本节介绍了用户指南:使用LVM动态存储卷。 云容器引擎服务提供cstorcsi插件，支持通过LVM方式，基于容器集群节点上的硬盘，虚拟化成一个小型存储池，当需要特定份额的存储时，从中划分出对应份额的磁盘供业务容器使用。 使用LocalPV、HostPath都可以实现Pod对主机存储空间的访问，但均具有一定局限性，比如无法做到容量隔离、无法限制IOPS/吞吐等、无法直观了解各节点存储空间余量从而进行合理调度。基于此，云容器引擎提供LVM数据卷方案，以解决上述问题。 前提条件 已创建容器集群 该功能使用风险、限制较多，默认控制台不对外开放。如需使用，请通过工单方式联系相关人员添加功能白名单。 安装存储插件cstorcsi，插件配置参数localStorPlugins开启lvm插件。如插件已安装，可以通过“插件实例”——“cstorcsi”——“更新”，配置localStorPlugins: "lvm,localpv"，实现插件配置更新。 使用限制 cstorcsi插件安装版本要求3.4.0及以上； 如果节点池默认配置数据盘，那么新增节点的第一块数据盘（供容器运行时和Kubelet组件使用）不支持导入为存储池。 创建存储池将占用磁盘设备，必要时会进行格式化操作。为避免数据丢失，请务必确认磁盘设备存在，并可用于存储池。 存储池配置或者修改，默认10min生效，如需调整，可以更新cstorcsi插件配置参数configEffectInterval实现。 存储池不支持缩容和删除；如果删除节点上存储池的磁盘，会导致存储池异常。 LVM本地存储卷，不支持数据的跨节点迁移，不适合在高可用场景中使用。 请勿自行对节点上的本地存储资源（例如VG，PV，LV）以及插件运行需要的CRD（包括NodeStorageManager、CStorLocalStorage）进行修改或删除；

虚拟私有云产品为您提供优质的服务体验,本文带您了解虚拟私有云的产品优势。 简单易用 您可以通过控制台、API 等方式，快速创建、管理虚拟私有云，创建完成后，系统会自动为其创建默认路由表。您可以根据自己的应用需求轻松创建和配置虚拟私有云网络拓扑结构，包括子网、安全组、路由表等。 安全可靠 虚拟私有云之间通过隧道技术实现逻辑隔离，不同虚拟私有云之间默认不能通信。另外，我们还为您提供为您提供安全组、网络ACL等不同层面的网络访问控制方式，采用多重防护策略，让您的网络环境更安全。 灵活配置 虚拟私有云为您提供了强大的网络管理能力，您可以自定义网段，按需划分子网，并通过灵活配置路由表和路由规则，定制化地部署您的云上业务。并且支持云专线、VPN等多种方式接入。 通过自定义私有网络，您可以按需划分子网来合理规划IP地址资源；通过配置路由表来管理私有网络的流量走向；通过配置安全访问控制策略来进行安全防护等。 互联互通 虚拟私有云提供丰富的接入方式，可以满足您在云上的通信需求： 访问其它虚拟私有云：默认情况下，两个虚拟私有云之间是不能通信访问的，通过对等连接使不同VPC之间的云主机或物理机互相访问。 访问Internet：默认情况下，虚拟私有云与公网是不能通信访问的，通过弹性IP、NAT网关、弹性负载均衡等多种方式连接公网。 访问本地数据中心：您可以使用VPN 连接、云专线来访问本地数据中心。 为企业提供多种连接选择，以满足云上多业务需求，助力轻松部署企业应用，同时减少企业IT运维成本。

本节介绍了用户指南:使用LVM动态存储卷。 云容器引擎服务提供cstorcsi插件，支持通过LVM方式，基于容器集群节点上的硬盘，虚拟化成一个小型存储池，当需要特定份额的存储时，从中划分出对应份额的磁盘供业务容器使用。 使用LocalPV、HostPath都可以实现Pod对主机存储空间的访问，但均具有一定局限性，比如无法做到容量隔离、无法限制IOPS/吞吐等、无法直观了解各节点存储空间余量从而进行合理调度。基于此，云容器引擎提供LVM数据卷方案，以解决上述问题。 前提条件 已创建容器集群 该功能使用风险、限制较多，默认控制台不对外开放。如需使用，请通过工单方式联系相关人员添加功能白名单。 安装存储插件cstorcsi，插件配置参数localStorPlugins开启lvm插件。如插件已安装，可以通过“插件实例”——“cstorcsi”——“更新”，配置localStorPlugins: "lvm,localpv"，实现插件配置更新。 使用限制 cstorcsi插件安装版本要求3.4.0及以上； 如果节点池默认配置数据盘，那么新增节点的第一块数据盘（供容器运行时和Kubelet组件使用）不支持导入为存储池。 创建存储池将占用磁盘设备，必要时会进行格式化操作。为避免数据丢失，请务必确认磁盘设备存在，并可用于存储池。 存储池配置或者修改，默认10min生效，如需调整，可以更新cstorcsi插件配置参数configEffectInterval实现。 存储池不支持缩容和删除；如果删除节点上存储池的磁盘，会导致存储池异常。 LVM本地存储卷，不支持数据的跨节点迁移，不适合在高可用场景中使用。 请勿自行对节点上的本地存储资源（例如VG，PV，LV）以及插件运行需要的CRD（包括NodeStorageManager、CStorLocalStorage）进行修改或删除；

