本文介绍当攻击发生且触发平台稳定性红线时的处理预案。 场景说明 天翼云CDN是公共的加速服务，平台承载着成千上万的域名加速业务，是一个多客户共用的加速平台，默认不提供防攻击服务。当某个客户的域名遭受攻击（例如CC攻击），而出现带宽或QPS异常大幅上涨触发平台稳定性红线时，CDN系统有权（根据域名业务情况、攻击影响程度等因素综合判断）将对应客户的域名切入专用隔离资源池以隔离异常业务，避免影响其他正常用户的加速服务。在攻击较严重的情况下，同账户下的其他域名也会切入隔离资源池。 域名被切入隔离资源池后，天翼云CDN将不再保证服务质量，部分时段可能会出现无法服务的情况。 说明 隔离资源池是天翼云CDN的一组特殊节点，这组节点与常规节点之间相互隔离，用于隔离有风险的业务。 注意事项 因被攻击导致域名被切入隔离资源池后，用户访问带来的流量仍然会产生计费账单。 相关建议 如您的域名存在潜在被攻击风险，不希望在上述场景下被切换至隔离资源池，请在CDN加速基础上，叠加购买Web应用防火墙（边缘云版），或切换至安全类加速产品，例如：边缘安全加速平台。 相关概念： DDoS：分布式拒绝服务攻击（Distributed Denial of Service，简称DDoS）是指攻击的发出点是分布在不同地方，且所请求的服务往往要消耗大量的系统资源，造成目标主机无法为用户提供正常服务。 CC攻击：攻击者借助代理服务器生成指向受害主机的合法请求，以实现DDoS和伪装的，称为CC(Challenge Collapsar)，CC主要是攻击页面，属于应用层攻击。

管理工具 天翼云API网关服务协议 云迁移工具RDA服务协议 天翼云云审计服务协议 天翼云应用性能管理服务协议 天翼云主机迁移服务产品服务协议 安全 数据加密产品服务协议 天翼云数据库安全服务协议 天翼云WEB应用防火墙（企业版）服务协议 天翼云服务器安全卫士服务协议 天翼云渗透测试服务协议 [天翼云[SSL VPN]服务协议]( 云堤域名无忧服务协议 天翼云网页防篡改服务协议 天翼云日志审计服务协议 Web应用防火墙（边缘云版）服务协议 天翼云DDoS高防IP服务协议 天翼云终端杀毒服务协议 云解析使用协议 天翼云微隔离防火墙服务协议 天翼云云下一代防火墙服务协议 天翼云云堡垒机服务协议 天翼云漏洞扫描服务协议 天翼云登录保护服务协议 天翼云态势感知产品服务协议 天翼云网站安全检测服务协议 内容安全服务协议 天翼云等保咨询服务协议 天翼云安全专区服务协议 天翼云DDoS高防（边缘云版）服务协议 天翼云网站安全监测服务协议 天翼云密钥管理服务协议 天翼云Web应用防火墙（原生版）服务协议 天翼云日志服务（原生版）服务协议 天翼云服务器安全卫士（原生版）服务协议 天翼云Web应用防火墙（独享版）服务协议 天翼云爬虫管理平台服务协议 天翼云容器安全平台服务协议 天翼云分布式云安全平台服务协议 天翼云企业主机安全服务协议 天翼云云防火墙（原生版）服务协议 天翼云密评专区服务协议 天翼云防火墙服务协议 天翼云态势感知（专业版）服务协议 云等保专区服务协议 天翼云数据安全中心服务协议 天翼云漏洞扫描（专业版）服务协议 天翼云托管检测与响应服务（原生版）服务协议 天翼云云证书管理服务服务条款 天翼云证书管理服务服务协议 天翼云日志审计（原生版）服务协议 天翼云云安全中心服务协议 天翼云网页防篡改（原生版）服务协议 天翼云antiDDoS流量清洗服务协议 天翼云Web应用防火墙服务协议 天翼云域名无忧服务协议 天翼云运维安全中心（云堡垒机）服务协议 天翼云安全体检产品服务协议 [](

防火墙防病毒能力支持处理哪些压缩格式的文件？ 目前支持对.zip、.gz、.bz2等压缩文件进行扫描。 防火墙P2P智能识别三种级别宽松度有什么区别？ P2P智能识别，是针对UDP流量进行固定特征+并发连接识别方式。 “严格”和“适中”都是先进行并发连接识别，再进行固定特征识别，“严格”要求并发连接阈值高。 “宽松”是固定特征识别方式，有误报的可能。 防火墙告警日志记录最大规格是多少？ 记录到1万条日志时，会删除最初的1000条。 防火墙支持IPS自定义规则的最大规格是多少？ IPS自定义规则最多可配置32条，每条自定义规则最多可包含8个协议字段，每个协议字段最多可包含8个协议匹配条件。 下一代防火墙运行过程中，产生的日志数据存储需要的磁盘不够怎么办？ 订购下一代防火墙时，承载服务器当前只挂载了系统盘，未挂载数据盘，在业务运行过程中，会产生相应的日志数据，可能会导致下一代防火墙需要的磁盘容量不够，影响防火墙的性能，还可能导致重要日志数据丢失；因此客户购买下一代防火墙的时候，可以搭配订购日志审计存储使用，确保网络安全和合规性。

