本文介绍IP访问限频功能适用场景和配置方法。 功能介绍 IP访问限频功能可以限制单个用户IP在天翼云全站加速单台服务器上的请求频次，防御CC攻击，防止恶意用户盗刷。 适用场景 1. 网站存在用户使用同个IP频繁重复下载同一资源导致大量全站加速流量浪费的场景。 2. 网站存在用户使用同个IP频繁发起恶意请求或尝试非法访问的场景。 注意事项 1. 当单IP单域名每秒访问单台服务器的次数达到设置的阈值，返回403状态码，阻断时间默认10分钟。 2. 设置阈值时需根据业务的实际情况进行评估，阈值过低可能导致正常用户的访问受限，影响用户体验；而阈值过高则可能无法有效限制非法访问或恶意行为。 3. 限频功能对非法访问防控效果有限，若存在大量IP对全网节点进行恶意访问或攻击，通过此功能无法有效控制，建议您购买边缘安全加速平台产品。 配置说明 1. 登录客户控制台。 2. 单击左侧导航栏【域名管理】【域名列表】。 3. 在【域名列表】页面，找到目标域名，单击【操作】列的【编辑】。 4. 单击右侧【访问控制】。 5. 在【IP访问限频】模块，单击【增加规则】。 6. 根据需求填写配置，单击【确定】。 7. 单击【保存】，完成配置。 参数名 配置值 说明 类型 后缀名/目录/首页/全部文件/全路径文件 需要配置的文件类型。 内容 指定类型的具体内容 类型选择后缀名、目录、全路径文件时，需配置具体内容；例如类型为后缀名时，需在内容处指明具体的文件后缀；如类型为目录时，需在内容处指明具体的目录内容。 访问阈值 每秒可访问次数 单位：次/秒，IP访问超过阈值后，拒绝访问10分钟。 优先级 数字 配置的优先级，存在多条设置时，相同文件类型及内容，执行优先级高的规则。数字越大，优先级越高。

云原生网关触发器 云原生网关触发器能够让您网关的流量转向云工作流，能够支持更丰富的请求配置，如请求方法、请求头、请求参数等 前提条件 已创建工作流。 已创建云原生网关。 已创建函数计算服务的终端节点（VPCE）。 创建步骤请查看创建VPCE，其中”虚拟私有云“选择云原生网关所属的VPC，”服务“选择函数计算服务cn.ctyun.cnhuadong1.faas 函数计算服务在各资源池的名称（cn.ctyun.cnhuadong1.faas ）可能有差别，选择后缀为faas的即可，上述示例是在华东一资源池的名称 触发消息格式 通过云原生网关请求访问工作流时，仅会把请求中的body部分作为工作流的输入，数据类型必须为JSON格式。而header和queryparams等其余请求信息会被丢弃。 操作步骤 1. 登录工作流控制台，点击目标工作流，进入工作流详情详情。 2. 在配置选项卡中，选择左边的 工作流调度 选项卡。 3. 点击 创建工作流调度 ，在弹出的右抽屉中选择 云原生网关触发器，配置参数解释如下表。 配置项 操作说明 示例 触发器类型 选择云原生触发器。 云原生触发器 名称 填写自定义的触发器名称。 cgwtrigger 网关实例 选择已创建的云原生网关实例。 域名 选择网关实例已关联的域名。 mydomain.com 匹配路径 匹配请求的path（不含query参数），当前支持前缀匹配和精确匹配。末尾使用''代表使用前缀匹配。 /my/path 请求方法 匹配请求中的HTTP方法，可多选，不选则匹配所有HTTP方法 优先级 当多个路由同时匹配一个请求时，路径匹配深度较大的路由优先；路径匹配相同的情况下，路由优先级高（数字大）的优先匹配。 0 请求头 匹配请求中的HTTP header。 请求参数 匹配请求中的HTTP query参数。 触发器启用状态 创建触发器后是否立即启用。默认选择开启，即创建触发器后立即启用触发器。 启用

云原生网关触发器能够让您网关的流量导去函数计算后端，能够支持更丰富的请求配置，如请求方法、请求头、请求参数等 前提条件 已创建函数。 已创建云原生网关。 已创建函数计算服务的终端节点（VPCE）。 创建步骤请查看创建VPCE，其中”虚拟私有云“选择云原生网关所属的VPC，”服务“选择函数计算服务cn.ctyun.cnhuadong1.faas 注意 函数计算服务在各资源池的名称（cn.ctyun.cnhuadong1.faas ）可能有差别，选择后缀为faas的即可，上述示例是在华东一资源池的名称 操作步骤 1. 登录函数计算控制台，点击目标函数，进入函数详情。 2. 选择详情下顶部的配置选项卡。 3. 在配置选项卡中，选择左边的触发器选项卡。 4. 点击创建触发器 ，在弹出的右抽屉中选择云原生网关触发器，配置参数解释如下 配置项 操作 示例 触发器类型 选择云原生触发器。 云原生触发器 名称 填写自定义的触发器名称。 cgwtrigger 版本或别名 默认值为LATEST，支持选择任意函数版本或函数别名。 LATEST 网关实例 选择已创建的云原生网关实例。 域名 选择网关实例已关联的域名。 mydomain.com 匹配路径 匹配请求的path（不含query参数），当前支持前缀匹配和精确匹配。末尾使用''代表使用前缀匹配。 /my/path 请求方法 匹配请求中的HTTP方法，可多选，不选则匹配所有HTTP方法 优先级 当多个路由同时匹配一个请求时，路径匹配深度较大的路由优先；路径匹配相同的情况下，路由优先级高（数字大）的优先匹配。 0 请求头 匹配请求中的HTTP header。 请求参数 匹配请求中的HTTP query参数。 触发器启用状态 创建触发器后是否立即启用。默认选择开启，即创建触发器后立即启用触发器。 启用

Service Service是用来解决Pod访问问题的。每个Service有一个固定IP地址，Service将访问流量转发给Pod，而且Service可以给这些Pod做负载均衡。 图 通过Service访问Pod 根据创建Service的类型不同，可分成如下模式： ClusterIP：用于在集群内部互相访问的场景，通过ClusterIP访问Service。 NodePort：用于从集群外部访问的场景，通过节点上的端口访问Service。 LoadBalancer：用于从集群外部访问的场景，其实是NodePort的扩展，通过一个特定的LoadBalancer访问Service，这个LoadBalancer将请求转发到节点的NodePort，而外部只需要访问LoadBalancer。 Service的详细介绍请参见Service概述。 lngress Service是基于四层TCP和UDP协议转发的，而Ingress可以基于七层的HTTP和HTTPS协议转发，可以通过域名和路径做到更细粒度的划分，如下图所示。 图 IngressService Ingress的详细介绍请参见Ingress概述。 网络访问场景 负载网络访问可以分为如下几种场景。 集群内部访问：创建ClusterIP类型的Service，通过Service访问负载。 外部访问负载：从外部访问负载推荐使用Service（NodePort类型或LoadBalancer类型）或Ingress访问。 公网访问负载需要节点或LoadBalancer绑定公网IP。 内网访问负载通过节点或LoadBalancer内网IP即可。如果跨VPC需要通过对等连接等手段打通不同VPC网络。 负载访问外部： 负载访问内网：负载访问内网地址，在不同容器网络模型下有不同的表现，需要注意在对端安全组放通容器网段，具体请参见容器如何访问VPC内部网络。 负载访问公网：访问公网有几种方法可以实现，一是让容器所在节点绑定公网IP（容器网络模型为VPC网络或容器隧道网络），另一个是通过NAT网关配置SNAT规则，具体请参见从容器访问公网。 图 网络访问示意图

本章节为您介绍策略管理的相关内容。 策略管理目前包含安全规则、访问控制、AI合规等模块。 通过策略管理配置规则检测到异常流量后，会记录到告警日志中。 新增访问控制规则 访问控制是对请求参数，请求头，请求体、响应体等做访问控制的功能，当请求满足配置的规则条件时，将会产生告警日志或阻断请求不转发到上游服务。 1.登录API安全网关。 2.在左侧导航栏选择“策略管理 > 访问控制”，进入访问控制页面。 3.单击页面上方的“新增”按钮，即可开始新增访问控制规则。 选项 说明 名称 自定义规则名称，名称不允许重复。 启用 默认启用，禁用后规则不生效。 规则描述 输入规则描述信息。 服务 默认选择全部服务，可指定一个服务。 API 默认选择全部API，可指定多个API。 动作 仅警告：产生告警日志，不阻断请求。 告警并阻断：阻断请求并且产生告警日志。 告警等级 选择告警等级：警告、一般、重要、严重。 规则条件 内置条件 至少配置以下一项条件，每个条件至多添加一次。运算符支持：等于、不等于、正则匹配、正则匹配（不区分大小写） 客户端IP：匹配/不匹配客户端IP，支持IP和子网掩码格式； 请求URL：设置请求URL规则条件，如/get； 请求方法：设置请求方法条件，如GET、POST、PUT……； 请求体：设置请求体条件； HOST：设置HOST条件； UA：设置UA条件； Referer：设置Referer条件； 请求头 配置自定义请求头表达式，如：”ContentType”, ””, ”application/json”。 响应体 输入响应体内容，返回的响应体满足条件时，请求会执行对应动作。 API调用者 指定服务时选择，对指定API调用者生效，支持选择自定义API调用者或提取到的API调用者。 拒绝码 动作选择告警并阻断时填写，返回阻断的拒绝码。 拒绝描述信息 动作选择告警并阻断时填写，配置阻断后返回的信息。 生效时间 可选择任意时间，以及每天、每周、每月指定时间，超出生效时间规则无效。 有效期 可选择永久有效、自定义时间。过期后规则不生效。 4.填写完成后，单击“提交”即可完成访问控制规则新增。

本章节为您介绍风险模块的内容。 风险内包括两个模块：脆弱性风险和行为风险。 脆弱性风险记录 资源存在的脆弱性风险。 行为风险记录 流量中可能包含对系统服务产生危险行为的信息。 脆弱性风险 处理脆弱性风险 1.登录API风险监测实例 2.在左侧导航栏选择“风险 > 脆弱性风险”，进入脆弱性风险清单页面。 3.选择需要处理的告警，单击操作列的“处理”按钮。 4.在弹出的对话框中选择处理方式。 新增风险策略 1.登录API风险监测实例 2.在左侧导航栏选择“风险 > 脆弱性风险”，进入脆弱性风险清单页面。 3.选择“策略配置”页签，进入策略配置页面。 4.单击“新增”按钮，即可开始新增自定义策略。 5.在弹出的对话框中填写参数。 项目 配置项 说明 基本信息 名称 设置策略名称，只能输入中文字符、字母、数字、下划线()、点(.)或短横()，长度不超过20。 基本信息 可被利用方式 输入可被利用方式描述或风险定义。 基本信息 修复建议 输入修复建议描述。 基本信息 严重等级 可选高、中、低，默认选择高。 基本信息 通知方式 通知方式支持短信、钉钉、邮件三种方式，单击“添加”按钮跳转通知接口页面可以添加通知配置。 基本信息 启用状态 可选启用或停用。 检测规则 单击“添加组”按钮新增条件组，单击“添加条件”按钮新增组内条件，组内各个条件可以使用AND或者OR，条件内容可以选择请求方式、请求URL、请求头、请求体、API类型等。 例外规则 匹配例外规则的API或应用不再产生风险告警， 列可选择API或应用， 列可选择类型对应的 API和应用，点击 按钮，可以新增一个例外规则。手动添加，最多添加10 条例外规则。 6.完成后，单击“保存”即可完成风险策略新增。

