔离有风险的加速业务。 注意事项 因被攻击导致域名被切入隔离资源池后，用户访问带来的流量仍然会产生计费账单。 相关建议 如您的域名存在潜在被攻击风险，不希望在上述场景下被切换至隔离资源池，请切换至安全类加速产品，例如：边缘安全加速平台。 相关概念： DDoS：分布式拒绝服务攻击（Distributed Denial of Service，简称DDoS）是指攻击的发出点是分布在不同地方，且所请求的服务往往要消耗大量的系统资源，造成目标主机无法为用户提供正常服务。 CC攻击：攻击者借助代理服务器生成指向受害主机的合法请求，以实现DDoS和伪装的，称为CC(Challenge Collapsar)，CC主要是攻击页面，属于应用层攻击。

本文详细说明安全与加速扩展服务资费扩展服务资费。 安全与加速扩展服务资费 扩展服务 标准资费（月） 包年折扣 主套餐服务区域 适用版本 功能描述 域名扩展包 1000元/域名（一个一级域名） 按年购买，可享受1年8.5折、2年7.5折、3年6折、5年4.5折折扣 不涉及 基础版、高级版、企业版、旗舰版、定制版 支持一个主域名 DDoS防护带宽 详见《DDoS防护带宽服务资费》 按年购买，可享受1年8.5折、2年7.5折、3年6折、5年4.5折折扣 中国内地、全球 基础版、高级版、企业版、旗舰版、定制版 若客户遭受DDoS攻击的风险大，频率高建议订购DDoS防护带宽扩展服务。 当攻击峰值在防护带宽以内，则在中国内地服务区域提供不限次数的防护，并且不会扣除套餐中的防护次数。 DDoS弹性防护 详见《DDoS弹性防护服务资费》 按需计费方式不支持包年折扣 中国内地、全球 基础版、高级版、企业版、旗舰版、定制版 若客户已订购DDoS防护带宽，在中国内地服务区域，仍有遭遇超过DDoS防护带宽的攻击风险，则建议开启DDoS弹性防护。 弹性峰值（即攻击峰值DDoS防护带宽），将按阶梯计费。 若未触发弹性防护，则不收取任何费用。 DDoS防护IP 10000元/月 按年购买，可享受1年8.5折、2年7.5折、3年6折、5年4.5折折扣 全球（非中国内地）、全球 基础版、高级版、企业版、旗舰版、定制版 在全球（非中国内地）服务区域，提供一个独享的全球Anycast广播的高防IP，支持订购多个 内容审核 1.3元/千张/日 按需计费方式不支持包年折扣 不涉及 基础版、高级版、企业版、旗舰版、定制版 对加速内容进行快速智能检测 Bot管理 3500元/月 按年购买，可享受1年8.5折、2年7.5折、3年6折、5年4.5折折扣 不涉及 基础版、高级版、企业版、旗舰版、定制版 支持通过人机挑战、爬虫阈值限制、爬虫陷阱等防爬策略，精准命中爬虫流量，拦截各类恶意爬虫； 通过分析海量访问数据，利用内置的分析算法，识别智能爬虫； API安全 4500元/月 按年购买，可享受1年8.5折、2年7.5折、3年6折、5年4.5折折扣 不涉及 基础版、高级版、企业版、旗舰版、定制版 提供API资产高可见性和持续安全检测 态势感知大屏 1500元/月 按年购买，可享受1年8.5折、2年7.5折、3年6折、5年4.5折折扣 不涉及 基础版、高级版、企业版、旗舰版、定制版 提供网站整体业务及安全状况的可视化大屏分析 专家指导服务 100元/次/月 按年购买，可享受1年8.5折、2年7.5折、3年6折、5年4.5折折扣 不涉及 基础版、高级版、企业版、旗舰版、定制版 提供域名接入配置、安全配置指导服务 专家服务 10000元/月 按年购买，可享受1年8.5折、2年7.5折、3年6折、5年4.5折折扣 不涉及 基础版、高级版、企业版、旗舰版、定制版 724小时远程指导服务（配置指导、防护策略定制、监控和预警） Web防护 免费版：0元/月 基础版：800元/月 高级版：2500元/月 企业版：7600元/月 旗舰版：18000元/月 按年购买，可享受1年8.5折、2年7.5折、3年6折、5年4.5折折扣 不涉及 定制版 为用户提供应对Web 攻击、入侵、漏洞利用、挂马、篡改、后门、爬虫、域名劫持等网站及 Web 业务安全防护问题，从而保障网站安全。 IPv6改造 600元/月 按年购买，可享受1年8.5折、2年7.5折、3年6折、5年4.5折折扣 不涉及 定制版 为用户给解决网站外链不支持IPv6访问的问题，并解决“天窗问题”。 Websockets 500元/月 按年购买，可享受1年8.5折、2年7.5折、3年6折、5年4.5折折扣 定制版 定制版 支持WebSockets协议 注意 适用于定制版的扩展服务为功能费用，需要订购流量或者带宽用于用量计费。

