本文主要介绍分布式消息服务RabbitMQ所需的环境准备。 创建RabbitMQ实例前，您需要提前准备相关依赖资源，包括虚拟私有云（Virtual Private Cloud，以下简称VPC）、子网和安全组，并配置安全组策略。每个RabbitMQ实例都部署在某个VPC中，并绑定具体的子网和安全组，通过这样的方式为RabbitMQ提供一个隔离的、用户自主配置和管理的虚拟网络环境以及安全保护策略，提升实例的安全性。 如果用户已有VPC，可重复使用，不需要多次创建。 创建VPC 1、登录管理控制台。 2、在管理控制台右上角单击，选择区域。 说明 此处请选择与您的应用服务相同的区域。 3、在管理控制台左上角单击，选择“网络 > 虚拟私有云”。 4、单击“创建虚拟私有云”，进入“创建虚拟私有云”界面。 5、根据界面提示创建虚拟私有云。如无特殊需求，界面参数均可保持默认。关于创建VPC的详细信息可以参考《虚拟私有云用户指南》。 创建虚拟私有云时，会同时创建子网，若需要额外创建子网，请参考6。如果不需要额外创建子网，请执行7。 6、在左侧导航栏，单击“子网”，进入“子网”界面。单击“创建子网”。根据界面提示创建子网。如无特殊需求，界面参数均可保持默认。 关于创建子网的详细信息可以参考《虚拟私有云用户指南》。 7、在左侧导航栏，选择“访问控制 > 安全组”，进入“安全组”界面。根据界面提示创建安全组。如无特殊需求，界面参数均可保持默认。 关于创建安全组的详细信息可以参考《虚拟私有云用户指南》。 使用RabbitMQ实例前，添加表1所示安全组规则，其他规则请根据实际需要添加。 说明 创建安全组后，系统默认添加入方向“允许安全组内的弹性云主机彼此通信”规则和出方向“放通全部流量”规则，此时使用内网通过同一个VPC访问RabbitMQ实例，无需添加表1的规则。 表1 安全组规则 方向 协议 端口 源地址 说明 入方向 TCP 5672 0.0.0.0/0 访问RabbitMQ实例（关闭SSL） 入方向 TCP 5671 0.0.0.0/0 访问RabbitMQ实例（开启SSL） 入方向 TCP 15672 0.0.0.0/0 访问Web界面UI地址（关闭SSL加密） 入方向 TCP 15671 0.0.0.0/0 访问Web界面UI地址（开启SSL加密）

本节介绍了产品架构和功能原理的相关内容。 DRS的产品架构以及功能原理如下图所示： 图 DRS产品架构 架构说明 最小权限设计 a. 采用JDBC连接，无需在用户的源数据库、目标数据库节点部署程序。 b. 任务独立虚拟机运行独享资源，租户之间数据隔离。 c. 采用最小IP资源，在源数据库、目标数据库仅开放DRS数据迁移实例节点IP访问权限，无需增加网段。 可靠性设计 a. 连接异常自动重试：当网络闪断、数据库倒换等场景造成DRS和数据库连接异常，会自动重试直到任务恢复。 b. 具备断点续传能力：源数据库或目标数据库连接出现异常时，自动记录当前回放位点，等故障修复后，自动从上一次位点接续回放，保证同步数据的一致性。 c. DRS迁移实例所在虚拟机故障，业务自动切换到新虚拟机并保证IP不变，保证迁移任务正常。 实时迁移基本原理 图 实时迁移原理 以“全量+增量”迁移为例，完整的迁移分为四个阶段。 a. 第一阶段：结构迁移。DRS服务会从源数据库查询到用户选择迁移的库、表、主键等对象，然后在目标数据库创建这些对象。 b. 第二阶段：全量数据迁移。DRS服务会通过并行技术，以最高效的资源利用，从源数据库查询到当前所有数据，并在目标数据库进行插入。在全量数据迁移启动前，会提前进行增量数据抽取保存，以便在第三阶段增量数据迁移时，能够和全量数据接续，保证数据的完整性和一致性。 c. 第三阶段：增量数据迁移。全量任务结束后，增量迁移任务启动，此时会从全量开始的增量数据持续的解析转换和回放，直到追平当前的增量数据。 d. 第四阶段：为了防止触发器、事件在迁移阶段对于数据的操作，在结束任务阶段再迁移触发器、事件。 全量数据迁移的底层模块主要原理： 分片模块：通过优化的分片算法，计算每个表的分片逻辑 抽取模块：根据计算的分片信息并行多任务从源数据库查询数据 回放模块：将抽取模块查询的数据并行多任务插入目标数据库 增量数据迁移的底层实现模块主要原理： 日志读取模块：日志读取模块从源数据库读取原始增量日志数据（例如MySQL为binlog），经过解析转换为标准的日志格式存储在本地。 日志回放模块：日志回放模块根据日志读取模块转换的标准格式增量日志，根据用户的选择策略进行加工过滤，将增量数据同步到目标数据库。

