本文帮助您快速熟悉添加安全组规则的操作流程。 操作场景 安全组实际是网络流量访问策略，通过访问策略可以控制流量入方向规则和出方向规则，通过这些规则可以为加入安全组内的云服务器、云容器、云数据库等实例提供安全保护。安全组的访问策略由入方向规则和出方向规则共同组成。 安全组规则遵循白名单规则，具体说明如下： 入方向规则：入方向指外部访问安全组内的实例的指定端口。当外部请求匹配上安全组中入方向规则的源地址，并且策略为“允许”时，允许该请求进入，其他请求一律拦截。 因此，如果没有特殊需求，您一般不用在入方向配置策略为“拒绝”的规则，因为不匹配“允许”规则的请求均会被拦截。 出方向规则：出方向指安全组内的实例访问外部的指定端口。在出方向中配置目的地址匹配所有IP地址的规则，并且策略为“允许”时，允许所有的内部请求出去。 0.0.0.0/0表示匹配所有IPv4地址。 ::/0表示匹配所有IPv6地址。 如果实例关联的安全组策略无法满足使用需求，比如需要开放某个TCP端口，您可以参考以下操作，通过在入方向规则添加端口，从而打开指定的TCP端口。 操作步骤 1. 登录管理控制台。 2. 在系统首页，选择“网络 > 虚拟私有云”。 3. 在左侧导航栏，选择“访问控制 > 安全组”。进入安全组列表页面。 4. 在安全组列表中，单击目标安全组所在行的操作列下的“配置规则”。进入安全组规则配置页面。 5. 在“入方向规则”页签，单击“添加规则”。弹出“添加入方向规则”对话框。 6. 根据界面提示，设置入方向规则参数。单击“+”按钮，可以依次增加多条入方向规则。 7. 入方向规则设置完成后，单击“确定”。返回入方向规则列表，可以查看添加的入方向规则。 8. 在“出方向规则”页签，单击“添加规则”。弹出“添加出方向规则”页签。 9. 根据界面提示，设置出方向规则参数。单击“+”按钮，可以依次增加多条出方向规则。 10. 出方向规则设置完成后，单击“确定”。返回出方向规则列表，可以查看添加的出方向规则。 表 入方向参数说明 参数 说明 取值样例 ::: 协议/应用 网络协议。目前支持“All”、“TCP”、“UDP”和“ICMP”等协议。 TCP 端口和源地址 端口：允许远端地址访问弹性云主机指定端口，取值范围为：1～65535。 22或2230 端口和源地址 源地址：可以是IP地址、安全组。用于放通来自IP地址或另一安全组内的实例的访问。例如： xxx.xxx.xxx.xxx/32（IPv4地址） xxx.xxx.xxx.0/24（子网） 0.0.0.0/0（任意地址） sgabc（安全组） 0.0.0.0/0 描述 安全组规则的描述信息，非必填项。 描述信息内容不能超过255个字符，且不能包含“ ”。 表 出方向参数说明 参数 说明 取值样例 ::: 协议/应用 网络协议。目前支持“All”、“TCP”、“UDP”和“ICMP”等协议。 TCP 端口和目的地址 端口：允许弹性云主机访问远端地址的指定端口，取值范围为：1～65535。 22或2230 端口和目的地址 目的地址：可以是IP地址、安全组。允许访问目的IP地址或另一安全组内的实例。例如： xxx.xxx.xxx.xxx/32（IPv4地址） xxx.xxx.xxx.0/24（子网） 0.0.0.0/0（任意地址） sgabc（安全组） 0.0.0.0/0 描述 安全组规则的描述信息，非必填项。 描述信息内容不能超过255个字符，且不能包含“ ”。

本文帮助您快速熟悉添加安全组规则的操作流程。 操作场景 安全组实际是网络流量访问策略，通过访问策略可以控制流量入方向规则和出方向规则，通过这些规则可以为加入安全组内的云服务器、云容器、云数据库等实例提供安全保护。安全组的访问策略由入方向规则和出方向规则共同组成。 安全组规则遵循白名单规则，具体说明如下： 入方向规则：入方向指外部访问安全组内的实例的指定端口。当外部请求匹配上安全组中入方向规则的源地址，并且策略为“允许”时，允许该请求进入，其他请求一律拦截。 因此，如果没有特殊需求，您一般不用在入方向配置策略为“拒绝”的规则，因为不匹配“允许”规则的请求均会被拦截。 出方向规则：出方向指安全组内的实例访问外部的指定端口。在出方向中配置目的地址匹配所有IP地址的规则，并且策略为“允许”时，允许所有的内部请求出去。 0.0.0.0/0表示匹配所有IPv4地址。 ::/0表示匹配所有IPv6地址。 如果实例关联的安全组策略无法满足使用需求，比如需要开放某个TCP端口，您可以参考以下操作，通过在入方向规则添加端口，从而打开指定的TCP端口。 操作步骤 1. 登录管理控制台。 2. 在系统首页，选择“网络 > 虚拟私有云”。 3. 在左侧导航栏，选择“访问控制 > 安全组”。进入安全组列表页面。 4. 在安全组列表中，单击目标安全组所在行的操作列下的“配置规则”。进入安全组规则配置页面。 5. 在“入方向规则”页签，单击“添加规则”。弹出“添加入方向规则”对话框。 6. 根据界面提示，设置入方向规则参数。单击“+”按钮，可以依次增加多条入方向规则。 7. 入方向规则设置完成后，单击“确定”。返回入方向规则列表，可以查看添加的入方向规则。 8. 在“出方向规则”页签，单击“添加规则”。弹出“添加出方向规则”页签。 9. 根据界面提示，设置出方向规则参数。单击“+”按钮，可以依次增加多条出方向规则。 10. 出方向规则设置完成后，单击“确定”。返回出方向规则列表，可以查看添加的出方向规则。 表 入方向参数说明 参数 说明 取值样例 ::: 协议/应用 网络协议。目前支持“All”、“TCP”、“UDP”和“ICMP”等协议。 TCP 端口和源地址 端口：允许远端地址访问弹性云主机指定端口，取值范围为：1～65535。 22或2230 端口和源地址 源地址：可以是IP地址、安全组。用于放通来自IP地址或另一安全组内的实例的访问。例如： xxx.xxx.xxx.xxx/32（IPv4地址） xxx.xxx.xxx.0/24（子网） 0.0.0.0/0（任意地址） sgabc（安全组） 0.0.0.0/0 描述 安全组规则的描述信息，非必填项。 描述信息内容不能超过255个字符，且不能包含“ ”。 表 出方向参数说明 参数 说明 取值样例 ::: 协议/应用 网络协议。目前支持“All”、“TCP”、“UDP”和“ICMP”等协议。 TCP 端口和目的地址 端口：允许弹性云主机访问远端地址的指定端口，取值范围为：1～65535。 22或2230 端口和目的地址 目的地址：可以是IP地址、安全组。允许访问目的IP地址或另一安全组内的实例。例如： xxx.xxx.xxx.xxx/32（IPv4地址） xxx.xxx.xxx.0/24（子网） 0.0.0.0/0（任意地址） sgabc（安全组） 0.0.0.0/0 描述 安全组规则的描述信息，非必填项。 描述信息内容不能超过255个字符，且不能包含“ ”。

sectionefffcc1135a59628) 共享镜像 由其他用户共享而来的私有镜像。云主机中使用共享镜像使得用户之间可以共享和重复使用的预先配置的操作系统和软件环境模板，避免了重复的操作和配置工作。当一个用户创建满足特定需求的镜像时，其他用户可以通过共享该镜像快速获取相同配置的环境，提高部署效率和保持一致性。 详细内容参见共享镜像文档 安全产品镜像 安全产品镜像用于加载部分安全产品服务。可在云主机控制台创建云主机镜像类型中选择安全产品镜像，满足加载CSSP、DAS、LAS、OSM等安全产品的安全性需求。 详细内容参见安全产品镜像文档 云硬盘 数据块级别的块存储产品，采用分布式三副本机制，为云主机提供数据可靠性保证，可以将云硬盘挂载到弹性云主机，并可以扩容云硬盘的容量。 详细内容参见云硬盘文档 快照 某一时间点云主机状态的备份文件，用于备份或者恢复整个云主机。快照能够记录某一块云硬盘在某个时刻的数据，通过回滚将云硬盘数据恢复至快照时间点，用户可以通过快照快速创建出多个具有相同数据的云硬盘用于业务部署。 详细内容参见快照文档 云主机备份 提供对弹性云主机数据的备份保护服务。支持对弹性云主机中的所有云硬盘（系统盘和数据盘）进行备份，并利用备份数据恢复弹性云主机数据。当云主机或磁盘出现故障或者人为错误导致数据误删时，可以自助快速恢复数据。 详细内容参见云主机备份文档 VPC 基于天翼云创建的自定义私有网络，为弹性云主机提供一个逻辑上完全隔离的专有网络，您还可以在VPC中定义安全组、IP地址段、带宽等网络特性。 用户可以通过VPC方便地管理、配置内部网络，进行安全、快捷的网络变更。同时，用户可以自定义安全组内与组间弹性云主机的访问规则，加强弹性云主机的安全保护。 详细内容参见VPC文档 弹性网卡 一种独立的虚拟网卡，用于连接云主机与私有网络。可以在云主机上添加/删除，实现业务的灵活扩展和迁移。 详细内容参见弹性网卡文档 安全组 为云主机提供网络安全防护机制，用于防止未经授权的访问和保护计算机网络免受恶意攻击。它是一种虚拟防火墙，用于限制入向和出向网络流量通行。用户可以在安全组中定义各种访问规则，当弹性云主机加入该安全组后，即受到这些访问规则的保护。 详细内容参见安全组文档 弹性伸缩 弹性伸缩可以自动调整云主机数量，可按照您定义的伸缩配置和伸缩策略对弹性云主机进行伸缩，帮您节约资源和人力运维成本。 详细内容参见弹性伸缩文档 负载均衡 将访问流量自动分发到多台弹性云主机上，提高搭建在弹性云主机上应用系统对外的服务能力，提高应用程序容错能力。 详细内容参见负载均衡文档 云监控服务 云监控为云主机提供监控服务，提供性能指标监控、自动告警、历史信息查询等功能。当用户开通了弹性云主机后，无需额外安装其他插件，即可在云监控查看对应服务的实例状态。 详细内容参见云监控文档 日志审计服务 日志审计服务通过云主机日志进行全面的标准化处理，及时发现各种安全威胁、异常行为事件。 详细内容参见日志审计文档