首次安装（Windows环境） 非本区域的服务器安装ICAgent，请先在弹性云主机控制台购买一台Linux操作系统的弹性云主机作为跳板机，具体操作请参考购买ELB和多主机作为跳板机，然后执行如下操作： 说明 推荐CentOS 6.5 64bit及其以上版本的镜像， 最低规格为1vCPUs 1GB，推荐规格为2vCPUs 4GB。 1. 单击右上角“安装ICAgent”。 2. 主机类型选择“区域外主机”。 3. “安装系统”选择“Windows”。 4. “网络连通性方式”为“专线”。专线连通场景下，默认其它IDC上的机器与LTS后端网络不通，需要配置网络打通方案，建议您选择VPCEP。 说明 专线：区域外主机与当前区域LTS通过跳板机或VPCEP专线连通，安全性和稳定性都更高。在专线连通场景下，默认区域外主机与当前区域LTS网络不通，安装在区域外主机上的ICAgent无法直接访问当前区域LTS上报日志的网段。因此需要配置网络打通方案，使用跳板机或VPCEP的方式去连通LTS后端将数据转发到LTS。 跳板机：跳板机作为数据转发器，将区域外主机ICAgent采集到的数据转发给LTS。当您在进行测试，或者日志流量并不大的情况下，可以使用跳板机的方案。对于大流量日志场景推荐您使用VPCEP。 VPCEP：即VPC终端节点，能够将VPC私密地连接到当前区域LTS，使VPC中的资源无需弹性公网IP就能够访问终端节点服务。这种方式能够减少数据在公网上传输的风险，提高数据传输的安全性和效率。 5. 选择“连通LTS后端方式”为VPCEP时，填写VPCEP域名，填写完成后，直接从步骤7开始执行。 请您在网络同事的协助下，在他云上配置VPCEP的DNS域名解析规则，将VPCEP的域名解析到指定IP。 配置完成后，选择一台要采集日志的主机，输入界面上的测试命令，如果能ping通，表示网络配置OK。 6. 选择“连通LTS后端方式”为跳板机时，需要设置该步骤。在跳板机上开通转发端口。 1）在当前region区申请一台ECS主机当跳板机。 2）添加跳板机ECS使用的安全组规则，开放入方向对应端口，保证区域外主机到跳板机数据连通。在弹性云服务器控制台，单击ECS主机名称进入详情页，选择安全组页签，进入安全组列表页。单击具体的安全组名，进入安全组详情页。在该安全组详情页，单击“入方向规则 > 添加规则”，按下表添加安全组规则。 方向 协议 端口 说明 入方向 TCP 8149、8102、8923、30200、30201、80 ICAgent发送数据到跳板机的端口列表。 3）输入跳板机私有IP，生成跳板机转发命令。 说明 跳板机私有IP是指VPC内网IP。 4）单击“复制命令”，复制跳板机转发命令。 5）以root用户登录跳板机，执行SSH Tunnel转发命令。根据命令提示输入root用户名密码即可。 plaintext ssh f N L {跳板机ip}:8149:{elbip}:8149 L {跳板机ip}:8102:{elbip}:8102 L {跳板机ip}:8923:{elbip}:8923 L {跳板机ip}:30200:{elbip}:30200 L {跳板机ip}:30201:{elbip}:30201 L {跳板机ip}:80:icagent{region}.{obsdomain}:80 {跳板机ip} 6）执行netstat lnp grep ssh命令查看对应端口是否被侦听，如果返回结果如下图所示，说明TCP端口已开通。 说明 如果跳板机ECS掉电重启，请重新执行如上命令。 7. 通过界面提示链接，下载ICAgent安装包到本地。 8. 将ICAgent安装包存放到Windows主机目录（如：C:ICAgent）并解压。 9. 获取AK/SK。 10. 生成安装命令，并复制该命令。在文本框输入跳板机连接IP，手动替换AK/SK，生成安装命令。 说明 跳板机连接IP：使用EIP方式连接，为跳板机弹性公网IP，使用云专线VPC对等连接方式，为跳板机VPC内网IP。 单击“复制命令”，复制ICAgent安装命令。 11. 打开cmd窗口并进入ICAgent安装包的解压目录，执行ICAgent安装命令进行安装。 说明 当显示“Service icagent installed successfully”时，表示安装成功。安装成功后，在左侧导航栏中选择“主机管理 > 主机”，查看ICAgent状态。 如果安装失败，请卸载ICAgent后重新安装，如果还未安装成功，请联系技术支持。