本文介绍IP访问限频功能适用场景和配置方法。 功能介绍 IP访问限频功能可以限制单个用户IP在天翼云CDN单台服务器上的请求频次，防御CC攻击，防止恶意用户盗刷。 适用场景 1. 网站存在用户使用同个IP频繁重复下载同一资源导致大量CDN流量浪费的场景。 2. 网站存在用户使用同个IP频繁发起恶意请求或尝试非法访问的场景。 注意事项 1. 当单IP单域名每秒访问单台服务器的次数达到设置的阈值，返回403状态码，阻断时间默认10分钟。 2. 设置阈值时需根据业务的实际情况进行评估，阈值过低可能导致正常用户的访问受限，影响用户体验；而阈值过高则可能无法有效限制非法访问或恶意行为。 3. 限频功能对非法访问防控效果有限，若存在大量IP对全网节点进行恶意访问或攻击，通过此功能无法有效控制，建议您购买边缘安全加速平台产品。 配置说明 1. 登录CDN控制台。 2. 单击左侧导航栏【域名管理】【域名列表】。 3. 在【域名列表】页面，找到目标域名，单击【操作】列的【编辑】。 4. 单击右侧【访问控制】。 5. 在【IP访问限频】模块，单击【增加规则】。 6. 根据需求填写配置，单击【确定】。 7. 单击【保存】，完成配置。 参数名 配置值 说明 类型 后缀名/目录/首页/全部文件/全路径文件 需要配置的文件类型。 内容 指定类型的具体内容 类型选择后缀名、目录、全路径文件时，需配置具体内容；例如类型为后缀名时，需在内容处指明具体的文件后缀；如类型为目录时，需在内容处指明具体的目录内容。 访问阈值 每秒可访问次数 单位：次/秒，IP访问超过阈值后，拒绝访问10分钟。 优先级 数字 配置的优先级，存在多条设置时，相同文件类型及内容，执行优先级高的规则。数字越大，优先级越高。

本节主要介绍创建QoS策略命令。 ./stor qos add {n name } QOSNAME [ iops IOPS ] [ readiops READIOPS ] [ writeiops WRITEIOPS ] [ bps BPS ] [ readbps READBPS ] [ writebps WRITEBPS ] [ iopsburst IOPSBURST ] [ readiopsburst READIOPSBURST ] [ writeiopsburst WRITEIOPSBURST ] [ bpsburst BPSBURST ] [ readbpsburst READBPSBURST ] [ writebpsburst WRITEBPSBURST ] [ iopsburstsecs IOPSBURSTSECS ] [ readiopsburstsecs READIOPSBURSTSECS ] [ writeiopsburstsecs WRITEIOPSBURSTSECS ] [ bpsburstsecs BPSBURSTSECS ] [ readbpsburstsecs READBPSBURSTSECS ] [ writebpsburstsecs WRITEBPSBURSTSECS ] [ reclaimpolicy RECLAIMPOLICY ] [ description ] 此命令用来创建QoS策略。 参数 参数 描述 n QOSNAME 或name QOSNAME 指定QoS策略名称。 取值：字符串形式，长度范围1~64，只能由字母、数字和短横线()组成，区分大小写，且仅支持以字母或数字开头。 iops IOPS 每秒能够进行读写操作次数的最大值。 取值：整数形式，取值为[1, 999999999]，默认值为1。1表示不限制。 readiops READIOPS 每秒能够进行读操作次数的最大值。 取值：整数形式，取值为[1, 999999999]，默认值为1。1表示不限制。 writeiops WRITEIOPS 每秒能够进行写操作次数的最大值。 取值：整数形式，取值为[1, 999999999]，默认值为1。1表示不限制。 bps BPS 每秒可传输数据量的最大值。 取值：整数形式，数字后面可以输入单位简写B/b、K/k、M/m、G/g、T/t，分别代表B/s、KiB/s、MiB/s、GiB/s、TiB/s。默认单位是B/s，默认值为1，表示不限制。 如果单位是Bs/s，取值为[1, 4096000000000]。 如果单位是KiB/s，取值为[1, 4000000000]。 如果单位是MiB/s，取值为[1, 3906250]。 如果单位是GiB/s，取值为[1, 3814]。 如果单位是TiB/s，取值为[1, 3]。 readbps READBPS 读带宽上限。 取值：整数形式，数字后面可以输入单位简写B/b、K/k、M/m、G/g、T/t，分别代表B/s、KiB/s、MiB/s、GiB/s、TiB/s。默认单位是B/s，默认值为1，表示不限制。 如果单位是B/s，取值为[1, 4096000000000]。 如果单位是KiB/s，取值为[1, 4000000000]。 如果单位是MiB/s，取值为[1, 3906250]。 如果单位是GiB/s，取值为[1, 3814]。 如果单位是TiB/s，取值为[1, 3]。 writebps WRITEBPS 写带宽上限。 取值：整数形式，数字后面可以输入单位简写B/b、K/k、M/m、G/g、T/t，分别代表B/s、KiB/s、MiB/s、GiB/s、TiB/s。默认单位是B/s，默认值为1，表示不限制。 如果单位是B/s，取值为[1, 4096000000000]。 如果单位是KiB/s，取值为[1, 4000000000]。 如果单位是MiB/s，取值为[1, 3906250]。 如果单位是GiB/s，取值为[1, 3814]。 如果单位是TiB/s，取值为[1, 3]。 iopsburst IOPSBURST 使用Burst功能时，每秒能够进行读写操作次数的最大值。 取值：整数形式。只有当iops IOPS 大于等于1时，此项设置为1或(IOPS, 999999999]内的正整数方可生效。默认值为1，表示不限制。 readiopsburst READIOPSBURST 使用Burst功能时，每秒能够进行读操作次数的最大值。 取值：整数形式。只有当readiops READIOPS 大于等于1时，此项设置为1或(READIOPS, 999999999]内的正整数方可生效。默认值为1，表示不限制。 writeiopsburst WRITEIOPSBURST 使用Burst功能时，每秒能够进行写操作次数的最大值。 取值：整数形式。只有当writeiops WRITEIOPS 大于等于1时，此项设置为1或(WRITEIOPS 999999999]内的正整数方可生效。默认值为1，表示不限制。 bpsburst BPSBURST 使用Burst功能时，每秒可传输的数据量最大值。 取值：整数形式，数字后面可以输入单位简写B/b、K/k、M/m、G/g、T/t，分别代表B/s、KiB/s、MiB/s、GiB/s、TiB/s。默认单位是B/s，默认值为1，表示不限制。只有当bps BPS大于等于1时，在单位相同的情况下，此项设置为下列取值范围方可生效： 如果单位是B/s，取值为1或(BPS, 4096000000000]内的正整数。 如果单位是KiB/s，取值为1或(BPS, 4000000000]内的正整数。 如果单位是MiB/s，取值为1或(BPS, 3906250]内的正整数。 如果单位是GiB/s，取值为1或(BPS, 3814]内的正整数。 如果单位是TiB/s，取值为1或(BPS, 3]内的正整数。 readbpsburst READBPSBURST 使用Burst功能时，读带宽上限。 取值：整数形式，数字后面可以输入单位简写B/b、K/k、M/m、G/g、T/t，分别代表B/s、KiB/s、MiB/s、GiB/s、TiB/s。默认单位是B/s，默认值为1，表示不限制。只有当readbps READBPS大于等于1时，在单位相同的情况下，此项设置为下列取值范围方可生效： 如果单位是B/s，取值为1或(READBPS, 4096000000000]内的正整数。 如果单位是KiB/s，取值为1或(READBPS, 4000000000]内的正整数。 如果单位是MiB/s，取值为1或(READBPS, 3906250]内的正整数。 如果单位是GiB/s，取值为1或(READBPS, 3814]内的正整数。 如果单位是TiB/s，取值为1或(READBPS, 3]内的正整数。 writebpsburst WRITEBPSBURST 使用Burst功能时，写带宽上限。 取值：整数形式，数字后面可以输入单位简写B/b、K/k、M/m、G/g、T/t，分别代表B/s、KiB/s、MiB/s、GiB/s、TiB/s。默认单位是B/s，默认值为1，表示不限制。只有当writebps WRITEBPS大于等于1时，在单位相同的情况下，此项设置为下列取值范围方可生效： 如果单位是B/s，取值为1或(WRITEBPS, 4096000000000]内的正整数。 如果单位是KiB/s，取值为1或(WRITEBPS, 4000000000]内的正整数。 如果单位是MiB/s，取值为1或(WRITEBPS, 3906250]内的正整数。 如果单位是GiB/s，取值为1或(WRITEBPS, 3814]内的正整数。 如果单位是TiB/s，取值为1或(WRITEBPS, 3]内的正整数。 iopsburstsecs IOPSBURSTSECS 使用Burst功能时，按照Burst上限的能力进行读写操作所能持续的时间。 注意 只有在IOPS Burst功能启用时，此配置才生效。 取值：整数形式，取值为[1, 999999999]，默认值为1，单位是秒。 readiopsburstsecs READIOPSBURSTSECS 使用Burst功能时，按照Burst上限的能力进行读操作所能持续的时间。 注意 只有在Read IOPS Burst功能启用时，此配置才生效。 取值：整数形式，取值为[1, 999999999]，默认值为1，单位是秒。 writeiopsburstsecs WRITEIOPSBURSTSECS 使用Burst功能时，按照Burst上限的能力进行写操作所能持续的时间。 注意 只有在Write IOPS Burst功能启用时，此配置才生效。 取值：整数形式，取值为[1, 999999999]，默认值为1，单位是秒。 bpsburstsecs BPSBURSTSECS 使用Burst功能时，按照Burst上限的流量能力所能持续的时间。 注意 只有在BPS Burst功能启用时，此配置才生效。 取值：整数形式，取值为[1, 999999999]，默认值为1，单位是秒。 readbpsburstsecs READBPSBURSTSECS 使用Burst功能时，按照Burst上限的读流量能力所能持续的时间。 注意 只有在Read BPS Burst功能启用时，此配置才生效。 取值：整数形式，取值为[1, 999999999]，默认值为1，单位是秒。 writebpsburstsecs WRITEBPSBURSTSECS 使用Burst功能时，按照Burst上限的写流量能力所能持续的时间。 注意 只有在Write BPS Burst功能启用时，此配置才生效。 取值：整数形式，取值为[1, 999999999]，默认值为1，单位是秒。 reclaimpolicy RECLAIMPOLICY QoS策略的回收策略。 取值： Delete：解除QoS策略关联的所有对象或者删除QoS策略关联的所有对象，系统会触发删除QoS策略。 Retain：解除QoS策略关联的所有对象或者删除QoS策略关联的所有对象，QoS策略仍保留。 默认值为Retain。 description QoS策略的描述信息。