本文帮助您了解如何查看终端节点服务相关的监控图表数据并设置告警规则,约定在一些特殊情况出现时向用户发送告警通知。 操作场景 VPC终端节点监控支持终端节点服务维度的监控。您可以通过云监控依据细颗粒度的监控指标获得有关终端节点服务的各种监控数据信息, 也可以通过设置适当的报警阈值和报警策略，及时发现并处理潜在的问题。 使用须知 云监控服务不需要开通，会在您使用VPC终端节点服务后自动启动。 查看监控数据 操作步骤 1. 点击天翼云门户首页的“控制中心”，输入登录的用户名和密码，进入控制中心页面。 2. 在控制台上方点击，选择地域，以下操作选择华东华东1。 3. 在控制台首页，选择“管理与部署>云监控”。 4. 在云监控控制台左侧导航栏，点击“VPC终端节点监控”，选择终端节点服务页签，即可进入VPC终端节点服务监控页面。 5. 点击要查看的终端节点服务的名称/ID进入该终端节点监控详情页面。 6. 在终端节点服务监控数据界面中，选择终端节点服务页签，可查看该终端节点服务的各项监控指标，分别为流入带宽、流出带宽、流入数据包速率、流出数据包速率、流入丢弃带宽、流出丢弃带宽、流入丢弃数据包速率、流出丢弃数据包速率、并发连接。 7. 选择终端节点页签，查找并选择连接到该服务的终端节点。 8. 点击“确定”，即可查看选定终端节点的监控指标信息。 监控指标说明 这些监控指标可以帮助您了解VPC终端节点的网络性能以及数据流量情况。 监控指标 说明 流入带宽 终端节点服务流入的数据带宽大小。 流出带宽 终端节点服务流出的数据带宽大小。 流入数据包速率 终端节点服务每秒钟流入的数据包数量。 流出数据包速率 终端节点服务每秒钟流出的数据包数量。 流入丢弃带宽 终端节点服务流入时被丢弃的数据带宽大小。 流出丢弃带宽 终端节点服务流出时被丢弃的数据带宽大小。 流入丢弃数据包速率 终端节点服务每秒钟流入时被丢弃的数据包数量。 流出丢弃数据包速率 终端节点服务每秒钟流出时被丢弃的数据包数量。 并发连接 终端节点服务的并发连接数。

负载方式&健康检查配置 说明 负载方式 从下拉列表框选择负载方式轮询算法：请求以轮询的方式依次分发给各后端主机，加权轮询对权重高的主机会获得更多的轮询次数；最小连接算法：动态调度算法，通过主机当前活跃的连接数来评估主机的负载情况，负载均衡将请求分发给活跃连接数最小的后端主机。加权最小连接数会结合权重分配后端主机； 会话保持 选择是否开启会话保持。开启会话保持后，负载均衡监听器会把来自同一客户端的访问请求分发到同一台后端主机上。 会话保持方式 集群模式资源池HTTP协议的会话保持方式支持如下重写Cookie/植入Cookie。植入Cookie：客户端首次访问时，负载均衡在返回请求中植入Cookie（即在HTTP或HTTPS响应报文中插入ServerID），下次客户端携带此Cookie访问，负载均衡会将请求转发给之前记录到的后端云主机上。植入Cookie需要指定会话保持时间。重写Cookie：负载均衡对用户自定义的Cookie进行重写，下次客户端携带新的Cookie访问，负载均衡会将请求转发给之前记录到的后端云主机；选择植入Cookie时，可设置会话保持超时时间。缺省3600s。选择重写Cookie，负载均衡发现用户自定义的Cookie，对原来的Cookie进行重写，下次客户端携带新的Cookie访问，负载均衡服务将请求定向转发给之前记录到的后端主机。重写Cookie方式该Cookie的会话保持时间由后端主机维护。 健康检查 开启健康检查，负载均衡对后端主机的服务状态进行探测。负载均衡将不会分发流量给服务异常的主机。 健康检查类型 可选HTTP或TCP。 间隔时间 健康检查的检查间隔，缺省5s 超时时间 健康检查超时时间，缺省2s 最大重试次数 健康检查的重试次数，缺省2，连续检查失败达到重试次数，则判断健康检查失败。 检查路径 可设置HTTP健康检查的路径，长度范围1~80 以‘/’开头，可包含数字、大小写字母或‘/’,路径中可包含‘’ ‘’ ‘.’ ‘’。 HTTP方法 可选GET或HEAD。 WebSocket支持 选用HTTP监听时，默认支持无加密版本WebSocket协议（WS协议）。仅集群资源池支持，主备、集群模式资源池列表见 HTTP状态码 选择HTTP健康检查范围的状态码，可选http2xx，http3xx，http4xx，http5xx。

如果您希望基于各个语言的流行框架(如 Flask、Gin、SpringBoot)来编写程序,或者迁移已有的框架应用,可以选择创建自定义运行时函数。通过设置实例并发度,您可以有效管理资源使用,以应对流量高峰,降低冷启动的影响,从而控制成本并提升性能。 创建函数 前提条件 具备已通过实名认证的天翼云账号 已开通函数计算服务 操作步骤 1. 登录函数计算控制台，在左侧导航栏，单击函数，进入函数列表页面。 2. 在函数列表页中，点击创建函数按钮，进入函数创建页面。 3. 在函数创建页面，选择创建函数的方式，并配置以下配置项，然后单击确定 。以下操作以使用自定义运行时创建函数为例。 基本设置 配置项 说明 函数名称 设置函数名称 企业项目 支持将本次创建的函数上报到用户的企业项目中。若不配置该项，则默认上报到"default"企业项目。 函数代码 配置项 说明 示例 运行环境 选择您熟悉的开发语言，目前支持Python、Java、Go、Node.js、Php、.Net。 Python3.10 代码上传方式 选择代码上传到函数计算的方式。可以选择示例代码或通过 zip 包上传代码。 使用示例代码 示例代码 选择示例代码。 自定义 python3.10 运行时 注意 请确保启动程序及相关程序包具有可执行权限，可以通过chmod +x添加可执行权限。 高级配置 配置项 说明 示例 vCPU规格 为函数配置运行vCPU规格。 0.5 核 内存规格 为函数配置运行的内存规格。 512 MB 临时硬盘大小 根据您的业务情况，选择临时存储文件的硬盘大小。 512 MB 实例并发度 支持一个实例同时并发执行多个请求，这个值用来配置单个函数实例可以同时处理多少个请求。 1 执行超时时间 设置函数执行的超时时间。 64 请求处理程序 设置请求处理程序，函数计算的运行时会加载并调用您的请求处理程序处理请求。 index.handler 时区 选择函数的时区。 UTC 函数角色 选择根据函数所在服务配置的角色。 CTyunDefaultRole 允许访问VPC 是否允许函数访问VPC内资源。 否 允许函数默认网卡访问公网 是否允许函数可以通过默认网卡访问公网。关闭后，当前服务中的函数将无法通过函数计算的默认网卡访问公网。 否 说明 vCPU大小（单位为核）与内存大小（单位为GB）的比例必须设置在1:1到1:4之间。 环境变量：设置函数运行环境中的环境变量。可以使用 json 或表单的形式编辑。

本文介绍零信任服务能力。 什么是零信任远程办公 边缘安全加速平台提供零信任远程办公服务，帮助企业快速构建比传统VPN更安全、更便捷的零信任办公安全体系。企业在边缘安全加速平台完成配置和操作后，能够实现员工远程零信任办公、上网行为流量管控和终端基线安全准入等场景效果。本文主要介绍零信任远程办公能力情况，帮助您更好的的理解。 注意事项 目前零信任远程办公服务整体能力基于购买边缘安全加速平台零信任远程办公服务后提供该能力。 服务能力 为便于理解产品、快速进行相关接入，可点击零信任远程办公快速接入了解。 功能 描述 身份管理 用于管理企业员工信息、组织关系、用户组等，企业员工在登录零信任客户端时需要进行身份认证，以及如何管控账户安全。 应用管理 应用资源主要指您需要通过零信任访问的地址，一般是企业内网应用系统。零信任网络支持TCP四层所有协议，包括SSH、RDP等协议，以及UDP等相关协议应用。目前对比传统VPN，除了提供IP接入外，还提供域名接入管理，可以更精细化管理权限，并且避免业务IP频繁变更的问题。 网络管理 网络管理的核心是通过连接器实现企业网络的高效整合。在部署连接器之后，您能够实现： 企业内部系统资源到零信任服务边缘节点网络连通性，从而支持客户端访问； 企业数据双向传输（暂不支持官网自助，如有需要可联系我们）； 连接器使企业网络分布管理更灵活，尤其是解决多数据中心、混合云的企业场景。 安全策略 主要是指丰富的零信任安全管控策略，来提高企业安全性，目前仅开放部分安全能力自助，如有企业办公安全需求，可联系我们。 终端管理 终端管理主要针对用户登录的终端设备进行相关管控，包含终端相关策略。 终端资产 企业员工使用的资产情况，设备情况、设备策略等。 日志分析 提供丰富的日志进行相关分析。 待办事项 针对权限申请、问题反馈等流程进行相关处理。 零信任设置概述 提供企业账户的相关设置，包含企业认证标识、限速、保留网段等能力。

配置项 说明 开关 频率控制策略的开关，支持开启或关闭 处理动作 告警：达到阈值后只记录攻击日志。 跳转：达到阈值后，对请求进行Cookie挑战验证。GET请求响应302，POST请求响应307，其他METHOD请求不适用。 拦截：达到阈值后拦截请求，响应拦截页面。当防护粒度中选择响应头或状态码时，达到阈值后，会拦截匹配响应头、状态码之外其他字段的请求。 丢弃：达到阈值后拦截请求但不会响应页面，以减少带宽。当防护粒度选择响应头、状态码时，不适用于"丢弃"动作。 重定向：达到阈值后，将请求302重定向到指定页面。仅适用于静态类请求。当防护粒度选择响应头、状态码时，不适用于"重定向"动作。 JavaScript挑战：达到阈值后进行JavaScript挑战验证。仅适用于GET请求的HTML静态页面。当防护粒度选择响应头、状态码时，不适用于"JavaScript挑战"动作。 图片验证码：达到阈值后，响应图片验证码进行人机校验。仅适用于GET请求的HTML静态页面。当防护粒度选择响应头、状态码时，不适用于"图片验证码"动作。 源IP封禁：达到阈值后，将源IP封禁（封禁范围为针对该域名的请求，包括匹配静态文件过滤的请求）。仅适用于统计粒度为IP的场景。 规则名称 频率控制策略的规则名称 规则描述 策略的文字描述 统计粒度 支持选择URL、ARGS、HEADER、COOKIE、UA、IP。支持选择单粒度或两个粒度进行组合。 粒度缺失统计 当统计粒度选择两个粒度时，需要配置是否开启粒度缺失统计。选择是，粒度①且粒度②、粒度①、粒度②三种均可统计且均独立统计。选择否，则只支持粒度①且粒度②进行统计。 触发条件 配置一段时间周期，在这个周期内，您可以选择两种触发处理动作的方式。 方式1：统计粒度的请求达到N次时才执行处理动作 方式2：统计粒度的流量达到N （KB、MB、GB）时才执行处理动作 方式1和方式2同时选择，要两种条件同时满足，才会执行处理动作。 处理动作持续时间 处理动作的持续时长 防护范围 支持配置多个防护粒度，多个防护粒度为且关系，满足所有条件时，才触发处理动作 粒度选择：支持选择IP、IPS、地理位置、URI、PATH等十几种粒度 关系：等于/不等于 匹配内容：不同的粒度支持输入不同的匹配内容。一般支持输入多条，多条内容用英文符号;分隔 静态文件过滤 即无需检测的静态文件，需要填写文件后缀，配置后将不针对此类型的文件进行检测