云容器引擎通过将Kubernetes网络和VPC深度集成，提供了稳定高性能的容器网络，能够满足多种复杂场景下工作负载间的互相访问。 约束与限制 每个命名空间下，创建的服务数量不能超过6000个。此处的服务对应kubernetes的service资源，即工作负载所添加的服务。 容器开启hostPort或hostNetwork网络模式后，若需对外提供服务，则需要给容器所在节点开启对应端口的安全组(containerPort)。 Service基本概念 Kubernetes中每一个工作负载会有一个或多个实例（Pod），每个实例（Pod）的IP地址由网络插件动态随机分配（Pod重启后IP地址会改变）。为屏蔽这些后端实例的动态变化和对多实例的负载均衡，引入了Service这个资源对象。 Service是一种资源，提供了我们访问单个或多个容器应用的能力。每个服务在其生命周期内，都拥有一个固定的IP地址和端口。每个服务对应了后台的一个或多个Pod，通过这种方式，客户端就不需要关心Pod所在的位置，方便后端进行方便的Pod扩容、缩容等操作。 用户在Kubernetes中可以部署各种容器，其中一部分是通过HTTP、HTTPS协议对外提供七层网络服务，另一部分是通过TCP、UDP协议提供四层网络服务。而Kubernetes定义的Service资源就是用来管理集群中四层网络的服务访问。 根据创建Service的type类型不同，可分成如下模式： ClusterIP ：默认类型，为服务分配集群虚拟IP，此时集群内部的pod可以通过服务名称寻址到服务的集群虚拟IP地址，集群外无效。 NodePort ：在每个节点上为服务分配静态端口号，此时如果在集群外部访问任何一个节点的IP地址加指定的端口号，kubeproxy会将流量转发到服务的集群虚拟IP，再由虚拟IP寻址到Pod。 LoadBalancer ：通过云服务供应商提供的load balancer向外部暴露服务，由指定的load balancer负责对NodePort与ClusterIP服务的路由。 ClusterIP和NodePort类型的Service，在不同云服务商或是自建集群中的行为表现通常情况下相同。而LoadBalancer类型的Service，由于使用了云服务商的负载均衡进行服务暴露，云服务商会围绕其负载均衡的能力提供不同的额外功能。例如，控制负载均衡的网络类型，后端绑定的权重调节等，详情请参见本章相关文档。 服务访问方式 在CCE中，支持以下类型的互联互通： 集群内访问（ClusterIP ） 工作负载暴露给同一集群内其他工作负载访问的方式，可以通过“集群内部域名”访问。集群内部域名格式为“ . .svc.cluster.local”，例如“nginx.default.svc.cluster.local”。详细请参见集群内访问(ClusterIP)。 节点访问（NodePort ） 节点访问 ( NodePort）是指在每个节点的IP上开放一个静态端口，通过静态端口对外暴露服务。节点访问 ( NodePort )会路由到ClusterIP服务，这个ClusterIP服务会自动创建。通过请求 : ，可以从集群的外部访问一个NodePort服务。详细请参见节点访问(NodePort)。 负载均衡 ( LoadBalancer ) 通过弹性负载均衡从公网访问工作负载，与弹性IP方式相比提供了高可靠的保障，一般用于系统中需要暴露到公网的服务。访问方式由公网弹性负载均衡ELB服务地址以及设置的访问端口组成，例如“10.117.117.117:80”。详细请参见负载均衡(LoadBalancer)。 七层负载均衡（Ingress） 通常情况下，service和pod的IP仅可在集群内部访问。集群外部的请求需要通过负载均衡转发到service在Node上暴露的NodePort上，然后再由kubeproxy通过边缘路由器 (edge router) 将其转发给相关的Pod或者丢弃，而Ingress就是为进入集群的请求提供路由规则的集合。 Ingress可以给service提供集群外部访问的URL、负载均衡、SSL终止、HTTP路由等。为了配置这些Ingress规则，集群管理员需要部署一个Ingress controller，它监听Ingress和service的变化，并根据规则配置负载均衡并提供访问入口。 Ingress的组成部分： Nginx：实现负载均衡到pod的集合。 Ingress Controller：从集群api获取services对应pod的ip到nginx配置文件中。 Ingress：为nginx创建虚拟主机。 Ingress的创建与管理请参见Ingress概述。 网络策略（NetworkPolicy） 网络策略（NetworkPolicy）是一种关于pod间及pod与其他网络端点间所允许的通信规则的规范。 NetworkPolicy资源使用标签选择pod，并定义选定pod所允许的通信规则，详细请参见NetworkPolicy。 网络底层基础设施 VPC 虚拟私有云（Virtual Private Cloud，以下简称VPC），是基于创建的自定义私有网络，不同的专有网络之间彻底逻辑隔离。可以为云服务器、云数据库和负载均衡等构建隔离的、用户自主配置和管理的虚拟网络环境，提升用户云上资源的安全性，简化用户的网络部署。 您可以在VPC中定义安全组、VPN、IP地址段、带宽等网络特性。用户可以通过VPC方便地管理、配置内部网络，进行安全、快捷的网络变更。同时，用户可以自定义安全组内与组间弹性云主机的访问规则，加强弹性云主机的安全保护。 ELB 弹性负载均衡（Elastic Load Balance，简称ELB）是将访问流量根据转发策略分发到后端多台服务器的流量分发控制服务。弹性负载均衡可以通过流量分发扩展应用系统对外的服务能力，通过消除单点故障提升应用系统的可用性。 弹性负载均衡支持经典型、共享型两种负载均衡： − 经典型负载均衡：适用于访问量较小，应用模型简单的web业务。 − 共享型负载均衡：适用于访问量较大的web业务，提供基于域名和URL的路由均衡能力，实现更加灵活的业务转发。