本节主要介绍修改QoS策略命令。 ./stor qos set {n name } QOSNAME [newname NEWNAME ] [ iops IOPS ] [ readiops READIOPS ] [ writeiops WRITEIOPS ] [ bps BPS ] [ readbps READBPS ] [ writebps WRITEBPS ] [ iopsburst IOPSBURST ] [ readiopsburst READIOPSBURST ] [ writeiopsburst WRITEIOPSBURST ] [ bpsburst BPSBURST ] [ readbpsburst READBPSBURST ] [ writebpsburst WRITEBPSBURST ] [ iopsburstsecs IOPSBURSTSECS ] [ readiopsburstsecs READIOPSBURSTSECS ] [ writeiopsburstsecs WRITEIOPSBURSTSECS ] [ bpsburstsecs BPSBURSTSECS ] [ readbpsburstsecs READBPSBURSTSECS ] [ writebpsburstsecs WRITEBPSBURSTSECS ] [ reclaimpolicy RECLAIMPOLICY ] [ changedescription ] 此命令用来修改QoS策略。 参数 参数 描述 n QOSNAME 或 name QOSNAME 指定要修改的QoS策略名称。 newname NEWNAME 指定QoS策略的新名称。 取值：字符串形式，长度范围1~64，只能由字母、数字和短横线()组成，区分大小写，且仅支持以字母或数字开头。 iops IOPS 每秒能够进行读写操作次数的最大值。 取值：整数形式，取值为[1, 999999999]。1表示不限制。 readiops READIOPS 每秒能够进行读操作次数的最大值。 取值：整数形式，取值为[1, 999999999]。1表示不限制。 writeiops WRITEIOPS 每秒能够进行写操作次数的最大值。 取值：整数形式，取值为[1, 999999999]。1表示不限制。 bps BPS 每秒可传输数据量的最大值。 取值：整数形式，数字后面可以输入单位简写B/b、K/k、M/m、G/g、T/t，分别代表B/s、KiB/s、MiB/s、GiB/s、TiB/s，默认单位是B/s。1表示不限制。 如果单位是B/s，取值为[1, 4096000000000]。 如果单位是KiB/s，取值为[1, 4000000000]。 如果单位是MiB/s，取值为[1, 3906250]。 如果单位是GiB/s，取值为[1, 3814]。 如果单位是TiB/s，取值为[1, 3]。 readbps READBPS 读带宽上限。 取值：整数形式，数字后面可以输入单位简写B/b、K/k、M/m、G/g、T/t，分别代表B/s、KiB/s、MiB/s、GiB/s、TiB/s，默认单位是B/s。1表示不限制。 如果单位是B/s，取值为[1, 4096000000000]。 如果单位是KiB/s，取值为[1, 4000000000]。 如果单位是MiB/s，取值为[1, 3906250]。 如果单位是GiB/s，取值为[1, 3814]。 如果单位是TiB/s，取值为[1, 3]。 writebps WRITEBPS 写带宽上限。 取值：整数形式，数字后面可以输入单位简写B/b、K/k、M/m、G/g、T/t，分别代表B/s、KiB/s、MiB/s、GiB/s、TiB/s，默认单位是B/s。1表示不限制。 如果单位是B/s，取值为[1, 4096000000000]。 如果单位是KiB/s，取值为[1, 4000000000]。 如果单位是MiB/s，取值为[1, 3906250]。 如果单位是GiB/s，取值为[1, 3814]。 如果单位是TiB/s，取值为[1, 3]。 iopsburst IOPSBURST 使用Burst功能时，每秒能够进行读写操作次数的最大值。 取值：整数形式。只有当iops IOPS 大于等于1时，此项设置为1或(IOPS, 999999999]内的正整数方可生效。1表示不限制。 readiopsburst READIOPSBURST 使用Burst功能时，每秒能够进行读操作次数的最大值。 取值：整数形式。只有当readiops READIOPS 大于等于1时，此项设置为1或(READIOPS, 999999999]内的正整数方可生效。1表示不限制。 writeiopsburst WRITEIOPSBURST 使用Burst功能时，每秒能够进行写操作次数的最大值。 取值：整数形式。只有当writeiops WRITEIOPS 大于等于1时，此项设置为1或(WRITEIOPS 999999999]内的正整数方可生效。1表示不限制。 bpsburst BPSBURST 使用Burst功能时，每秒可传输的数据量最大值。 取值：整数形式，数字后面可以输入单位简写B/b、K/k、M/m、G/g、T/t，分别代表B/s、KiB/s、MiB/s、GiB/s、TiB/s，默认单位是B/s。1表示不限制。只有当bps BPS大于等于1时，在单位相同的情况下，此项设置为下列取值范围方可生效： 如果单位是B/s，取值为1或(BPS, 4096000000000]内的正整数。 如果单位是KiB/s，取值为1或(BPS, 4000000000]内的正整数。 如果单位是MiB/s，取值为1或(BPS, 3906250]内的正整数。 如果单位是GiB/s，取值为1或(BPS, 3814]内的正整数。 如果单位是TiB/s，取值为1或(BPS, 3]内的正整数。 readbpsburst READBPSBURST 使用Burst功能时，读带宽上限。 取值：整数形式，数字后面可以输入单位简写B/b、K/k、M/m、G/g、T/t，分别代表B/s、KiB/s、MiB/s、GiB/s、TiB/s，默认单位是B/s。1表示不限制。只有当readbps READBPS大于等于1时，在单位相同的情况下，此项设置为下列取值范围方可生效： 如果单位是B/s，取值为1或(READBPS, 4096000000000]内的正整数。 如果单位是KiB/s，取值为1或(READBPS, 4000000000]内的正整数。 如果单位是MiB/s，取值为1或(READBPS, 3906250]内的正整数。 如果单位是GiB/s，取值为1或(READBPS, 3814]内的正整数。 如果单位是TiB/s，取值为1或(READBPS, 3]内的正整数。 writebpsburst WRITEBPSBURST 使用Burst功能时，写带宽上限。 取值：整数形式，数字后面可以输入单位简写B/b、K/k、M/m、G/g、T/t，分别代表B/s、KiB/s、MiB/s、GiB/s、TiB/s，默认单位是B/s。1表示不限制。只有当writebps WRITEBPS大于等于1时，在单位相同的情况下，此项设置为下列取值范围方可生效： 如果单位是B/s，取值为1或(WRITEBPS, 4096000000000]内的正整数。 如果单位是KiB/s，取值为1或(WRITEBPS, 4000000000]内的正整数。 如果单位是MiB/s，取值为1或(WRITEBPS, 3906250]内的正整数。 如果单位是GiB/s，取值为1或(WRITEBPS, 3814]内的正整数。 如果单位是TiB/s，取值为1或(WRITEBPS, 3]内的正整数。 iopsburstsecs IOPSBURSTSECS 使用Burst功能时，按照Burst上限的能力进行读写操作所能持续的时间。 注意 只有在IOPS Burst功能启用时，此配置才生效。 取值：整数形式，取值为[1, 999999999]，单位是秒。 readiopsburstsecs READIOPSBURSTSECS 使用Burst功能时，按照Burst上限的能力进行读操作所能持续的时间。 注意 只有在Read IOPS Burst功能启用时，此配置才生效。 取值：整数形式，取值为[1, 999999999]，单位是秒。 writeiopsburstsecs WRITEIOPSBURSTSECS 使用Burst功能时，按照Burst上限的能力进行写操作所能持续的时间。 注意 只有在Write IOPS Burst功能启用时，此配置才生效。 取值：整数形式，取值为[1, 999999999]，单位是秒。 bpsburstsecs BPSBURSTSECS 使用Burst功能时，按照Burst上限的流量能力所能持续的时间。 注意 只有在BPS Burst功能启用时，此配置才生效。 取值：整数形式，取值为[1, 999999999]，单位是秒。 readbpsburstsecs READBPSBURSTSECS 使用Burst功能时，按照Burst上限的读流量能力所能持续的时间。 注意 只有在Read BPS Burst功能启用时，此配置才生效。 取值：整数形式，取值为[1, 999999999]，单位是秒。 writebpsburstsecs WRITEBPSBURSTSECS 使用Burst功能时，按照Burst上限的写流量能力所能持续的时间。 注意 只有在Write BPS Burst功能启用时，此配置才生效。 取值：整数形式，取值为[1, 999999999]，单位是秒。 reclaimpolicy RECLAIMPOLICY QoS策略的回收策略。 取值： Delete：解除QoS策略关联的所有对象或者删除QoS策略关联的所有对象，系统会触发删除QoS策略。 Retain：解除QoS策略关联的所有对象或者删除QoS策略关联的所有对象，QoS策略仍保留。 changedescription 修改QoS策略的描述信息。

概述 本章节介绍MSE ZooKeeper引擎的黑白名单功能，在实例开通完毕后，可以通过设置ZooKeeper实例黑白名单来限制一定范围内的IP地址（可以单个或者多个，可以是IP或者是IP段）访问实例。当白名单和黑名单配置存在冲突时，以黑名单规则优先。 前提条件 1. 已开通微服务引擎MSE ZooKeeper引擎实例，参考章节：创建ZooKeeper实例； 2. 已开通ZooKeeper实例并且状态正常。 操作步骤 1. 登录微服务引擎MSE注册配置中心管理控制台，选择资源池； 2. 在左侧导航栏，选择注册配置中心 > 实例列表； 3. 在实例列表页面，单击目标实例ID、实例名称或者目标行“管理”按钮均可跳转至实例基础信息页面； 4. 点击右侧权限控制 > 黑白名单管理，点击页面“黑白名单配置”标题后面的编辑按钮，进入编辑模式； 5. 打开“白名单配置 ”后面的开关按钮，开启白名单，在白名单配置输入框中，输入允许访问的IP地址段，并点击确定； 1. 如果白名单配置内容为空，表示所有地址均不可访问ZooKeeper实例； 2. 如果填写了IP地址加掩码，表示允许所设置的IP地址段访问实例； 3. 如果开关状态为关闭，则配置内容不生效 6. 打开“黑名单配置 ”后面的开关按钮，在黑名单配置输入框中，输入禁止访问的IP地址段，并点击确定； 1. 如果黑名单配置内容为空，表示所有地址均可访问ZooKeeper实例； 2. 如果填写的IP地址加掩码，表示禁止所设置的IP地址段访问实例； 3. 如果开关状态为关闭，则配置内容不生效； 注意 如果您绑定了ELB，并使用ELB访问，则这部分流量不受黑白名单控制；可以去ELB控制台设置相关规则； 黑白名单认证时通过访问的请求头部中获取客户端IP，可能与公网地址不同，请确保配置的IP与请求携带的IP相同； 即使配置了白名单,仍然需要通过其他类型的认证才能访问，如ACL、SASL认证； IP地址格式支持IPv4及IPv6：X.X.X.X/X或X:X:X:X:X:X:X:X/X，斜杠后为掩码。若白名单设置为空，表示禁止所有地址的访问，请谨慎设置。多个公网IP地址或地址段，每个地址或地址段之间用英文半角逗号（,）分隔。