天翼云提供统一身份认证(Identity and Access Management,简称IAM)服务,是提供用户进行权限管理的基础服务,可以帮助您安全的控制云服务和资源的访问及操作权限。 您通过IAM服务定义企业项目、创建子用户，轻松实现IAM子用户对KMS资源的访问控制、权限分配等。 说明 IAM 权限作用于KMS产品控制台的功能访问以及KMS服务的OpenAPI接口调用。 权限管理 默认情况下，主账号创建的IAM用户没有任何权限，需要将其加入特定的用户组，并给用户组授予KMS产品的权限策略（包括系统策略和自定义策略），授权后IAM用户就能获得策略中定义的KMS产品的使用权限。 KMS产品支持企业项目管理，若您需要对KMS服务中的资源进行分组和管理，形成逻辑隔离，您可以创建企业项目，并将资源划分至不同的企业项目中，不同的企业项目可以绑定不同的用户组，并给用户组授予KMS产品的权限策略（包括系统策略和自定义策略），从而实现对特定资源的授权。 权限配置 IAM权限管理：进入天翼云IAM权限配置界面，可以进行IAM用户及用户组的创建，并在用户组列表中点击“授权”，为用户组添加KMS产品对应的权限策略。KMS权限策略分为系统策略和自定义策略，系统策略默认提供，您也可以在“策略管理”界面创建自定义策略。用户组授权记录均可在“授权管理”界面查看并管理。 企业项目管理：进入天翼云IAM权限 配置界面，在“企业项目”界面可以创建并管理企业项目，创建企业项目后可进行资源的迁入迁出，绑定用户组，并给用户组授予KMS产品的权限策略（包括系统策略和自定义策略）。

本文介绍常见的安全组配置示例。 当您在VPC子网内创建实例（云主机、云容器、云数据库等）时，您可以使用系统提供的默认安全组default，您也可以创建其他安全组。无论是默认安全组，还是您创建的安全组，您均可以在安全组内设置出方向和入方向规则，以此控制出入实例的流量。 使用须知 在配置安全组规则之前，您需要先了解以下信息： 不同安全组之间的实例默认网络隔离，无法互相访问。 安全组默认拒绝所有来自外部的请求，即本安全组内的实例网络互通，外部无法访问安全组内的实例。您需要遵循白名单原则添加安全组入方向规则，允许来自外部的特定请求访问安全组内的实例。 安全组入方向规则的源地址设置为0.0.0.0/0或::/0，表示允许或拒绝所有外部IP地址访问您的实例，如果将“22、3389、8848”等高危端口暴露到公网，可能导致网络入侵，造成业务中断、数据泄露或数据勒索等严重后果。建议您将安全组规则设置为仅允许已知的IP地址访问。 安全组的出方向规则一般默认全部放通，即允许安全组内的实例访问外部。如果出方向规则被删除，将会导致安全组内实例无法正常访问外部，您可以参考下表重新添加配置。 方向 优先级 策略 类型 协议端口 目的地址 描述 出方向 1 允许 IPv4 全部 0.0.0.0/0 针对全部IPv4协议，允许安全组内的实例可访问外部任意IP和端口。 出方向 1 允许 IPv6 全部 ::/0 针对全部IPv6协议，允许安全组内的实例可访问外部任意IP和端口。