本文介绍如何配置自定义TLS和加密套件。 前提条件 已开通Web应用防火墙（边缘云版）。 已经完成域名接入。 域名使用的是HTTPS协议且已上传了HTTPS证书。 如何配置自定义TLS 如果您需要自定义TLS协议版本，请提交工单联系天翼云技术支持。

根据互联网业务的需要，需为每个业务云主机创建网络对象。本小节介绍安全专区云防火墙方位策略配置。 配置方法： 从【导航菜单】页面中，点击【对象】→【网络对象】→【新增】→【业务】，进行相关配置。 名称：按需命名； 服务器IP：业务云主机的IP地址。

本文主要为您介绍如何开启隐私屏蔽功能，以及如何配置隐私屏蔽防护规则。 网站域名接入Web应用防火墙后，您可以选择开启隐私屏蔽功能。通过配置隐私屏蔽规则，可以避免用户的密码等隐私信息出现在事件日志中。 前提条件 已开通Web应用防火墙（原生版）实例。 已完成网站域名接入。 使用限制 基础版不支持隐私屏蔽功能，请升级到更高版本使用。 操作步骤 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“防护配置 > 对象防护配置”，进入防护配置页面。 5. 在“防护配置”页面上方的“防护对象选择”下拉框，切换到要设置的域名。 6. 选择“系统配置”页签，定位到“隐私屏蔽”模块，可以选择开启/关闭防护。 7. 单击防护规则右侧的“前去配置”，进入隐私屏蔽规则页面。 8. 单击“新建防护规则”，在弹出的对话框中，配置隐私屏蔽规则。 参数说明如下： 配置项 说明 域名 此处不可修改。可返回防护规则页面，在页面右上角进行域名切换。 规则名称 设置规则的名称。 规则名称用于标识当前防护规则，建议您使用有明确含义的名称。 网页地址 输入网站静态页面路径。 路径格式为：协议名://域名或IP地址[:端口号]/[路径名/…/文件名]。 例如“ 路径不支持通配符或参数，支持输入端口。 字段范围 设置屏蔽的字段。 Cookie：根据Cookie区分的Web访问者。 Header：自定义HTTP首部。 Body：请求体参数。 URI：URI参数。 屏蔽关键词 根据字段范围设置屏蔽关键词，被屏蔽的关键词将不会出现在日志中。 默认已勾选银行卡、手机、身份证等关键词，也可以单击“自定义屏蔽关键词正则表达式”手动输入正则表达式，根据正则表达式对匹配的数据进行隐私屏蔽。 规则描述 可选项。设置规则的描述信息。 9. 单击“确定”，规则创建成功，成功后规则默认启用。您可以在规则列表中查看该规则。