插件名 描述 版本 analysishanlp 优化过的HanLP中文分词插件 2.19.1.0 flowcontrol 自研流量控制插件，可进行流控管控、限流等 2.19.1.0 opensearchanalisyspinyin 拼音分词插件 2.19.1.0 opensearchanalisysstconvert STConvert插件，支持中文简体和中文繁体相互转换 2.19.1.0 opensearchanalysisik ik中文分词插件，支持自定义词典 2.19.1.0 opensearchasynchronoussearch 异步搜索插件 2.19.1.0 opensearchcrossclusterreplication 跨集群复制插件 2.19.1.0 opensearchgeospatial geospatial插件 2.19.1.0 opensearchindexmanagement 索引管理插件 2.19.1.0 opensearchjobscheduler 任务调度插件 2.19.1.0 opensearchknn 向量检索引擎插件，可支撑图像搜索、语音识别和商品推荐等向量检索场景的需求 2.19.1.0 opensearchnotifications 消息通知插件 2.19.1.0 opensearchnotificationscore 消息通知core插件 2.19.1.0 opensearchsecurity 安全插件 2.19.1.0 opensearchsql sql查询插件 2.19.1.0 prometheusexporter Opensearch的prometheus exporter插件 2.19.1.0 repositoryhdfs Hadoop分布式文件系统HDFS（Hadoop Distributed File System）存储库插件，提供了对HDFS存储库的支持 2.19.1.0 repositorys3 支持将数据存入天翼云对象存储ZOS的插件 2.19.1.0 ingestattachement 支持多格式文件的全文检索插件 2.19.1.0 opensearchreportsscheduler 报告生成插件 2.19.1.0 opensearchalerting 告警管理插件 2.19.1.0 opensearchanomalydetection 基于机器学习的时序数据异常模式识别插件 2.19.1.0 opensearchcustomcodecs 自定义编码器插件，支持zstd压缩算法 2.19.1.0 opensearchflowframework 可视化数据管道编排插件 2.19.1.0 opensearchltr 基于机器学习的搜索相关度排序插件 2.19.1.0 opensearchml 机器学习插件 2.19.1.0 opensearchneuralsearch 基于神经网络的语义检索插件 2.19.1.0 opensearchobservability 全栈监控工具插件 2.19.1.0 opensearchperformanceanalyzer 性能分析插件 2.19.1.0 opensearchskills 提供机器学习agent框架工具 2.19.1.0 opensearchsystemtemplates 系统模板仓库插件 2.19.1.0 analysisicu 提供 ICU（International Components for Unicode） 支持的分词和字符归一化功能，尤其适合多语言处理 2.19.1.0 analysiskuromoji 日语分词器插件 2.19.1.0 analysisnori 韩语分词器插件 2.19.1.0

本文介绍跨域备份相关内容。 跨域备份 仅限备份空间为对象存储的实例开启跨域备份，该功能默认不开放，如需使用，请提交工单申请。 跨地域备份默认不开启，您可以根据需要选择是否开启。 历史备份开关默认不开启，开启历史备份开关意味着已有的历史备份文件将同步至跨域资源池。如果不开启，则只有新增的备份会同步至跨地域资源池。 目前支持设置跨域备份的资源池有：华东1、西南1、华北2，其中华东1资源池实例支持配置西南1作为跨域备份资源池， 西南1资源池实例支持配置华东1作为跨域备份资源池，华北2资源池实例支持配置华东1作为跨域备份资源池。 开启跨域备份后，本地备份（包括自动备份、手动备份，数据备份及日志备份）会同步至跨域资源池。跨域备份实际上是复用对象存储的（异步）复制能力，将对象复制到跨域资源池的对象存储中，因此跨域备份与本地备份之间有一定的延迟。 跨域备份可能涉及存储费用及流量费用，具体请参考备份计费说明。 虽然跨域备份源于本地备份复制，但跨域备份与本地备份独立管理，删除本地备份不影响跨域备份，删除跨域备份也不影响本地备份，提高备份的可靠性，本地备份和跨域备份可以设置不同的保留时间。 跨域备份适合于对备份安全性极高的场景或客户需求，一般跨域资源池都是分布在两个相距较远的不同城市。 已成功同步的跨域备份支持生成跨域资源池的下载链接，比如华东1的实例配置了西南1作为跨域资源池，则已成功同步至西南1的跨域备份支持生成西南1域名的下载链接，具体操作请参考下载备份。 如果要删除本地或跨域手动备份，需要分别删除，具体请参考删除手动备份。 已成功同步的跨域备份，支持跨域恢复至新实例，比如华东1的实例配置了西南1作为跨域资源池，则已成功同步至西南1的跨域备份支持恢复到西南1的新实例（开通新实例并恢复数据），具体请参考跨域恢复。

适用场景 本章介绍在CCE中如何将老版本集群的业务迁移到新版本集群。 适用于需要大幅度跨版本集群升级的需求，可以接受新建新版本集群而进行业务迁移的升级方式。 前提条件 迁移前Checklist 类别 描述 集群相关 Nodeip强相关：确认之前集群的节点IP（包括EIP），是否有作为其他的配置或者白名单之类的设置。 工作负载 记录工作负载数目，便于迁移后检查。 存储 1. 确认应用中存储，是否使用公有云，或者自己搭建存储。 2. 自动创建的存储需要在新集群中变成使用已有存储。 网络 1. 注意使用的负载均衡服务，以及Ingress。 2. 老版本的集群只支持经典型负载均衡服务，迁移到新集群中需要改成共享型负载均衡服务，对应负载均衡服务将会重新建立。 运维 私有配置：确认在之前集群中，是否在节点上配置内核参数或者系统配置。 操作步骤 步骤 1 创建新集群 创建与老版本集群同规格同配置的集群，创建方法请参见购买混合集群。 步骤 2 添加节点 添加同规格节点，并且在节点上配置之前的手动配置项，创建方法请参见购买节点。 步骤 3 创建存储 在新集群中使用已有存储创建PVC，PVC名称不变，方法请参见存储管理>使用kubectl对接已有云硬盘。 说明：切流方案仅支持对象存储、文件存储、共享云硬盘类型的存储。非共享云硬盘存储切流需要将老集群内的工作负载暂停，会导致断服。 步骤 4 创建工作负载 在新集群中创建工作负载，名称和规格参数保持不变，创建方法请参见工作负载管理>创建无状态负载(Deployment)或创建有状态负载(StatefulSet)。在工作负载中挂载存储，方法请参见存储管理>使用kubectl部署带云硬盘存储卷的工作负载。 步骤 5 创建服务 在新集群中创建Service，名称和规格参数保持不变，创建方法请参见网络管理>集群内访问(ClusterIP)、节点访问(NodePort)、负载均衡(LoadBalancer)。 步骤 6 调测功能 全部创建完成后，请自行调测业务，调测无问题后切换流量。 步骤 7 老集群退订或删除 新集群全部功能ready，使用解关联功能卸载存储关联卷，方法请参见存储管理>解关联云硬盘。退订或者删除老集群，删除集群方法请参见删除集群。

本文向您介绍如何创建企业版VPN连接。 场景描述 如果您需要将VPC中的弹性云主机和数据中心或私有网络连通，创建VPN网关、对端网关之后，需要继续创建VPN连接。 约束与限制 使用静态路由模式创建VPN连接时，使能NQA前请确认对端网关支持ICMP功能，且对端接口地址已在对端网关上正确配置，否则可能导致流量不通。 操作步骤 1. 登录管理控制台，单击“网络 > VPN”进入VPN控制台。 2. 在左侧导航栏，单击“虚拟专用网络 > 企业版VPN连接”。 3. 在“VPN连接”页面，单击“创建VPN连接”。 说明 VPN网关的两个EIP支持分别和对端网关创建一条VPN连接。VPN双连接可以很大程度提升云上云下连接的可靠性，强烈建议配置。 4. 根据界面提示配置参数，单击“立即购买”。 表VPN连接参数说明 参数 说明 取值样例 名称 VPN连接的名称，只能由中文、英文字母、数字、下划线、中划线、点组成。 vpn001 VPN网关 选择待关联的VPN网关名称。 如果您使用国密型VPN网关，且VPN网关没有绑定相关证书，请先单击右侧“上传证书”完成上传证书操作，否则VPN连接将无法建立。 vpngw001 网关IP 选择VPN网关IP。 VPN网关对接同一对端网关时，不能选择已使用过的EIP地址。 可选的网关IP 对端网关 选择对端网关信息。 如果您使用国密型网关，且对端网关没有绑定CA证书，请先参见本指南“企业版对端网关管理 > 上传对端网关证书”上传CA证书，否则VPN连接将无法建立。 说明 如果一个对端网关同时对接多个VPN网关，则VPN网关的BGP ASN和连接模式需要相同。 cgw001 连接模式 IPsec连接的模式，支持路由模式和策略模式。 静态路由模式。 根椐路由配置（本端子网与对端子网）确定哪些数据进入IPsec VPN隧道。 适用场景：对端网关之间要求互通。 BGP路由模式。 根据BGP动态路由确定哪些数据进入IPsec VPN隧道。 适用场景：对端网关之间要求互通，互通子网数量多或变化频繁、与专线互备等组网场景。 策略模式。 根椐策略规则（用户侧到VPC之间通信的数据流信息）确定哪些数据进入IPsec VPN隧道，支持以源网段和目的网段定义策略规则。 适用场景：对端网关之间要求隔离。 静态路由模式 对端子网 指需要通过VPN连接访问云上VPC的用户侧子网。 若存在多个对端子网，请用半角逗号（,）隔开。 说明 对端子网可以和本端子网重叠，但不能重合。 对端子网不能被VPN网关关联的VPC内已有子网所包含；不能作为被VPN网关关联的VPC自定义路由表的目的地址。 对端子网不能是VPC的预留网段，例如100.64.0.0/10、214.0.0.0/8。 172.16.1.0/24,172.16.2.0/24 接口分配方式 仅“连接模式”采用“静态路由模式”和“BGP路由模式”时需要配置。 说明 接口地址为VPN网关和对端网关通信的tunnel隧道IP地址。 如果对端网关的tunnel接口地址固定不可更改，请使用“手动分配”模式，并根据对端网关的tunnel接口地址设置VPN网关的tunnel接口地址。 手动分配。 仅支持在169.254.x.x/30网段（除169.254.195.x/30）范围内，配置VPN网关本端接口地址的tunnel接口地址；对端网关对端接口地址的tunnel接口地址会根据本端接口地址随机生成。 例如：本端接口地址配置为169.254.1.6/30，则对端接口地址自动配置为169.254.1.5/30。 自动分配。 VPN网关默认使用169.254.x.x/30网段对tunnel接口分配地址。 自动分配的本端接口地址/对端接口地址，可以在VPN连接页面，单击“修改连接信息”进行查看。 自动分配 本端隧道接口地址 仅“接口分配方式”采用“手动分配”时需要配置。 配置在VPN网关上的tunnel接口地址。 对端隧道接口地址 仅“接口分配方式”采用“手动分配”时需要配置。 配置在对端网关上的tunnel接口地址，该接口地址需要和对端网关实际配置的tunnel接口地址保持一致。 检测机制 仅“连接模式”采用“静态路由模式”时需要配置。 说明 功能开启前，请确认对端网关支持ICMP功能，且对端接口地址已在对端网关上正确配置，否则可能导致流量不通。 功能开启后，VPN网关会自动对对端接口地址进行NQA探测。 勾选 预共享密钥 VPN网关和对端网关的预共享密钥需要保持一致。 取值范围： 取值长度：8~128个字符。 只能包括以下几种字符，且必须包含三种及以上类型： 数字 大写字母 小写字母 特殊符号：包括“~”、“!”、“@”、“