剧本和流程的关系 联系：剧本提供了安全运营的指导和规则，而流程则负责将这些规则转化为具体的执行步骤和操作。剧本和流程相互依赖，剧本指导流程的执行，而流程则实现了剧本的意图和要求。 区别：剧本和流程之间也存在一定的区别。首先，剧本更侧重于定义和描述安全运营的流程和规程，它关注的是整体的框架和策略；而流程则更侧重于具体的操作和执行步骤，它关注的是如何将剧本中的要求转化为实际的行动。其次，剧本具有较大的灵活性和可扩展性，可以根据需要进行修改和扩展；而流程则相对固定，一旦设计完成，就需要按照规定的步骤执行。 示例：以一个具体的网络安全事件响应案例为例，当组织遭受到一次网络攻击时，安全编排系统会首先根据预设的剧本识别出攻击的类型和严重程度。然后，系统会根据剧本中定义的流程，自动触发相应的安全措施，如隔离被攻击的系统、收集攻击数据、通知安全团队等。在这个过程中，剧本和流程紧密配合，确保安全响应的准确性和及时性。 插件管理 插件：是包含函数、连接器、公共库的聚合。插件有自定义插件和商业插件两种类型，其中，自定义的插件可以在集市中显示，也可以在剧本中使用。 插件集：是具有相同业务场景的插件集合。 函数：是可以在剧本中选用的执行函数，在剧本中执行特定的行为。 连接器：是用于连接数据源，将告警、事件等安全数据接入态势感知（专业版），包括事件触发和定时触发两种连接器类型。 公共库：是一个公共模块，包含在其他组件中会使用到的API调用和公共函数。

服务后缀 服务说明 zos dns msgc crs apm lts faas gts 全局事务：该服务由天翼云全局事务服务提供，全局事务服务是一款专为实现分布式环境下高性能事务一致性而设计的服务工具。它可以与MySQL、PostgreSQL等数据源，以及Spring Cloud、Dubbo等RPC框架和消息队列等中间件产品配合混合使用，以支持用户各种分布式数据库事务、多库事务、消息事务和服务链路级事务的组合需要 prome 应用性能监控：Prometheus监控为云上托管Prometheus服务，可为您的容器集群提供多种开箱即用的预置监控大盘与监控规则，实现免搭建的高效运维场景。 ags Agent沙箱：Agent 沙箱提供安全、弹性、可扩展的云端沙箱运行环境。在使用Agent沙箱产品时，通过连接该终端节点服务，可实现在内网调用沙箱服务。

是否可以提供运维服务？ 暂时不提供，安全责任重大，安全运维需客户自己做，我们只包含首次实施。 安全管理中心能否呈现整个态势感知？ 有这个功能，后面会开发补充更多模块，目前可以看到总览，功能包括：资产管理，风险管理，威胁管理，运营管理，组件管理。 资源池没过等保，客户能部署安全专区过等保，拿到测评报告吗？ 云平台的要先过等保才可以，如果云平台没有过等保，客户的系统做安全防护也是拿不到测评报告的。 多个VPC情况下网络，能做到安全防护吗？ 可以，多个VPC通过对等连接互相打通网络，再通过对等连接安全专区进行多个VPC的安全防护。 报价按等保怎么区分? 二级最低选入门版，基础版，三级选高级版或旗舰版；鉴于现在的测评标准更加严格，采用扣分制来计算得分，我们一般给客户推荐套餐首先推高级版或旗舰版，更容易通过测评，如果客户预算原因，也可根据情况酌情降低套餐档次。 客户有额外的SSL VPN的需求，怎么选购？ 客户需要在天翼云平台订购SSL VPN，安全专区的防火墙本身不具备SSL VPN。 云下一代防火墙，双机怎么计费，怎么开通？另外门户上没有双机的可选项。 防火墙双机计费方式：在套餐的单台防火墙的基础上再增加一台防火墙，也就是说费用是两台防火墙之和；目前门户上没有双机的可选项，开发部后面会开发相应的功能。

编辑域名地址簿 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > 云防火墙（原生版）”，进入云防火墙（原生版）的“概览”页面。 4. 在左侧导航栏，选择“设置中心 > 地址簿管理”，进入“地址簿管理”页面。 5. 找到目标地址簿，单击目标地址簿操作列的“详情”。 6. 在详情页面可以查看地址簿“基本信息”和域名地址列表。 添加域名地址 在域名地址列表上方，单击“添加”，弹出添加域名地址页面，添加域名地址后，单击“确认”，完成添加操作。 编辑域名地址 在域名地址列表的操作列，单击“编辑”，修改域名地址。 删除域名地址 在域名地址列表的操作列，单击“删除”，删除域名地址。 删除域名地址簿 注意 使用中的地址簿无法删除，删除地址簿前请先从防护规则中移除地址簿。 删除地址簿后无法恢复，请谨慎操作。 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > 云防火墙（原生版）”，进入云防火墙（原生版）的“概览”页面。 4. 在左侧导航栏，选择“设置中心 > 地址簿管理”，进入“地址簿管理”页面。 5. 找到需要删除的地址簿，单击目标地址簿操作列的“删除”。 6. 在弹出的确认框中，单击“确定”，完成删除。