本文为您介绍如何将天翼云云搜索OpenSearch实例接入公网访问。 新开启的云搜索实例默认不具备公网访问能力，您如果需要通过公网访问Dashboards、Cerebro或OpenSearch实例，需要为其绑定弹性IP或IPv6带宽，并配置安全组信息，才可使用公网访问。 约束限制 1. 开启公网访问后，会因此产生流量费用，请您提前根据自身需求，购买合适的产品。 2. 配置完成后，需要前往安全组设置页面，配置公网访问白名单后，才可正常使用。 3. 如果需要使用IPv6访问，需要在开通虚拟私有云VPC时即选择开通IPv6能力的子网，并在下单时选择该子网，不支持实例开通后再升级IPv6。 4. 订购1.2.0以上版本的实例，仅开启了HTTPS模式的实例才可以通过公网访问，关闭该模式则仅可通过内网访问。 开通IPv6访问能力的实例 您需要在订购时选择具备IPv6的虚拟私有云，选择子网后，会提示“该子网已开通IPv6”。并在IPv6访问处开启开关，如关闭，则仅可通过IPv4访问实例。 配置实例公网访问 您可以对已开通的实例进行公网访问的配置、修改、查看、解绑操作。 1. 登录云搜索服务控制台，进入实例管理列表页，选择需要设置的实例点击名称进入详情页。 2. 在详情页面里选择“安全设置”，在弹出的页面上选择需要绑定的公网IP类型，如果为IPv4，请在下拉列表中选择弹性IP地址；如果为IPv6，请选择IPv6的带宽名称。如果绑定失败，可以等待几分钟后再次尝试重新绑定。绑定的弹性IP或IPv6带宽需要处于空闲状态。 注意 IP绑定过后，要补充安全组方可实现本地电脑公网访问Dashboards、Cerebro或连接OpenSearch。 3. 修改绑定弹性IP或IPv6带宽，也需要在当前页面选择对应要修改的项目，点击“修改公网IP”进行重新绑定。 4. 解绑弹性IP或IPv6带宽，可关闭公网访问状态，或点击已绑定的项目后的解绑按钮，即可解绑当前的公网访问能力。 5. 实例退订将自动解绑已绑定的弹性IP或IPv6带宽，如弹性IP或IPv6带宽不再使用，您需要另外前往弹性IP的控制台退订相应的弹性IP或IPv6带宽才会停止对应产品的计费。

本节介绍了为业务同时部署DDoS高防（边缘云版）和CDN加速的操作步骤。 使用场景 如果您的网站既需要进行流量型DDoS攻击的防护，同时也有对内容分发的加速需求，您可以在DDoS高防（边缘云版）的基础上，叠加CDN加速进行使用。 天翼云CDN加速（CDN，Content Delivery Network），即内容分发网络，是基于天翼云遍布全球的网络节点提供的内容分发加速服务。它将源站内容分发至最接近用户的节点，使用户可就近获取所需内容，解决因跨运营商、跨地域、服务器带宽及性能瓶颈带来的访问延迟问题，提高用户访问的响应速度和成功率。 配置前提 已分别开通DDoS高防（边缘云版）及CDN加速。 已完成天翼云CDN加速域名接入。 业务流程 由于DDoS高防（边缘云版）及CDN加速，采用统一的边缘云网络架构和底座，无需重复进行网站接入配置，并且也无需考虑不同产品串联时网络层转发的顺序问题。 （非统一架构的产品叠加，需确定不同产品之间网络层转发顺序，如先经过DDoS高防再经过CDN加速，那么DDoS的高防的回源地址需与CDN加速的接入地址相匹配，而不能直接配置为源站地址。非统一架构的产品叠加会增加网络配置复杂度。） 配置步骤 以先配置CDN加速，再配置DDoS高防（边缘云版）为例。 1. 完成CDN的域名接入配置，详细配置步骤，请参考添加加速域名。 2. 进入DDoS高防（边缘云版）控制台，在左侧导航中，点击【业务接入】【域名接入】。 3. 点击右上角【新增域名】，并填入域名信息，此时会弹窗提示"您的域名已经在CDN加速(中国内地)产品控制台新增，产品关联后才能同步网站通用配置，请确认是否关联"。 4. 点击确认后，系统会自动获取并完成网站配置，点击【确定】即可完成配置。 注意 DDoS高防（边缘云版）叠加天翼云CDN加速产品，域名需先在CDN控制台添加完成后，再在DDoS高防（边缘云版）控制台上新增。目前暂不支持先在DDoS高防（边缘云版）控制台上新增域名后，再叠加CDN加速产品。 DDoS高防（边缘云版）叠加天翼云CDN加速产品后，域名CNAME地址直接使用CDN加速提供的CNAME地址即可，无需调整。

本文主要介绍分布式消息服务RabbitMQ所需的环境准备。 创建RabbitMQ实例前，您需要提前准备相关依赖资源，包括虚拟私有云（Virtual Private Cloud，以下简称VPC）、子网和安全组，并配置安全组策略。每个RabbitMQ实例都部署在某个VPC中，并绑定具体的子网和安全组，通过这样的方式为RabbitMQ提供一个隔离的、用户自主配置和管理的虚拟网络环境以及安全保护策略，提升实例的安全性。 如果用户已有VPC，可重复使用，不需要多次创建。 创建VPC 1、登录管理控制台。 2、在管理控制台右上角单击，选择区域。 说明 此处请选择与您的应用服务相同的区域。 3、在管理控制台左上角单击，选择“网络 > 虚拟私有云”。 4、单击“创建虚拟私有云”，进入“创建虚拟私有云”界面。 5、根据界面提示创建虚拟私有云。如无特殊需求，界面参数均可保持默认。关于创建VPC的详细信息可以参考《虚拟私有云用户指南》。 创建虚拟私有云时，会同时创建子网，若需要额外创建子网，请参考6。如果不需要额外创建子网，请执行7。 6、在左侧导航栏，单击“子网”，进入“子网”界面。单击“创建子网”。根据界面提示创建子网。如无特殊需求，界面参数均可保持默认。 关于创建子网的详细信息可以参考《虚拟私有云用户指南》。 7、在左侧导航栏，选择“访问控制 > 安全组”，进入“安全组”界面。根据界面提示创建安全组。如无特殊需求，界面参数均可保持默认。 关于创建安全组的详细信息可以参考《虚拟私有云用户指南》。 使用RabbitMQ实例前，添加表1所示安全组规则，其他规则请根据实际需要添加。 说明 创建安全组后，系统默认添加入方向“允许安全组内的弹性云主机彼此通信”规则和出方向“放通全部流量”规则，此时使用内网通过同一个VPC访问RabbitMQ实例，无需添加表1的规则。 表1 安全组规则 方向 协议 端口 源地址 说明 入方向 TCP 5672 0.0.0.0/0 访问RabbitMQ实例（关闭SSL） 入方向 TCP 5671 0.0.0.0/0 访问RabbitMQ实例（开启SSL） 入方向 TCP 15672 0.0.0.0/0 访问Web界面UI地址（关闭SSL加密） 入方向 TCP 15671 0.0.0.0/0 访问Web界面UI地址（开启SSL加密）

此小节介绍堡垒机变更规格必知。 应用场景 随着业务量的不断增长，当使用的云堡垒机规格不能满足实际需求时，您可以选择对云堡垒机的规格进行变更规格。 本文档主要针对单机模式云堡垒机的规格变更规格场景，指导用户在云上执行变更规格操作，以及变更规格前后的注意事项和操作指导。 说明 如需变更双机模式的云堡垒机规格，请单击天翼云管理控制台右上方的“工单”，填写工单联系技术支持。 变更流程 本文涵盖系统管理员admin变更云堡垒机规格的详细过程，包括变更规格前备份系统数据、变更版本规格、变更规格后恢复系统配置，以及验证变更规格后系统配置等过程。 图 变更规格流程示意图 变更规格限制 变更规格范围涉及系统功能版本和资产规格。 功能版本：仅能从标准版升级到专业版，不能从专业版到标准版。 资产规格：涉及资产数、并发数、CPU、内存、数据盘等规格配置。仅能从低规格变更规格到高规格，不能缩容。 说明 变更规格不涉及实例绑定的EIP带宽、流量等配置； 系统盘默认为100GB，变更规格不影响系统盘，仅涉及数据盘。 变更支持的版本规格 变更规格前版本规格 变更规格后版本规格 50标准版 50专业版 100标准版、100专业版 200标准版、200专业版 500标准版、500专业版 1000标准版、1000专业版 5000标准版、5000专业版 10000标准版、10000专业版 50专业版 100专业版 200专业版 500专业版 1000专业版 5000专业版 10000专业版 100标准版 100专业版 200标准版、200专业版 500标准版、500专业版 1000标准版、1000专业版 5000标准版、5000专业版 10000标准版、10000专业版 100专业版 200专业版 500专业版 1000专业版 5000专业版 10000专业版 200标准版 200专业版 500标准版、500专业版 1000标准版、1000专业版 5000标准版、5000专业版 10000标准版、10000专业 200专业版 500专业版 1000专业版 5000专业版 10000专业版 500标准版 500专业版 1000标准版、1000专业版 5000标准版、5000专业版 10000标准版、10000专业版 500专业版 1000专业版 5000专业版 10000专业版 1000标准版 1000专业版 5000标准版、5000专业版 10000标准版、10000专业 1000专业版 5000专业版 10000专业版 5000标准版 5000专业版 10000标准版 10000专业版 5000专业版 10000专业版

本章节介绍OPA策略 概述 OPA（Open Policy Agent）是一个通用的策略引擎，通过声明式的Rego语言实现丰富的授权策略。应用服务网格提供一键集成OPA引擎功能，整体架构如下： 其中OPA控制面包括： 1，OPA webhook服务，用于实现OPA sidecar的注入； 2，OpaPolicy controller监听OPA策略CRD，用于实现OPA策略分发； 业务pod内除了业务容器和istioproxy之外还会注入OPA sidecar，外部请求pod时流量被istioproxy拦截，根据定义的授权策略请求OPA sidecar，实现对请求的授权。 注意 注意：OPA sidecar当前使用8181端口管理OPA策略，使用9191端口提供外部鉴权服务，业务pod注意避开这两个端口。 开启OPA功能 使用OPA功能时首先要在打开开关，进入服务网格控制台，选择网格管理 > 自定义配置，勾选启用OPA 即可。 关闭OPA功能 进入服务网格控制台，选择网格管理> 自定义配置，取消勾选 启用OPA即可。 进入服务网格控制台，选择网格管理> OPA开关，关闭即可。 OPA策略管理 CSM服务网格采用自定义CRD（OpaPolicy）方式管理OPA策略，主要包括OPA策略生效的工作负载选择以及OPA策略（Rego），下面的配置对default命名空间下标签包含version: v1的工作负载生效，策略中定义了guest和admin两个角色，分别给两个角色定义了访问权限，同时还定义了两个用户bob和alice，分别赋予了特定角色；策略执行时会从请求中解析出用户，结合用户的权限和请求信息对访问进行鉴权。 apiVersion: istio.ctyun.cn/v1beta1 kind: OpaPolicy metadata: name: objectpolicy namespace: default spec: policy: package istio.authz import input.attributes.request.http as httprequest import input.parsedpath allow { rolesforuser[r] requiredroles[r] } rolesforuser[r] { r : userroles[username][] } requiredroles[r] { perm : roleperms[r][] perm.method httprequest.method perm.path httprequest.path } username parsed { [, encoded] : split(httprequest.headers.authorization, " ") [parsed, ] : split(base64url.decode(encoded), ":") } userroles { "alice": ["guest"], "bob": ["admin"] } roleperms { "guest": [ {"method": "GET", "path": "/productpage"}, ], "admin": [ {"method": "GET", "path": "/productpage"}, {"method": "GET", "path": "/api/v1/products"}, ], } workloadSelector: labels: version: v1