指标分类 参数名称 填写说明 跨域访问 http.cors.enabled true表示启用跨域资源访问，false表示不启用 跨域访问 http.cors.alloworigin 支持 host/IP 和 port 组合、域名或号，例如node1:9200,127.0.0.1:9200，限制1100个，逗号隔开；号表示全部放开 跨域访问 http.cors.maxage 浏览器默认缓存时间。如果超过设置的时间后，缓存将自动清除。数值，取值范围[01728000]，单位秒 跨域访问 http.cors.allowcredentials 响应中是否允许返回allowcredentials取值true/false 跨域访问 http.cors.allowheaders 跨域访问允许的headers，XRequestedWith,ContentType,ContentLength中的任意一个或多个 跨域访问 http.cors.allowmethods 跨域访问允许的方法OPTIONS,HEAD,GET,POST,PUT,DELETE中的任意一个或多个 审计日志 plugins.security.audit.type 审计日志，默认关闭，开启后，系统会记录OpenSearch实例对应的操作产生的日志 Reindex索引迁移 reindex.remote.whitelist 添加远程集群的访问地址白名单，支持host/IP 和 port 组合，例如 node1:9200，127.0.0.1:9200，port必填。限制1100个，逗号隔开 索引自动创建、通配删除 action.destructiverequiresname 删除索引是否需要声明完整索引名 true：需要声明完整索引名 false：不需要声明完整索引名 自定义查询缓存 action.autocreateindex 是否允许自动根据文档创建索引 线程池 threadpool.forcemerge.size forcemerge场景下队列的大小 流量控制 flowcontrol.search.qps 每秒查询请求数，超过设定值，响应查询API则熔断 读写集群的线程池设置 threadpool.write.queuesize 写阈值线程池大小，整数类型，取值范围1100000 读写集群的线程池设置 threadpool.search.queuesize 读阈值线程池大小，整数类型，取值范围1100000 fielddata的堆内cache indices.fielddata.cache.size fielddata的cache size，百分比，取值范围1%39% 查询相关限制 indices.query.bool.maxclausecount 查询的bool语句允许的子语句大小，整数类型，取值范围11024

本章节向您介绍通过企业路由器实现同区域VPC互通的方案概述。 方案架构 XX企业在公有云区域A内部署了4个虚拟私有云VPC，这4个VPC之间需要互相访问。 在区域A内创建一个企业路由器ER，将VPC接入ER内，ER可以在4个VPC之间路由流量，实现网络互通，具体如下图。 说明 本章节指导用户通过企业路由器快速构建同区域组网，实现同区域VPC互通。 您可以使用企业路由器共享功能，将不同帐号下的虚拟私有云添加至同一个企业路由器中构建组网。 操作流程 本文档介绍如何通过企业路由器构建同区域VPC互通组网，流程如下图。 下表为构建同区域VPC互通组网流程说明。 序号 步骤 说明 1 步骤一：规划组网与资源 规划组网和资源，包括资源数量及网段信息等。 2 步骤二：创建企业路由器 创建1个企业路由器，构建一个同区域组网只需要1个企业路由器。 3 步骤三：（可选）创建VPC和ECS资源 创建4个虚拟私有云VPC和4个弹性云云主机ECS。此处资源数量和规格均为示例，您可以根据实际情况调整。 4 步骤四：在企业路由器中添加VPC连接 将4个VPC分别接入企业路由器中。 5 步骤五：（可选）在VPC路由表中配置路由 在VPC路由表中配置到企业路由器的路由信息。 如果您在创建连接时开启“配置连接侧路由”选项，则不用手动在VPC路由表中配置静态路由，系统会在VPC的所有路由表中自动添加指向ER的路由，目的地址固定为10.0.0.0/8，172.16.0.0/12，192.168.0.0/16。 如果VPC路由表中的路由与这三个固定网段冲突，则会添加失败。此时建议您不要开启“配置连接侧路由”选项，并在连接创建完成后，手动添加路由。 6 步骤六：验证网络互通情况 登录ECS，执行ping命令，验证网络互通情况。

本节主要介绍修改专享版实例 API网关专享版实例的部分基本信息以及配置参数，可以从控制台修改。 修改实例信息 专享版实例创建后，您可能需要调整实例的一些配置，比如调大出公网的带宽，以便支撑更高的API请求流量。 步骤 1 进入API网关控制台页面。 步骤 2 在左侧导航栏选择“实例管理”。 步骤 3 在待查看或编辑的实例上，单击“查看控制台”或 实例名称 。 步骤 4 在“实例信息”页签，找到您需要调整实例的基本信息项并进行修改。 表 专享版实例基本信息修改 可修改项 说明 :: 实例名称 填写实例的名称，根据规划自定义。 描述 填写实例的描述信息。 时间窗 指允许云服务技术支持对实例进行维护的时间段。如有维护需要，技术支持会提前与您沟通确认。 建议选择业务量较少的时间段。 安全组 安全组用于设置端口访问规则，定义哪些端口允许被外部访问，以及允许访问外部哪些地址与端口。 例如，后端服务部署在外部网络，则需要设置相应的安全组规则，允许访问后端服务地址与API调用监听端口。 说明： 更换安全组时，新的安全组须满足专享版实例的前端API调用以及访问后端服务所需出入规则。 如果开启公网入口，安全组入方向需要放开80（HTTP）和443（HTTPS）端口的访问权限。 弹性IP地址 指允许外部服务通过弹性IP地址，调用专享版实例创建的API。开启“公网入口”，需要绑定一个“弹性IP地址”。 您需要使用独立域名/子域名访问，使用子域名访问时存在单日访问次数限制。 可在创建API分组后，为分组绑定独立域名，独立域名需要解析到专享版实例的弹性IP。 出口地址 指允许专享版实例API的后端服务部署在外部网络，API网关为实例开启公网出口。公网出口可随时关闭或开启。 出公网带宽 出公网带宽可配置范围为1~2000Mbit/s，费用按小时计算，以弹性公网IP服务的价格为准。

本节介绍如何开启Kafka的Smart Connect功能。 Smart Connect用于Kafka实例和其他云服务（如OBS）之间的数据同步，或者两个Kafka实例之间的数据同步，实现数据的备份或迁移。 Smart Connect的使用流程为： 1. 开启Smart Connect。 2. 创建Smart Connect任务。 本章节主要介绍如何开启Smart Connect。 约束与限制 开启Smart Connect后，实例需要另外收取用于Smart Connect的代理费用。 例如：规格为kafka.4u8g.cluster的实例，会另外创建至少两个规格为kafka.4u8g的代理，用于Smart Connect，所以需要收取相应代理费用。 前提条件 已创建Kafka实例，且实例状态为“运行中”。 “auto.create.groups.enable”已设置为“true”。如果需要修改“auto.create.groups.enable”的取值，请参考修改Kafka实例配置参数。 开启Smart Connect 1、登录管理控制台。 2、在管理控制台左上角单击，选择Kafka实例所在的区域。 3、在管理控制台左上角单击，选择“应用服务 > 分布式消息服务 Kafka”，进入分布式消息服务Kafka专享版页面。 4、通过以下任意一种方法，开启Smart Connect。 在待开启Smart Connect的Kafka实例所在行，单击“更多 > 开启Smart Connect”。 单击Kafka实例名称，进入实例详情页面。单击右上角的“更多 > 开启Smart Connect”。 单击Kafka实例名称，进入实例详情页面。在“Smart Connect”后，单击。 单击Kafka实例名称，进入实例详情页面。在左侧导航栏单击“Smart Connect”，进入Smart Connect页面。单击“开启Smart Connect”。 5、单击，将Smart Connect设置为开启，并设置用于Smart Connect的代理数量，代理数取值范围为2~16个，单击“下一步”。 说明 代理数默认为2个，如果您预估2个Kafka实例间的同步流量比较大，例如大于50MB/s，请设置2个以上的代理数。 6、确认“Smart Connect”为开启状态，单击“提交”。 结束

配置项 描述 计费模式 支持包年包月和按需计费方式，费用说明请参照购买指南>计费说明 购买时长 可以根据实际需求进行选择，支持1个月、2个月、3个月、4个月、5个月、6个月、1年 自动续期 您可以选择开启自动续期，避免AI网关到期后无法使用 自动续期购买时长 开启自动续期，可以选择续期时长，支持1个月、2个月、3个月、4个月、5个月、6个月、1年 网关类型 选择AI网关 部署方式 实例节点将按单可用区、多可用区部署方式，分布在单个或者多个可用区中。多可用区部署可增强实例的容灾能力 可用区 选择单可用区部署方式时，可用区可任选其一；选择多可用区部署时，必须选择至少3个可用区 CPU架构 部署实例的主机架构 主机类型 部署实例的主机类型 网关规格 参见产品简介产品规格介绍 虚拟私有云 选择虚拟私有云，若您还没有虚拟私有云，请参照创建虚拟私有云 所在子网 择所在子网，若您还没有所在子网，请参照创建所在子网 启用IPv6 若子网已开启IPv6访问，在此处可选择启用IPv6,未启用IPv6时，将通过IPv4访问 安全组 选择安全组，若您还没有可用安全组，请参照创建安全组。 启用负载均衡 启用后创建一个负载均衡实例绑定到网关实例，可以选择负载均衡类型和负载均衡网络类型 实例名称 自定义实例名称，不可重复；实例名称长度4~40个字符，大小写字母开头，只能包含大小写字母、数字及分隔符()，大小写字母或数字结尾 企业项目 网关实例关联的企业项目，可以到IAM控制台创建企业项目 指标监控 启用后，可在控制台观测分析中查看系统和API的流量、成功率、延迟等监控指标，若您还没有开通应用性能监控产品，可先点击提示链接前往开通 链路追踪 可选择采集百分比启用，启用后，可在控制台观测分析中查看API请求的链路追踪信息，您可通过委托授权的方式开通此服务 云日志服务 启用后，可在控制台观测分析中查看访问日志，您可通过委托授权的方式开通此服务