物理机常用GPU镜像关闭及禁用防火墙操作文档 物理机现有常用的GPU镜像包含：CentOS{7.6, 7.9}、Ubuntu{18.04, 20.04, 22.04}、kylinv10sp3、CTyunOS21.06.4 常见防火墙软件： 1. iptables及ip6tables: 物理机镜像CentOS7.6、kylinv10sp3、CTyunOS21.06.4、Ubuntu{18.04, 20.04, 22.04}使用。 2. firewalld：物理机镜像CentOS7.9使用。 3. UFW（Uncomplicated Firewall）：Ubuntu官方系统默认使用（物理机基于Ubuntu的GPU镜像默认使用iptables）。 关闭防火墙需求的两种情况： 1. 临时关闭防火墙：仅需关闭防火墙，一般使用 'systemctl stop xxx.service'命令。后续开启防火墙使用 'systemctl start xxx.service'命令即可。 2. 持久关闭防火墙：关闭防火墙，并禁用防火墙服务的开机自启动，具体指令如下。 iptables的关闭和禁用： 1. CentOS7.6、kylinv10sp3、CTyunOS21.06.4：这些Red Hat类系统需关闭或禁用iptables和ip6tables。 关闭和禁用iptables（IPv4）： 查看iptables服务状态（active/inactive） systemctl status iptables 关闭防火墙(在Red Hat类系统下，stop iptables会自动清除IPv4的防火墙规则) systemctl stop iptables 禁用 iptables 服务的开机自启动 systemctl disable iptables 关闭和禁用ip6tables（IPv6）: 查看iptables服务状态（active/inactive） systemctl status ip6tables

本文介绍防火墙使用最佳实践，以及配置IP地址组和服务组访问策略的最佳实践。 当您完成防火墙的购买和防护开通后，可以根据您的需要进行一系列常用实践，防火墙常用实践如下表。 实践 描述 云防火墙使用最佳实践 云防火墙提供了“标准版”供您使用，包括访问控制、入侵防御、流量分析以及日志审计等功能，本实践介绍如何进行防火墙使用。 配置IP地址组和服务组访问策略 本实践以配置IP地址组和服务组为例，说明如何批量配置IP地址和服务访问控制策略。

1、准备好资源、环境与应用 1.1、资源开通 应用容灾多活是构建在已有应用之上的管控，协同其他云产品，但不负责其他云产品的生命周期，需要您提前规划与创建。 您可以根据规划的物理架构，在指定区域或可用区提前开通与创建应用部署所需的资源与服务，例如虚拟私有云VPC 、微服务云应用平台MSAP 和弹性云主机ECS等。 1.2、网络互通 数据双活架构可能存在跨数据中心调用的场景，需要您提前打通两个数据中心之间的网络。 您可以根据选定的物理架构，选择合适粒度的网络连通方案，例如连通两个区域的云间高速 产品和连通两个VPC的对等连接产品等。 1.3、应用准备 在这个示例中，对应用的部署方式没有强制要求，可以开通弹性云主机ECS实例 自行部署应用服务，也可以开通微服务云应用平台MSAP 进行应用部署管理，本示例使用微服务云应用平台MSAP 。 还需要您开通： 关系型数据库MySQL版 实例，并结合数据传输服务DTS进行业务数据跨中心同步。 微服务引擎注册配置中心用于注册中心和管控通道。 微服务引擎云原生网关用于前端服务转发。 本示例将以上应用进行单元化改造，改造后云上部署架构如下。 图 部署架构

本节介绍云等保专区产品的下一代防火墙。 下一代防火墙能够提供应用层防火墙、入侵防护、防病毒、反APT、DOS防护、内容过滤、URL过滤、智能带宽管理、上网行为管控与审计等多重安全特性；同时，它全面适配云环境，支持主流的公有云、私有云及虚拟化平台；全特性支持RESTful API，具备高效的协同联动能力，能够提供立体化防护能力。 进入控制台 1. 登录云等保专区控制台。 2. 在左侧导航选择“下一代防火墙”，进入下一代防火墙资源列表页面。 3. 单击目标资源操作列的“配置”，跳转到下一代防火墙控制台。 使用下一代防火墙 了解更多下一代防火墙相关操作内容，请下载阅读《云等保专区下一代防火墙 v1.0 用户指南》。

本小节介绍Web应用防火墙操作类常见问题。 如何接入Web应用防火墙防护？ Web应用防火墙支持HTTPS协议吗？ Web应用防火墙支持IP负载均衡吗？ Web应用防火墙流量牵引方式及步骤？ 为什么要放行云Web应用防火墙回源IP段？ 为什么要开通所有网站端口的Web应用防火墙防护？ 如何放行云Web应用防火墙回源IP段？ Web应用防火墙是否支持会话保持？ Web应用防火墙是否支持源站健康检查？ 为什么第三方漏洞扫描工具会检测到域名其他未开放的端口？ Web应用防火墙是否支持HTTPS与HTTP2.0协议？ Web应用防火墙是否支持WebSocket协议？ Web应用防火墙是否支持IPv4与IPv6双栈？ [Web应用防火墙是否支持NAT64机制？](

