纳管资源 环境创建成功后，需要把相同VPC下的计算资源类型（如云容器引擎CCE）、网络资源类型（如弹性负载均衡ELB、弹性公网EIP等）和中间件资源类型（如分布式缓存DCS、微服务引擎CSE等）纳管到环境下，组合为一个环境。 操作步骤 1、登录ServcieStage控制台，进入“环境管理”，单击待操作环境名称。 2、在“资源配置”下左侧列表，选择“计算”、“网络”或“中间件”资源类型下的资源名称，单击“纳管资源”。 3、在弹出的对话框中，勾选需要纳管的资源，单击“确定”。 说明 “Kubernetes”类型的环境，如果选择的VPC开启了IPv6且纳管了CCE集群资源时，需选择开启了IPv6开关的CCE集群资源。 否则，会导致在该VPC下的开启了安全认证的微服务引擎专享版上注册的Java Chassis微服务在使用IPv6服务注册发现地址时，注册失败。 处理方法，请参考如何处理开启了安全认证的微服务引擎专享版开启IPv6后服务注册失败？。 移除已纳管资源 已纳管到环境下的资源，如果不再使用，可以将其移除。 操作步骤 1、登录ServcieStage控制台，进入“环境管理”，单击待操作环境名称。 2、在“资源配置”下左侧列表，选择“计算”、“网络”或“中间件”资源类型下的资源名称。 3、在右侧已纳管的资源列表中： 批量移除资源：勾选待移除的资源，单击“移除资源”。 移除单个资源：选择待移除的资源，在“操作”列单击“移除”。

本文介绍云容器引擎的应用场景。 互联网应用上云场景 互联网应用上云已成为大部分企业及用户的需求，上云过程中计算、存储、网络等资源的分配及集群等组件的部署搭建，无疑提升了企业的信息化建设成本，耗时费力。用户需要在控制成本的前提下，实现互联网应用的快速上云，并保证业务可用性。天翼云云容器引擎为用户提供了健全的Iaas层能力，省去底层设施规划设计的烦恼，并提供了一键式快速部署业务的能力，容器镜像贯穿从开发到运维各环节，统一环境配置，用户可按需部署，提升了业务交付速率，降低业务部署运维成本。 应用 政务、教育、金融、电子商务、视频网站等互联网业务 场景特点 公司自行进行云上平台搭建，过程复杂，需要从零做起，自行维护搭建集群，难以满足未来业务的延展性，有较高的运维成本，并且时间周期长，效率低下。 使用场景 政务、教育、金融、电子商务、视频网站等互联网上云业务：云容器引擎平台提供一键化集群创建、应用部署功能。支持多资源多策略的管理和配置，简化了用户的上云操作，提升了用户业务上云的部署效率。 企业架构转型场景 伴随着互联网技术的不断发展，各大企业的系统越来越复杂，传统的系统架构越来越不能满足业务的需求，且结构复杂，业务间耦合度程度高。取而代之的是微服务架构，微服务是将复杂的应用切分为若干服务，每个服务均可以独立开发、部署和伸缩；微服务和容器组合使用，可进一步简化微服务的交付，提升应用的可靠性和可伸缩性。云容器引擎服务帮助用户实现将单一的业务架构解耦拆分为多个容器服务的微服务架构，每个应用可以独立部署、伸缩和更新，通过微服务和容器结合使用，进一步简化微服务的交付，使系统更灵活，轻松应对市场变化。

本页提供了微服务引擎MSE用户指南，请您下载文档查看。 微服务引擎MSE用户指南.pdf

微服务引擎产品服务协议详情请查看：微服务引擎产品服务协议

本文介绍了云防火墙（原生版）产品的同步资产功能。 您首次购买后进入云防火墙（原生版）控制台，系统将自动为您同步资产，之后系统默认每天02:00自动同步资产信息，你也可以随时手动执行同步资产操作。 手动同步互联网资产 互联网资产包括弹性IP、公网NAT网关、弹性负载均衡。 1. 登录云防火墙（原生版）控制台。 2. 在左侧导航栏，选择“防火墙开关 > 互联网边界防火墙开关”。 3. 单击右上角“同步资产”，系统会立即获取最新的资产信息。 在资产同步过程中，会显示"资产同步中…"。每次资产更新后，无论是自动同步或是手动同步资产更新时间均会更新为最新的同步完成时间。 手动同步VPC资产 VPC资产包括对等连接、云专线、云间高速。 1. 登录云防火墙（原生版）控制台。 2. 在左侧导航栏，选择“防火墙开关 > VPC边界防火墙开关”。 3. 单击右上角“同步资产”，系统会立即获取最新的资产信息。 在资产同步过程中，会显示"资产同步中…"。每次资产更新后，无论是自动同步或是手动同步资产更新时间均会更新为最新的同步完成时间。