本章节介绍OPA策略 概述 OPA（Open Policy Agent）是一个通用的策略引擎，通过声明式的Rego语言实现丰富的授权策略。应用服务网格提供一键集成OPA引擎功能，整体架构如下： 其中OPA控制面包括： 1，OPA webhook服务，用于实现OPA sidecar的注入； 2，OpaPolicy controller监听OPA策略CRD，用于实现OPA策略分发； 业务pod内除了业务容器和istioproxy之外还会注入OPA sidecar，外部请求pod时流量被istioproxy拦截，根据定义的授权策略请求OPA sidecar，实现对请求的授权。 注意 注意：OPA sidecar当前使用8181端口管理OPA策略，使用9191端口提供外部鉴权服务，业务pod注意避开这两个端口。 开启OPA功能 使用OPA功能时首先要在打开开关，进入服务网格控制台，选择网格管理 > 自定义配置，勾选启用OPA 即可。 关闭OPA功能 进入服务网格控制台，选择网格管理> 自定义配置，取消勾选 启用OPA即可。 进入服务网格控制台，选择网格管理> OPA开关，关闭即可。 OPA策略管理 CSM服务网格采用自定义CRD（OpaPolicy）方式管理OPA策略，主要包括OPA策略生效的工作负载选择以及OPA策略（Rego），下面的配置对default命名空间下标签包含version: v1的工作负载生效，策略中定义了guest和admin两个角色，分别给两个角色定义了访问权限，同时还定义了两个用户bob和alice，分别赋予了特定角色；策略执行时会从请求中解析出用户，结合用户的权限和请求信息对访问进行鉴权。 apiVersion: istio.ctyun.cn/v1beta1 kind: OpaPolicy metadata: name: objectpolicy namespace: default spec: policy: package istio.authz import input.attributes.request.http as httprequest import input.parsedpath allow { rolesforuser[r] requiredroles[r] } rolesforuser[r] { r : userroles[username][] } requiredroles[r] { perm : roleperms[r][] perm.method httprequest.method perm.path httprequest.path } username parsed { [, encoded] : split(httprequest.headers.authorization, " ") [parsed, ] : split(base64url.decode(encoded), ":") } userroles { "alice": ["guest"], "bob": ["admin"] } roleperms { "guest": [ {"method": "GET", "path": "/productpage"}, ], "admin": [ {"method": "GET", "path": "/productpage"}, {"method": "GET", "path": "/api/v1/products"}, ], } workloadSelector: labels: version: v1

介绍创建Bucket具体步骤。 功能说明 存储桶，即Bucket，是用以存储对象的容器。每个Bucket都有自己的访问权限、存储区域等属性，用户可在不同区域创建不同访问权限的Bucket，满足不同的存储场景需求。 用户可通过媒体存储控制台进行新建Bucket操作。 注意 每个主账号默认在一个资源池下可创建1000个Bucket。 创建Bucket本身不收取任何费用，仅收取上传至Bucket中Object的存储费用或者访问Object产生的流量费用等。更多信息，请参见 在同一资源池下，Bucket名必须是全局唯一的且不能修改，即用户创建的Bucket不能与自己已创建的其他Bucket名称相同，也不能与其他用户创建的Bucket名称相同。 Bucket创建成功后，Bucket名称、所属区域均不允许修改。 前提条件 已注册天翼云账号。 已开通媒体存储并创建存储区域。 操作步骤 1. 登录进入媒体存储控制台，进入【对象存储Bucket列表】菜单，点击【新建Bucket】。 2. 在弹窗填写名称、存储区域、选择权限并选择服务端加密方式，点击【保存】完成Bucket的新建。 配置参数说明 参数 参数说明 Bucket名称 长度范围为3~63个字符。 支持小写字母、数字和短划线（）。 必须以小写字母或数字作为开头和结尾。 存储区域 根据已开通的存储区域，选择Bucket所属存储区域。创建Bucket成功后，存储区域无法变更。 阻止公共访问 资源池支持阻止公共访问功能后，新建Bucket默认开启阻止公共访问，以保护您的数据安全，直接点击【保存】完成新建即可。关于阻止公共访问介绍，具体可参考：阻止公共访问。 权限 私有：只有该Bucket的拥有者或被授权者可以对该Bucket内的对象进行读写操作。 公共读：可以通过匿名身份直接读取您Bucket中的数据，存在较高的安全风险，不推荐此配置，建议您选择私有。开启阻止公共访问后，不允许设置为公共读。 公共读写：可以通过匿名身份直接读取/写/删除您Bucket中的数据，存在较高的安全风险，不推荐此配置，建议您选择私有。开启阻止公共访问后，不允许设置为公共读写。 服务端加密方式 选择服务端加密方式，表示上传Object时进行加密的方式，可选【无】或【XOS完全托管】。目前仅部分资源池支持此能力，具体可参考服务端加密。

本文帮助您快速熟悉添加ACL规则的操作场景和操作流程。 操作场景 当您需要按照自定义的策略来对出入子网的流量进行控制时，您可以自定义添加新的出方向、入方向ACL规则。 入方向：指从外部访问ACL规则下的子网内的云服务器。 出方向：指ACL规则下的子网内的云服务器访问ACL外的实例。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 您已经完成网络ACL的创建。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东华东1。 3. 依次选择“网络”，单击“虚拟私有云”；进入网络控制台页面。 4. 在左侧导航栏，选择“访问控制ACL”选项。 5. 在“ACL”界面，选择需要添加规则的ACL。 6. 进入“ACL”详情界面，在入方向规则或出方向规则页签，单击“添加入方向/出方向规则”按钮。 7. 单击“增加一条规则”，可以依次增加多条规则。 8. 单击网络ACL规则操作列下的“复制”选项，复制已有的网络ACL规则。 9. 配置参数说明如下： 参数 说明 优先级 网络ACL规则的优先级，优先级的数值越小，表示优先级越高。为默认的规则，优先级最低。默认规则仅多可用区资源池适用。 IP版本 支持IPv4、IPv6两种协议。 策略 选择入方向规则的授权策略：允许：允许访问子网中云服务器。拒绝：拒绝访问子网中云服务器。 协议 选择协议类型，支持以下几种协议：ALL：所有协议。ICMP：网络控制报文协议。TCP：传输控制协议。UDP：用户数据报协议。 地址和掩码 当前方向允许的地址，对于IPv4，默认值为0.0.0.0/0，代表支持所有的IPv4地址；对于IPv6，默认值为::/0，代表支持所有的IPv6地址。 端口范围 源端口范围，取值范围是1～65535的数字。选择TCP或UDP协议时必须填写。 描述 网络ACL规则的描述信息，非必填项。 注意 1. 对于地域资源池来说，创建ACL时需要指定子网与ACL的关联关系。添加规则时，入方向规则不支持自定义目的地址，出方向规则不支持自定义源地址。 2. 对于可用区资源池来说，添加规则时，出/入方向均支持自定义源/目的端口。 3. 支持IPv6能力逐步上线，实际支持资源池以控制台展示为准。

护航版服务接入流程，含购买阶段、准备阶段、安全检查阶段、重保值守、验收阶段 服务阶段 实施任务 实施内容 交付物 购买阶段 购买护航版服务 按照购买指引，选择自身需要的服务内容及配置，并完成购买支付 购买阶段 发起护航版服务需求 发起护航版服务需求，详细操作请参见获取护航版服务序列号 准备阶段 沟通需求、项目计划，准备《保密协议、授权书》、评估工具等 沟通具体需求，明确项目计划，确定安全评估范围，准备《保密协议、授权书》、评估工具 《保密协议、授权书》 《资产台账》 准备阶段 资产识别/梳理 收集资产范围，核查现有的资产信息情况 《保密协议、授权书》 《资产台账》 安全检查阶段 渗透测试 通过模拟黑客攻击的方式，对网站或在线平台进行全方位渗透入侵测试，提前发现系统潜在的各种高危漏洞和安全威胁，重点针对数据安全涉及漏洞进行检查，如越权漏洞、SQL注入、会话固定、数据明文传输、验证失效等 《漏洞扫描报告》 《基线核查报告》 《渗透测试报告》 安全检查阶段 基线核查 重要服务器、应用系统等基于信息安全风险的角度进行配置核查，从而达到相应的安全防护要求 《漏洞扫描报告》 《基线核查报告》 《渗透测试报告》 安全检查阶段 漏洞扫描 通过扫描工具对目标业务资产进行漏洞扫描 《漏洞扫描报告》 《基线核查报告》 《渗透测试报告》 安全检查阶段 蓝军攻防演练 模拟真实场景中的攻防行动，对攻击行为进行防御演练，从实战中检验目前用户业务的安全程度及防护能力，在面临安全事件时，是否有充分的响应能力，并不断优化自身的安全运营防护体系 《安全实战攻防演练情况总结》 《实在中的安全脆弱点及加固建议》 重保值守 安全检测 通过远程值守的方式，在重保期间内依托于已经部署的安全设备或威胁检测与响应中心等产品，对内外网系统以及安全设备告警信息进行实时监控分析，如内网流量监控、恶意扫描监控、数据窃取监控、网络病毒监控、恶意行为监控及告警信息监控等 《重保总结报告》 《应急响应报告》按需 重保值守 应急响应 在业务遭受攻击或出现异常告警时，现场保障人员配合远程安全专家对攻击或告警进行应急处置，将突发事件带来的损失降到最低，并协助用户开展损失评估、加固指导等，提升网络安全防护水平 《重保总结报告》 《应急响应报告》按需 验收阶段 验收 提交相关技术文档 技术文档