本页主要介绍微服务云应用平台产品的API使用说明 OpenAPI门户提供了产品的API 文档、API调试、SDK中心等。 关于如何使用微服务云应用平台产品API的详细介绍，请参见使用API。您可以在OpenAPI门户可以了解到具体的调用前必知、API概览、如何调用API以及具体的API的接口详细说明。

本小节是产品咨询类常见问题。 云防火墙支持线下服务器吗？ 不支持，云防火墙支持云上Region级服务。 云防火墙支持防护哪些范围？ 云防火墙是新一代的云原生防火墙，支持防护的范围如下： 互联网边界：支持防护EIP的流量，包括入方向（从互联网到防火墙）和出方向（从防火墙到互联网）的流量。 VPC边界：支持防护VPC与VPC之间、云上VPC与本地IDC之间的流量；不支持防护VPC内的流量。 NAT网关分为以下两种场景： 防护NAT网关绑定的EIP，仅审计EIP的流量。 防护SNAT和DNAT流量（依赖VPC边界防火墙），支持溯源到私网IP。 云防火墙支持的QPS、新建/并发连接数大小是多少？ 云防火墙作为SaaS化服务，不受传统硬件防火墙在新建连接数、并发连接数以及QPS等方面的限制，衡量云防火墙性能的唯一标准是实际的防护带宽大小。 防护带宽定义如下： 防护带宽：所有经过云防火墙防护的业务带宽。 互联网边界防护带宽：所有经过云防火墙防护的EIP的流量总和最大值，按照入云流量（入流量）或出云流量（出流量）的最大值取值。 VPC边界防护带宽：所有经过云防火墙防护的VPC的流量总和最大值。

本文主要介绍快速体验微服务引擎 概述 微服务引擎(CSE)是一个应用托管和微服务管理平台，依托微服务云应用平台(ServiceStage)服务，可以帮助企业简化部署、监控、运维和治理等应用生命周期管理工作。面向企业提供微服务、移动和Web类应用开发的全栈解决方案。 应用是一个功能相对完备的业务系统，由一个或多个特性相关的组件组成。应用组件是组成应用的某个业务特性的实现，以代码或者软件包为载体，可独立部署运行。 针对应用的组件提供启停、升级、回退、伸缩、查看日志、查看事件、设置访问方式、设置阈值告警等运维操作。 本例将基于ServiceComb(SpringMVC)框架，快速创建微服务应用，供您体验微服务引擎CSE的各项基础功能。 前提条件 注册天翼云帐号，并登录成功。 获取AK/SK，请参考AK/SK获取方法。 说明 如果使用微服务引擎专业版，需要配置AK/SK。 如果使用微服务引擎专享版，不需要配置AK/SK。 创建一个虚拟私有网络VPC，请参考创建虚拟私有云和子网。 创建一个CCE集群，集群中至少包含一个ECS节点(为方便后续步骤的操作，节点 规格最好选择4vCPUs、8GB内存)并且绑定弹性IP。集群绑定弹性IP，请参考云容器引擎 > 购买容器集群。 本例将绑定GitHub源码仓库，实现源码构建、归档、应用创建， 需要先到GitHub官网注册帐号。 在ServiceStage创建仓库授权，授权访问GitHub仓库，请参考微服务云应用平台 > 仓库授权。

本章节主要介绍天翼云大数据平台 翼MapReduce产品的安全增强特性。 天翼云大数据平台 翼MapReduce支持海量数据存储、海量数据分析、实时处理等行业应用，平台具备高安全性。该产品主要从以下几个方面保障用户可以安全地存储、使用数据以及运行业务。 网络隔离 系统部署在用户在公有云上专享的虚拟私有云中，提供安全隔离的网络环境，保证用户大数据集群的业务、管理的安全性。通过结合虚拟私有云的子网划分、路由控制、安全组等功能，可以为用户提供高安全、高可靠的网络隔离环境。 资源隔离 翼MR服务目前支持用户在天翼云4.0资源池内专属化部署，服务使用到的云主机在IaaS层保证资源隔离，资源组合上确保专属计算资源+专属存储资源。 主机安全 翼MR支持与天翼云官网安全服务集成，支持漏洞扫描、安全防护、应用防火墙、云堡垒机、网页防篡改等。针对云主机，提供如下安全措施： 操作系统内核安全加固 更新操作系统最新补丁 操作系统权限控制 操作系统端口管理 操作系统协议与端口防攻击 云主机监控 防DDoS攻击 定期备份数据 增加登录密码强度 应用安全 通过如下措施保证大数据业务正常运行： 身份鉴别与认证 Web应用安全 访问控制 审计安全 密码安全