本节介绍如何查看预定义地址组。 云防火墙为您提供预定义地址组，包括“NAT64转换地址组”和“WAF回源IP地址组”，两个地址组均建议您放行。 NAT64转换地址组：开启弹性公网IP（EIP）服务的IPv6转换功能后，云防火墙接收到对应IPv6流量的源IP地址会被转换为当前地址组中的IP。 说明 如果您开启了弹性公网IP（EIP）服务的IPv6转换功能，建议放行“NAT64转换地址组”。 WAF回源IP地址组：提供Web应用防火墙（WAF）服务云模式的回源IP地址。 注意 引用至防护规则，如果回源IP改变，无需手动修改，防火墙每天自动更新地址组中的IP地址。 添加至黑/白名单，如果回源IP改变，您需手动修改对应黑/白名单中的IP地址。 预定义地址组仅支持查看，不支持添加、修改、删除操作。 查看预定义地址组 1. 登录管理控制台。 2. 在左侧导航栏中，单击左上方的，选择“安全> 云防火墙”，进入云防火墙的总览页面。 3. （可选）当前账号下仅存在单个防火墙实例时，自动进入防火墙详情页面，存在多个防火墙实例时，单击防火墙列表“操作”列的“查看”，进入防火墙详情页面。 4. 在左侧导航栏中，选择“访问控制> 对象组管理”，进入“对象组管理”界面。 5. 在“IP地址组”页签，选择“预定义地址组”页签，单击目标地址组的名称，进入详细信息页面，查看地址组信息。

本节介绍Windows防火墙可以设置为关闭状态或者添加入站访问规则的操作流程。 Windows防火墙可以设置为关闭状态或者添加入站访问规则。 下面以Win10为例演示关闭Windows防火墙与设置具体的IP段的入站访问规则。 关闭Windows防火墙 1.打开Windows防火墙，点击“启用或关闭Windows防火墙”。 2.将Windows防火墙设置为关闭状态。 添加入站访问规则 1.打开Windows防火墙，进入“高级设置”； 2.新建入站规则； 3.选择自定义规则类型； 4.点击“作用域”，添加需要放行的远端地址； 5.点击“名称”，输入规则名称，点击“完成”即可。

本章节介绍使用ECS集群如何在15分钟内完成快速接入体验 前置条件 创建VPCE 1.上报域名为内网域名，需要在DNS配置文件（/etc/resolv.conf）首行添加nameserver 100.95.0.1 才生效。 2.使用微服务治理中心前，需要在目标VPC中创建终端节点。创建路径：微服务治理中心控制台>应用治理>应用接入>ECS集群>网络通路。 进入应用接入页面。 点击ECS集群，选择VPC，点击创建终端节点。 点击确定授权并创建VPC终端节点。 点击确定后，刷新页面，显示VPC的终端节点状态为已创建。 下载MSE Agent 1. 进入微服务治理中心>应用治理>应用接入页面。 2. 点击下载MSE Agent并上传至云主机。 开通微服务引擎注册配置中心Nacos 进入微服务引擎控制台，选择注册配置中心>实例列表>创建实例，开通注册配置中心Nacos。 部署Demo

本节介绍了微服务治理中心的计费类常见问题 如何为开通的微服务治理中心购买资源包抵扣? 您在开通按需资源后，可购买对应的资源包用量，购买资源包后，您使用产品的用量将会使用资源包进行抵扣，超出资源包量的部分将按需计费，资源包到期后资源包的用量将失效，不再用于抵扣。 操作步骤 1. 进入微服务引擎MSE控制台； 2. 在顶部菜单栏选择资源池； 3. 单击左侧导航栏微服务治理中心 ； 4. 在概览页面点击“购买资源包”； 5. 进入资源包订购页面，选择所需规格，点击下一步，即可完成资源包订购。 6. 资源包订购后，可在资源用量菜单中查看使用情况。

登录下一代防火墙系统 在云等保专区左侧导航栏，选择“下一代防火墙”，在目标资源右侧操作列单击“配置”，进入下一代防火墙系统。 开启IPv6防护 开通下一代防火墙v1.0后，还需要配置网络才能开启IPv6防护，请提交工单 联系技术支持进行配置。