本文为您介绍如何快速接入Web应用防火墙（原生版）实例，并配置防护策略。 为快速实现Web应用防护，您需要购买WAF实例、完成网站接入并配置防护策略。防护开启后，可通过安全总览、防护事件报表查看访问统计信息和攻击防护记录，掌握业务的安全状况。 使用流程 步骤一 购买云WAF实例 1. 登录天翼云控制中心，在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 2. 首次使用Web应用防火墙（原生版），需点击“立即购买”，选择服务版本、扩展包以及购买时长。 3. 确认支付费用，点击“立即购买”，进入支付页面完成支付即可开通。 说明 Web应用防火墙（原生版）提供的规格详情请参见产品规格。 勾选“自动续订”后，当服务期满时，系统将会按照默认续费周期续费。按月购买，自动续费周期默认为3个月；按年购买，自动续费周期默认为1年。如需要修改自动续费周期，可进入天翼云“费用中心 > 订单管理 > 续订管理”页面，找到对应的资源进行修改。 步骤二 网站接入 网站接入WAF后，WAF才能对访问网站的请求进行检测。 产品版本 接入方式 接入步骤 WAF SAAS版 域名接入 1. 进入云WAF产品控制台，在左侧导航栏选择“接入管理”，在接入管理页面选择“域名接入”页签。 2. 添加防护对象：在列表上方点击“添加防护对象”，根据页面提示配置域名、服务器协议、源站地址、代理情况、负载均衡策略等相关信息。 3. 放行WAF回源IP段：WAF使用特定的回源IP段将经过防护引擎检测后的正常流量转发回网站域名的源站服务器。网站接入WAF进行防护时，您需要设置源站服务器的安全软件或访问控制策略，放行WAF回源IP段的入方向流量。 4. 本地验证：添加域名后，在本地电脑上搭建简易的模拟环境，验证网站流量转发设置已经生效，避免转发设置未生效时修改域名的DNS解析设置，导致业务访问异常。 5. 修改域名DNS：若域名在接入WAF前未使用代理，则需要到该域名的DNS服务商处，修改域名的DNS解析配置，将网站的流量解析到WAF；若域名在接入WAF前使用了代理（DDoS高防、CDN等），则需要将使用的代理类服务（DDoS高防、CDN等）的回源地址修改为的目标域名的“CNAME”值。 WAF独享版 独享型接入 1. 进入云WAF产品控制台，在左侧导航栏选择“接入管理”，在接入管理页面选择“独享型接入”页签。 2. 添加防护对象：在列表上方点击“添加防护对象”，根据页面提示配置域名或IP、服务器协议、源站地址、代理情况、负载均衡策略等相关信息。 说明 系统默认防护80和443端口，如需配置80和443以外的端口，请额外选择。 服务器配置若勾选了HTTPS协议，需要导入HTTPS证书。

此小节介绍Web应用防火墙的用户权限。 系统默认提供两种权限策略：系统策略和自定义策略。系统策略是IAM预置的策略，用户只能使用不能修改。若系统策略不满足授权要求，用户可以创建自定义策略，自由搭配需要授予的权限集。 用户组配置权限策略后，将用户加入用户组中，可以使该用户获得权限策略中定义的操作权限。

本小节介绍云下一代防火墙确认信息、流量记录及查看威胁记录。 确认系统信息 流量记录 首页查看流量记录，如下方示意图所示： 查看威胁记录 首页查看威胁记录，或icenter查询威胁记录。

本章节介绍错误注入功能的使用。 概述 错误注入功能提供模拟微服务间异常调用的能力，可应用于故障演练、能力验证等场景。该能力支持调用延时和调用异常响应的模拟，通过该能力可进行应用容错能力研发、测试和演示，提高开发测试人员工作效率。 版本限制 框架 限制 详情 Spring Cloud Spring Cloud Dalston及以上版本 客户端：Feign、RestTemplate Dubbo 2.5.3+ 无 jdk版本 1.8+ 无 功能入口 1. 登录微服务治理控制台。 2. 在控制台左侧导航栏中选择应用治理。 3. 在应用治理页面的应用卡片页签单击目标应用卡片。 4. 进入应用详情页后，点击流量治理，选择错误注入页面 5. 点击创建错误注入规则按钮，完成错误注入规则创建。 错误注入规则参数说明： 参数 说明 规则名称 错误注入规则的名称 框架 支持SpringCloud和Dubbo框架 服务消费者应用 服务消费者对应的应用名称 服务提供者应用 服务提供者对应的应用名称 服务 被调用服务标识 SpringCloud框架：服务注册名称 Dubbo框架：服务名称/分组/版本信息，格式为{DubboService}:{group}:{version}， 如 com.example.DemoService:dev:v1 请求路径 SpringCloud框架被调用接口的路径 请求方法 SpringCloud框架Http请求方法 支持GET/POST/PUT/DELETE 选择ALL匹配所有方法 服务方法 Dubbo框架被调用的方法，格式为{MethodName}:{ParamType...}如 sayHello:java.lang.String,java.lang.String 类型 延迟：模拟调用延迟，可自定义延迟时间 错误：SpringCloud框架下模拟调用返回的Http状态码和响应体；Dubbo框架下模拟调用触发的异常，可输入异常类全路径和异常信息 触发概率 触发此规则相关模拟调用的概率