当您的网站接入Web应用防火墙（Web Application Firewall，简称WAF）并开启Web基础防护后，WAF会根据您设置的Web基础防护规则检测并拦截命中规则的请求。如果业务正常请求命中Web基础防护规则被WAF误拦截，可能导致正常请求访问网站显示异常，此时，您可以通过误报处理使WAF不再拦截该请求，提升Web基础防护效果。 前提条件 “防护事件”页面可以查看误拦截事件。 约束条件 同一个事件不能重复进行误报处理，即如果该事件已进行了误报处理，则不能再对该事件进行误报处理。 使用场景 业务正常请求被WAF拦截。例如，您在天翼云ECS服务器上部署了一个Web应用，将该Web应用对应的公网域名接入WAF并开启Web基础防护后，该域名的请求流量命中了Web基础防护规则被WAF误拦截，导致通过域名访问网站显示异常，但直接通过IP访问网站正常。 系统影响 拦截事件处理为误报后，“防护事件”页面中将不再出现该事件，您也不会收到该类事件的告警通知。 拦截事件处理为误报后，该误报事件对应的规则将添加到全局白名单（原误报屏蔽）规则列表中，您可以在“防护策略”界面的“全局白名单（原误报屏蔽）”页面查看、关闭、删除或修改该规则。 操作步骤 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角的区域选择框，选择区域或项目。 步骤 3 单击页面左上方的“服务列表”，选择“安全> Web应用防火墙 （独享版）”。 步骤 4 在左侧导航树中，选择“防护事件”，进入“防护事件”页面。 步骤 5 在防护事件列表中，根据防护网站、事件类型、源IP、URL等信息筛选误拦截事件。 步骤 6 在误拦截事件所在行的“操作”列中，单击“详情”，查看事件详细信息，确认为误拦截事件。 步骤 7 在误拦截事件所在行的“操作”列中，单击“更多 > 误报处理”。 步骤 8 在弹出的对话框中，点击“前去处理”，点击全局白名单（原误报屏蔽）的“自定义全局白名单规则”，跳转至全局白名单列表页，点击页面左上方“添加规则”，添加白名单处理规则。

本文为您介绍如何为云搜索Logstash实例具备公网访问能力。 新开启的Logstash实例默认不具备公网访问能力，您如果需要通过公网访问Logstash需要为其绑定弹性IP或IPv6带宽，并配置安全组信息，才可使用公网访问。 约束限制 1. 开启公网访问后，会因此产生流量费用，请您提前根据自身需求，购买合适的产品，公测期该费用照常收取。 2. 配置完成后，需要前往安全组设置页面，配置公网访问白名单后，才可正常使用。 3. 如果需要使用IPv6访问，需要在开通虚拟私有云VPC时即选择开通IPv6能力的子网，并在下单时选择该子网，不支持实例开通后再升级IPv6。 开通IPv6访问能力的实例 您需要在订购Elasticsearch或OpenSearch时选择具备IPv6的虚拟私有云，选择子网后，会提示“该子网已开通IPv6”。并在IPv6访问处开启开关，如关闭，则仅可通过IPv4访问实例。 配置实例公网访问 您可以对已加装完毕的Logstash实例进行公网访问的配置、修改、查看、解绑操作。 1. 登录云搜索服务控制台，进入Logstash实例管理列表页，选择需要设置的实例点击名称进入详情页。 2. 在详情页面里选择“安全设置”，在弹出的页面上选择需要绑定的节点及公网IP类型，如果为IPv4，请在下拉列表中选择弹性IP地址；如果为IPv6，请选择IPv6的带宽名称。如果绑定失败，可以等待几分钟后再次尝试重新绑定。绑定的弹性IP或IPv6带宽需要处于空闲状态。 3. 修改绑定弹性IP或IPv6带宽，也需要在当前页面选择对应要修改的项目，点击“修改公网IP”进行重新绑定。 4. 解绑弹性IP或IPv6带宽，可关闭公网访问状态，或点击已绑定的项目后的解绑按钮，即可解绑当前的公网访问能力。 5. 实例退订将自动解绑已绑定的弹性IP或IPv6带宽，如弹性IP或IPv6带宽不再使用，您需要另外前往弹性IP的控制台退订相应的弹性IP或IPv6带宽才会停止对应产品的计费。 6. Logstash各个节点的公网访问需分别配置。

本文介绍如何创建LoadBalance类型Service。 Serverless集群支持将Service通过负载均衡ELB向外暴露， Serverless集群内置CCM（Cloud Controller Manager）插件，当Service的类型为LoadBalancer时，CCM插件会为Service配置负载均衡，并根据Service信息配置好负载均衡的后端服务器组、健康检查和监听规则等，使得用户可以通过负载均衡访问该Service。以下是使用负载均衡的步骤指引。 使用已有负载均衡暴露服务 前提条件 确保您已经创建Serverless集群，具体操作请参阅创建Serverless集群。 在本地使用命令之前，需要先通过kubectl连接Kubernetes集群。 您已提前在负载均衡控制台创建ELB实例，ELB实例需要与Service所在的Serverless集群在同一个VPC网络下。 注意事项 不同Service可以同时复用同一个负载均衡实例，复用同一个负载均衡实例需要避免不同Service使用相同的服务端口，否则存在监听配置被覆盖的情况。 不能复用由CCM自动创建的或集群ApiServer使用的负载均衡实例。 当Service删除时，使用已有的负载均衡不会被删除。 操作步骤 1. 登录云容器引擎控制台，点击进入想要操作的Serverless集群，在左侧菜单选择“网络”>“服务”。 2. 点击“创建服务”按钮新建服务，按照参数说明配置相关的参数： 1. 类型：选择负载均衡。 2. 负载均衡：可根据业务需要选择私网访问或公网访问，集群内或同一VPC内访问建议选择私网访问即可；选择“使用已有负载均衡”；负载均衡实例列表会根据选择的私网/公网访问方式显示出对应的实例，选择想要使用的负载均衡实例即可。 3. 标签：根据需要可以为服务配置标签。 4. 注解：根据需要可以为服务配置注解。 5. 外部流量策略：Cluster或Local。默认Cluster即可。 6. 健康检查：根据需要可以配置全局或自定义检查，默认不启用。 7. 端口映射：配置好协议、容器端口及服务端口，其中容器端口为应用本身暴露的端口，服务端口则会作为负载均衡实例的监听端口。 8. 工作负载绑定：选择服务要关联的工作负载，也可以配置自定义标签关联。 3. 创建服务后，在服务列表可以看到该服务，通过服务的集群外访问地址即可以访问该服务。

场景 描述 相关说明文档 指定CDN回源请求访问到源站上的具体站点 1.源站是域名时，例如，源站为ctyun.cn，回源HOST为host.ctyun.cn，那么实际回源访问的是ctyun.cn通过域名解析得到的IP（如1.1.1.1）对应主机上的站点host.ctyun.cn。 2.源站是IP时，例如，源站为1.1.1.1，回源HOST为host.ctyun.cn，那么实际回源访问的是1.1.1.1对应主机上的站点host.ctyun.cn。 提高缓存命中率 主要方法包括： 1.配置合理的缓存过期时间，可以有效提高缓存命中率。 2.根据业务需要判断是否启用“去问号缓存”配置，去掉用户请求URL中“?”之后的参数，让相同内容的请求直接命中缓存，提高缓存命中率。CDN控制台上默认开启去问号缓存。 3.通过文件预取功能，提前把源站的内容拉取到边缘节点进行缓存，有效提升首次访问的命中率，同时又能缓解因新内容发布而导致的回源压力问题。 4.开启分片回源功能：CDN节点可以以分片的形式缓存文件，对于Range请求而言，可以有效提高文件分发效率，降低首包时延，同时提高缓存利用率，减少不必要的回源。功能介绍请详见： 提高数据传输安全 开启HTTPS功能前，需要先购买和申请SSL证书。证书相关操作，详情详见： 避免网站资源被恶意盗链，产生额外的流量成本 1.基础防盗链：可通过配置Referer防盗链、IP黑/白名单，用于识别和封禁非法来源的请求，以及非法IP的恶意访问。可通过CDN控制台自助配置新增。 2.高级防盗链：时间戳防盗链、远程鉴权防盗链，通过有时效性的URL来提高盗链难度，以及通过源站来鉴定合法性，安全等级更高。该类防盗链需要客户提前约定鉴权规则，并通过提交工单给天翼云客服，由其人工操作开启。 具体防盗链功能的对接方式，详见右列相关功能说明文档。

计费流程 标准资费 如果您需要了解关于不同版本支持的基础服务与增值服务的详细情况，请参见套餐和版本说明。 套餐规格 标准资费（元/月） 套餐主要内容 体验版 399 业务带宽：10Mbps；防护域名数：1个域名 基础版 1660 业务带宽: 50Mbps ；防护域名数：1个主域名及该主域名下的9个子域名防护 标准版 3560 业务带宽: 100Mbps ；防护域名数：1个主域名及该主域名下的9个子域名防护 专业版 8560 业务带宽: 150Mbps ；2个防护域名数：2个主域名及该主域名下的18个子域名防护 旗舰版 19660 业务带宽: 300Mbps ；防护域名数：3个主域名及该主域名下的27个子域名防护 如果扩展服务与套餐订购时间一致，到期时间与套餐一致；如果扩展服务订购时间晚于套餐服务，开始计费时间为扩展服务订购日期，到期时间与套餐一致。 扩展服务 标准资费（元/月） 功能描述 API安全 13500 API资产高可见性和持续安全检测。 Bot管理 3500 针对自动化攻击/Bot流量的智能防护方案。 智能负载均衡 1000 智能负载均衡，通过多节点智能接入技术，助力客户业务支持多节点、多线路自动调度容灾，提供缓存功能。 可视化大屏服务 1500 提供网站整体业务及安全状况的可视化大屏分析。 安全VIP服务 10000 7×24安全值守服务；对接入域名评估与加固指导；对重点系统进行安全体检；根据业务情况，定制整体防护方案，服务支撑；在重保期间按需提供724小时安全专家在线值守，对安全事件进行及时响应。 带宽扩展 18/Mbps 实际业务带宽超过了产品套餐支持的带宽，可购买带宽扩展进行补充。带宽扩展包不享受包年折扣。 域名扩展基础版 300 支持1个主域名及该主域名下的9个子域名防护。 域名扩展标准版 600 支持1个主域名及该主域名下的9个子域名防护。 域名扩展专业版 1000 支持1个主域名及该主域名下的9个子域名防护。 域名扩展旗舰版 2000 支持1个主域名及该主域名下的9个子域名防护。