功能 功能描述 创建函数 当前支持三种函数的创建： 1. 标准运行时函数：按照函数计算内置的标准运行时及内置定义的接口，编写程序来处理事件请求或HTTP请求 2. 自定义运行时函数：迁移框架应用或基于各种流行框架如 Flask、Express、SpringBoot 等编写程序 3. 容器函数：迁移容器应用或 GPU应用，使用容器镜像方式部署函数 版本管理 函数具有版本快照的属性，不同的版本可以有不同的业务逻辑或者实现方式，用于函数功能迭代的一种重要管理手段。 别名管理 可以为函数创建别名，它是一个指向特定版本的指针，用于简化发布、回滚和灰度发布过程。别名解析至其指向的版本，使得调用方无需关心具体版本。可以通过别名实现灰度发布。通过线上新旧版本共存的方式，可以先小范围验证新版本，再逐步切换流量至新版本，实现平滑过渡。 配置环境变量 环境变量可以作为一类特殊的配置，配置环境变量支持在不修改代码的情况下，实现配置的变更，从而支持业务新特性或者新逻辑。 配置网络 默认情况下，函数可以通过公网调用或者访问公网。若需访问VPC资源或允许VPC调用函数，可以通过配置网络来实现。 配置日志 配置日志项目和库，并授权函数访问日志服务。函数日志可以配置存储到日志服务中，便于分析和排查问题，或者用于统计或审计的需要。 配置存储 可为函数配置NAS或ZOS挂载，使得函数能像使用本地文件系统一样访问这些存储服务。 管理函数层 层提供公共依赖库、运行时环境和函数扩展，减少函数部署或更新时的代码包体积，节省存储，提高函数构建部署速度。 配置权限 可以给函数授权角色和角色策略，决策策略定义了函数能访问哪些资源。

本文介绍在源站IP暴露的情况下，如何设置保护源站。 适用场景 场景1：如果您的源站服务器部署了防火墙，并且部署了访问控制策略，您必须在源站访问控制策略里为Aone安全与加速边缘云节点添加白名单，放行边缘云节点IP，避免由边缘安全加速平台安全与加速服务转发回源的请求被误拦截，影响网站正常访问。 场景2：为了防止攻击者获取您的源站IP直接攻击源站，您可以设置源站服务器的访问控制策略，只放行边缘云节点回源IP段的入方向流量。 前提条件 已经订购边缘安全加速平台安全与加速服务基础版及以上套餐版本，若未订购，请参见服务开通。 在控制台新增域名，请参见添加服务域名。 配置回源IP方案 1.登录边缘安全加速平台控制台。 2.在工具回源IP管理中，单击【配置回源IP方案】，完成配置后，可在控制台查看回源IP段。 注意 1、如果您首次配置，请先到通知渠道页面编辑通知方式，然后再点击【配置回源IP方案】按钮。如果您有特殊的需求，可 2、创建时每个域名的任务会单独发送一次通知；后续回源IP列表更新时，所有启用的域名任务会合并结果后发送通知。 提示：控制台的回源ip管理配置不会覆盖后台客服人员配置的任务，如果您发现收到重复的通知，可提交工单联系我们进行确认。