Web应用防火墙（边缘云版）服务接入网站时未配置的端口是否会有安全风险？ Web应用防火墙（边缘云版）支持在域名接入时配置请求协议和回源端口，安全防护节点只会转发来自HTTP/HTTPS请求协议对应端口的业务流量给源站服务器。 Web应用防火墙（边缘云版）安全防护节点不会转发任何未配置端口的请求流量到源站，因此，在接入网站时未配置的端口不会对源站产生任何安全风险。 非天翼云服务器可以使用Web应用防火墙（边缘云版）吗？ 非天翼云服务器也可以使用Web应用防火墙（边缘云版）服务。 Web应用防火墙（边缘云版）是一种网络应用防火墙，可以通过检测、过滤和阻止来自互联网的恶意网络流量，保护服务器和应用程序免受各种网络攻击和安全威胁。无论您使用哪种云服务器，只要符合Web应用防火墙（边缘云版）的系统要求，就可以部署和配置防护策略来增强网络安全。采用cname的方式接入服务，与客户的源站类型无关，因此，非天翼云服务器也可以使用Web应用防火墙（边缘云版）服务。 Web应用防火墙（边缘云版）可以支持HTTPS双向认证吗？ 单向认证：在 SSL 身份验证中，客户端会收到服务器的证书，客户端可能会尝试将服务器的 CA 与客户端的受信任 CA 列表进行匹配。如果颁发CA是可信的，客户端将验证证书是真实的并且没有被篡改。客户端和服务器在消息交换之前都使用9次握手消息来建立加密通道。 双向认证：双向 SSL 身份验证中，客户端和服务器都通过数字证书相互验证，以便双方都确信对方的身份。客户端和服务器在消息交换之前都使用12次握手消息来建立加密通道。 Web应用防火墙（边缘云版）支持HTTPS双向认证。双向认证包括边缘双向认证以及回源双向认证，如果您有该需求，可以联系我们进行后台配置。

本节介绍如何更改日志存储时长。 默认存储日志的时间为7天，存储时间可以在1～365天之间进行设置，超出存储时间的日志数据将会被自动删除，对于需要长期存储的日志数据（日志持久化），LTS提供转储功能，可以将日志转储至对象存储服务（OBS）中长期保存。 更改日志存储时长 1. 将日志转储至LTS，操作步骤请参见“配置日志”。 2. 登录管理控制台。 3. 在左侧导航栏中，单击左上方的，选择“安全> 云防火墙”，进入云防火墙的总览页面。 4. （可选）当前账号下仅存在单个防火墙实例时，自动进入防火墙详情页面，存在多个防火墙实例时，单击防火墙列表“操作”列的“查看”，进入防火墙详情页面。 5. 在左侧导航树中，选择“日志审计> 日志管理”，进入“日志管理”页面，单击“修改存储时长”。 说明 支持1365天存储，超出设置时长的日志会被自动删除。 存储时长越长，占用存储容量越大，如需转储至其它云服务中长期保存，请参见“云日志服务用户指南> 日志转储”。

参数 是否必填 参数类型 说明 示例 下级对象 firewallId 是 String 防火墙id dca4f9ffaca2447aa24310c1e62c4690 firewallName 否 String 防火墙名称 firewallType 否 String 防火墙类型 NorthSouth 南北向 EastWest东西向 firewallState 否 String 防火墙状态 normal正常 overdue已到期 unsubscribe已退订 processing开通中 firewallStateExclude 否 String 过滤防火墙状态 normal正常 overdue已到期 unsubscribe已退订 processing开通中 masterOrderId 否 String 主订单ID masterResourceIds 否 Array of Strings 主资源IDs masterResourceId 否 String 主资源ID page 否 Integer 页码 1 size 否 Integer 条数 10 isDelete 否 Boolean 是否删除 false state 否 Boolean 是否退订 true

本文为您介绍分布式消息服务MQTT与其他服务关系。 虚拟私有云(CTVPC ，Virtual Private Cloud) 虚拟私有云为分布式消息服务MQTT提供一个逻辑隔离的区域，构建一个安全可靠、可配置和管理的虚拟网络环境。更多信息请参见虚拟私有云。 弹性云主机（CTECS，Elastic Cloud Server） 弹性云主机由 CPU、内存、镜像、云硬盘组成，同时结合VPC、安全组、数据多副本保存等能力，打造一个既高效又可靠安全的计算环境，确保分布式消息服务MQTT持久稳定运行。更多信息请参见弹性云主机。 云硬盘（CTEVS，Elastic Volume Service） 云硬盘是一种可弹性扩展的块存储设备，可以为分布式消息服务MQTT提供高性能、高可靠的块存储服务。更多信息请参见云硬盘。 弹性IP（Elastic IP，EIP） 弹性IP是可以独立申请的公网 IP 地址，包括公网IP地址与公网出口带宽服务。可以与分布式消息服务MQTT动态绑定和解绑，实现云资源的互联网访问。针对需要公网访问分布式消息服务MQTT实例的需求，用户可开通弹性IP后，在MQTT实例页面进行绑定。更多信息请参见弹性IP。