本章主要介绍变更规格 DCS管理控制台支持变更Redis缓存实例规格，即扩容/缩容，您可以根据实际需要，选择合适的实例规格。 说明 执行实例规格变更操作，建议在业务低峰期进行。业务高峰期（如实例在内存利用率、CPU利用率达到90%以上或写入流量过大）变更规格可能会失败，若变更失败，请在业务低峰期再次尝试变更。 如果实例创建时间非常早，由于实例版本没有升级而无法兼容规格变更（扩容/缩容）功能，请联系技术支持将缓存实例升级到最新版本，升级后就可以支持规格变更（扩容/缩容）功能。 变更规格过程中会有秒级业务中断，需要业务连接Redis的模块支持连接中断后重连。 实例变更规格，不会影响实例的连接地址、访问密码、数据、及安全组/白名单配置等信息。 实例类型变更须知 DCS实例类型变更明细 实例版本 支持的实例变更类型 变更须知及影响 ::: Redis 3.0 单机实例变更为主备实例 连接会有秒级中断，大约1分钟左右的只读。 Redis 3.0 主备实例变更为Proxy集群实例 如果Redis 3.0主备实例数据存储在多DB上，或数据存储在非DB0上，不支持变更为Proxy集群；数据必须是只存储在DB0上的主备实例才支持变更为Proxy集群。 连接会中断，5~30分钟只读。 Redis 4.0/5.0 主备实例或读写分离实例变更为Proxy集群实例 变更为proxy集群时，需要评估proxy集群的多DB使用限制和命令使用限制对业务的影响。具体请参考Proxy集群使用多DB限制，实例受限使用命令。 变更前实例的已用内存必须小于变更后最大内存的70%，否则将不允许变更。 如果变更前实例的已用内存超过总内存的90%，变更的过程中可能会导致部分key逐出。 变更完成后需要对实例重新创建告警规则。 如果原实例是主备实例，请确保应用中没有直接引用只读IP或只读域名。 请确保您的客户端应用具备重连机制和处理异常的能力，否则在变更规格后有可能需要重启客户端应用。 变更规格过程中会有秒级业务中断、大约1分钟只读，建议在业务低峰时进行变更。 Redis 4.0/5.0 Proxy集群实例变更为主备实例或读写分离实例 除了上表中提到的实例外，其他实例类型目前不支持实例类型的变更，若您想实现跨实例类型的规格变更，可参考实例交换IP进行操作。 实例类型变更后支持的命令，请参考对应的开源命令兼容性。

本章节主要介绍如何快速创建ClickHouse集群。 本章节为您介绍如何快速创建一个ClickHouse集群，ClickHouse是一个用于联机分析的列式数据库管理系统，具有极致压缩率和极速查询性能。被广泛的应用于互联网广告、App和Web流量、电信、金融、物联网等众多领域。 ClickHouse集群包含的组件： MRS 3.1.0版本：ClickHouse 21.3.4.25、ZooKeeper 3.5.6。 CPU架构为鲲鹏计算的ClickHouse集群表引擎不支持使用HDFS和Kafka。 快速创建ClickHouse集群 1.登录MRS管理控制台。 2.单击“创建集群”，进入“创建集群”页面。 3.在创建集群页面，选择“快速创建”页签。 4.参考下列参数说明配置集群基本信息，参数详细信息请参考创建自定义集群。 区域：默认即可。 集群名称：可以设置为系统默认名称，但为了区分和记忆，建议带上项目拼音缩写或者日期等。例如：“mrs20201121”。 版本类型：默认选择普通版（不同版本提供的组件有所不同，请根据需要选择版本类型）。 集群版本：默认选择最新版本即可（不同版本集群提供的组件有所不同，请根据需要选择集群版本）。 组件选择：选择“ClickHouse集群”。 可用区：默认即可。 虚拟私有云：默认即可。如果没有虚拟私有云，请单击“查看虚拟私有云”进入虚拟私有云，创建一个新的虚拟私有云。 子网：默认即可。 CPU架构：默认即可。 集群节点：请根据自身需要选择集群节点规格数量等。MRS 3.x及之后版本集群Master节点规格不能小于64GB。 用户名：默认为“root/admin”，root用于远程登录ECS机器，admin用于登录集群管理页面。 密码：设置root用户和admin用户密码。 确认密码：再次输入设置的root用户和admin用户密码。 5.勾选“确认授权”开通通信安全授权，通信安全授权详情请参考授权安全通信。 6.单击“立即申请”。 当集群开启Kerberos认证时，需要确认是否需要开启Kerberos认证，若确认开启请单击“继续”，若无需开启Kerberos认证请单击“返回”关闭Kerberos认证后再创建集群。 7.单击“返回集群列表”，可以查看到集群创建的状态。单击“访问集群”，可以查看集群详情。 集群创建的状态过程请参见 集群概览章节查看集群状态部分 集群列表参数中的“状态”参数说明。 集群创建需要时间，所创集群的初始状态为“启动中”，创建成功后状态更新为“运行中”，请您耐心等待。 MRS系统界面支持同一时间并发创建10个集群，且最多支持管理100个集群。

功能分类 功能名称 功能描述 实例管理 实例管理 包括一键检测、退订、续订、规格变更等功能。具体使用方法，请参考 实例管理 绑定/解绑弹性IP 通过绑定弹性IP，实现通过公共网络访问数据库实例。具体方法，请参考 实例管理 修改安全组 通过修改安全组，对DRDS实例的出入流量进行访问控制。具体方法，请参考 实例管理 分组管理 包括属性设置、关联MySQL管理、DML审计、IP黑白名单等功能。具体使用方法，请参考 实例管理 节点管理 包括启动、停止节点、属性设置、命令行等功能。具体使用方法，请参考 实例管理 schema管理 包括创建、导出、删除schema等功能。具体使用方法，请参考 实例管理 用户管理 支持用户创建、删除、设置权限等功能。具体使用方法，请参考 实例管理 角色管理 支持角色创建、删除、设置权限等功能。具体使用方法，请参考 实例管理 关联MySQL管理 进行关联、删除MySQL，支持直接添加天翼云购买的MySQL实例，请参考 实例管理 DDL审计 介绍了支持的DDL审计规则及默认值。具体使用方法，请参考 实例监控 实例监控 介绍了实例监控页面的监控指标。具体使用方法，请参考 统计分析 统计分析 包括SQL执行分析、慢SQL分析、事务统计等功能。具体使用方法，请参考 运维工具 运维工具 包括数据库连接查询、数据库锁表查询等功能。具体使用方法，请参考 全局索引 全局索引 包括全局索引的核心特性，以及设置实例属性、管理关联DBProxy、管理节点日志和状态等功能。具体使用方法，请参考 操作日志 操作日志 支持查看目标实例的操作日志，具体使用方法，请参考 登录数据库 通过DMS登录DRDS实例 支持使用数据管理服务DMS登录DRDS实例，具体使用方法，请参考

本文介绍通过CDN加速媒体存储资源的操作流程和操作方法。 前提条件 1. 完成天翼云账号注册、实名认证。 2. 开通CDN加速，详情请见：产品开通。 3. 开通媒体存储，详情请见：开通天翼云媒体存储。 创建存储区域：目前不支持客户自助创建，需要您通过提交工单联系天翼云客服或客户经理，由其人工通过线下渠道为您创建存储区域。 创建媒体存储的存储桶，详情请见：新建Bucket。创建完成后，可以在基础信息查看，找到 Bucket域名（即回源域名）。 （非必须）上传资源到存储桶，详情请见：上传对象。 （非必须）配置镜像回源功能，当您请求的对象在存储桶中不存在时，可以根据回源规则从指定的源站获取对象。详情请见：镜像回源。 4. 如需要享受媒体存储的流量优惠，在添加加速域名新增源站时，需要选择源站类型为 【媒体存储源站】。 操作说明 添加加速域名 登录CDN控制台，在左侧导航栏单击【域名管理】【域名列表】，进入域名列表页面，单击【添加域名】。配置详情请见：添加加速域名。 CDN节点在无缓存时，会回源站（本实践中特指媒体存储）拉取资源并缓存。源站相关配置请参考如下： 1. 在源站地址中填入已经配置好的存储桶 ，即Bucket域名（回源域名），指定源站回源HOST配置对应的回源HOST（即Bucket域名）。 2. 如新建Bucket时，【权限】选择的是私有，则只有该Bucket的拥有者或被授权者可以对该存储空间内的文件进行读写操作。可通过CDN控制台，在【域名管理】【域名列表】【回源配置】【私有Bucket回源】添加AK(Access Key），SK(Secret Access Key)等信息，并提交保存。配置详情请见：私有Bucket回源 3. 当完成添加域名页面所有配置后，单击【提交】，请耐心等待域名配置下发部署至全网节点，自助配置生效时间约510分钟。 注意 私有Bucket的AK、SK一旦授权给CDN，用户可以通过CDN访问到私有Bucket内容，如在媒体存储中的资源较为敏感，请单独为CDN创建一个独立的AK/SK，仅授权CDN可访问的内容，避免源站信息泄漏。

本章节向您介绍弹性云主机的常用端口及用途。 添加安全组规则时，需要您指定通信所需的端口或者端口范围，然后安全组根据策略，决定允许或是拒绝相关流量转发至ECS实例。以通过SSH方式远程登录ECS为例，当安全组检测到SSH请求后，会检查发送请求的设备IP地址、登录所需的22端口是否已在安全组入方向中被放行，只有和安全组入方向规则匹配成功，该请求才会被放行，否则无法建立数据通信。 下表中提供了部分运营商判断的高危端口，这些端口默认被屏蔽。即使您已经添加安全组规则放通了这些端口，在受限区域仍然无法访问，此时建议您将端口修改为其他非高危端口。 协议 端口 TCP 42 135 137 138 139 444 445 593 1025 1068 1433 1434 3127 3128 3129 3130 4444 4789 5554 5800 5900 8998 9995 9996 UDP 135~139 1026 1027 1028 1068 1433 1434 4789 5554 9995 9996 常用端口 弹性云主机常用端口如下表所示。您可以通过配置安全组规则放通弹性云主机对应的端口。关于Windows下更多的服务应用端口说明，请您参考微软官方相关文档。 端口 协议 说明 21 FTP FTP服务开放的端口，用于上传和下载文件。 22 SSH SSH端口，用于远程连接Linux弹性云主机。 23 Telnet Telnet端口，用于通过Telnet协议远程登录弹性云主机。 25 SMTP SMTP服务器开放的端口，用于发送邮件。 80 HTTP 使用HTTP协议访问网站。 110 POP3 使用POP3协议接收邮件。 143 IMAP 使用IMAP协议接收邮件。 443 HTTPS 使用HTTPS服务访问网站。 1433 SQL Server SQL Server的TCP端口，用于供SQL Server对外提供服务。 1434 SQL Server SQL Server的UDP端口，用于返回SQL Server使用了哪个TCP/IP端口。 1521 Oracle Oracle通信端口，弹性云主机上部署了Oracle SQL需要放行的端口。 3306 MySQL MySQL数据库对外提供服务的端口。 3389 Windows Server Remote Desktop Services Windows远程桌面服务端口，通过这个端口可以连接Windows弹性云主机。 8080 代理 同80端口一样，8080 端口常用于WWW代理服务，实现网页浏览。如果您使用了8080端口，访问网站或使用代理服务器时，需要在IP地址后面加上:8080 。安装Apache Tomcat服务后，默认服务端口为8080。 137、138、139 NetBIOS NetBIOS协议常被用于Windows文件、打印机共享和Samba。 137、138：UDP端口，通过网上邻居传输文件时使用的端口。 139：通过这个端口进入的连接试图获得NetBIOS/SMB服务。