本章节介绍了分布式消息服务RocketMQ与Kafka和RabbitMQ的差异。 功能项 RocketMQ Kafka RabbitMQ 优先级队列 不支持 不支持 支持。建议优先级大小设置在010之间。 延迟队列 支持 不支持 不支持 死信队列 支持 不支持 支持 消息重试 支持 不支持 不支持 消费模式 支持客户端主动拉取和服务端推送两种方式 客户端主动拉取 支持客户端主动拉取以及服务端推送两种模式 广播消费 支持 支持 支持 消息回溯 支持 支持。Kafka支持按照offset和timestamp两种维度进行消息回溯。 不支持。RabbitMQ中消息一旦被确认消费就会被标记删除。 消息堆积 支持 支持。考虑吞吐因素，Kafka的堆积效率比RabbitMQ总体上要高。 支持 持久化 支持 支持 支持 消息追踪 支持 不支持 支持。RabbitMQ中可以采用Firehose或者rabbitmqtracing插件实现，但开启rabbitmqtracing插件会影响性能，建议只在定位问题过程中开启。 消息过滤 支持 支持 不支持，但可以自行封装。 多租户 支持 不支持 支持 多协议支持 兼容RocketMQ协议 只支持Kafka自定义协议。 RabbitMQ基于AMQP协议实现，同时支持MQTT、STOMP等协议。 跨语言支持 支持多语言的客户端 采用Scala和Java编写，支持多种语言的客户端。 采用Erlang编写，支持多种语言的客户端。 流量控制 待规划 支持client和user级别，通过主动设置可将流控作用于生产者或消费者。 RabbitMQ的流控基于CreditBased算法，是内部被动触发的保护机制，作用于生产者层面。 消息顺序性 单队列（queue）内有序 支持单分区（partition）级别的顺序性。 不支持。需要单线程发送、单线程消费并且不采用延迟队列、优先级队列等一些高级功能整体配合，才能实现消息有序。 安全机制 支持SSL认证 支持SSL、SASL身份认证和读写权限控制。 与Kafka相似 事务性消息 支持 支持 支持

开通Web应用防火墙（独享版）服务后并将您的网站域名接入WAF，使网站的访问流量全部流转到WAF进行防护。 Web应用防火墙的使用流程 子流程 说明 :: 申请独享引擎 通过申请独享引擎开通WAF。 详细操作请参见：申请WAF独享引擎。 添加防护网站 添加需要防护的网站。 详细操作请参见：网站接入WAF。 添加防护域名后，可开启WAF防护，保护网站业务安全稳定。 说明 WAF引擎不是运行在客户的Web服务器上的，所以对客户的Web服务器的资源性能没有影响。 接入WAF之后，根据请求页面的大小和数量，会有几十毫秒的延迟。 配置防护策略 防护策略是多种防护规则的合集，用于配置和管理Web基础防护、黑白名单、精准访问防护等防护规则，一条防护策略可以适用于多个防护域名，但一个防护域名只能绑定一个防护策略。 详细操作见配置防护策略。 管理防护规则 Web应用防火墙将拦截或者仅记录攻击事件记录在“防护事件”页面，通过查看并分析防护日志，对网站的防护策略进行调整，也可以对误报时间进行屏蔽。 详细操作见管理防护事件。 处理误报事件 WAF拦截或者记录的攻击事件为误报时，可对误报进行屏蔽处理。详细操作请参见：处理误报事件。 安全总览 可查看到昨天、今天、3天、7天或者30天范围内的防护数据。详细操作请参见：安全总览。

本地验证 以下操作以本地计算机使用Windows操作系统为例进行描述。 1. 打开本地计算机的文件资源管理器。 2. 在地址栏输入 C:WindowsSystem32driversetchosts，并选择使用文本编辑器打开hosts文件。 3. 在hosts文件最后一行添加以下记录。 其中 表示已在WAF添加的域名， 表示域名对应的WAF IP地址。 和 之间使用空格分隔。 说明 通过修改本机的HOSTS信息可以将本机对源站的域名请求强制修改至WAF，从而实现通过本地对源站的访问经过WAF防护的业务流程验证。 修改本地文件HOSTS信息的方式仅对本机生效，在此期间不会影响其他用户对源站的访问。 4. 保存修改后的hosts文件，并执行 ping 命令，验证hosts修改已生效。 预期ping命令解析到的IP地址是域名对应的WAF IP地址，表示hosts修改已经生效。 如果解析到了源站IP地址，请刷新本地的DNS缓存（可以执行 .ipconfig/flushdns命令）并重新执行ping命令，直到验证hosts修改已经生效。 5. 打开本地计算机的浏览器，在地址栏输入被防护域名进行访问。 如果网站能够正常访问，说明WAF中添加的域名设置正确有效。您可以将hosts文件复原后，放心修改域名的DNS解析，将网站流量解析到WAF进行防护。更多信息，请参见修改域名DNS。 如果网站访问不正常，说明WAF中添加的域名设置可能有问题，建议您检查WAF中的域名接入设置，修复问题后重新进行本地验证。更多信息，请参见添加域名。 6. 完成本地验证后，重新修改hosts文件，删除步骤3中添加的记录。