ServiceComb引擎微服务开发框架版本要求 微服务开发框架推荐版本如下表所示。 如果已经使用低版本的微服务开发框架构建应用，建议升级到推荐版本，以获取最稳定和丰富的功能体验。 如果基于开源开放和业界生态组件新开发微服务应用，可选择Spring Cloud框架。 如果希望使用ServiceComb引擎提供的开箱即用的治理能力和高性能的RPC框架，可选择Java Chassis框架。 框架 推荐版本 说明 Spring Cloud 1.10.92021.0.x及以上 采用项目提供接入支持： 适配的Spring Cloud版本为2021.0.5 适配的Spring Boot版本为2.6.13 Java Chassis 2.7.10及以上 可以直接使用开源项目提供的软件包接入，不需要引用其他第三方软件包 Java Chassis微服务开发框架的版本说明请参见： Springcloudhuawei、Servicecomb及Sermant功能对比 一级特性 二级特性 serviccombjavachassis springcloudhuawei sermant agent 备注 微服务治理 优雅上下线 √ √ √ 无损升级 √ √ √ 服务端限流 √ √ √ 客户端容错 √ √ √ 客户熔断 √ √ √ 客户端降级 √ √ √ 服务端隔离仓 √ √ √ 客户端隔离仓 √ √ √ 负载均衡策略 √ √ √ 灰度发布 √ √ √ 全链路日志追踪 √ √ × 服务治理状态上传 √ √ × 快速失败 √ √ × 故障注入 √ × √ 黑白名单 √ √ × 注册发现 本地注册发现 √ √ × 单注册CSE √ √ √ 单注册ServiceCenter √ √ √ 双注册 × × √ 双注册指同时注册到两个注册中心，当前sermant支持同时注册到cse和宿主原生注册中心。 配置中心支持 servicecomb引擎 √ √ √ 可基于配置中心下发配置,例如服务治理规则、业务配置。 Nacos引擎 √ √ √ servicecombkie √ √ √ zookeeper × × √ 轻量化配置中心（zeroconfig） √ × × apollo × × × 安全特性 安全认证 √ √ × 服务实例与注册中心以及消费端与生产端之间的认证。 开发 多协议支持 √ × × JavaChassis针对消费与生产端支持多种通信协议，如下： l 生产端：JAXRS、SpringMVC、透明RPC。 l 消费端：透明RPC、RestTemplate、InvokerUtils。 拓展 l 支持用户自定义处理链处理流量。 l 支持用户扩展流量治理。 l 支持Spring Cloud原生扩展。 l 支持用户扩展流量治理。 基于插件开发模式新增能力。

本章节介绍微服务云应用平台应用路由能力 概述 应用的外部访问入口包含K8s Ingress应用路由。便于在创建路由规则时关联后端应用暴露的服务，不仅可以作为外部的流量入口，还可以作为微服务的网关，实现用户对流量的统一调度和管理。微服务云应用平台应用路由目前仅支持Nginx Ingress路由。 路由列表 1. 登录微服务云应用控制台，选择“应用运维 > 容器应用实例>应用路由” 2. 点击“应用路由>Ingress路由”，查看路由列表 “名称”：Ingress路由规则名称 “类型”：nginx，目前仅支持nginx应用路由 “端点”：通过Ingress规则暴露的服务的入口地址，这个服务的端点就是实际处理请求的目标地址。Ingress控制器会根据Ingress资源中的规则将外部请求转发给相应的服务端点 “k8s集群名称”：k8s集群名 “k8s命名空间”：k8s集群命名空间 “转发规则”：路由转发规则 “创建时间”：应用路由的创建时间 创建Ingress 前提条件 1. k8s集群需要在“云容器引擎>插件市场“”安装“nginxingresscontroller插件” 2. 对于nginxingresscontroller而言，需要确保外部流量能够正确地路由到这个控制器上。在““云容器引擎>网络>服务”创建一个Service类型为LoadBalancer或者NodePort，以便于从集群外部访问到这个入口控制器，从而实现对集群内服务的HTTP/HTTPS请求的路由 3. 在“云容器引擎>命名空间>编辑命名空间”，针对指定命名空间开启Ingress服务

本章节主要介绍翼MapReduce的安全增强特性。 翼MR作为一个海量数据管理和分析的平台，具备高安全性。翼MR主要从以下几个方面保障用户的数据和业务运行安全。 网络隔离 整个系统部署在公有云上的虚拟私有云中，提供隔离的网络环境，保证集群的业务、管理的安全性。结合虚拟私有云的子网划分、路由控制、安全组等功能，为用户提供高安全、高可靠的网络隔离环境。 资源隔离 翼MR服务支持资源专属区内部署，专属区内物理资源隔离，用户可以在专属区内灵活地组合计算存储资源，包括专属计算资源+共享存储资源、共享计算资源+专属存储资源、专属计算资源+专属存储资源。 主机安全 翼MR支持与公有云安全服务集成，支持漏洞扫描、安全防护、应用防火墙、堡垒机、网页防篡改等。针对操作系统和端口部分，提供如下安全措施： 操作系统内核安全加固 更新操作系统最新补丁 操作系统权限控制 操作系统端口管理 操作系统协议与端口防攻击 应用安全 通过如下措施保证大数据业务正常运行： 身份鉴别和认证 Web应用安全 访问控制 审计安全 密码安全 数据安全 针对海量用户数据，提供如下措施保障客户数据的机密性、完整性和可用性。 容灾：翼MR支持将数据备份到OBS（对象存储服务）中，支持跨区域的高可靠性。 备份：翼MR支持针对DBService、NameNode、LDAP的元数据备份和对HDFS、HBase的业务数据备份。