本章节介绍数据库治理中的数据库读写路由 概述 读写路由可以减轻单个节点的压力，实现数据负载均衡，提高系统的可伸缩性和容错能力。数据库读写路由功能无需改变代码，同时提供接口级别的读写访问控制以及主从一致性确认。 应用场景 读多写少的应用场景下，引入读写路由方案，使从库分担主库的数据读取压力，避免锁的竞争，在数据库访问的维度提升微服务的性能。 某些业务对数据库的查询访问过多，侵占主要业务的数据库资源，影响数据库实例的稳定性。 功能入口 1. 登录微服务治理控制台。 2. 在控制台左侧导航栏中选择应用治理。 3. 在应用治理页面的应用卡片页签单击目标应用卡片。 4. 在左侧导航栏选择数据库治理，在数据库读写路由页签下单击开启数据库读写分离右侧的编辑图标，配置正确的只读示例URL，开启读写路由分离开关，单击确认。 5. 单击新增规则，配置相关规则参数，单击新建。 规则参数说明 参数 说明 接口类型 需要进行读写流量路由接口的类型。 接口名称 需要进行读写流量路由接口的名称。 是否需要强一致性保证 开启强一致性保证，MSE会异步校验数据库主从实例的同步状态，保证当前接口的读请求在主从状态一致的条件下，才会路由至只读实例。 是否开启 接口级别的读写分离开关，当存在读写流量路由规则时，只有开启状态下的规则内所涉及的接口会被路由。

本章节介绍如何实现服务实例按照配置权重分配流量. 前提条件 1. 已开通微服务引擎MSE； 2. 开通MSE实例并且状态正常； 3. 注册服务提供者,服务至少包含两个两个实例； 4. 注册服务消费者,服务至少包含两个两个实例； 5. 服务提供者和服务消费者必须在同一命名空间下； 6. 服务提供者和服务消费者客户端使用 SpringCloud和Feign作为服务调用框架； 服务端配置 1. 登录微服务引擎MSE注册配置中心管理控制台，选择资源池； 2. 在左侧导航栏，选择注册配置中心 > 实例列表； 3. 在实例列表页面，单击目标实例ID、实例名称或者目标行“管理”按钮均可跳转至实例基础信息页面； 4. 在基础信息页面，点击服务管理> 服务列表，选择命名空间，查看当前命名空间下注册的服务列表； 5. 找到目标服务所在行，点击查看按钮查看服务详情； 6. 点击服务详情页面"提供者" tab页,查看当前服务的实例,点击右侧操作列权重按钮，可以修改服务实例的权重，权重取值范围为[010000]，含义为万分之N，数值与权重成正比； 说明 1. 服务实例的权重会影响该服务的消费者对该服务下所有实例的调用权重，例如，某个服务nacosprovider下存在提供者实例1.1.1.1:11和1.1.1.1:22，此时设置1.1.1.1:11权重为1，1.1.1.1:22权重为2，则服务nacosprovider的消费者nacosconsumer在进行服务消费时将可实现调用1.1.1.1:11和1.1.1.1:22的理论调用次数比例为1:2，据此可细粒度控制nacosprovider服务的负载均衡策略。 2. 权重设置的取值范围为010000，需要注意的是，当权重设置为0时，该实例将无法被消费者发现，从而无法接收请求。

本章节主要介绍数据仓库服务的告警管理。 概述 告警管理包含查看告警规则、告警规则配置与告警信息订阅功能。其中，告警规则可以提供过去一周的告警信息统计与告警信息明细，方便用户自行查看租户下的告警。该特性除了以默认值的形式提供一套DWS告警最佳实践外，还允许用户根据自己的业务特点，个性化修改告警阈值。告警管理通过消息通知服务（Simple Message Notification，简称SMN）发送DWS 告警通知，用户可订阅告警启用通知。 说明 该特性仅支持8.1.1.200及以上版本的数据库内核。 进入告警管理页面 1.登录DWS 管理控制台。 2.在左侧导航栏，单击“告警管理”，切换至“告警”页签。 3.进入数据仓库告警展示页面。该页面分为三个区域： 存量告警统计 最近7天的存量告警统计值（按告警级别分类），以柱状图的形式展示。用户可通过存量告警统计图，对过去一周告警发生的数量和分布有清晰的了解。 当日告警 当天的存量告警统计值（按级别分类），以列表的形式展示。重点向用户强调当天未处理的告警数量，帮助用户快速掌握目前告警的数量和分布。 告警详情 最近7天的所有告警（包括已处理和未处理）的明细信息，以表格的形式展示。可查看近7天内所有告警的告警名称、告警级别、集群名称、定位信息、详细信息、产生日期、状态等信息，帮助用户快速发现和定位问题。 说明 告警展示页面的数据源来自EventService微服务，该微服务最多可以提供30天的告警缓存数据。