本文汇总了WAF管理类常见问题。 若流量超过当前WAF实例版本支持的带宽峰值时有什么影响？ 如果用户将多个网站业务接入WAF实例进行保护，则必须保证所有网站业务的正常峰值带宽之和不超出WAF实例的业务带宽。 超出业务带宽限制，WAF会触发限流、随机丢包等动作，导致用户的网站业务在一定时间内出现卡顿、延迟，甚至不可用等，WAF的服务防护性能无法得到保障，各产品版本规格详情请参见产品规格。 多个域名对应同一源站，WAF可以防护这些域名吗？ 可以防护。 域名接入：WAF的防护对象是域名，如果多个域名使用了同一个源站对外提供服务，需要将多个域名都接入WAF实现所有域名的防护。 独享型接入：WAF的防护对象是域名或IP地址，如果多个域名使用了同一个源站对外提供服务，可以将多个域名都接入WAF实现所有域名的防护，或将网站IP接入WAF进行防护。 WAF支持防护IPv6地址吗？ 支持，WAF支持添加IPv6的源站地址。 接入WAF的域名需要备案吗？ 使用WAF前，请确保域名已在工信部备案，未备案域名将无法正常使用WAF。如何备案请参见新增备案。 说明 根据 《非经营性互联网信息服务备案管理办法》第五条规定：在中华人民共和国境内提供非经营性互联网信息服务，应当依法履行备案手续。未经备案，不得在中华人民共和国境内从事非经营性互联网信息服务。本办法所称在中华人民共和国境内提供非经营性互联网信息服务，是指在中华人民共和国境内的组织或个人利用通过互联网域名访问的网站或者利用仅能通过互联网IP地址访问的网站，提供非经营性互联网信息服务。第十九条规定：互联网接入服务提供者应当记录其接入的非经营性互联网信息服务提供者的备案信息。

API安全网关 API全生命周期管理：多协助开发者轻松完成API的创建、维护、发布、监控、参数校验等整个生命周期的管理。 API攻击防护：内置丰富的攻击检测规则，对OWASP top 10等常见的web和API风险漏洞提供有效的攻击防护。 API限流限速：支持基于API、服务、API调用者三个维度的限流限速功能，以保护你的后端服务。 灵活的API访问控制：支持高度可配置的访问控制策略，涵盖但不限于IP白名单/黑名单、请求URL匹配、HTTP方法限制、请求体校验、Host头验证及Referer检查等。 API动态脱敏与水印溯源：自动识别和梳理API中传输的敏感数据，针对不同的API调用者配置动态脱敏功能和水印算法。 API监控审计：提供API访问行为的全量审计功能和访问行为分析功能，方便事后追踪溯源。 API风险监测 自动化盘点应用API，掌握数据资产全貌：采集API日志支持加密流量解析；维持最新的API清单让API清晰可见，多种API打标维度让API可管 。 API分类分级管控：快速定义数据的敏感等级，包括金融、运营商、政务在内的14个分类分级模版，同时识别API上面传输的敏感数据，监测数据流动，例如：手机号、姓名等。 数据安全风险分析：提供API 脆弱性风险、用户行为风险、用户行为画像等多重种数据安全风险统计分析能力。 API行为风险监测：内置行为风险自动监测引擎，对用户异常调用API获取数据行为等进行实时监控预警，发现逾需拉取、数据爬取等行为风险。 留存全量日志，实现全面溯源可查：统一操作日志格式，为常用的审计景添加检索引，检索相应速度更快，运营操作更友好；内置API数据安全运营报表、资产治理专项报表以及特殊场景安全评估报表，如：疑似下线资产审计等，可通过邮箱订阅报表