主备复制延迟场景及解决方案 场景1：主库执行了大事务 当主实例执行了大事务后，会产生大量的Binlog日志，备机或只读节点拉取这些Binlog耗时比一般事务长，且至少需要花费与主实例相同的时间来回放这些事务的更新，从而导致备机或只读节点出现复制延迟。 解决办法： 对于一条SQL语句执行大量数据的大事务，执行 show full processlist ，查找是否存在长时间执行的delete或update语句。 分析全量日志或慢日志，检查是否有大事务。 为了保证主从数据的一致性，需要等待大事务执行完成，主备复制延迟才能恢复。 业务侧避免此类大事务，可以将大事务拆分为小事务，分批执行。例如，通过where条件或limit语句限制每次要更新的数据量。 场景2：对无主键表更新 只读节点和备机在回放主库的Binlog event时，会根据表的主键或者二级索引来检索需要更改的行。如果对应表未创建主键，则会产生大量的全表扫描，从而降低了Binlog日志的应用速度，产生复制延迟。 解决办法： 给无主键表增加主键，给缺少二级索引的表增加索引。 场景3：DDL操作 DDL操作往往执行时间很长，尤其是表数据量很大时。通常情况下，只读节点或备机回放一个DDL操作的时间和主库花费的时间基本一致。因此，当主机执行了大表的DDL操作后，备机和只读节点在回放该DDL期间，复制时间必然是一致增大的。 解决办法： 该场景为正常现象，等DDL执行完成后，主备复制延迟才能恢复。建议在业务低峰期执行DDL操作。 场景4：只读实例等待MDL锁 只读实例上往往有业务流量，如果存在只读长事务正在执行，会阻塞主实例同步过来的相应表的DDL操作，卡在了表MDL锁获取，进而阻塞所有同表的后续Binlog回放，导致复制延迟越来越大。 解决方法： kill只读节点上阻塞DDL操作的长事务，或者在业务侧提交该长事务。 场景5：只读实例规格小于主实例 只读实例的规格小于主实例时，一旦主实例写负载升高到一定程度，只读实例会因为自身资源不足，无法及时回放Binlog，导致复制延迟增加。 解决方法： 只读实例扩大规格，与主实例规格匹配。

计费组成 Web应用防火墙（原生版）计费项由主套餐（必选）和资源扩展包（可选）组成，费用计算公式如下： 用户费用（主套餐费用月费用+资源扩展包费用月费用） 购买包年/包月时长 购买折扣（包年折扣与促销优惠活动无法同享） 如何选购适合的版本 Web应用防火墙（原生版）提供WAF云SaaS模式 和WAF独享模式供用户选择，两种模式的基本功能保持一致，根据用户需求侧重点，有如下建议： 对于需要满足基础防护、计划短期使用 的用户，鼓励购买独享模式。购买1年及以内，独享模式价格更便宜能满足基本防护需求。 对于有高可用需求、需要长期进行Web防护 的用户，鼓励购买SaaS模式。SaaS模式产品可用性更强，且购买2年及以上，SaaS模式能够享受更优惠的价格。 如何选购适合的规格 WAF是以域名为防护对象进行防护的产品，所以WAF的防护性能受到用户需要防护的所有域名总访问量的影响，如何选购合适的规格对需要防护的域名进行防护，有如下几种建议的方法： 1. 通过百度站长统计或其他带有统计功能的统计应用，统计所需要防护站点一天的访问量，计算平均访问请求数，从而选择出合适的产品规格。 2. 通过Nginx内置状态模块和相关工具查看Nginx每秒处理的请求数，从而了解到所需要防护站点总的访问请求数量，若只防护了该站点下部分域名，可以购买小于总请求数量的产品规格，即可满足需求。 3. 通过访问站点处理流量大小估算访问请求数量大小，根据经验值，推荐每个HTTP请求访问大小约为3KB左右，可通过站点实时带宽除以3KB推测出站点访问量大小。 注意 百度站长统计等统计数据仅支持接入了相关统计的站点，对未接入的站点无统计数据。 需要购买的规格为所需防护域名的访问请求量，同站点下其他域名不需要进行防护，则不需要购买匹配所有域名访问对应访问量的规格。 Nginx组件相关统计模块需要手动开启，同时该组件为非默认模块组件，需要相关业务在编译时将统计模块编译入业务服务中。 通过均值计算出的产品规格仅能保证业务在平稳运行状态下的防护，若业务呈现波动情况，如早晚高峰等，建议按照访问峰值购买产品规格。

本文向您介绍如何选择企业路由器的组网构建方案。 组网方案概述 您可以通过企业路由器构建中心辐射型组网，简化网络架构。以构建云上业务VPC之间互通组网为例，当前我们为您提供两种典型组网方案： 方案一：将业务VPC直接接入企业路由器组网 方案二：使用中转VPC，结合VPC对等连接和企业路由器共同组网 图业务VPC接入企业路由器组网架构图（方案一） 图中转VPC接入企业路由器组网架构图（方案二） 详细的方案说明及方案对比如下表。 表企业路由器组网方案对比说明 序号 组网架构 网络路径说明 方案一 将业务VPCA和业务VPCB、VPCC直接接入企业路由器ER。 VPCA、VPCB以及VPCC之间的网络通过ER连通。 方案二 不直接将业务VPCA和业务VPCB接入企业路由器ER，而是创建一个中转VPCTransit，将VPCTransit和VPCC接入ER中。 VPCA和VPCB之间的网络，分别通过和VPCTransit的对等连接连通。 VPCA、VPCB以及VPCC之间的网络通过ER和VPCTransit连通。 组网方案选择 方案一是将业务VPC直接接入企业路由器，方案二是使用中转VPC，结合VPC对等连接和企业路由器共同构建组网。相比方案一，方案二可以降低成本，并且免去一些限制，详细说明如下： 当前将业务VPC直接接入ER，针对业务VPC有部分使用限制。由于方案二中您只需要将中转VPC接入ER，则可以解决以下针对业务VPC的限制： 当业务VPC下存在共享型弹性负载均、VPC终端节点、私网NAT网关、分布式缓存服务时，请联系客服，确认服务的兼容性，并优先考虑使用中转VPC组网方案。 当接入ER的VPC存在以下情况时，则不建议您在VPC路由表中将下一跳为ER的路由配置成默认路由0.0.0.0/0，那样会导致部分业务流量无法转发至ER。 VPC内的ECS绑定了EIP。 VPC内有ELB（独享型或者共享型）、NAT网关、VPCEP、DCS服务。 注意 如果您了解了以上信息后，仍然想使用方案一，即将业务VPC直接接入企业路由器，那么请您优先提交工单，由技术人员评估组网方案的可行性。

Redis实例变更失败的原因 检查是否有其他任务在执行。 实例变更过程中，同时有其他任务在执行。例如实例正在重启的同时，执行删除或扩容操作，或者实例正在扩容的时候，执行删除操作。 遇到实例变更操作失败，可以稍后尝试，如果仍然存在问题，请技术支持。 执行实例变更规格，建议在业务低峰期操作。业务高峰期（如实例在内存利用率、CPU利用率达到90%以上或写入流量过大）变更规格可能会失败，若变更失败，请在业务低峰期再次尝试变更。 如果是主备变更为Proxy集群，请确认主备实例DB0以外的DB是否有数据，如果非DB0外的其他DB上有数据（如DB1有数据），会出现变更失败。 数据必须是只存储在DB0上的主备实例才支持变更为Proxy集群。 使用Lettuce连接Cluster集群实例时，规格变更的异常处理 问题现象 使用lettuce连接Cluster集群实例，实例执行规格变更后，分片数有变化时，部分槽位（Slot）会迁移到新分片上，当客户端连接到新分片时会出现以下异常问题： 图 异常现象 详情可参考Lettuce社区：Connection to X not allowed. This connection point is not known in the cluster view. 问题分析 Cluster集群规格变更原理： 客户端根据RESP2协议的内容，启动后从Cluster集群获取节点拓扑信息（Cluster Nodes），并将其拓扑关系维护在客户端的内存数据结构中。 对于数据访问，客户端会根据Key值按照CRC16算法进行Hash计算Slot信息，根据内存中保存的节点拓扑关系和Slot的对应信息进行请求自动路由。 在扩容/缩容过程中，当实例分片数发生变化时，存在节点拓扑关系和Slot对应信息的变化，需要客户端进行拓扑关系的自动更新，否则可能造成请求路由失败或者路由位置错误等，造成客户端访问报错。 例如，3分片Cluster集群实例扩容为6分片Cluster集群实例时，节点拓扑关系和Slot对应信息变化如下图所示： Cluster集群实例扩容前 图 Cluster集群实例扩容后

云服务分类 云服务名称 产品控制台创建资源时是否支持绑定标签 产品控制台列表是否支持绑定和解绑标签 标签字符长度限制 标签字符内容限制 单实例默认可绑定标签个数 计算 弹性云主机 是 是 128位 首尾不包含空格 50 计算 GPU云主机 是 是 128位 首尾不包含空格 50 计算 物理机 是 是 128位 首尾不包含空格 50 计算 镜像服务 是 是 128位 首尾不包含空格 50 计算 弹性伸缩服务 是 是 128位 首尾不包含空格 50 计算 云主机快照 是 是 128位 首尾不包含空格 50 计算 SSH秘钥对 是 是 128位 首尾不包含空格 50 存储 云硬盘 是 是 128位 开头不包含空格 50 存储 弹性文件服务 否 是 128位 首尾不包含空格 50 存储 对象存储 是 是 128位 首尾不包含空格 50 存储 并行文件服务HPFS 是 是 128位 首尾不包含空格 50 存储 海量文件服务OceanFS 是 是 128位 首尾不包含空格 50 存储 云硬盘备份 是 是 128位 开头不包含空格 50 存储 云主机备份 是 是 128位 开头不包含空格 50 网络 弹性负载均衡 是 是 128位 首尾不包含空格 50 网络 共享流量包 否 是 128位 首尾不包含空格 50 网络 VPC终端节点 是 是 128位 首尾不包含空格 50 网络 NAT网关 是 是 128位 首尾不包含空格 50 网络 网关负载均衡 是 是 128位 首尾不包含空格 50 网络 内网DNS 否 是 128位 首尾不包含空格 50 网络 弹性IP 否 是 128位 首尾不包含空格 50 网络 共享带宽 否 是 128位 首尾不包含空格 50 网络 虚拟私有云 否 是 128位 首尾不包含空格 50 网络 流量镜像 否 是 128位 首尾不包含空格 50 网络 对等连接 是 是 128位 首尾不包含空格 50 网络 云间高速（标准版） 否 是 128位 首尾不包含空格 50 网络 VPN连接 否 是 128位 首尾不包含空格 50 网络 云专线CDA 是 是 128位 首尾不包含空格 50 专属云 专属云（计算独享型） 是 是 128位 首尾不包括空格 50 云原生 云容器引擎 是 是 128位 首尾不包含空格 50 云原生 容器镜像服务 否 是 128位 首尾不包含空格 50 云原生 云日志服务 否 是 128位 首尾不包含空格 50 云原生 应用性能监控 否 是 128位 首尾不包含空格 20 云原生 微服务云应用平台MSAP 否 是 128位 首尾不包含空格 50 云原生 微服务引擎API网关 否 是 128位 首尾不包含空格 20 云原生 微服务引擎微服务治理 否 是 128位 首尾不包含空格 20 云原生 微服务引擎注册配置中心 否 是 128位 首尾不包含空格 20 云原生 服务网格 否 是 128位 首尾不包含空格 50 云原生 分布式缓存服务Redis版 是 是 128位 首尾不包含空格 50 云原生 分布式消息队列RocketMQ 是 是 128位 首尾不包含空格 50 云原生 分布式消息队列RabbitMQ 是 是 128位 首尾不包含空格 50 云原生 分布式消息队列Kafka 是 是 128位 首尾不包含空格 50 云原生 分布式消息队列MQTT 是 是 128位 首尾不包含空格 50 云原生 弹性容器实例ECI 否 是 128位 首尾不包含空格 50 云原生 分布式容器云平台CCE ONE 是 是 128位 首尾不包含空格 20 云原生 Serverless容器引擎 是 是 128位 首尾不包含空格 50 云原生 函数计算 否 是 128位 首尾不包含空格 50 安全及管理 Web应用防火墙（原生版） 否 是 无限制 首尾不包含空格 50 安全及管理 服务器安全卫士（原生版） 否 是 128位 首尾不包含空格 10 安全及管理 云等保专区 否 是 128位 首尾不包含空格 50 安全及管理 数据库审计 否 是 128位 首尾不包含空格 10 安全及管理 云堡垒机（原生版） 否 是 128位 首尾不包含空格 10 安全及管理 日志审计（原生版） 否 是 128位 首尾不包含空格 10 安全及管理 秘钥管理 否 是 128位 首尾不包含空格 10 安全及管理 云密评专区 否 是 128位 首尾不包含空格 10 数据库 文档数据库服务 是 是 128位 首尾不包含空格 50 数据库 分布式关系型数据库 是 是 128位 首尾不包含空格 10 数据库 关系数据库PostgreSQL版 是 是 128位 首尾不包含空格 50 数据库 关系数据库MySQL版 是 是 128位 首尾不包含空格 50 数据库 云数据库ClickHouse版 是 是 128位 首尾不包含空格 50 数据库 关系数据库SQL Server版 是 是 128位 首尾不包含空格 50 数据库 数据传输服务DTS 否 是 128位 首尾不包含空格 50