本文将介绍如何为轻量型云主机添加防火墙规则，并介绍防火墙功能预设的端口信息。 操作场景 防火墙可以对轻量型云主机的网络访问进行控制，每台轻量型云主机的防火墙默认放行了22端口（SSH服务）、3389端口（windows远程登录）、80端口（http端口）、443（https端口）端口的入方向端口。用户可在此基础上添加其它的防火墙规则，来完善防火墙的安全设置。 操作步骤 1.登录天翼云，进入控制中心。 2.单击控制中心顶部的，选择资源所在地，此例我们选择上海36。 3.单击左侧导航栏“产品服务列表”，选择“计算>轻量型云主机”。 4.进入轻量型云主机列表界面，单击目标主机“实例名称”进入目标主机详情页。 5.单击“防火墙”页签，可以看到当前轻量型云主机的防火墙信息。 6. 单击“添加规则”弹出添加弹窗，用户需要按照要求进行填写，字段说明如下。 字段名 说明 IP版本 取值：IPV4、IPV6，单选，必填。 方向 取值：入方向、出方向，单选必填。 授权策略 取值：允许、拒绝，单选，必填。 协议 取值：ANY、TCP、UDP、ICMP，单选，必填。 端口范围 取值为介于1到65535之间的数字。如输入错误则输入款变红，下置文字提示：端口范围在 1到 65535之间，必填。 源地址 取值为数字，子网IP地址与子网掩码是否匹配的校验逻辑同云主机，必填。 描述 取值：100个以内字符，选填。如超出字数限制，下置文字提示：请输入100个以内字符。 添加规则： 7. 完成配置后，单击“确定”，即可完成防火墙规则的添加。

相关操作 关闭防火墙：防火墙创建后不支持删除和退订，您可以关闭防火墙的防护请参见“关闭VPC边界防火墙”。

接口功能介绍 查询防火墙的简要信息 接口约束 传参规范 URI GET /vfw/v2firewallsimplequery 路径参数 无 Query参数 参数 是否必填 参数类型 说明 示例 下级对象 firewallId 否 String 防火墙id dca4f9ffaca2447aa24310c1e62c4690 firewallName 否 String 防火墙名称 firewallType 否 String 防火墙类型 NorthSouth 南北向 EastWest东西向 firewallState 否 String 防火墙状态 normal正常 overdue已到期 unsubscribe已退订 processing开通中 firewallStateExclude 否 String 过滤防火墙状态 normal正常 overdue已到期 unsubscribe已退订 processing开通中 masterOrderId 否 String 主订单ID masterResourceIds 否 Array of Strings 主资源IDs masterResourceId 否 String 主资源ID page 否 Integer 页码 1 size 否 Integer 条数 10 isDelete 否 Boolean 是否删除 false state 否 Boolean 是否退订 true 请求参数 请求头header参数 参数 是否必填 参数类型 说明 示例 下级对象 urlType 是 String 请求地址类型 CTAPI regionId 是 String 资源池id 100054c0416811e9a6690242ac110002 请求体body参数 无

NF界面配置 登录下一代防火墙 1. 登录云等保专区控制台。 2. 在左侧导航栏，选择“下一代防火墙”，单击操作列的“配置”，即可单点登录至下一代防火墙。 配置NF网卡接口 创建trust,untrust,dmz。如下步骤以GE4/0口为例，其他接口配置步骤类似。 1. 点击防火墙Web界面“网络接口接口GE4/0的编辑按钮”。 2. 点击安全域进行域规划（示例中GE4/0口为DMZ域即VRRP心跳口）。 3. 地址设置。 点击编辑页中的“IPV4地址DHCP”使接口自动获取IP地址。 4. 重复以上操作将两台防火墙四个接口均获取到地址。 NF1： NF2： 5. 点击右上角保存接口配置。

本章节主要介绍微服务云应用平台日志中心相关能力 概述 微服务云应用平台日志中心的能力是通过集成云日志服务和云容器引擎插件的能力，从而满足用户管理应用实例日志要求。 日志中心使用 用户使用微服务云应用平台日志中心之前，首先需要确保已开通日志服务终端节点、已订购开通云日志服务和在部署应用实例的云容器引擎集群下安装了日志采集插件，三者缺一不可。 如若没有配置日志收集管理应用高级配置，请先开启日志采集开关，然后再配置日志采集规则。 创建日志采集规则流程： 1. 日志项目，选择目标日志项目，如无即新建 2. 日志单元，选择目标日志单元，如无即新建 3. 采集日志类型，会为标准输出和文件日志 4. 采集路径，文件日志类型一定要填写采集路径，此路径为绝对路径，支持采集文件或文件夹 最后点击确定即可。 注意 如若新增的应用实例版本，请使用已配置日志采集规则的应用实例版本重新部署应用实例后，方可使用日志中心能力。 进入日志中心页面，可以编辑日志采集规则或查看日志内容。 编辑：点击前往云日志服务日志接入对应采集规则编辑页 查看日志：点击前往云日志服务对应应用实例的日志页面