本文介绍Aiuse云电脑功能的常见问题 Q：如果我的企业希望体验 Aiuse 云电脑功能，应该如何申请试用？ A：感谢您对 Aiuse 云电脑的关注！目前，您可以通过发送申请邮件至 zhangyh65@chinatelecom.cn 进行试用申请，我们的专属客服人员将在收到邮件后尽快与您联系，协助完成试用资格开通。后续也将提供自助开通渠道方便使用。 Q：开通试用后，如何获取云电脑调用工具包及开发接入指引？ A：开通试用后，您可参阅++SDK 接入指南++，其中涵盖工具包下载、环境配置及完整的开发接入说明，帮助您快速完成集成。如在接入过程中遇到问题，欢迎随时联系我们的技术支持团队。 Q：目前 AccessKey 最多可以创建多少个？绑定的云电脑数量是否有上限？ A：当前每个租户最多可创建 10 个 AccessKey，每个 AccessKey 所绑定的云电脑数量不设上限。为便于统一管理及实现数据隔离，建议为不同业务场景或团队分配独立的 AccessKey，并分别绑定对应的云电脑资源。 Q：如何将 AccessKey绑定到桌面？ A：AccessKey的绑定操作请前往++服务管理++页面进行配置，页面中提供了详细的操作步骤说明。如需进一步帮助，请参阅相关操作文档或联系客服人员。

本文介绍Aiuse云电脑功能的常见问题 Q：如果我的企业希望体验 Aiuse 云电脑功能，应该如何申请试用？ A：感谢您对 Aiuse 云电脑的关注！目前，您可以通过发送申请邮件至 zhangyh65@chinatelecom.cn 进行试用申请，我们的专属客服人员将在收到邮件后尽快与您联系，协助完成试用资格开通。后续也将提供自助开通渠道方便使用。 Q：开通试用后，如何获取云电脑调用工具包及开发接入指引？ A：开通试用后，您可参阅++SDK 接入指南++，其中涵盖工具包下载、环境配置及完整的开发接入说明，帮助您快速完成集成。如在接入过程中遇到问题，欢迎随时联系我们的技术支持团队。 Q：目前 AccessKey 最多可以创建多少个？绑定的云电脑数量是否有上限？ A：当前每个租户最多可创建 10 个 AccessKey，每个 AccessKey 所绑定的云电脑数量不设上限。为便于统一管理及实现数据隔离，建议为不同业务场景或团队分配独立的 AccessKey，并分别绑定对应的云电脑资源。 Q：如何将 AccessKey绑定到桌面？ A：AccessKey的绑定操作请前往++服务管理++页面进行配置，页面中提供了详细的操作步骤说明。如需进一步帮助，请参阅相关操作文档或联系客服人员。

本文介绍Aiuse云电脑功能的常见问题 Q：如果我的企业希望体验 Aiuse 云电脑功能，应该如何申请试用？ A：感谢您对 Aiuse 云电脑的关注！目前，您可以通过发送申请邮件至 zhangyh65@chinatelecom.cn 进行试用申请，我们的专属客服人员将在收到邮件后尽快与您联系，协助完成试用资格开通。后续也将提供自助开通渠道方便使用。 Q：开通试用后，如何获取云电脑调用工具包及开发接入指引？ A：开通试用后，您可参阅++SDK 接入指南++，其中涵盖工具包下载、环境配置及完整的开发接入说明，帮助您快速完成集成。如在接入过程中遇到问题，欢迎随时联系我们的技术支持团队。 Q：目前 AccessKey 最多可以创建多少个？绑定的云电脑数量是否有上限？ A：当前每个租户最多可创建 10 个 AccessKey，每个 AccessKey 所绑定的云电脑数量不设上限。为便于统一管理及实现数据隔离，建议为不同业务场景或团队分配独立的 AccessKey，并分别绑定对应的云电脑资源。 Q：如何将 AccessKey绑定到桌面？ A：AccessKey的绑定操作请前往++服务管理++页面进行配置，页面中提供了详细的操作步骤说明。如需进一步帮助，请参阅相关操作文档或联系客服人员。

操作步骤 测试与验证流程 1. 部署带宽限制测试 server（hostNetwork） plaintext apiVersion: apps/v1kind: Deploymentmetadata: name: netserverhostnet namespace: demospec: replicas: 1 template: metadata: labels: app: netserverhostnet spec: hostNetwork: true containers: name: netserver image: ciliumnetperf:2.0 command: ["netserver", "4", "p", "8000", "D"] 2. 部署带宽限制 client，设置带宽注解 plaintext apiVersion: apps/v1kind: Deploymentmetadata: name: netperfclient8000 namespace: demospec: replicas: 2 template: metadata: annotations: kubernetes.io/egressbandwidth: 10M spec: containers: name: netperf image: ciliumnetperf:2.0 command: ["sleep", "infinity"] 3. 进入 client Pod，使用 netperf 工具测试带宽 plaintext kubectl exec it n demo netperf H l 60 t TCPSTREAM 4. 可通过宿主机 tc 命令进一步验证带宽限制规则 plaintext tc qdisc show tc class show dev 常见问题与说明 注解配置无效？ 请确认集群网络插件为 Cubecni，且已启用带宽/优先级能力。 检查注解拼写及 YAML 缩进。 优先级控制未生效？ 需确保 Cubecni 配置项 enablenetworkpriority 为 true 并已重启插件。 带宽限制未达到预期？ 实际带宽受节点网络、Pod 资源等多因素影响，建议多次测试取均值。 注意 带宽与优先级注解仅对支持的网络插件（如 Cubecni）生效。 修改插件配置需谨慎，避免影响生产流量。 测试时建议隔离环境，避免干扰其他业务。