创建秘钥 本操作的主要目的是给基于Mesher框架的前端应用组件weathermapweb准备密钥。 组件部署运行后，Mesher会自动读取密钥信息。 • 仅当使用微服务引擎专业版时需要创建密钥。 • 如果使用微服务引擎专享版，无需执行本操作。 1、对资源准备时获取的AK/SK分别进行base64编码。 在本地Linux环境下，使用echo n '编码内容' base64命令。示例如下： root@ubuntu:~ echo n 'ctyun' base64 Y3R5dW4 2、登录ServiceStage控制台，选择“应用管理 > 应用配置 > 密钥 > 创建密钥”。 3、“创建方式”选择“可视化” 4、“密钥名称”填写为“meshersecret”。 5、“所在集群”和“命名空间”选择部署应用的集群和命名空间(命名空间默认为 default)。 6、“密钥类型”选择“Opaque”。 7、“密钥数据”请参考下表填写。 键 值 :: csecredentialsaccessKey 已进行了Base64编码的AK 值。 csecredentialssecretKey 已进行了Base64编码的SK 值。 8、单击“创建”，完成密钥创建。 Fork天气预报源码 登录您的GitHub帐号，并Fork天气预报源码。源码地址: 仓库授权 > 新建授权”。 2、参考下表配置授权信息。参数前面带号的是必须设置的参数。 参数 说明 :: 授权名称 发授权名称，创建之后不可更改。 仓库类型 选择GitHub。 “授权方式”：支持OAuth/私人令牌。 3、单击“ 创建”，完成GitHub仓库授权创建。

CSE Nacos支持配置的导入、导出操作。 导入配置 1、登录微服务引擎控制台。 2、在左侧导航栏选择“注册配置中心”。 3、单击待操作的Nacos引擎实例名称。 4、在左侧导航栏选择“配置管理 > 配置列表”。 5、单击“导入配置”，参考下表设置导入参数。 图 导入配置 参数名称 参数说明 相同配置 终止导入：导入过程中，如果遇到和系统中相同的配置，导入终止。 跳过：导入过程中，如果遇到和系统中相同的配置，该配置会被跳过，继续导入其余配置。 覆盖：导入过程中，如果遇到和系统中相同的配置，该配置的值会被替换。 配置文件 单击“导入文件”，选择待导入配置文件。 6、单击“关闭”，完成导入。 说明 当“相同配置”选择为“终止导入”时，导入过程中，如果遇到和系统中相同的配置，则会弹出“终止导入”弹框，单击“确定”终止导入。 当“相同配置”选择为“跳过”时，导入过程中，如果遇到和系统中相同的配置，该配置会被跳过，继续导入其余配置，会弹出“导入成功”弹框，显示具体导入的配置信息，单击“确定”导入完成。 导出配置 1、登录微服务引擎控制台。 2、在左侧导航栏选择“注册配置中心”。 3、单击待操作的Nacos引擎实例名称。 4、在左侧导航栏选择“配置管理 > 配置列表”。 5、选中待导出的配置，单击“导出”。 说明 也可单击“全部导出”可将所有配置项信息导出到本地。 请您尽量分开导出，保证导出的配置文件大小不超过2MB。 图 导出配置 6、在弹出框中单击“导出”配置项则导出到本地。

约束限制 VPC边界防火墙最多支持10000条访问控制规则。 防护规则统计 对防护规则数量进行统计，包括：黑名单规则数、白名单规则数、内网互访规则数、已占用规格数/总规格。 其中，已占用规格数量黑名单规则数+白名单规则数+内网互访规则数。 规则类型 VPC边界防火墙支持如下防护规则，可以根据您的需要分别进行配置。 黑名单规则 白名单规则 内网互访规则 防护规则优先级 优先级：黑名单规则 > 白名单规则 > 内网互访规则 防护策略优先级判定顺序的设定为：优先过滤黑名单流量，其次为白名单流量，然后为访问控制策略，最后为入侵防御策略。 1. 为当用户设置黑名单后，此时系统认为黑名单流量即为垃圾流量，系统可根据用户设置的黑名单过滤掉恶意流量，以便系统后续处理非垃圾流量，保证系统处理的数据为用户的有效数据。 2. 当流量经过黑名单过滤后，剩余流量为用户可能关注的流量，在此基础上，通过用户设置的白名单规则，系统可以过滤出用户确定关注的白名单流量，以便对有效流量进行处理，过滤出白名单流量后，系统会直接放行白名单流量至入侵防御策略处进行安全检测，不再进行访问控制。 3. 对于非黑非白的流量，系统将对其进行访问控制检测，对于策略允许的流量进行放行，对于策略禁止的流量进行丢弃。放行后的流量依然需要进行安全检测。