高级配置——微服务治理 在微服务云应用平台中部署的SpringCloud和Dubbo应用能够无侵入对接云原生Stack中微服务治理中心的能力。微服务云应用平台支持您在创建和部署应用时为应用配置注册中心实例和无损上线。 注册中心是在Java微服务架构中用于实现服务的注册与发现，能够屏蔽、解耦服务之间的相互依赖，以便对微服务进行动态管理的。目前微服务云应用平台只支持从云原生Stack中订购的注册配置中心nacos产品实例。 无损上线是微服务治理中心产品提供的一种能力。针对应用启动的多个阶段提供了相应的保护能力，具体功能包含服务预热、服务延迟注册以及无损滚动发布等。 无损上线参数名称 无损上线参数含义 预热时长 应用实例下一次启动的预热时间。 预热曲线 基于已配置的预热时长，被预热的应用流量权重会根据配置的预热曲线呈指数型增长。 在指定预热时长内，预热曲线值越大被预热应用刚启动时分配的流量权重越小，以满足需要较长时间进行预热的复杂应用的预热需求。 默认为2（适合于一般预热场景），表示在预热周期内服务提供者的流量接收曲线形状呈2次曲线形状。 预热曲线设置范围为0~20。相同预热时间，预热曲线值越大，表示预热开始将接收的流量越小，临近预热结束时接收的流量增幅越大。 延迟注册时间 延迟注册到注册中心实例的时长。 无损滚动发布 通过就绪检查前完成服务注册：为应用无侵入提供54199端口用于检查微服务是否已经完成注册，如果已注册完成，端口返回200，否则返回500。 通过就绪检查前完成服务预热：为应用无侵入提供54199端口用于检查微服务是否已经完成预热，如果已预热完成，端口返回200，否则返回500。

本文介绍微服务云应用平台的计费说明,计费不包含云主机、负载均衡和容器服务等IaaS层资源的费用。 计费说明 2025年1月14日开始，微服务云应用平台开放免费订购，不再按照应用实例数收取管理费用，用户可免费使用应用托管等相关能力。 但需注意，在使用相关模块能力时，视情况需订购其它关联产品才可使用，开通关联产品将会收取相应费用，计费项与定价详情参见各关联产品计费说明。部分关联产品计费说明如下，具体关联产品以使用为准。 关联产品 计费说明链接 微服务引擎微服务治理中心 计费说明 云容器引擎 计费说明 应用性能监控APM 计费说明 云日志服务ALS 计费说明 容器镜像服务 计费说明 微服务引擎注册配置中心 计费说明

本章节介绍如何将部署在云容器引擎的应用通过安装cubems插件实现应用接入 概述 部署在云容器引擎的应用可以直接通过安装cubems插件实现应用接入。 环境规划 1.开通微服务云应用平台MSAP 开通 微服务云应用平台。 2.环境信息配置 使用微服务治理中心前，需要为应用提前规划环境、项目和分组信息。您可通过进入微服务治理控制台>应用治理>应用接入>云容器引擎进行配置，也可跳转至微服务云应用平台创建。 网络通路 1.DNS配置 上报域名为内网域名，需要在DNS配置文件（/etc/resolv.conf）首行添加nameserver 100.95.0.1 才生效。 2.创建VPC终端节点 使用微服务治理中心前，需要在目标VPC中创建终端节点。创建路径：微服务治理中心控制台>应用治理>应用接入>ECS集群>网络通路。 进入应用接入页面。 点击云容器引擎，选择VPC，点击创建终端节点。 点击确定授权并创建VPC终端节点。 点击确定后，刷新页面，显示VPC的终端节点状态为已创建。

本章节介绍创建镜像微服务的步骤 概述 镜像微服务是创建微服务应用中重要的一种接入类型。目前微服务云应用平台支持Java 语言Spring Cloud和Dubbo框架的微服务，创建微服务应用，可以使用微服务治理以及应用性能监控的相关能力。在本章中，我们将会详细阐述创建镜像微服务的完整步骤。 前提条件 1. 您已开通微服务云应用平台 2. 您已开通微服务治理中心 3. 您已开通应用性能监控 4. 您已订购一个云容器引擎 5. 您已订购一个nacos注册中心 创建应用实例 在左侧导航栏，选择容器应用实例 > 应用发布 > 应用实例。在应用实例左上角点击创建应用实例。 基本信息填写 项目/应用：选择应用。 应用实例名称：无需修改，使用默认名称即可。 技术栈版本：镜像部署无需关心技术栈版本，可任意选择。 部署单元：选择应用发布到的部署单元，平台会根据选择部署单元对应的可用区信息将pod平均调度到对应的可用区节点。 接入方式：选择镜像。 应用实例版本：无需修改，使用默认版本即可。 企业项目：选择default。 部署配置填写 选择集群：选择导入到环境中的云容器引擎。 工作负载类型：根据实际情况选择负载类型。 镜像类型：选择Demo镜像。 选择镜像：选择springcloudprovidernacos.jar镜像使用1.0.0版本。 Pod数量：输入期望发布的pod个数。 单Pod资源配额：填写pod cpu 和 内存 预留和限制数值信息。 监控及治理方案：勾选接入服务治理中心，应用发布成功后可在服务治理导航栏设置应用治理规则。勾选接入应用性能监控后，可在应用详情界面查看应用监控信息。 高级配置与制品微服务一致，可参考创建制品微服务章节按需配置。 点击下一步，进入到预览界面，确认信息无误后，点击创建。 创建成功后，点击查看实例详情按钮，来到实例详情界面，至此镜像微服务已经创建完成。如何部署可查看微服务应用部署章节。