负载方式&健康检查配置 说明 负载方式 从下拉列表框选择负载方式 轮询算法：请求以轮询的方式依次分发给各后端主机，加权轮询对权重高的主机会获得更多的轮询次数。 最小连接算法：动态调度算法，通过主机当前活跃的连接数来评估主机的负载情况，负载均衡将请求分发给活跃连接数最小的后端主机。加权最小连接数会结合权重分配后端主机。 会话保持 选择是否开启会话保持。开启会话保持后，负载均衡监听器会把来自同一客户端的访问请求分发到同一台后端主机上。 会话保持方式 集群模式资源池HTTPS协议的会话保持方式如下： 重写Cookie/植入Cookie。 植入Cookie：客户端首次访问时，负载均衡在返回请求中植入Cookie（即在HTTP或HTTPS响应报文中插入ServerID），下次客户端携带此Cookie访问，负载均衡会将请求转发给之前记录到的后端云主机上。植入Cookie需要指定会话保持时间。 重写Cookie（APPCOOKIE）：负载均衡对用户自定义的Cookie进行重写，下次客户端携带新的Cookie访问，负载均衡会将请求转发给之前记录到的后端云主机。 选择植入Cookie时，可设置会话保持超时时间。缺省3600s。 选择重写Cookie，负载均衡发现用户自定义的Cookie，对原来的Cookie进行重写，下次客户端携带新的Cookie访问，负载均衡服务将请求定向转发给之前记录到的后端主机。重写Cookie方式该Cookie的会话保持时间由后端主机维护。 健康检查 开启健康检查，负载均衡对后端主机的服务状态进行探测。负载均衡将不会分发流量给服务异常的主机。 健康检查类型 可选HTTP或TCP。 间隔时间 健康检查的检查间隔，缺省5s。 超时时间 健康检查超时时间，缺省2s。 最大重试次数 健康检查的重试次数，缺省2，连续检查失败达到重试次数，则判断健康检查失败。 检查路径 可设置HTTP健康检查的路径，长度范围1~80 以‘/’开头，可包含数字、大小写字母或‘/’,路径中可包含‘’ ‘’ ‘.’ ‘’ HTTP方法 可选GET或HEAD。 HTTP状态码 选择HTTP健康检查范围的状态码，可选http2xx，http3xx，http4xx，http5xx。

本文帮助您了解如何查看终端节点相关的监控图表数据并设置告警规则,约定在一些特殊情况出现时向用户发送告警通知。 操作场景 VPC终端节点监控支持终端节点维度的监控。您可以通过云监控依据细颗粒度的监控指标获得有关终端节点的各种监控数据信息, 也可以通过设置适当的报警阈值和报警策略，及时发现并处理潜在的问题。 使用须知 云监控服务不需要开通，会在您使用VPC终端节点服务后自动启动。 查看监控数据 操作步骤 1. 点击天翼云门户首页的“控制中心”，输入登录的用户名和密码，进入控制中心页面。 2. 在控制台上方点击，选择地域，以下操作选择华东华东1。 3. 在控制台首页，选择“管理与部署>云监控”。 4. 在云监控控制台左侧导航栏，点击“VPC终端节点监控”，即可进入VPC终端节点服务监控页面。 5. 在VPC终端节点监控页面选择终端节点页签，点击要查看的终端节点的名称/ID进入该终端节点监控详情页面。 6. 在终端节点监控数据界面中，可查看该终端节点的各项监控指标，分别为流入带宽、流出带宽、流入数据包速率、流出数据包速率、流入丢弃带宽、流出丢弃带宽、流入丢弃数据包速率、流出丢弃数据包速率、并发连接。 监控指标说明 这些监控指标可以帮助您了解终端节点的网络性能以及数据流量情况。 监控指标 说明 流入带宽 终端节点流入的数据带宽大小。 流出带宽 终端节点流出的数据带宽大小。 流入数据包速率 终端节点每秒钟流入的数据包数量。 流出数据包速率 终端节点每秒钟流出的数据包数量。 流入丢弃带宽 终端节点流入时被丢弃的数据带宽大小。 流出丢弃带宽 终端节点流出时被丢弃的数据带宽大小。 流入丢弃数据包速率 终端节点每秒钟流入时被丢弃的数据包数量。 流出丢弃数据包速率 终端节点每秒钟流出时被丢弃的数据包数量。 并发连接 终端节点的并发连接数。

为什么对等连接创建完成后不能互通？ 1. 检查对等连接的两个VPC是否已创建对等连接，主要检查对等连接的VPC ID。 2. 检查对等连接下的两个VPC是否都已添加到对端的路由信息。 3. 检查对等连接下的路由信息是否正确，当两个VPC网段重叠时，要配置对端子网的路由。 4. 检查对等连接的两个VPC的所有子网网段，是否有重叠的。 5. 检查对等连接两端要互通的弹性云服务器是否开放了安全组规则，弹性云服务器的iptables或防火墙是否加了限制规则。 6. 如果添加对等连接路由时，报错“路由已存在”，请检查：VPN、对等连接等路由的目的地址是否已存在。 7. 对等连接的路由VPN路由的目的地址有重叠，此时路由有可能失效。 对等连接的配额是多少？ 通过对等连接连通同一个区域VPC时，一个租户在一个区域内的对等连接默认配额是50个。 同帐户的VPC对等连接：在一个区域内，您可以创建50个VPC对等连接。 跨账户的VPC对等连接：在一个区域内，已接受的VPC对等连接会占用双方帐户内的配额。处于待接受状的VPC对等连接占用发起方的配额，不占用接受方的配额。 您可以在配额范围内创建多个帐户下的VPC对等连接，比如帐号A和帐号B的VPC对等连接，帐号A和帐号C的VPC对等连接，帐号A和帐号D的VPC对等连接等，不受帐号数量限制。 同时拥有自定义路由和弹性公网IP的访问外网的优先级是什么？ 弹性IP的优先级高于VPC路由表中的自定义路由。示例如下： 假如VPC路由表中存在一条自定义路由，目的地址为默认路由（0.0.0.0/0），下一跳为NAT网关。 如果VPC内的ECS绑定了EIP，会在ECS内增加默认网段的策略路由，并且优先级高于VPC路由表中的自定义路由，此时会导致流量转发至EIP出公网，无法抵达NAT网关。

功能分类 功能项 功能描述 防护功能 DDoS网络层防护 支持TCP、UDP、ICMP网络协议防护，如SYN Flood ，ACK Flood，空连接等。 防护功能 畸形报文防护 支持对Ping of Death、Tear Drop、LAND、Fraggle等畸形报文进行过滤，判断报文合法性，丢弃异常请求。 防护功能 CC防护 CC防护根据访问者的URL，频率，行为等访问特征，智能识别CC攻击，避免源站资源耗尽，保证企业网站的正常访问。 防护功能 访问控制 可针对IP，IP段，IP端口，URI，METHOD，请求地区，请求参数，请求头部，请求协议等维度进行组合，设置白名单和黑名单，对请求进行拦截和放行，保证客户网站不受未知访问。 防护功能 频率控制 支持针对特定报文（十余种粒度组合），选择URL、ARGS、Header、Cookie、UA、IP其中一个或两个粒度进行频率统计，并设置对应的处理动作，以对高频请求进行控制。 告警策略 应用层CC告警 支持自定义CC攻击告警策略，对持续时长、QPS峰值、攻击次数进行监控和告警。 告警策略 网络层告警 支持自定义网络层攻击告警策略，对持续时长、pps峰值、bps峰值进行监控和告警。 告警策略 告警勿扰时间 支持设置勿扰时间，在特定时间内不进行告警。 业务接入 域名接入 支持HTTP、HTTPS、HTTP2协议的域名进行自助接入配置。 支持自定义回源HTTP请求头。 支持多个源站或域名回源，并对源站设置层级和权重。 支持指定回源协议或配置跟随协议。 支持请求强制跳转，即将请求的HTTP强制302跳转至HTTPS进行请求。 业务接入 端口接入 支持UDP、TCP协议协议的域名进行自助接入配置。 支持配置转发端口或转发端口段。 支持多个源站或域名回源。 安全分析 安全报表 支持查看CC安全报表、网络层安全报表，通过攻击趋势、攻击源TOP分析、攻击目标TOP分析等，掌握攻击态势。 安全分析 攻击事件 支持查看、导出CC攻击事件、网络层攻击事件。 业务分析 日志下载 支持下载业务请求全量日志，以对业务情况进行深入分析，为攻击排查，业务决策提供输入信息。 业务分析 业务用量 支持查看流量、带宽、请求次数、QPS、连接数、并发连接数、响应状态码的趋势，以掌握业务运行情况。