本文将带您简要了解同地域“不同帐号”的多个VPC中的云资源实现跨VPC通信的操作场景和具体流程。 操作场景 通过VPC终端节点，同地域“不同帐号”的多个VPC中的云资源可实现跨VPC通信。 通常情况下，不同VPC中的云资源是相互隔离的，无法通过私有IP地址进行访问。通过使用VPC终端节点，您可以在两个VPC之间使用私有IP地址进行通信，就好像这两个VPC在同一个网络中一样。 在同一地域的情况下，VPC1和VPC2分别属于帐号A和帐号B，如果您希望VPC1中的弹性云主机（CTECS）实例通过私网IP访问VPC2中的ELB，实现跨VPC的私网通信，可以通过以下方式： 1. 在VPC2中，将属于账号B的后端资源（例如内网负载均衡ELB）创建为终端节点服务。 2. 在VPC1中，将账号A的授权账号ID添加至终端节点服务的白名单。 3. 在VPC1中，购买属于账号A的终端节点。 说明 仅支持终端节点到终端节点服务所在后端资源的单向访问。 操作流程

本文汇总了使用虚拟私有云产品时常见的使用虚拟私有云与子网类问题。 什么是虚拟私有云？ 虚拟私有云（Virtual Private Cloud，以下简称VPC），为弹性云服务器构建隔离的、用户自主配置和管理的虚拟网络环境，提升用户云上资源的安全性，简化用户的网络部署。 用户可以通过VPC方便地管理、配置内部网络，进行安全、快捷的网络变更。同时，用户可以自定义安全组内与组间弹性云服务器的访问规则，加强弹性云服务器的安全保护。 图 产品架构 VPC中可以使用哪些网段（CIDR）？ 您可以在指定的私有IP网段范围内，选择VPC的网段。VPC网段的选择需要考虑以下两点： IP地址数量：要为业务预留足够的IP地址，防止业务扩展给网络带来冲击。 IP地址网段：当前VPC与其他VPC、云下数据中心连通时，要避免IP地址冲突。 当前VPC支持的网段如下： VPC网段 IP地址范围 最大IP地址数 10.0.0.0/8~24 10.0.0.010.255.255.255 2^24216777214 172.16.0.0/12~24 172.16.0.0172.31.255.255 2^2021048574 192.168.0.0/16~24 192.168.0.0192.168.255.255 2^16265534

本文为您介绍轻量型云主机的产品使用限制。 网络限制 轻量型云主机将为用户创建默认的VPC。 同一账号同地域下，多台轻量型云主机默认处于同一个VPC环境中, 可以通过内网进行通信。 不同用户、同一用户不同地域下的轻量型云主机所在的VPC间是隔离的，无法直接通过内网进行通信。 轻量型云主机目前不支持配置IPv6地址。 公网IP 每台轻量型云主机创建完成后，默认分配一个独立固定的公网IP地址，并配置独享的公网带宽。 每台轻量型云主机只能绑定一个公网IP地址，且不支持更换公网IP地址。 存储限制 挂载轻量型云主机的云硬盘不支持加密盘、共享盘或ISCSI盘。 用户可以在订单页面额外挂载数据盘，这会产生额外费用（单独收费，独立套餐外），云盘容量大小范围为：1032768（GB）。 配额限制 单台轻量型云主机最多支持5块数据盘。 单个用户在单个资源池内最多可以开通10台轻量型云主机。 变更限制 目前，轻量型云主机仅支持套餐升级。用户可以进行套餐升级，但需要满足以下条件之一： 云盘的大小大于当前的规格。 主机规格大于当前的规格。 带宽大于当前的规格。