本节主要介绍产品价格 目前微服务云应用平台为公测，暂不收费。

云防火墙的应用场景及限制。 约束限制 CFW ALG标签功能受限。 CFW默认不开启网络层流量类型DDoS攻击与IP欺骗防御功能。 域名防护依赖于用户配置的域名服务器。默认域名服务器可能存在域名解析对应的IP地址不全，建议优先使用自定义域名服务器。 CFW长连接业务场景限制，配置策略的时候需要同时开启双向放通的安全策略，如果只开启单向策略，部分场景（开启和关闭防护、扩容引擎）需要客户端重新发起连接。 外部入侵防御 通过云防火墙，对已开放公网访问的服务资产进行安全盘点，可一键开启入侵检测与防御。 主动外联管控 云防火墙支持基于域名的访问控制，可对主动外联行为进行精准管控。 VPC间互访控制 云防火墙支持VPC间流量的访问控制，实现内部业务互访活动的可视化与安全防护。 等保合规 云防火墙可满足《网络安全等级保护2.0》中对区域边界防护、网络入侵防范、网络访问控制、安全日志审计等检查要求。

本文介绍如何购买云防火墙。 云防火墙支持一个账号下购买多个防火墙，便于管理不同场景下的资源和策略。 前提条件 当前账号拥有BSS Administrator权限。 版本信息说明 云防火墙支持包年/包月（预付费）计费方式，提供以下服务版本：标准版、专业版。 各版本的功能差异请参见产品功能。 各服务版本推荐使用的说明如下： 标准版 有等保需求，或对网络入侵、主机失陷等网络安全比较关注的中小型客户。 专业版 有等保或重保需求，或对网络入侵、主机失陷、内部网络互访等网络安全比较关注的中大型客户。 标准版防火墙 1. 登录天翼云控制中心。 2. 在左侧导航树中，单击左上方的“服务列表”，选择“安全 > 云防火墙”，进入云防火墙的概览页面。 3. 单击“购买云防火墙”，进入“购买云防火墙”页面，相关参数如下表所示。 参数名称 参数说明 计费模式 包年/包月，按配置周期计费。 区域 购买云防火墙的区域。 版本规格 选择版本：标准版。 版本规格 扩展防护公网IP数 （可选）选择需扩展的防护公网IP数，可选择范围：0~2000个 说明 此处为套餐外购买数量，例如标准版防护公网IP数默认20个（套餐内费用包含），如果您的公网IP是65个，那么只需要填写45个。 版本规格 扩展互联网边界防护带宽 （可选）选择需扩展的防护流量峰值（出流量或入流量的最大峰值），可选择范围：0~5000Mbps/月（需为5的整数倍） 说明 此处为套餐外购买流量值，例如标准版防护互联网边界流量峰值默认10Mbps（套餐内费用包含），如果您的防护流量是200Mbps，那么只需要填写190Mbps。 防护流量按照出流量或入流量的最大峰值取值。 高级设置 防火墙名称 设置当前防火墙的名称。 命名规则如下： 可输入中文字符、英文大写字母（A～Z）、英文小写字母（a～z）、数字（0～9）、空格和特殊字符（）。 长度支持148个字符。 高级设置 企业项目 在下拉列表中选择防火墙归属的企业项目，选择后，防火墙将归属到该企业项目下，用于费用及账单管理；但是，云防火墙的防护层级不会发生改变，仍支持防护所有企业项目下的资源。 企业项目针对企业用户使用，只有开通了企业项目的客户，或者权限为企业主账号的客户才可见。企业项目是一种云资源管理方式，企业项目管理服务提供统一的云资源按项目管理，以及项目内的资源管理、成员管理。 说明 “default”为默认企业项目，账号下原有资源和未选择企业项目的资源均在默认企业项目内。 高级设置 标签 （可选）如果您需要使用同一标签标识多种云资源，即所有服务均可在标签输入框下选择同一标签，建议在TMS中创建预定义标签。 购买时长 自主选择购买时长。 选择时长后，可勾选“自动续费”若您勾选并同意自动续费，则在服务到期前，系统会自动按照购买周期生成续费订单并进行续费，无需手动续费。 4. 确认购买信息无误后，单击“立即购买”。

操作步骤 1. 选择目标配置，点击同步按钮 2. 选择目标环境 3. 选择目标实例 4. 选择相同配置策略 策略 说明 终止导入 遇到相同Data ID和Group的配置，直接终止导入，后续的导入操作不再执行。 跳过 遇到相同Data ID和Group的配置直接跳过，不覆盖配置继续执行。 覆盖 遇到相同Data ID和Group的配置直接覆盖配置，继续执行。 最后点击确定即可。 在同步配置的弹出框中，可以修改待同步的配置的Data ID和分组，修改后的值仅在目标实例命名空间下生效，原配置不会被改变。 管理配置 微服务云应用平台微服务治理提供配置的增删改改查操作。您可以通过控制台页面管理配置，发布之后，可以动态生效，无需重启应用。 查看历史版本 微服务云应用平台微服务治理提供了配置历史查询功能。目前默认仅保存30天以内的变更记录。本文介绍如何查看配置历史版本。 1. 点击微服务治理历史版本菜单 字段 说明 Data ID 配置的Data ID Group 配置的Group 更新时间 配置更新发布的时间 所属应用 配置所属应用 操作类型 配置操作类型：插入、更新 2. 右侧操作列提供查看和会滚的操作。点击查看可以查看所选的历史版本的配置的详细信息。 3. 点击回滚会弹出框对比所选历史版本和当前最新版本的对比信息。点击确认回滚，即可将配置回滚至历史版本。