参数名称 参数说明 取值样例 名称 “虚拟私有云（VPC）”连接的名称，支持修改。 erattach01 连接类型 1. 连接类型选择“虚拟私有云（VPC）”，不支持修改。 2. 连接类型选择完成后，在下拉列表中选择待接入企业路由器的虚拟私有云，不支持修改。 3. 虚拟私有云选择完成后，在下拉列表中选择待接入企业路由器的子网，不支持修改。 您可以任意选择一个子网，由于同一个虚拟私有云内的所有子网默认互通，因此选择任意一个子网，企业路由器均可以连通整个VPC。 建议您在VPC内单独规划一个连接企业路由器的子网，为了确保子网内预留足够的系统占用IP、企业路由器占用IP，子网的掩码值范围需要小于等于28，比如192.168.25.0/28。 连接类型：虚拟私有云（VPC） 虚拟私有云：vpcdemo01 子网：subnetdemo01 配置连接侧路由 如果您在创建连接时开启“配置连接侧路由”选项，则不用手动在VPC路由表中配置静态路由，系统会在VPC的所有路由表中自动添加指向ER的路由，目的地址固定为10.0.0.0/8，172.16.0.0/12，192.168.0.0/16。 如果VPC路由表中的路由与这三个固定网段冲突，则会添加失败。此时建议您不要开启“配置连接侧路由”选项，并在连接创建完成后，手动添加路由。 不建议在VPC路由表中将ER的路由配置为默认路由网段0.0.0.0/0，如果VPC内的ECS绑定了EIP，会在ECS内增加默认网段的策略路由，并且优先级高于ER路由，此时会导致流量转发至EIP，无法抵达ER。 开启 描述 该连接的描述信息，支持修改。 标签 为连接绑定标签，用来标识资源，支持修改。 “标签键”：test “标签值”：01

本文介绍Nginx Ingress概述。 本文将介绍Ingress基本概念、Ingress Controller工作原理以及Nginx Ingress Controller的使用说明。 Ingress基本概念 Ingress是Kubernetes集群中一种API对象，属于网络路由和负载均衡中的一个概念。它的主要作用是将外部的流量路由到集群内部的服务，您可以通过Ingress资源来配置不同的转发规则，从而根据不同的规则设置访问集群内不同的Service所对应的后端Pod。Ingress可以看作是在Service的基础上提供了更高级别的负载均衡和路由规则控制。与Service不同的是，Service只提供了基础的负载均衡和服务发现功能。 Ingress Controller工作原理 Ingress API对象的创建需要使用Ingress Controller，它是一个独立于Kubernetes集群之外的组件。Ingress Controller会不断地监视Ingress对象的变化，当检测到Ingress对象的变化时，它会自动更新代理服务器的配置信息。通常情况下，Ingress Controller会将请求代理到运行在同一集群内的Service中，但它也可以被配置为代理到集群外部的其他服务。Ingress Controller 常见的工作流程如下： 1. Kubernetes集群中的Ingress Controller通过API Server监控Ingress的创建、删除和更新。 2. 当有新的Ingress创建时，Ingress Controller会解析Ingress的规则，并将其实现为代理服务器的转发规则。 3. 当有新的Service创建或修改时，Ingress Controller会读取对应的Service的信息，例如其IP和端口等，并将其添加到代理服务器的配置中，实现对后端服务的指向。 4. 当新的Pod创建、修改或删除时，Ingress Controller会读取每个Pod上的Service的信息，并将其添加到代理服务器的配置中，实现对后端服务的指向。 5. 当有Ingress被删除时，Ingress Controller会删除代理服务器上对应的路由规则。

本页介绍分布式融合数据库HTAP快速入门的相关准备工作。 在创建分布式融合数据库HTAP实例之前，您需要进行一些准备工作，确保正确配置和管理实例的网络环境和安全性。 首先，您需要设置一个虚拟私有云（VPC）。VPC是一个隔离的网络环境，用于托管分布式融合数据库HTAP实例。通过VPC，您可以自主配置和管理实例的网络，确保数据和通信的安全性。 其次，为了更好地管理和划分网络，您需要在VPC内创建一个或多个子网。子网是VPC内部的子网络，可以用于将不同的部分和区域进行划分。这样的划分可以更好地组织实例和资源，并提高网络的可扩展性。 最后，您需要配置一个安全组。安全组用于控制实例的入站和出站流量，确保实例的安全性。通过设置安全组规则，您可以限制允许访问实例的IP范围，从而防止未经授权的访问。 每个分布式融合数据库HTAP实例都将被部署在特定的VPC中，并与特定的子网和安全组相关联。如果您已经有现成的VPC、子网和安全组，可以重复使用它们，无需重复创建。这将节省时间和资源，并确保实例的一致性和可靠性。 VPC和子网 VPC和子网可重复使用，您也可以使用不同的VPC和子网来配置实例，您可根据实际需要进行配置。在创建VPC和子网时应注意如下要求： VPC与分布式融合数据库服务应在相同的区域。 如无特殊需求，创建VPC和子网的配置参数使用默认配置即可。 创建VPC和子网的操作请参考虚拟私有云创建VPC、子网搭建私有网络。 若需要在已有VPC上创建和使用新的子网，请参考虚拟私有云子网管理创建子网。