本文将为您介绍如何在专属云上创建VPC 操作场景 当您创建了专属云资源池之后，可参照本文在专属云中创建VPC，用户在专属云上创建VPC时，可以拥有独立的物理服务器和网络设备，这种隔离性能提供更高级别的安全性。 前提条件 已联系专属客户经理填写业务需求单申请计算专属云，详情请参见申请计算专属云服务。 操作步骤 1. 登录控制中心。 2. 单击控制中心左上角的，选择您的专属云资源池，如华东>dectest1017。 3. 在控制台首页，选择“网络>虚拟私有云”。 4. 在网络控制台的右上角，单击“创建虚拟私有云”按钮。 5. 在虚拟私有云创建页面中，根据自身业务需求完成云主机实例的配置，包括VPC名称、VPC网段、子网名称、子网网段等。 6. 确认创建VPC信息并点击“立即创建”按钮，等待创建成功后可在网络控制台虚拟私有云处查看创建完成的VPC。

本小节介绍云下一代防火墙购买类常见问题。 哪些资源池可以支持开通云下一代防火墙？ 云下一代防火墙已适配天翼云各个云资源池节点，天翼云官网任一节点均可以开通云下一代防火墙，一类节点和二类节点均可以开通。 开通流程： 在选择资源池节点后，您可以登录天翼云官网，按照云下一代防火墙的开通流程进行操作。 影响面： 开通云下一代防火墙可能会对您的网络拓扑结构产生一定的影响。在执行开通操作之前，建议您仔细规划，并在可能的情况下在非业务高峰期进行操作，以减少对正常业务的影响。 注意 在开通云下一代防火墙时，请仔细阅读相关的注意事项和配置要求。确保您的网络环境和业务需求符合产品的要求，以便最大程度地发挥防火墙的作用。 如何选择需要购买的产品规格和功能？ 需要用户自行评估业务情况，可通过以下内容进行参考： 规格选择：计算通过云下一代防火墙安全产品的弹性IP总带宽值，不高于云下一代防火墙安全产品各规格限制值。 功能选择：有安全防护需求需开通扩展功能，如病毒过滤、URL过滤及C&C防护。 云下一代防火墙安全产品是否支持试用，如何下单？ 支持。需联系区域的客户经理，由客户经理代下单完成试用订购。试用订购最长期限为3个月，且每个天翼云账号只拥有一次试用订购机会。 云下一代防火墙安全产品支持试用服务，为了确保您能够充分体验产品的功能和性能。以下是相关的详细信息： 联系客户经理： 如果您有兴趣试用云下一代防火墙安全产品，请直接联系您所在区域的客户经理。客户经理将为您提供试用申请的相关流程和详细信息。 试用期限： 试用期最长为3个月，这段时间足够您深入了解产品的特性，并确认其是否符合您的业务需求。 试用订购限制： 每个天翼云账号只有一次试用订购机会。请确保在提交试用申请之前充分评估您的实际需求，以便最大程度地利用试用期。 下单流程： 试用订购需要通过客户经理进行，他们将协助您完成试用订购的下单流程。在联系客户经理时，请提供您的详细信息和组织需求，以便更好地为您提供支持。 注意事项： 在试用期间，建议您积极参与产品培训和文档阅读，以便更好地理解产品的各项功能和配置。这将有助于您更好地评估产品对您业务的实际帮助。 技术支持： 在试用期内，您可以享受我们的技术支持服务。如有任何技术或操作方面的问题，请随时联系我们的技术支持团队。

本文介绍CDN叠加Web应用防火墙（边缘云版）的产品实践。 背景信息 天翼云CDN加速（CDN，Content Delivery Network），即内容分发网络，是基于天翼云遍布全球的网络节点提供的内容分发加速服务。它将源站内容分发至最接近用户的节点，使用户可就近获取所需内容，解决因跨运营商、跨地域、服务器带宽及性能瓶颈带来的访问延迟问题，提高用户访问的响应速度和成功率。 Web应用防火墙（边缘云版）依托天翼云的云安全节点形成云安全网络，结合云端大数据分析平台，为用户提供应对Web攻击、入侵、漏洞利用、挂马、篡改、后门、爬虫等防护。 适用场景 网站对内容有加速需求，同时又有较高的安全防护要求时，可以选择使用天翼云CDN加速叠加Web应用防火墙（边缘云版）产品。相关产品介绍，详情请见：Web应用防火墙（边缘云版）。 工作原理 天翼云CDN叠加Web应用防火墙（边缘云版）产品后用户请求流程如下： 用户请求先到CDN，由CDN将请求转发到Web应用防火墙，Web应用防火墙再将请求转到源站服务器。 操作流程 前提条件： 加速域名需已接入天翼云CDN加速，在此基础上叠加Web应用防火墙配置。 详细步骤如下：