编辑域名地址簿 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > 云防火墙（原生版）”，进入云防火墙（原生版）的“概览”页面。 4. 在左侧导航栏，选择“设置中心 > 地址簿管理”，进入“地址簿管理”页面。 5. 找到目标地址簿，单击目标地址簿操作列的“详情”。 6. 在详情页面可以查看地址簿“基本信息”和域名地址列表。 添加域名地址 在域名地址列表上方，单击“添加”，弹出添加域名地址页面，添加域名地址后，单击“确认”，完成添加操作。 编辑域名地址 在域名地址列表的操作列，单击“编辑”，修改域名地址。 删除域名地址 在域名地址列表的操作列，单击“删除”，删除域名地址。 删除域名地址簿 注意 使用中的地址簿无法删除，删除地址簿前请先从防护规则中移除地址簿。 删除地址簿后无法恢复，请谨慎操作。 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > 云防火墙（原生版）”，进入云防火墙（原生版）的“概览”页面。 4. 在左侧导航栏，选择“设置中心 > 地址簿管理”，进入“地址簿管理”页面。 5. 找到需要删除的地址簿，单击目标地址簿操作列的“删除”。 6. 在弹出的确认框中，单击“确定”，完成删除。

编辑端口地址簿 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > 云防火墙（原生版）”，进入云防火墙（原生版）的“概览”页面。 4. 在左侧导航栏，选择“设置中心 > 地址簿管理”，进入“地址簿管理”页面。 5. 找到目标地址簿，单击目标地址簿操作列的“详情”。 6. 在详情页面可以查看地址簿“基本信息”和端口列表。 添加端口 在端口列表上方，单击“添加”，弹出添加端口页面，添加端口后，单击“确认”，完成添加操作。 编辑端口 在端口列表的操作列，单击“编辑”，修改端口。 删除端口 在端口列表的操作列，单击“删除”，删除端口。 删除端口地址簿 注意 使用中的地址簿无法删除，删除地址簿前请先从防护规则中移除地址簿。 删除地址簿后无法恢复，请谨慎操作。 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > 云防火墙（原生版）”，进入云防火墙（原生版）的“概览”页面。 4. 在左侧导航栏，选择“设置中心 > 地址簿管理”，进入“地址簿管理”页面。 5. 找到需要删除的地址簿，单击目标地址簿操作列的“删除”。 6. 在弹出的确认框中，单击“确定”，完成删除。

VPC边界流量分析页面展示防火墙实例防护的VPC间的流量统计信息。 前提条件 已开启VPC边界防护且已有流量经过防护对象，开启防护步骤请参见VPC边界防火墙。 查看VPC边界流量分析 1. 登录云防火墙（原生版）控制台。 2. 在左侧导航栏，选择“流量分析> VPC边界流量分析”，进入VPC边界流量分析页面。 3. 查看经过云防火墙的流量统计信息。 流量看板：支持查看近1小时、近1天、近7天的数据。统计VPC边界流量的数量以及最大流量信息，包括目的IP、源IP、目的端口、协议。 访问TOP统计：查看所选时间段VPC边界流量中目的IP、源IP、目的端口的TOP排行。支持按次数、流量进行查看。 访问带宽统计：VPC边界访问峰值带宽、累计带宽，以及请求流量和响应流量数据。 访问分布统计：查看所选时间段内访问协议、访问应用、访问目的端口分布情况。支持按次数、流量进行查看。 访问IP分析：展示VPC边界流量中源IP、目的IP等流量详细信息。