系统影响 升级节点数量和购买资源扩展包时，原已启用的防护服务不会暂停，对已防护的网站业务无任何影响。 增加独享版实例的节点数量 独享版实例暂不支持升级实例规格，可以根据需要增加集群版节点的数量。 1. 登录Web应用防火墙（原生版）控制台。 2. 在左侧导航栏，选择“系统管理 > 查看产品信息”，选择“独享型”页签。 3. 单击集群版实例操作列的“查看产品详情”。 4. 单击“升级扩容”，进入“升配”页面。 5. “规格选择”默认为当前实例版本，设置节点数量和新增节点的可用区。 6. 设置完成后，在页面下方确认支付费用，单击“立即购买”。 7. 在订单页完成订单确认并支付。 扩增独享型实例资源扩展包 1. 登录Web应用防火墙（原生版）控制台。 2. 在左侧导航栏，选择“系统管理 > 查看产品信息”，选择“独享型”页签。 3. 单击目标实例操作列的“查看产品详情”。 4. 单击“升级扩容”，进入升配页面。 5. 在“升配”页面下方，单击“去增项”，进入增项页面。 6. 设置资源扩展包数量，需高于当前已购买数量。 7. 设置完成后，在页面下方确认支付费用，单击“立即购买”。 8. 在订单页完成订单确认并支付。

本文通过图文说明新增证书的操作步骤。 功能介绍 Web应用防火墙（边缘云版）基于边缘云底座，HTTPS为边缘云网络内容传输提供了更好的保障，客户端在极速访问内容的同时，可以更安全有效地浏览网站内容。本文主要指导客户如何新增证书。 配置说明 新增证书时，客户需要填写证书备注名、证书公钥以及证书私钥。其中公钥和私钥支持PEM格式。具体操作步骤如下： 1. 登录Web应用防火墙（边缘云版）控制台。 2. 在【证书管理】页面，找到右上角的添加证书按键。 3. 单击【添加证书】。 4. 输入证书备注名、证书公钥和证书私钥。 您需要提前准备好域名的证书文件和私钥文件。 需要准备的证书相关内容如下（上传时请确保证书有完整的证书链）： .crt（公钥文件）或.pem（证书文件） .key（私钥文件） 备注： 证书备注名，是指在添加自有证书时，为了方便识别和记忆，可以支持客户自定义所上传证书的名称，方便在域名配置关联证书选择时，选定正确的证书与域名进行关联。 注意事项 请确保上传的证书还在有效期范围内。 目前只支持PEM格式，如果是其他格式，请自行转换为正确格式。

如不再使用Nacos引擎，可执行删除操作。 注意 删除引擎后数据无法恢复，请谨慎操作。 背景介绍 支持删除处于如下状态的Nacos引擎： 可用 不可用 创建失败 变更失败 升级失败 操作步骤 步骤 1 登录微服务引擎控制台。 步骤 2 在左侧导航栏选择“注册配置中心”。 步骤 3 在待删除的Nacos引擎实例“操作”列，选择“更多 > 删除”，也可单击待删除的Nacos引擎，在Nacos引擎的“基础信息”页面，单击右上角的“删除”，在弹出的对话框中输入“DELETE”，单击“确定”。 说明 若删除失败，可执行“强制删除”。

大数据 分类 云产品 支持审计的关键操作列表 大数据 翼MapReduce 翼MapReduce服务支持的关键操作列表 大数据 云搜索服务 云搜索服务支持的关键操作列表 安全及管理 分类 云产品 支持审计的关键操作列表 安全及管理 Web应用防火墙（原生版） Web应用防火墙（原生版）支持的关键操作列表 安全及管理 密钥管理 密钥管理服务支持的关键操作列表 安全及管理 数据库审计 数据库审计支持的关键操作列表 安全及管理 云审计 云审计服务支持审计的关键操作列表 安全及管理 云安全中心 云安全中心支持的关键操作列表 安全及管理 云等保专区 云等保专区支持的关键操作列表 安全及管理 服务器安全卫士（原生版） 服务器安全卫士（原生版）支持的关键操作列表