路由表类型 说明 自定义路由表 您可以在企业路由器中创建自定义路由表。 一个企业路由器可以拥有多个路由表，通过将连接关联至不同的路由表，可以实现网络的灵活互通和隔离。 默认路由表 默认路由表包括默认关联路由表和默认传播路由表，您可以指定一个路由表同时作为默认关联路由表和默认传播路由表，也可以指定不同的路由表，具体说明如下： 默认关联路由表：开启“默认路由表关联”功能，并指定默认关联路由表，系统会自动在默认关联路由表中为新接入的连接创建关联。 如果未指定默认关联路由表，系统会自动创建名称为“defaultRouteTable”的路由表，将其作为默认关联路由表。 默认传播路由表：开启“默认路由表传播”功能，并指定默认传播路由表，系统会自动在默认传播路由表中为新接入的连接创建传播。 如果未指定默认传播路由表，系统会自动创建名称为“defaultRouteTable”的路由表，将其作为默认传播路由表。 同时开启“默认路由表关联”和“默认路由表传播”功能，并不指定默认路由表，则默认关联路由表和默认传播路由表为同一个路由表，均为系统创建的名称为“defaultRouteTable”的路由表。 如果系统已有名称为“defaultRouteTable”的路由表，则不会重复创建。 默认路由表支持更换。

云防火墙（原生版）可按防火墙实例定期为您生成防护报表，本文主要为您介绍如何配置报表、查看及下载报表。 云防火墙（原生版）支持对互联网边界防火墙和VPC边界防火墙生成防护报表，包括日报、周报、月报，并支持订阅报表，订阅后系统会在报表生成后将报表发送至您的邮箱。 前提条件 已购买云防火墙（原生版）C100型实例。 已开启防护。 配置报表 报表配置全局生效，即对互联网边界防火墙和VPC边界防火墙实例均生效。 1. 登录云防火墙（原生版）控制台。 2. 在左侧导航栏，选择“设置中心 > 报表管理”，进入报表管理页面。 3. 在“报表管理”页面右上角，单击“报表配置”，进入报表配置页面。 配置如下参数： 参数名称 说明 报表生成 支持生成日报、周报、月报。根据需要进行开启，可多选。 日报：每天00:00:00生成前一日的报表。 周报：每周一00:00:00生成前一周的报表。 月报：每月1日00:00:00生成前一月的报表。 报表订阅 该页面自动列出当前账号及其全部子账号。 勾选需要订阅报表的账号，报表生成后，系统会自动发送报表至订阅账号的邮箱。 4. 单击“确认”，完成报表配置。

本小节为云防火墙功能类常见问题。 通过日志审计功能可查看哪些信息？ 在“日志审计”页面，可以详细查看每一条用户攻击信息，包括攻击发生时间、攻击类型、危险等级、源端口、源IP、目的IP、目的端口等信息。 云防火墙支持哪些维度的访问控制？ 云防火墙当前支持基于五元组、IP地址组、服务组、域名、黑名单、白名单设置ACL访问控制策略；也支持基于IPS（intrusion prevention system，入侵防御系统）设置访问控制。 IPS支持观察模式和阻断模式，当您选择阻断模式时，云防火墙根据IPS规则检测出符合攻击特征的流量进行阻断。具体配置步骤请参考配置访问控制策略。 云防火墙攻击日志，为什么显示还未纳入防护的EIP？ 云防火墙会将所有受到攻击的EIP信息做收集，以便您更好的配置防御策略。

本文介绍如何添加服务组。 服务组是多个服务（协议、源端口、目的端口）的集合。通过使用服务组，可帮助您有效应对需要重复编辑访问规则的场景，并且方便管理这些访问规则。 约束条件 每个服务组中最多添加64个服务成员。 每个防火墙实例下最多添加512个服务组。 每个防火墙实例下最多添加900个服务成员。 添加自定义服务组 1. 登录管理控制台。 2. 在左侧导航栏中，单击左上方的，选择“安全> 云防火墙”，进入云防火墙的总览页面。 3. （可选）当前账号下仅存在单个防火墙实例时，自动进入防火墙详情页面，存在多个防火墙实例时，单击防火墙列表“操作”列的“查看”，进入防火墙详情页面。 4. 在左侧导航栏中，选择“访问控制> 对象组管理”，进入“对象组管理”界面。 5. 切换至“服务组”页签，单击“添加服务组”，弹出“添加服务组”界面，填写服务组名称及描述。 参数 说明 服务组名称 需要添加的服务组名称。 描述 标识该规则的使用场景和用途，以便后续运维时快速区分不同规则的作用。 服务列表 协议：当前支持的协议为：TCP、UDP、ICMP。 源端口：设置需要开放或限制的源端口。支持设置单个端口，或者连续端口组，中间使用“”隔开，如：80443 目的端口：设置需要开放或限制的目的端口。支持设置单个端口，或者连续端口组，中间使用“”隔开，如：80443 描述：标识该服务组的使用场景和用途，以便后续运维时快速区分不同服务组的作用。 6. 确认填写信息无误后，单击“确认”，完成添加服务组。