本节介绍Web应用防火墙（独享版）的防护规则配置其他类的问题。 哪些情况会造成WAF配置的防护规则不生效？ 防护规则的路径是否区分大小写？ Web应用防火墙的哪些防护规则支持仅记录模式？ 如何处理Appscan等扫描器检测结果为Cookie缺失Secure/HttpOnly？ 黑白名单规则和精准访问防护规则的拦截指定IP访问请求，有什么差异？ Web应用防火墙支持哪些防护规则？ 开启网页防篡改后，为什么刷新页面失败？ 哪些情况会造成WAF配置的防护规则不生效？ 域名成功接入WAF后，正常情况下，域名的所有访问请求流量都会经过WAF检测并转发到服务器。但是，如果网站在WAF前使用了CDN，对于静态缓存资源的请求，由于CDN直接返回给客户端，请求没有到WAF，所以这些请求的安全策略不会生效。 防护规则的路径是否区分大小写？ WAF所有需要配置路径的防护规则，配置的防护路径都区分大小写。 Web应用防火墙的哪些防护规则支持仅记录模式？ WAF的Web基础防护规则支持“仅记录”模式。 WAF的CC攻击防护规则、精准访问防护规则、黑白名单规则、地理位置访问控制规则和网站反爬虫支持“仅记录”防护动作。

Web应用防火墙（原生版）可按防护域名定期为您生成防护报表，本文主要为您介绍如何配置报表、查看及下载报表。 Web应用防火墙（原生版）支持生成日报、周报、月报，并支持订阅报表，订阅后系统会在报表生成后将报表发送至您的邮箱。 日报：每天00:00:00生成前一日的报表。 周报：每周一00:00:00生成前一周的报表。 月报：每月1日00:00:00生成前一月的报表。 前提条件 已购买Web应用防火墙（原生版）实例。 已完成网站域名接入并开启防护。 订阅报表 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“报表管理”，进入报表管理页面。 5. 在“报表管理”页面右上角，单击“报表配置”，进入报表配置页面。 配置如下参数： 参数名称 说明 报表生成 WAF支持生成日报、周报、月报。根据需要进行开启，可多选。 报表订阅 该页面自动列出当前账号及其全部子账号。 勾选需要订阅报表的账号，报表生成后，系统会自动发送报表至订阅账号的邮箱。 6. 单击“确认”，完成报表配置。

本文将介绍客户端不兼容SNI导致访问异常怎么办。 SNI（Server Name Indication）是为了解决一个服务器使用多个域名和证书的问题。而对SSL/TLS协议所作的一个扩展，它允许服务器在同一个IP地址和TCP端口下支持多个证书，从而允许多个HTTPS网站使用相同的源站IP和端口。在接入Web应用防火墙（边缘云版）后，如果您出现部分客户端HTTPS访问异常问题，可能是由于有些客户端版本不支持SNI导致的。当使用不支持SNI的浏览器或客户端访问接入Web应用防火墙（边缘云版）服务的网站时，Web应用防火墙（边缘云版）防护节点不知道客户端请求的是哪个域名，所以无法正确得获取域名对应得证书来跟客户端通讯交互，此时在浏览器上就会出现“服务器证书不可信”的提示。 实际场景中，一般是只有部分旧版的PC浏览器和Android客户端不支持SNI。如果客户端不支持SNI扩展，建议通过以下方式来解决： 建议升级客户端版本，或使用新版本的浏览器访问，比如使用Chrome、Firefox等新版本的浏览器访问。 第三方程序回调的业务场景，如果第三方程序客户端不支持SNI，可建议让其直接请求访问源站IP，绕过Web应用防火墙（边缘云版）。

编辑IP地址簿 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > 云防火墙（原生版）”，进入云防火墙（原生版）的“概览”页面。 4. 在左侧导航栏，选择“设置中心 > 地址簿管理”，进入“地址簿管理”页面。 5. 找到目标地址簿，单击目标地址簿操作列的“详情”。 6. 在详情页面可以查看地址簿“基本信息”和IP地址列表。 添加IP地址 在IP地址列表上方，单击“添加”，弹出添加IP地址页面，添加IP地址后，单击“确认”，完成添加操作。 编辑IP地址 在IP地址列表的操作列，单击“编辑”，修改IP地址。 删除IP地址 在IP地址列表的操作列，单击“删除”，删除IP地址。 删除IP地址簿 注意 使用中的地址簿无法删除，删除地址簿前请先从防护规则中移除地址簿。 删除地址簿后无法恢复，请谨慎操作。 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > 云防火墙（原生版）”，进入云防火墙（原生版）的“概览”页面。 4. 在左侧导航栏，选择“设置中心 > 地址簿管理”，进入“地址簿管理”页面。 5. 找到需要删除的地址簿，单击目标地址簿操作列的“删除”。 6. 在弹出的确认框中，单击“确定”，完成删除。

云下一代防火墙不支持长期存储日志数据,如有日志审计需求,可将云下一代防火墙日志syslog发送至日志服务或日志审计设备,进行日志审计。 操作方法 打开菜单栏，【监控→日志→日志配置→日志服务器配置→新建】，选择发送的日志类型及使用端口及协议，主机名称为日志服务器IP地址。