本文主要介绍分布式消息服务RabbitMQ与Kafka、RocketMQ的差异。 分布式消息服务RabbitMQ与Kafka、RocketMQ的差异，如下表。 功能项 RocketMQ Kafka RabbitMQ 优先级队列 不支持 不支持 支持。建议优先级大小设置在010之间。 延迟队列 支持 不支持 不支持 死信队列 支持 不支持 支持 消息重试 支持 不支持 不支持 消费模式 支持客户端主动拉取和服务端推送两种方式 客户端主动拉取 支持客户端主动拉取以及服务端推送两种模式 广播消费 支持 支持 支持 消息回溯 支持 支持。Kafka支持按照offset和timestamp两种维度进行消息回溯。 不支持。RabbitMQ中消息一旦被确认消费就会被标记删除。 消息堆积 支持 支持。考虑吞吐因素，Kafka的堆积效率比RabbitMQ总体上要高。 支持 持久化 支持 支持 支持 消息追踪 支持 不支持 支持。RabbitMQ中可以采用Firehose或者rabbitmqtracing插件实现，但开启rabbitmqtracing插件会影响性能，建议只在定位问题过程中开启。 消息过滤 支持 支持 不支持，但可以自行封装。 多租户 支持 不支持 支持 多协议支持 兼容RocketMQ协议 只支持Kafka自定义协议。 RabbitMQ基于AMQP协议实现，同时支持MQTT、STOMP等协议。 跨语言支持 支持多语言的客户端 采用Scala和Java编写，支持多种语言的客户端。 采用Erlang编写，支持多种语言的客户端。 流量控制 待规划 支持client和user级别，通过主动设置可将流控作用于生产者或消费者。 RabbitMQ的流控基于CreditBased算法，是内部被动触发的保护机制，作用于生产者层面。 消息顺序性 单队列（queue）内有序 支持单分区（partition）级别的顺序性。 不支持。需要单线程发送、单线程消费并且不采用延迟队列、优先级队列等一些高级功能整体配合，才能实现消息有序。 安全机制 支持SSL认证 支持SSL、SASL身份认证和读写权限控制。 与Kafka相似 事务性消息 支持 支持 支持

准备资源 要求 创建指导 VPC和子网 不同的Kafka实例可以重复使用相同的VPC和子网，也可以使用不同的VPC和子网，请根据实际需要进行配置。 在创建VPC和子网时应注意如下要求： 创建的VPC与Kafka实例在相同的区域。 子网开启IPv6后，Kafka实例支持IPv6功能。Kafka实例开启IPv6后，客户端可以使用IPv6地址连接实例。 创建VPC和子网的操作指导请参考《虚拟私有云 用户指南》的 安全组 不同的Kafka实例可以重复使用相同的安全组，也可以使用不同的安全组，请根据实际需要进行配置。 在创建安全组时应注意如下要求： 创建安全组时，“模板”选择“自定义”。 使用Kafka实例前，添加下表中的安全组规则，其他规则请根据实际需要添加。 说明 创建安全组后，系统默认添加入方向“允许安全组内的弹性云主机彼此通信”规则和出方向“放通全部流量”规则，此时使用内网通过同一个VPC访问Kafka实例，无需添加下表中的规则。 创建安全组的操作指导请参考《虚拟私有云 用户指南》的 弹性IP地址 在创建弹性IP地址时，应注意如下要求： 创建的弹性IP地址与Kafka实例在相同的区域。 弹性IP地址的数量必须与Kafka实例的代理个数相同。 Kafka控制台无法识别开启IPv6转换功能的弹性IP地址。 创建弹性IP地址的操作指导请参考《弹性IP 用户指南》的“