本文为您介绍如何为云搜索Elasticsearch实例具备公网访问能力。 新开启的云搜索实例默认不具备公网访问能力，您如果需要通过公网访问Kibana、Cerebro或Elasticsearch需要为其绑定弹性IP或IPv6带宽，并配置安全组信息，才可使用公网访问。 约束限制 1. 开启公网访问后，会因此产生流量费用，请您提前根据自身需求，购买合适的产品。 2. 配置完成后，需要前往安全组设置页面，配置公网访问白名单后，才可正常使用。 3. 如果需要使用IPv6访问，需要在开通虚拟私有云VPC时即选择开通IPv6能力的子网，并在下单时选择该子网，不支持实例开通后再升级IPv6。 4. 订购1.2.0版本以上的实例，仅开启了HTTPS模式的实例才可以通过公网访问，关闭该模式则仅可通过内网访问。 开通IPv6访问能力的实例 您需要在订购时选择具备IPv6的虚拟私有云，选择子网后，会提示“该子网已开通IPv6”。并在IPv6访问处开启开关，如关闭，则仅可通过IPv4访问实例。 配置实例公网访问 您可以对已开通的实例进行公网访问的配置、修改、查看、解绑操作。 1. 登录云搜索服务控制台，进入实例管理列表页，选择需要设置的实例点击名称进入详情页。 2. 在详情页面里选择“安全设置”，在弹出的页面上选择需要绑定的公网IP类型，如果为IPv4，请在下拉列表中选择弹性IP地址；如果为IPv6，请选择IPv6的带宽名称。如果绑定失败，可以等待几分钟后再次尝试重新绑定。绑定的弹性IP或IPv6带宽需要处于空闲状态。 注意 IP绑定过后，要补充安全组策略方可实现本地电脑公网访问Kibana、Cerebro或连接Elasticsearch。 3. 修改绑定弹性IP或IPv6带宽，也需要在当前页面选择对应要修改的项目，点击“修改公网IP”进行重新绑定。 4. 解绑弹性IP或IPv6带宽，可关闭公网访问状态，或点击已绑定的项目后的解绑按钮，即可解绑当前的公网访问能力。 5. 实例退订将自动解绑已绑定的弹性IP或IPv6带宽，如弹性IP或IPv6带宽不再使用，您需要另外前往弹性IP的控制台退订相应的弹性IP或IPv6带宽才会停止对应产品的计费。

本文带您快速入门多活容灾服务。 使用条件 1. 已经注册并开通天翼云账号。 2. 当前账号已开通多活容灾服务，拥有使用多活容灾服务的权限。 3. 已经完成实名认证。 使用流程 多活容灾服务使用流程如图所示。 1. 开通多活容灾服务。 2. 若生产中心为三方数据中心时，需新增三方数据中心。 3. 创建命名空间。在控制台命名空间页面创建命名空间，用户可以创建多个命名空间，用于逻辑隔离不同的资源。 4. 同步/纳管资源。在多活容灾服务平台使用相关资源之前，用户需通过资源管理模块对资源进行同步或新增操作，以便MDR侧能够实现资源的统一管理。 5. 创建容灾管理中心。用户可以根据业务需要使用一个或若干个容灾管理中心，容灾管理中心与命名空间为一对十绑定关系。 6. 接入应用（可选）。应用接入可帮助用户对容灾管理中心的云主机资源进行流量配比与健康检查监控，云主机资源健康情况可在监控大盘中查看。同时，可以帮助用户进一步将容灾管理中心的资源（如云主机、存储、数据库）按应用维度进行细粒度划分，提升资源管理便捷性。 7. 预案编排。预案编排涵盖预案阶段和预案管理两方面。预案阶段模块中，帮助用户以任务为单位进行串行或并行编排成预案阶段。预案管理模块中，用户可根据多个预案阶段互相衔接组成整体预案流程，预案流程为后续灾备演练和应急切换提供整体流程方案。 8. 容灾演练。容灾演练旨在确保灾难发生后能够快速恢复业务而进行的一系列的演练任务，涉及的演练任务来源于相应的预案流程，演练时演练任务为实战演练。 9. 应急切换。应急切换用于灾难发生后为了快速恢复业务而进行的一系列切换或恢复任务，涉及的演练任务来源于相应的预案流程。故障切换场景下可根据预设的切换预案流程拉起依次数据库、存储、灾备云主机等相关服务；故障回切场景下可根据预设的回切预案流程执行数据库、存储、容灾云主机的回切操作，以确保业务正常运行。

本文介绍HTTPS功能和QUIC功能的开通方式。 基本说明 目前天翼云CDN加速产品的增值服务支持HTTPS协议和QUIC协议，使用这两项增值服务需完成如下两个步骤： 1. 开通CDN加速业务，详情请见如下开通步骤。 2. HTTPS功能已支持客户在CDN控制台自助配置，详情请见：HTTPS配置。QUIC功能暂不支持自助配置，如需使用，可通过提交工单联系客服，进行线下配置开启，详情请见：HTTP3.0(QUIC)协议。 开通步骤 新客户 2024年2月20日起，开通天翼云CDN加速业务时，静态HTTPS请求数和静态QUIC请求数为默认计费项。 注意 CDN HTTPS功能和QUIC功能的按量计费不支持单独开通，需与CDN加速按量计费的基础服务组合开通。如CDN加速按量计费的基础服务停用，则CDN HTTPS功能和QUIC功能的按量计费同步停用。 开通CDN加速业务时，您只需选择“流量”或“日带宽峰值”任一计费方式，静态HTTPS请求数和静态QUIC请求数为默认计费项。 存量客户 2024年2月20日起 ，所有天翼云用户只要新开通CDN加速业务，使用HTTPS和QUIC功能将按标准资费计价，详情请见：HTTPS/QUIC功能计费。在此之前已开通过CDN加速按量产品的用户，使用HTTPS功能和QUIC功能不会产生额外的增值服务费用。一旦退订CDN加速按量产品，重新于2024年2月20后开通CDN加速业务，使用HTTPS和QUIC功能将按标准资费计价。 注意 2024年2月20日起，所有天翼云用户只要新开通CDN加速业务，使用HTTPS和QUIC功能将按标准资费计价。如下两个业务场景均属于新开通CDN加速业务的范围： 1. 2024年2月20日起，不区分触发场景，在CDN加速业务的开通页面，新开通中国内地和全球（不含中国内地）加速区域的CDN加速业务。详情请见： 2. 2024年2月20日前，已开通中国内地加速区域的CDN加速业务，但在2024年2月20日后，通过【变更加速区域】新增开通全球（不含中国内地）加速区域的CDN加速业务，则全球（不含中国内地）加速区域属于新开通的CDN加速业务。详情请见：

本章节主要介绍跨源连接相关问题。 DLI增强型跨源连接为什么要创建对等连接 创建DLI增强型跨源连接时，创建对等连接的目的是打通网络。以MRS为例，如果DLI和MRS集群在同一个VPC中，安全组且放通的情况下，可以不用配置对等连接。 增强型跨源连接绑定队列失败 问题现象 客户创建增强型跨源连接后，在队列管理测试网络连通性，网络不通，单击对应的跨源连接查看详情，发现绑定队列失败，报错信息如下： Failed to get subnet 86ddcf50233a449d9811cfef2f603213. Response code : 404, message : {"code":"VPC.0202","message":"Query resource by id 86ddcf50233a449d9811cfef2f603213 fail.the subnet could not be found."} 原因分析 DLI跨源连接需要使用VPC、子网、路由、对等连接、端口功能，因此需要获得VPC（虚拟私有云）的VPC Administrator权限。 客户未给VPC服务授权导致绑定队列失败。 处理步骤 在DLI控制台，单击“全局配置”>“服务授权”，选择VPC服务，更新委托权限。 DLI增强型跨源连接DWS失败 问题现象 客户创建增强型跨源连接DLI和DWS，安全组已配置出方向规则到关联队列，使用的是密码形式的跨源认证，报DLI.0999: PSQLException: The connection attempt failed。 原因分析 出现该问题可能原因如下： 安全组配置不正确 子网配置不正确 处理步骤 1.检查客户安全组是否放通，安全组放通规则如下所示。 入方向规则：检查本安全组内的入方向网段及端口是否已开放，若没有则添加。 出方向规则：检查出方向规则网段及端口是否开放（建议所有网段开放）。 客户安全组入方向和出方向配置的都是DLI队列的子网。建议客户将入方向源地址配成0.0.0.0/0，端口8000，表示任意地址都可以访问DWS8000端口。 2.将入方向源地址配成0.0.0.0/0，端口8000，仍然无法连接，继续排查子网配置。客户的DWS子网关联了网络ACL。网络ACL是一个子网级别的可选安全层，通过与子网关联的出方向/入方向规则控制出入子网的数据流。关联子网后，网络ACL默认拒绝所有出入子网的流量，直至添加放通规则。通过检查，发现其DWS所在子网关联的ACL是空值。 因此，问题的原因是：客户子网关联了网络ACL，但是没有配置出入规则，造成IP地址不可访问。 3.客户配置子网出入规则后，测试成功。 创建跨源成功但测试网络连通性失败怎么办？

本节主要介绍Redis常见使用规范，主要从Key名称、Value值、Redis命令以及其他方面描述。 Key名称 Key名称的使用规范如下： 使用统一的命名规范。 一般使用业务名(或数据库名)为前缀，用冒号分隔，例如，业务名:表名:id。 控制key名称的长度。 在保证语义清晰的情况下，尽量减少Key的长度。有些常用单词可使用缩写，例如，user缩写为u，messages缩写为msg。 名称中不要包含特殊字符。 Value值 Value值的使用规范如下： 要避免大Key。 大Key会带来网卡流量风暴和慢查询，一般string类型控制在10KB以内，hash、list、set、zset元素个数不要超过5000。 选择合适的数据类型。 比如存储用户的信息，可用使用多个key，使用set u:1:name "X"、set u:1:age 20这样存储，也可以使用hash数据结构，存储成1个key，设置用户属性时使用hmset一次设置多个，同时这样存储也能节省内存。 设置合理的过期时间。 最好是过期时间打散，不要集中在某个时间点过期。 Redis命令 Redis命令的常用规范如下： 时间复杂度为O(N)的命令，需要特别注意N的值。 例如：hgetall、lrange、smembers、zrange、sinter这些命令都是做全集操作，如果元素很多，是很耗性能的。可使用hscan、sscan、zscan这些分批扫描的命令替代。 命令禁用，使用前，请参考Redis命令兼容性和WebCli命令兼容性。 慎重使用select。 Redis多数据库支持较弱，多业务用多数据库实际还是单线程处理，会有干扰。最好是拆分使用多个Redis。天翼云集群实例不支持多DB。 如果有批量操作，可使用mget、mset或pipeline，提高效率，但要注意控制一次批量操作的元素个数。 mget、mset和pipeline的区别如下： mget和mset是原子操作，pipeline是非原子操作。 pipeline可以打包不同的命令，mget和mset做不到。 使用pipeline，需要客户端和服务端同时支持。 lua脚本的执行超时时间为5秒钟，建议不要在lua脚本中使用比较耗时的代码，比如长时间的sleep、大的循环等语句。 调用lua脚本时，建议不要使用随机函数去指定key，否则在主备节点上执行结果不一致，从而导致主备节点数据不一致。 集群实例使用lua有如下限制： 使用EVAL和EVALSHA命令时，命令参数中必须带有至少1个key，否则客户端会提示“ERR eval/evalsha numkeys must be bigger than zero in redis cluster mode”的错误。 使用EVAL和EVALSHA命令时，DCS Redis集群实例使用第一个key来计算slot，用户代码需要保证操作的key是在同一个slot。