天翼云微服务云应用平台服务等级协议（SLA），详情请参见这里。

天翼云微服务云应用平台服务等级协议（SLA），详情请参见这里。

用户还可以对已创建的防火墙规则进行修改，以满足实际业务需求。本文为您介绍具体操作步骤。 操作步骤 1. 登录天翼云，进入控制中心。 2. 单击控制中心顶部的，选择资源所在地，此例我们选择上海36。 3. 单击左侧导航栏“产品服务列表”，选择“计算>轻量型云主机”。 4. 进入轻量型云主机列表界面，单击目标主机“实例名称”进入目标主机详情页。 5. 单击“防火墙”页签，可以看到当前轻量型云主机的防火墙信息。 6. 在目标规则单击“修改”，弹出规则修改弹窗。用户根据需求对IP版本、方向、授权策略、协议、端口、源地址等配置参数进行修改。 7. 单击“确认”，完成规则修改功能。

本文介绍了云防火墙（原生版）产品的入侵防御日志功能。 约束条件 最多支持查看最近7天的日志。 查看日志列表 1. 登录云防火墙（原生版）控制台。 2. 在左侧导航栏，选择“日志审计 > 入侵防御日志”，进入入侵防御日志页面。 3. 在页面上方切换防火墙实例。 4. 查询日志：该列表可根据命中时间、应用、攻击类型、攻击等级、判断来源、目的IP地址、源IP地址、方向进行筛选。 5. 入侵防御日志列表包括发生时间、源IP地址、源端口、目的IP地址、目的端口、应用、攻击类型、等级、命中规则ID、命中规则名称、判断来源、方向和防御状态。 导出日志 说明 最多支持导出10000条数据。 单击“导出”，可以将查询列表中的日志记录导出为csv格式。

本文介绍了云防火墙（原生版）产品的病毒防护日志功能。 约束条件 最多支持查看最近7天的日志。 查看日志列表 1. 登录云防火墙（原生版）控制台。 2. 在左侧导航栏，选择“日志审计 > 病毒防护日志”，进入病毒防护日志页面。 3. 在页面上方切换防火墙实例。 4. 查询日志：该列表可根据命中时间、应用、病毒名称、协议、MD5、动作、目的端口、目的IP地址、源端口、源IP地址进行筛选。 5. 病毒防护日志列表包括命中时间、源IP地址、源端口、目的IP地址、目的端口、协议、应用、动作、病毒名称、MD5。 导出日志 说明 最多支持导出10000条数据。 单击“导出”，可以将查询列表中的日志记录导出为csv格式。

参数 是否必填 参数类型 说明 示例 下级对象 action 否 String 操作行为 TURNONFIREWALL beginTime 是 Long 开始时间 1697521149 content 否 String 日志内容 防火墙 endTime 是 Long 结束时间 1697607549 firewallId 是 String 防火墙id 15ad84ceea634d3db01a102faf4b0095 page 否 Integer 当前页页码 1 severities 否 Array of Strings severity严重程度 HIGH size 否 Integer 当前页的list元素数量 10

IPsec VPN删除跨域互联VPC 1.进入“AI云电脑（政企版）”管理控制台； 2.点击“网络管理”，点击“企业云网”，选择“IPsec VPN”，进入IPsec VPN管理页面； 3.在操作实例中，点击实例“名称”； 4.在IPsec VPN实例详情页面中的VPC一栏，选择需要删除的跨域互联VPC，点击“删除”; 5.确定后，客户需要修改客户防火墙的配置，删除VPC的子网信息，然后重启防火墙隧道得以生效。 IPsec VPN VPC新增子网 1.进入“AI云电脑（政企版）”管理控制台； 2.点击“网络管理”，点击“企业云网”，选择“IPsec VPN”，进入IPsec VPN管理页面； 3.在操作实例中，点击实例“名称”； 4.在IPsec VPN实例详情页面中的VPC一栏，选择需要新增子网的VPC，点击“新增子网”； 5.在新增子网页面中选择需要新增的业务子网，点击“确定”； 6.确定后，客户需要修改客户防火墙的配置，新增VPC的保护子网信息，然后重启防火墙隧道得以生效。 IPsec VPN VPC删除子网 1.进入“AI云电脑（政企版）”管理控制台； 2.点击“网络管理”，点击“企业云网”，选择“IPsec VPN”，进入IPsec VPN管理页面； 3.在操作实例中，点击实例“名称”； 4.在IPsec VPN实例详情页面中的VPC一栏，选择需要删除子网的VPC，点击“删除子网”； 5.在删除子网页面中选择需要删除的业务子网，点击“删除”后点击“确定”； 6.确定后，客户需要修改客户防火墙的配置，删除VPC的子网信息，然后重启防火墙隧道得以生效。