步骤三：关联子网 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东华东1。 3. 依次选择“网络”，单击“虚拟私有云”；进入网络控制台页面。 4. 在左侧导航栏，选择“访问控制ACL”选项。 5. 在“ACL”界面，找到目标网络ACL，单击网络ACL的名称。 6. 进入“ACL”详情页面，点击列表页的“关联子网”，选择相应的子网进行关联。 步骤四：测试连通性 1. 登录云主机1，具体登录方法可参考“Windows弹性云主机登录方式概述”。 2. 执行 ping 命令分别 ping 云主机2、云主机3、任意公网IP地址，验证通信是否正常。 场景2：拒绝特定端口访问 假设要防止勒索病毒Wanna Cry的攻击，需要隔离具有漏洞的应用端口，例如TCP 445端口。您可以在子网层级添加网络ACL拒绝规则，拒绝所有对TCP 445端口的入站访问。 以可用区资源池为例，入向规则配置如下： 方向 动作 协议 源地址 源端口范围 目的地址 目的端口范围 说明 :::::::: 入方向 拒绝 TCP 0.0.0.0/0 165535 0.0.0.0/0 445 拒绝所有IP地址通过TCP 445端口入站访问 入方向 允许 ALL 0.0.0.0/0 165535 0.0.0.0/0 165535 放通所有入站流量

相关服务 功能交互 相关链接 弹性云主机（CTECS，Elastic Cloud Server） 弹性云主机是弹性伸缩中伸缩活动的主要对象，用户需要为伸缩组增加或减少弹性云主机来确保业务的稳定运行。 弹性负载均衡（CTELB ，Elastic Load Balancing） 弹性伸缩可联动负载均衡，当伸缩组中增加或减少弹性云主机时，会自动将其纳入负载均衡监听器的监听范围，并按照预设分发算法为其分发访问请求，扩展应用系统对外的服务能力，实现更高水平的应用程序容错性能。 虚拟私有云（CTVPC，Virtual Private Cloud） 为不同的伸缩组提供逻辑隔离，构建一个私密、安全的虚拟私有网络环境，用户可以为每一个伸缩组进行网络配置，包括子网、安全组等。 云监控 当用户通过弹性伸缩配置了告警策略或目标追踪策略，云监控会成为伸缩控制工具，监控预设的性能指标是否到达阈值，若达到则触发伸缩活动，若未达到则保持原样。

未处理列表 1. 您可以支持根据病毒等级、病毒类型 、病毒名称 、病毒状态、账户名查看企业员工未处理的病毒信息，并可以选择隔离或暂不处理； 2. 列表显示病毒相关信息：最新发现时间、等级、病毒类型、病毒名称、终端设备、所属用户、状态； 3. 点击详情，查看病毒更多信息。 4. 已处理列表 1. 您可以支持根据病毒等级、病毒类型 、病毒名称 、病毒状态、账户名查看企业员工已处理的病毒信息；并可以选择彻底删除或修复； 2. 列表显示病毒相关信息：最新发现时间、等级、病毒类型、病毒名称、终端设备、所属用户、状态； 3. 点击详情，查看病毒更多信息。 4. 扫描任务列表 1. 企业管理员可以在扫描任务列表中进行查看管理员创建的扫描任务； 2. 扫描模式、扫描状态、账户名等支持查询筛选； 3. 点击扫描对象，可以查看扫描任务的下发范围，并支持查询； 4. 扫描任务支持导出所选、导出全部。

本节介绍服务器安全卫士（原生版）功能特性。 安全概览 全方位查看服务器安全数据及状态，包括服务器数量统计、服务器安全状态统计、待处理告警、服务器运行状况统计、服务器资产清点统计及排名。 资产管理 查看服务器列表信息及服务器详情信息，支持为服务器开启/关闭防护；自动清点主机内部资产如进程、端口、账号、应用等，实时掌握主机内部资产变化，为安全分析提供数据基础。 基线检测 对系统基线进行全面检查，支持一键检测和定时检测方式，可自定义基线策略，支持对基线进行白名单设置。 漏洞扫描 精准扫描Linux和Windows漏洞，支持一键扫描和定时扫描方式，可查看漏洞详细信息，并提供漏洞修复建议。 入侵检测 包括异常登录和爆破登录，和查看各类入侵防御记录及拦截结果。实时异常登录监控，发现异常IP、区域、时间等的异常登录，并发送告警通知；实时暴力破解多层次监控，支持暴力破解拦截功能，支持查看拦截记录。 弱口令检测 检测系统中的弱口令，包括常见弱口令、空口令、系统默认口令、口令中包含用户名等场景。 病毒查杀 支持对挖矿木马、蠕虫、勒索病毒等进行有效的检测，提供灵活的检测方式，支持一键检测和定时检测方式，通过简单操作即可完成对病毒的处理，支持对病毒文件进行隔离、删除和信任。