Web应用防火墙（原生版） Web应用防火墙（原生版）（CTWAF，Web Application Firewall，简称WAF）基于三大引擎（安全模型检测引擎+智能语义检测引擎+机器学习检测引擎），结合设备指纹、无感验证码、动态人机挑战、动态环境验证、随机化混淆策略、AI驱动的实时决策等关键技术，支持多种常见编码自动还原能力，提供深度攻击防逃逸功能，构建完整的动态防御闭环，有效检测 SQL 注入、XSS 等基于形式语言的攻击类型，有效应对自动化工具、0day漏洞攻击等高风险威胁。打造专业的Web安全防护能力。可为用户Web应用提供一站式安全防护，对Web业务流量进行智能全方位检测，有效识别恶意请求特征并防御，避免源站服务器被恶意入侵，保护网站核心业务安全和数据安全。更多信息请参考++Web应用防火墙++ 配置方式： 如果您拥有弹性IP、公网NAT网关、弹性负载均衡等网络资产，并需要进行公网流量出入的互联网边界防护需求，您可以在云防火墙的“互联网边界开关”页面将这些网络资产接入云防火墙，并配置相关的互联网边界访问控制规则。具体操作，请参见++防火墙开关互联网边界防火墙++、++访问控制配置互联网边界防护规则++ 如果您拥有对等连接、云间高速、云专线等网络资产，并需要针对内网互访进行VPC边界防护，您可以在云防火墙的“VPC边界开关”页面将内网互访流量接入云防火墙，并配置相关的VPC边界访问控制规则。具体操作，请参见++防火墙开关VPC边界防火墙++、++访问控制配置VPC边界防护规则++

类别 云防火墙 Web应用防火墙 定义 云防火墙（Cloud Firewall，CFW）是新一代的云防火墙，提供云上互联网边界和VPC边界的防护，包括实时入侵检测与防御、全局统一访问控制、全流量分析可视化、日志审计与溯源分析等，同时支持按需弹性扩容、AI提升智能防御能力、灵活扩展满足云上业务的变化和扩张需求，极简应用让用户快速灵活应对威胁。云防火墙服务是为用户业务上云提供网络安全防护的基础服务。 Web应用防火墙（Web Application Firewall，WAF），通过对HTTP(S)请求进行检测，识别并阻断SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等攻击，保护Web服务安全稳定。 防护对象 弹性公网IP和VPC边界。 支持对Web攻击的基础防护。 支持外部入侵和主动外联的流量防护。 针对域名或IP，云上或云下的Web业务。 支持对Web攻击的全面防护。 功能特性 资产管理与入侵防御：对已开放公网访问的服务资产进行安全盘点，进行实时入侵检测与防御。 访问控制：支持互联网边界访问流量的访问控制。 流量分析与日志审计：VPC间流量全局统一访问控制，全流量分析可视化，日志审计与溯源分析。 SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等攻击防护。

下一代防火墙v2.0常见问题请参见云防火墙（原生版）常见问题。

帮助您在单资源池多VPC场景下进行网络设计。 背景介绍 单资源池多VPC的云网络架构设计旨在解决传统单VPC架构在扩展性、安全性、隔离性以及多业务场景适配性等方面的局限性。单资源池多VPC架构通过逻辑隔离和灵活组网，解决了单VPC在扩展性、安全性和管理粒度上的不足，尤其适合中大型企业、复杂业务场景及合规要求高的环境。尽管引入了一定管理复杂度，但结合自动化工具和合理设计，其收益显著高于单VPC架构。本文适用于虚拟私有云的可用区资源池，不同资源池列表见产品简介资源池区别页面，实际情况以控制台展现为准。 设计目标 1. 业务隔离：通过多VPC实现部门、环境（生产/测试）或租户级隔离。 2. 安全管控：精细化控制跨VPC流量，避免非授权访问。 3. 灵活互通：按需打通VPC间通信，支持业务协同。 4. 统一运维：共享通用服务（如NAT网关、堡垒机），降低管理成本。 基础架构组件 组件 作用 虚拟私有云VPC 创建逻辑隔离的私有网络环境 子网 按业务分层划分网络段（Web/App/DB） 路由表 控制虚拟私有云（VPC）内网络流量的转发路径。 安全组 实例级流量控制（有状态防火墙） 网络ACL 子网级流量过滤（无状态规则） 弹性负载均衡 流量分发至多台后端服务器 NAT网关 私有子网访问互联网的统一出口 弹性IP 为云主机或NAT网关绑定公网地址 对等连接 实现跨VPC内网互通 云监控 网络流量监控