IPsec VPN删除跨域互联VPC 1.进入“AI云电脑（政企版）”管理控制台； 2.点击“网络管理”，点击“企业云网”，选择“IPsec VPN”，进入IPsec VPN管理页面； 3.在操作实例中，点击实例“名称”； 4.在IPsec VPN实例详情页面中的VPC一栏，选择需要删除的跨域互联VPC，点击“删除”; 5.确定后，客户需要修改客户防火墙的配置，删除VPC的子网信息，然后重启防火墙隧道得以生效。 IPsec VPN VPC新增子网 1.进入“AI云电脑（政企版）”管理控制台； 2.点击“网络管理”，点击“企业云网”，选择“IPsec VPN”，进入IPsec VPN管理页面； 3.在操作实例中，点击实例“名称”； 4.在IPsec VPN实例详情页面中的VPC一栏，选择需要新增子网的VPC，点击“新增子网”； 5.在新增子网页面中选择需要新增的业务子网，点击“确定”； 6.确定后，客户需要修改客户防火墙的配置，新增VPC的保护子网信息，然后重启防火墙隧道得以生效。 IPsec VPN VPC删除子网 1.进入“AI云电脑（政企版）”管理控制台； 2.点击“网络管理”，点击“企业云网”，选择“IPsec VPN”，进入IPsec VPN管理页面； 3.在操作实例中，点击实例“名称”； 4.在IPsec VPN实例详情页面中的VPC一栏，选择需要删除子网的VPC，点击“删除子网”； 5.在删除子网页面中选择需要删除的业务子网，点击“删除”后点击“确定”； 6.确定后，客户需要修改客户防火墙的配置，删除VPC的子网信息，然后重启防火墙隧道得以生效。

为加强HBlock的安全性，可通过配置防火墙权限，限制iSCSI端口（如iSCSI端口为3260）的访问来源 IP。请参考以下步骤操作: 1. 开启防火墙：systemctl start firewalld。 2. 配置允许 IP 对于IPv4地址：firewallcmd permanent addrichrule"rule familyipv4 source address IP port protocoltcp port3260 accept"。 对于IPv6地址：firewallcmd permanent addrichrule"rule familyipv6 source address IP port protocoltcp port3260 accept"。 3. 重启防火墙：firewallcmd reload。 4. 开机自动启动：systemctl enable firewalld.service。

本节介绍如何重启各原子能力资源。 约束限制 仅购买的v1.0版本资源支持在云等保专区控制台执行重启操作。 注意事项 重启会导致服务中断，且重启过程中无法执行其他操作，请在业务空闲时进行重启。 前提条件 已购买对应原子能力资源，且资源状态为“运行中”。 操作步骤 以下以“Web应用防火墙v1.0”为例，介绍如何重启各原子能力资源。 1. 登录云等保专区控制台。 2. 在左侧导航栏，选择“Web应用防火墙 > Web应用防火墙v1.0”，进入云等保专区的Web应用防火墙v1.0资源页面。 3. 在目标资源的操作列，单击“更多 > 重启”。 4. 在弹出的提示框中，单击“确定”，资源状态变更为“重启中”，待状态变更为“运行中”时，表示重启完成。

多活容灾是否只要做好入口流量分发和底层数据同步？ 否。入口流量分发和底层数据同步是实现多活能力的重要步骤，但并不能完全保证系统具备多活能力。 要具备完整的多活能力，首先做好架构规划与演进，其次要有配套的管控能力，包括集中管理、流量控制、数据同步、数据保护等。 如何保障业务在多活场景下的数据一致性？ 默认使用异步复制和最终一致性模型，通过流量纠错和禁写保护避免脏写，有更高要求建议使用分布式数据库。 微服务是如何实现跨集群发现的？ 微服务通过注册中心数据同步来实现跨集群服务发现，服务调用时根据路由规则计算路由命中来选择跨单元或跨站点调用。 微服务在多活场景该如何处理？ 尽可能单元内自封闭，若无法自封闭，可配置HTTP/DUBBO的解析规则对微服务进行打标，流量通过路由规则计算后实现跨单元调用。 消息在多活场景该如何处理？ 生产侧在消息的header或body打标，消费侧根据路由规则进行过滤或接管，消息在站点间同步，避免数据丢失。 缓存在多活场景该如何处理？ 应用读写本地缓存集群，缓存本身不建议同步，本地数据中心的缓存不包含其他中心的数据，当流量切换到新中心时可通过数据库重建缓存。 任务调度在多活场景该如何处理？ 您可以考虑以下两个方案： 数据双活：2个站点均开启定时任务，捞取全量数据，过滤掉非本单元的数据后再执行。 应用双活：2个站点均开启定时任务，通过配置中心开关控制任务执行的主、备站点角色，由主站点执行全量定时任务。