注解名称 描述 示例 支持的CCM版本 service.beta.kubernetes.io/ctyunloadbalancerid 指定已有负载均衡，取值为负载均衡实例的ID。删除service时该 ELB不会被删除 lb v1.0.1及以上 service.beta.kubernetes.io/ctyunloadbalancerspec 指定新建负载均衡的规格，如elb.s2.small elb.s2.small v1.0.1及以上 service.beta.kubernetes.io/ctyunloadbalanceraddresstype 指定新建负载均衡的公网私网类型，取值： intranet：负载均衡地址类型为私网，intranet为默认值 internet：负载均衡地址类型为公网 internet v1.0.1及以上 service.beta.kubernetes.io/ctyunloadbalancerprotocolport 指定负载均衡监听HTTP协议或HTTPS协议，可指定多个监听，多个监听之间以逗号“,”分割 https:443,http:80 v1.0.4及以上 service.beta.kubernetes.io/ctyunloadbalancersslcert 指定SSL证书，取值为SSL证书ID，可在负载均衡控制台的证书管理页面查看证书ID。 仅监听协议为HTTPS协议时需要指定 cert v1.0.4及以上 service.beta.kubernetes.io/ctyunloadbalancerxforwardedfor 指定负载均衡监听器附加XForwardedFor头字段，通过开启该参数，后端服务可获取客户端源IP。取值为“true”或“false” 仅支持监听协议为HTTP和HTTPS协议 "true" v1.0.4及以上 service.beta.kubernetes.io/ctyunloadbalancerchargetype 指定创建公网负载均衡时，公网的计费类型，取值： bandwidth：按带宽计费 traffic：按流量计费，traffic为默认值 traffic v1.0.5及以上 service.beta.kubernetes.io/ctyunloadbalancerbandwidth 计费类型为“bandwidth”时，可指定带宽的大小，值为数字类型，默认为1 Mbps 5 v1.0.5及以上 service.beta.kubernetes.io/ctyunloadbalancercyclecount 指定负载均衡的计费周期，值为数字类型，表示购买月数，默认为1个月 1 v1.0.5及以上 service.beta.kubernetes.io/ctyunloadbalancereipid 指定新建公网负载均衡时，可指定绑定已有的弹性IP，取值为弹性IP的ID，可在网络控制台的弹性IP详情页面查看ID eip v1.0.5及以上 service.beta.kubernetes.io/ctyunloadbalancerprojectid 指定新建负载均衡所属的企业项目，取值为企业项目ID，可在IAM控制台中企业项目详情查看ID 0 v1.0.5及以上 service.beta.kubernetes.io/ctyunloadbalancerenableipv6 指定新建负载均衡时，可指定开启负载均衡的ipv6 "true" v1.0.7及以上 service.beta.kubernetes.io/ctyunloadbalanceripv6bandwidthid 指定新建支持ipv6的公网负载均衡时，需指定IPv6带宽ID，可在网络控制台的IPv6带宽详情页面查看ID。如果没有IPv6带宽，请先创建一个 v1.0.7及以上 service.beta.kubernetes.io/ctyunloadbalancerenablelistenernat64 指定支持ipv6的负载均衡时，可指定开启监听器的nat64，支持负载均衡将ipv6流量转发到ipv4的后端 "true" v1.0.7及以上 service.beta.kubernetes.io/ctyunloadbalanceripv6address 指定新建支持ipv6的负载均衡时，可指定负载均衡的ipv6地址（该地址为负载均衡所在子网的ipv6地址段中未被分配的ip），未指定则由系统随机分配 v1.0.7及以上 service.beta.kubernetes.io/ctyunloadbalanceroverridelisteners 指定已有负载均衡时，可指定是否强制覆盖已有监听 "true" v1.0.7及以上 service.beta.kubernetes.io/ctyunloadbalancerhealthcheckflag 健康检查开关，取值off或on。off：不启用；on：启用 on v1.0.8及以上 service.beta.kubernetes.io/ctyunloadbalancerhealthcheckoption 配置全局健康检查的选项，对service下所有端口配置起作用。内容为json类型数据，数据结构见下表“健康检查字段数据结构说明” 注意 使用该字段，需确保service下端口配置的protocol协议一致 v1.0.8及以上 service.beta.kubernetes.io/ctyunloadbalancerhealthcheckoptions 配置健康检查的选项，支持为service下单个端口或部分端口配置健康检查。内容为数组形式的json数据，数据结构参考表“健康检查字段数据结构说明” 注意 该字段不能与“service.beta.kubernetes.io/ctyunloadbalancerhealthcheckoption”同时使用 v1.0.8及以上 service.beta.kubernetes.io/ctyunloadbalanceraclflag 指定访问控制的类型，取值： inherit：继承已有ELB配置； all：允许所有IP访问； white：白名单； black：黑名单 white v1.0.8及以上 service.beta.kubernetes.io/ctyunloadbalanceraclstatus 访问控制开关，值为on或off，只有为on时，黑/白名单才会生效 on v1.0.8及以上 service.beta.kubernetes.io/ctyunloadbalanceraclid 指定访问策略组的ID，可在负载均衡控制台的访问策略组页面查看策略ID ac v1.0.8及以上 service.beta.kubernetes.io/ctyunloadbalancerestablishtimeout 指定建立连接超时时间，只用于TCP监听 "30" v1.0.8及以上 service.beta.kubernetes.io/ctyunloadbalanceridletimeout 指定空闲超时时间，只作用于HTTP/HTTPS监听 "30" v1.0.8及以上 service.beta.kubernetes.io/ctyunloadbalancerresponsetimeout 指定响应超时时间，只作用于HTTP/HTTPS监听 "5" v1.0.8及以上 service.beta.kubernetes.io/ctyunloadbalancerproxyprotocolflag 指定是否开启后端主机组的Proxy Protocol，ProxyProtocol协议会携带客户端源地址到后端服务器。取值： on：开启 off：关闭 注意 该功能不支持在线平滑开启，切换到ProxyProtocol需要业务停服升级，请谨慎配置。 on v1.1.1及以上 service.beta.kubernetes.io/ctyunloadbalanceripmode 指定Service的External IP模式，值为 vip 或 proxy vip：集群内访问Service不会经过ELB，直接经由ipvs/iptables转发到Service对应的后端Pod proxy：集群内访问Service会先经过ELB，最终再转发到对应后端Pod 注意 该特性要求Kubernetes集群版本大于v1.29 proxy v1.2.0及以上 service.beta.kubernetes.io/ctyunloadbalanceriptype 指定Service的External IP地址类型，值为 private 或 public private：设置ELB的私网IP为Service的External IP public：设置ELB的公网IP为Service的External IP public v1.2.0及以上 service.beta.kubernetes.io/ctyunloadbalancerpreservesourceip 指定是否开启客户端源地址保持，值为 true 或 false true：开启 false：关闭 注意 客户端源地址保持要求Service的ExternalTrafficPolicy必须为Local。开启该特性，需确保集群节点的弹性网卡对应的安全组已放通客户端源IP，避免影响网络连通 true v1.5.0及以上

本文主要介绍管理JMeter测试报告 测试报告说明 JMeter测试报告提供实时、离线两种类型的测试报告，供用户随时查看和分析测试数据。 JMeter测试报告说明如下表所示。 测试报告展现了测试过程中被测系统在模拟高并发用户的响应性能，为了更好阅读测试报告，请参考以下信息： 统计维度： 测试报告的TPS、RPS、响应时间、并发等统计维度均为单个线程组，如线程组中有请求多个报文，只有在多个请求报文均正常返回会认为成功，响应时间也是多个请求报文的求和值。 响应超时： 出现该情况是在设置的响应超时时间内（Jmx自定义），对应的TCP连接中没有响应数据返回时，会将本次线程组请求统计为响应超时。出现原因一般是被测服务器繁忙、崩溃、网络带宽被占满等。 校验失败： 从服务器返回的响应报文不符合预期（针对HTTP/HTTPS默认的预期响应码为200），比如服务器返回404、502等。出现原因一般为高并发情况下被测服务无法正常处理导致的，如分布式系统中数据库出现瓶颈、后端应用返回错误等。 带宽统计： 本报告统计的是性能测试服务执行端的带宽，上行表示从性能测试服务发出的流量，下行表示接收到的流量。如果是外网压测场景，您需要关注执行机的EIP带宽是否可以满足上行带宽的要求。而下行带宽需要关注单台执行机是否超过1GB。 TPS： TPS是指云性能测试服务在统计周期内每秒从被测服务器获取到的响应用例实时统计，TPS统计周期内的正常返回数/统计周期。 RPS： RPS是指云性能测试服务在统计周期内每秒发送到被测服务器的请求数实时统计，RPS统计周期内发送的请求数/统计周期。 如何判断被测应用优劣： 根据应用本身的服务质量定义，理想状态是没有任何响应失败、校验失败的情况，如果有，需要在服务质量定义范围之内，通常情况下不超过1%，同时响应时间越低越好（2s内体验较好，5s内可以接受，超过5s则需要考虑优化），TP90、TP99指标可以客观反映出90%、99%用户的体验响应时间。 JMeter测试报告说明 概念 解释 各项指标总量 所有线程组各项指标总量的汇总。 最大并发：最大并发操作的虚拟用户数。 RPS：RPS请求总数/响应总时长。 正常返回：如设置了检查点，检查点通过的事务响应数，如未设置默认为返回2XX的事务响应数。 响应时间：指从客户端发一个请求开始计时，到客户端接收到从服务器端返回的响应结果结束所经历的时间。 响应码：记录压测任务进行中响应码分布的情况。 带宽：记录压测任务运行所消耗的实时带宽变化。 异常返回：解析失败、校验失败、响应超时、3XX、4XX、5XX、连接被拒绝的事务响应数。 SLA事件：SLA中定义的事件发生情况。 平均RPS 是指性能测试在统计周期内每秒发送到被测服务器的请求数实时统计，RPS统计周期内发送的请求数/统计周期。 平均RT 记录压测任务平均响应时间的变化。 并发数 记录压测任务运行时，当前并发操作的虚拟用户数的变化。 带宽（KB/S） 记录压测任务运行所消耗的实时带宽变化。 上行带宽：从JMeter测试执行机往外发送出去数据的速度。 下行带宽：JMeter测试执行机接收到数据的速度。 响应状态分布 正常返回、解析失败、校验失败、响应超时的每秒处理事务数，该项指标与思考时间、并发用户、服务器响应能力均有关，比如思考时间为500ms，如果服务器对于当前用户的上个请求响应时间小于500ms，则该用户每秒请求2次。 正常返回：如设置了检查点，检查点通过的事务响应数，如未设置默认为返回2XX的事务响应数。 异常返回：解析失败、校验失败、响应超时、3XX、4XX、5XX、连接被拒绝的用例响应数。 解析失败：HTTP响应无法被正常解析的数量。l校验失败：如设置了检查点，检查点未通过的事务响应数，如未设置，返回不是2XX的事务响应数。 响应超时：是在设置的响应超时时间内，对应的TCP连接中没有响应数据返回的用例请求数量。 连接被拒绝：发送报文建立连接时，服务器拒绝连接数。 其他错误：不属于以上几种错误的数量。 响应码分布 1XX/2XX/3XX/4XX/5XX。 响应时间区间比例 用例的响应时间区间比例。 TP最大响应时间 指在一个时间段内（如10s），统计该请求每次响应所消耗的时间，并将这些时间按从小到大的顺序进行排序，取对应的百分比的那个值作为TPXX的最大响应时间。 TP50：指在一个时间段内（如10s），统计该请求每次响应所消耗的时间，并将这些时间按从小到大的顺序进行排序，取第50%的那个值作为TP50的值。 TP75：指在一个时间段内（如10s），统计该请求每次响应所消耗的时间，并将这些时间按从小到大的顺序进行排序，取第75%的那个值作为TP75的值。 TP90：指在一个时间段内（如10s），统计该请求每次响应所消耗的时间，并将这些时间按从小到大的顺序进行排序，取第90%的那个值作为TP90的值。 TP95：指在一个时间段内（如10s），统计该请求每次响应所消耗的时间，并将这些时间按从小到大的顺序进行排序，取第95%的那个值作为TP95的值。 TP99：指在一个时间段内（如10s），统计该请求每次响应所消耗的时间，并将这些时间按从小到大的顺序进行排序，取第99%的那个值作为TP99的值。 TP99.9：指在一个时间段内（如10s），统计该请求每次响应所消耗的时间，并将这些时间按从小到大的顺序进行排序，取第99.9%的那个值作为TP99.9的值。 TP99.99：指在一个时间段内（如10s），统计该请求每次响应所消耗的时间，并将这些时间按从小到大的顺序进行排序，取第99.99%的那个值作为TP99.99的值。