功能 功能描述 企业路由器 您可以将企业路由器看作一个支持路由学习的高性能集中路由器，创建企业路由器时，您可以设置部署区域、可用区、名称等参数。 企业路由器创建完成后，您可以根据业务使用情况灵活调整部分参数。 连接 为企业路由器添加网络实例对应的连接，即表示将网络实例接入企业路由器中。 路由表 路由表是企业路由器发送报文的依据，包含连接的关联关系、传播关系以及路由信息。 一个企业路由器可以拥有多个路由表，您可以将连接关联至不同的路由表，从而实现网络实例的灵活互通或者隔离。 关联 关联是将连接关联至ER路由表中，您可以通过以下方法创建关联： 手动创建：选择任意路由表，并在路由表中为连接创建关联。 自动创建：开启“默认路由表关联”功能，指定默认路由表，系统会自动为连接在默认路由表中创建关联。 传播 传播是企业路由器和连接的路由学习关系，您可以通过以下方法创建传播： 手动创建：选择任意路由表，并在路由表中为连接创建传播。 自动创建：开启“默认路由表传播”功能，指定默认路由表，系统会自动为连接在默认路由表中创建传播。 路由 路由是目的地址、下一跳以及路由类型等信息组成。路由分为两种： 自动学习的传播路由。 手动添加的静态路由。 企业路由器支持IPv4和IPv6路由。 共享 所有者可以将自己的企业路由器同时共享给多个其他帐号，称为接受者。 接受者可以在共享企业路由器中添加连接，将自己名下的网络实例加入该企业路由器中，实现多个帐号内的网络实例接入同一个企业路由器构建组网的需求。 对于“虚拟私有云（VPC）”连接，通过共享功能，可以在同一个企业路由器中接入不同帐号下的虚拟私有云，构建云上同区域组网。 流日志 通过流日志功能可以实时记录企业路由器中连接的流量日志信息。通过这些日志信息，您可以监控连接的网络流量、进行网络攻击分析等，帮助您实现高效的网络运维。 监控 通过云监控服务，您可以监控企业路由器实例以及企业路由器连接的网络情况。 审计 通过云审计服务，您可以记录与企业路由器相关的操作事件，便于日后的查询、审计和回溯。 权限 针对位于云上的企业路由器资源，您可以通过IAM进行精细的权限管理，为企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，从而实现资源的安全管控。 标签 标签用于标识云资源，可通过标签实现对云资源的分类和搜索。你可以为企业路由器和路由表添加标签。 配额 为防止资源滥用，平台限定了各服务资源的配额，对用户的资源数量和容量做了限制。如您最多可以创建多少个企业路由器、每个企业路由器添加多少个连接、每个路由表可以添加多少条路由等。

概述 在创建天翼云分布式消息服务RabbitMQ实例之前，您需要做一些准备工作。 首先，您需要设置一个虚拟私有云（VPC），这是一个隔离的网络环境，用于托管RabbitMQ实例。 接下来，您需要创建一个子网，它是VPC内部的一个子网络，用于划分不同的部分和区域。 最后，您需要配置一个安全组，用于控制入站和出站的流量规则，以保证RabbitMQ实例的安全性。 每个分布式消息服务RabbitMQ实例都会被部署在特定的VPC中，并与特定的子网和安全组相关联。这种方式可以让您自主配置和管理RabbitMQ实例的网络环境，并提供安全保护策略。如果您已经有了现成的VPC、子网和安全组，可以重复使用它们，无需重复创建。这样可以节省时间和资源，并确保一致性和可靠性。 VPC和子网 VPC和子网可重复使用，您也可以使用不同的VPC和子网来配置RabbitMQ实例，您可根据实际需要进行配置。在创建VPC和子网时应注意如下要求： VPC与使用的天翼云分布式消息服务RabbitMQ服务应在相同的区域。 如无特殊需求，创建VPC和子网的配置参数使用默认配置即可。 创建VPC和子网的操作请参考虚拟私有云创建VPC、子网搭建私有网络 若需要在已有VPC上创建和使用新的子网，请参考虚拟私有云子网管理创建子网 安全组 安全组可重复使用，您也可以根据实际情况使用不同的安全组，请根据实际需要进行配置。 创建安全组的操作指导，请参考虚拟私有云创建安全组 若需要为安全组添加规则，请参考虚拟私有云安全组添加安全组规则