本小节介绍云下一代防火墙配置网络接口属性。 1.登录云下一代防火墙，打开【网络→接口→编辑】 2.为新增网卡配置地址、安全域，管理权限等信息，关闭网卡逆向路由等配置。 网卡信息如下显示：

本章介绍如何使用资源标签功能 概述 MSE注册配置中心已经支持资源标签功能，提供为资源添加标签以及根据标签筛选资源的功能，本章介绍如何使用资源标签功能。 添加标签 1. 登录微服务引擎MSE注册配置中心管理控制台，选择资源池。 2. 在左侧导航栏，选择注册配置中心 > 实例列表。 3. 光标悬浮至对应实例的标签列图标，点击“添加”按钮，会显示弹出框。 4. 在弹出框中点击“添加标签”按钮，选择已有标签键值对或者创建自定义标签键值对，点击“确定”按钮即可添加对应标签。 批量绑定标签 1. 登录微服务引擎MSE注册配置中心管理控制台，选择资源池。 2. 在左侧导航栏，选择注册配置中心 > 实例列表。 3. 选择对应实例，点击批量标签>绑定标签按钮。 4. 弹出框显示已选择的实例资源，选择对应标签或填写自定义标签，点击便签右侧“确定”按钮，将对应标签加入已选择标签列表。 5. 点击弹出框右下角的确定按钮完成批量绑定标签。 批量解绑标签 1. 登录微服务引擎MSE注册配置中心管理控制台，选择资源池。 2. 在左侧导航栏，选择注册配置中心 > 实例列表。 3. 选择对应实例，点击批量标签>解绑标签按钮。 4. 弹出框显示已选择的实例资源，选择对应标签，点击解绑按钮即可批量解绑标签。 修改标签 1. 登录微服务引擎MSE注册配置中心管理控制台，选择资源池。 2. 在左侧导航栏，选择注册配置中心 > 实例列表。 3. 光标悬浮至对应实例的标签列图标，点击编辑按钮，会显示弹出框。 4. 在弹出框中，修改对应的标签键值对，点击修改按钮即可完成修改。

本文通过图文介绍进入客户控制台的步骤。 操作步骤说明 1、打开天翼云官网，注册并登录。 2、右上角单击【控制中心】。 3、在【安全】下拉选择【Web应用防火墙（边缘云版）】，单击进入Web应用防火墙（边缘云版）控制台。

哪些设备可以与天翼云进行VPN对接？ 天翼云的VPN连接支持标准IPsec协议，用户可以通过以下两个方面确认用户侧数据中心的设备能否与天翼云进行对接： 设备是否具备IPsec功能和授权：请查询设备的特性列表获取是否支持IPsec VPN。 关于组网结构，要求用户侧数据中心有固定的公网IP或者经过NAT映射后的固定公网IP（即NAT穿越，VPN设备在NAT网关后部署）也可以。 说明 普通家庭宽带路由器、个人的移动终端设备、Windows主机自带的VPN服务（如L2TP）无法与天翼云的VPN连接进行对接。 与天翼云VPN连接服务做过对接测试厂商包括但不限于：华为（路由器、防火墙）、H3C（路由器、防火墙）、CISCO（路由器、防火墙）、锐捷（路由器、防火墙）、中兴、深信服、Fortinet、360、天融信、山石、网康、绿盟、DELL、合勤、Juniper等。 云服务厂商包括但不限于：华为云、阿里云，腾讯云，亚马逊云。 软件厂商包括但不限于：Openswan/strongSwan、GreenBow等 。 IPsec协议属于IETF标准协议，宣称支持该协议的厂商均可与天翼云进行对接，用户不需要关注具体的设备型号。目前绝大多数企业级路由器和防火墙都支持该协议。 部分硬件厂商在特性规格列表中是宣称支持IPsec VPN的，但是需要专门购买软件License才能激活相关功能。请用户侧数据中心管理员根据设备具体型号与厂商进行确认。