本文介绍Web应用防火墙（边缘云版）的接入防护前提条件以及防护能力概览。 接入防护前提条件 您需要先在控制台新增域名并接入边缘云WAF，具体操作可见WAF接入 防护能力概览 下表将为您描述目前边缘云WAF具备的防护能力以及应用场景 模块 防护能力 说明 应用场景 Web安全 []( 支持配置Web安全的防护开关，可调整防护处理动作以及防护规则集、无需检测的静态文件后缀 为Web安全的基础配置，您需要使用任何防护能力都需要先进行基础配置 Web安全 规则防护 目前已维护6套防护规则集，基于正则的规则防护引擎进行 Web 漏洞和未知威胁防护，能够抵御SQL 注入、XSS 攻击、恶意扫描、命令注入攻击、Web 应用漏洞、WebShell 上传、不合规协议、木马后门等17类通用的 Web 攻击 建议基于自身业务防护需求选择对应的防护规则集 Web安全 网页防篡改 位于高级防护模块下，能够保护网站核心静态页面，避免因为源站页面被恶意篡改带来的负面影响 希望网站防止被恶意篡改页面内容时配置 Web安全 防护敏感信息泄露 位于高级防护模块下，支持对网站返回的内容进行脱敏展示，过滤内容包括敏感信息（如身份证、手机号、银行卡、邮箱等） 希望网站避免泄露身份证、手机号等敏感信息时配置 Web安全 []( 支持检查HTTP协议头部，对HTTP请求信息中的方法以及参数长度等信息进行检测，对不符合的请求项进行拦截或告警 针对不在HTTP请求合规、上传内容合规、配置符合网站处理规范内的请求进行相应处理 Web安全 cookie防护 位于高级防护模块下，采用cookie加密、cookie签名等方式对cookie字段的字进行加密或签名，防护一些使用cookie中的弱key进行权限绕过的漏洞利用，也能在一定程度上限制基于cookie修改的爬虫 可以防护cookie盗用、cookie篡改、cookie信息泄露等攻击事件。需要客户端支持携带cookie，通常小程序、APP、API可能不支持 Web安全 攻击挑战 位于高级防护模块下，支持自动阻断短时间内发起多次Web攻击的IP，快速应对恶意扫描及代理、Web 攻击威胁等行为，可提升攻防对抗效率 攻防演练、恶意扫描及代理、Web攻击行为等 Web安全 CSRF防护 位于高级防护模块下，支持防护跨站请求伪造（英语：Crosssite request forgery，简称CSRF）攻击 针对发起CSRF攻击进行防护 Web安全 广告防护 位于高级防护模块下，支持解析源站响应页面代码，在body中插入广告检测js代码，实现广告防护和监测功能 针对网站出现的恶意广告（网站中出现未将网站所有者允许的广告内容）进行防护 Web安全 设置账户安全防护 从撞库、暴力破解两个攻击角度进行防护，保障用户的账户安全 针对账户安全的场景进行防护 Bot管理 Bot防护策略 通过cookie挑战、跳转挑战、人机挑战、爬虫阈值限制、爬虫陷阱等防爬策略，精准命中爬虫流量，拦截各类恶意爬虫 针对支持携带cookie的客户端请求，小程序、APP、API可能不支持 对于无法正常执行跳转的请求，可以设置跳转挑战 Bot管理 爬虫情报规则 支持针对搜索引擎IP放行、针对恶意Bot请求IP封禁，目前爬虫情报库已维护接近10万条数据 对已知搜索引擎IP放行处理，不经过Bot防护策略，提升网站SEO权重； 对已知恶意Bot请求IP拦截处理 Bot管理 IP情报规则 支持针对已维护的IP信誉库，从威胁类型维度（IDC服务器、傀儡机、漏洞利用等十几类）进行IP封禁，目前IP信誉库已维护接近120万条数据 对已知IDC IP进行封禁处理；拦截傀儡机、漏洞利用等已知恶意IP 访问控制/限流 []( 支持根据请求的URL，频率、行为等访问特征，迅速识别CC攻击并进行拦截 防护大规模CC攻击，避免源站资源耗尽，保证企业网站的正常访问 访问控制/限流 IP黑名单 支持针对指定IP以及指定地域IP进行封禁处理 封禁来自国外访问的IP 访问控制/限流 扫描防护 支持识别常见的扫描器类型，也支持自定义扫描器识别规则，做到精准拦截 拦截常见的扫描器类型，避免网站受到外部扫描 防护白名单 网站白名单 支持在访问控制中，针对特定请求设置为白名单，则不经过全局防护策略的检测 对于可信任流量可以设置为白名单，将不经过任务防护策略 防护白名单 Web规则白名单 支持针对防护规则集中的具体规则设置白名单，则指定请求不经过该规则的检测 某条域名规则出现误拦截时，可以将误拦截的请求设置为白名单 防护白名单 []( 支持针对Bot防护策略设置白名单，则指定请求将不经过Bot防护策略的检测 明确不需要经过Bot防护策略的请求，可以在Bot功能模块中设置为白名单 开启IPv6防护 开启IPv6防护 提供IPv4/IPv6双栈服务，能够解决网站“天窗”问题，并可以有效提升网站IPv6链接支持率 政策驱动，各地市对于当地企业网站的IPv6浓度有一定指标

使用场景 业务正常请求被WAF拦截。例如，您在ECS服务器上部署了一个Web应用，将该Web应用对应的公网域名接入WAF并开启Web基础防护后，该域名的请求流量命中了Web基础防护规则被WAF误拦截，导致通过域名访问网站显示异常，但直接通过IP访问网站正常。 操作步骤 1. 登录管理控制台。 2. 单击页面顶部的区域选择框，选择区域。 3. 单击页面左上角的“服务列表”，选择“安全 > Web应用防火墙（独享版）”。 4. 在左侧导航树中，选择“防护事件”，进入“防护事件”页面。 5. 选择“查询”页签，在网站下拉列表中选择待查看的防护网站，可查看“昨天”、“今天”、“3天”“7天”、“30天”或者自定义时间范围内的防护日志。 6. 在“防护事件列表”中，根据实际情况对防护事件进行处理。 确认事件为误报，在目标防护事件所在行的“操作”列，单击“事件处理 > 误报处理”，添加误报处理策略。 添加误报屏蔽策略，参数说明如表所示： 参数 参数说明 取值样例 防护方式 “全部域名”：默认防护当前策略下绑定的所有域名。 “指定域名”：选择策略绑定的防护域名或手动输入泛域名对应的单域名。 指定域名 防护域名 “防护方式”选择“指定域名”时，需要配置此参数。 需要手动输入当前策略下绑定的需要防护的泛域名对应的单域名，且需要输入完整的域名。 www.example.com 条件列表 单击“添加”增加新的条件，一个防护规则至少包含一项条件，最多可添加30项条件，多个条件同时满足时，本条规则才生效。 条件设置参数说明如下： 字段 子字段：当字段选择“Params”、“Cookie”或者“Header”时，请根据实际使用需求配置子字段。子字段的长度不能超过2048字节，且只能由数字、字母、下划线和中划线组成。 逻辑：在“逻辑”下拉列表中选择需要的逻辑关系。 内容：输入或者选择条件匹配的内容。 “路径”包含“/product” 不检测模块 “所有检测模块”：通过WAF配置的其他所有的规则都不会生效，WAF将放行该域名下的所有请求流量。 “Web基础防护模块”：选择此参数时，可根据选择的“不检测规则类型”，对某些规则ID或者事件类别进行忽略设置（例如，某URL不进行XSS的检查，可设置屏蔽规则，屏蔽XSS检查）。 Web基础防护模块 不检测规则类型 “不检测模块”选择“Web基础防护模块”时，您可以选择以下三种方式进行配置： 按ID：按攻击事件的ID进行配置。 按类别：按攻击事件类别进行配置，如：XSS、SQL注入等。一个类别会包含一个或者多个规则ID。 所有内置规则：配置Web基础防护规则里开启的所有防护规则。 按类别 不检测规则ID 当“不检测规则类型”选择“按ID”时，需要配置此参数。 “防护事件”列表中事件类型为非自定义规则的攻击事件所对应的规则编号。建议您直接在防护事件页面进行误报处理。 041046 不检测规则类别 当“不检测规则类型”选择“按类别”时，需要配置此参数。 在下拉框中选择事件类别。 WAF支持的防护事件类别有：XSS攻击、网站木马、其他类型攻击、SQL注入攻击、恶意爬虫、远程文件包含、本地文件包含、命令注入攻击。 SQL注入攻击 规则描述 可选参数，设置该规则的备注信息。 不拦截SQL注入攻击 高级设置 如果您只想忽略来源于某攻击事件下指定字段的攻击，可在“高级设置”里选择指定字段进行配置，配置完成后，WAF将不再拦截指定字段的攻击事件。 在左边第一个下拉列表中选择目标字段。支持的字段有：Params、Cookie、Header、Body、Multipart。 当选择“Params”、“Cookie”或者“Header”字段时，可以配置“全部”或根据需求配置子字段。 当选择“Body”或“Multipart”字段时，可以配置“全部”。 当选择“Cookie”字段时，“防护域名”可以为空。 说明 当字段配置为“全部”时，配置完成后，WAF将不再拦截该字段的所有攻击事件。 Params 全部 将源IP添加到地址组。在目标防护事件所在行的“操作”列，单击“事件处理 > 添加到地址组”，添加成功后将根据该地址组所应用的防护策略进行拦截或放行。“添加方式”可选择已有地址组或者新建地址组。 将源IP添加至对应防护域名下的黑白名单策略。在目标防护事件所在行的“操作”列，单击“事件处理 > 添加至黑白名单”，添加成功后该策略将始终对添加的攻击源IP进行拦截或放行。 参数说明见下表： 参数 参数说明 添加方式 选择已有规则 新建规则 规则名称 添加方式选择“选择已有规则”时，在下拉框中选择规则名称。 添加方式选择“新建规则”时，自定义黑白名单规则的名字。 IP/IP段或地址组 添加方式选择“新建规则”时，需要配置此参数。 支持添加黑白名单规则的方式，“IP/IP段”或“地址组”。 地址组名称 “IP/IP段或地址组”选择“地址组”时，需要配置此参数。 在下拉列表框中选择已添加的地址组。 防护动作 拦截：IP地址或IP地址段设置的是黑名单且需要拦截，则选择“拦截”。 放行：IP地址或IP地址段设置的是白名单，则选择“放行”。 仅记录：需要观察的IP地址或IP地址段，可选择“仅记录”。 攻击惩罚 当“防护动作”设置为“拦截”时，您可以设置攻击惩罚标准。设置攻击惩罚后，当访问者的IP、Cookie或Params恶意请求被拦截时，WAF将根据惩罚标准设置的拦截时长来封禁访问者。 规则描述 可选参数，设置该规则的备注信息。