ECX的安全性如何保障？ 节点访问安全：边缘物理机开启防火墙，只允许白名单IP访问。物理机上部署安全卫士，实时监测可疑入侵操作。物理机权限严格控制，所有操作通过堡垒机登录执行。定期执行物理机的漏洞扫描，对主机系统漏洞发现、开放端口扫描、弱口令检测及配置脆弱性检测，并对扫描检测结果进行分析、形成报告。节点可以根据用户需求部署硬件、软件防火墙。 用户数据安全：对外暴露的客户控制台通过https方式访问；客户保存的密码都严格按照安全的要求，避免弱密码；客户的证书文件统一加密存储。 安全合规：按国家相关部门要求对域名、IP备案进行监测；对敏感端口进行统一管理，符合要求后才可放开；统一接入信安系统，在发现违规行为时一键按规定关停服务。 ECX包括哪些产品形态？ ECX包括虚拟机、裸金属产品形态。虚拟机、裸金属均支持线上自助开通，裸金属资源按需开放，如需购买请联系您的客户经理，或者提交客服工单，亦或直接拨打客服热线。

本章节介绍如何发布路由规则 前提条件 路由规则处于未发布状态。 操作步骤 1. 进入微服务引擎MSE控制台； 2. 在顶部菜单栏选择资源池； 3. 单击左侧导航栏云原生网关 > 网关列表 ； 4. 您可以在网关列表页单击需要查看的网关实例ID或者 实例名称 ，也可以单击操作列中的管理按钮； 5. 单击左侧导航栏 路由配置 ； 6. 单击路由配置列表页操作列发布按钮； 结果验证 在路由配置页面，查看状态是否显示已发布 。

本章节介绍如何下线路由规则 前提条件 路由规则处于已发布状态。 操作步骤 1. 进入微服务引擎MSE控制台； 2. 在顶部菜单栏选择资源池； 3. 单击左侧导航栏云原生网关 > 网关列表 ； 4. 您可以在网关列表页单击需要查看的网关实例ID或者 实例名称 ，也可以单击操作列中的管理按钮； 5. 单击左侧导航栏 路由配置 ； 6. 单击路由配置列表页操作列下线按钮； 结果验证 在路由配置页面，查看状态是否显示未发布。

在接口详情页面,主要展示该应用的通过QPS、限流QPS、异常QPS指标、RT、并发数据等 接口详情 在接口详情页面，主要展示该应用所有接口的通过QPS、限流QPS、异常QPS指标、RT、并发数据等。 功能入口 1. 登录微服务治理控制台。 2. 在控制台左侧导航栏中选择网关治理。 3. 在网关治理页面的应用卡片页签单击目标网关卡片。 4. 在左侧导航栏选择接口详情。

Nacos引擎容量支持在线扩容，只有低容量的引擎支持此操作。 操作步骤 1、登录微服务引擎控制台。 2、在左侧导航栏选择“注册配置中心”。 3、在待扩容的Nacos引擎实例“操作”列，选择“更多 > 扩容”，也可单击待扩容的Nacos引擎，在Nacos引擎的“基础信息”页面，单击“基础信息”区域“容量规格”后的“扩容”。 4、在“注册配置中心扩容”页面，选择要扩容的容量。 5、单击“立即变更”，确认无误后，单击“提交”。待实例运行状态由“变更中”变成“可用”时，扩容成功。

参数 是否必填 参数类型 说明 示例 下级对象 addressDirection 否 String 地址方向 dst blackWhiteType 是 String 黑白类型 BLACK firewallId 是 String 防火墙id dca4f9ffaca2447aa24310c1e62c4690 ip 否 String ip地址 127.0.0.1/20 ipProto 否 String ip协议 v4 page 否 Integer 页码 1 ruleId 否 Long 规则id 1099 ruleIds 否 String 规则ids [1099] ruleName 否 String 规则名称 1099 size 否 Integer 条数 10 addressGroup 否 String 地址簿名称 dst

规则白名单设置方法 1. 登录Web应用防火墙（原生版）控制台。 2. 在左侧导航栏，选择“防护配置 > 对象防护配置”进入防护配置页面，在“安全防护”页签定位到“防护白名单”模块，单击“前去配置”。 3. 单击“新建白名单”。 4. 进行白名单配置。 5. 单击“确定”，完成配置。

本节介绍购买单节点示例操作方法。 1. 登录天翼云官网，打开控制中心。 2. 选择“产品 > 安全 > 云下一代防火墙”，单击“立即开通”。 版本：请确认使用规格，具体规格详情可参考规格。 部署模式：单节点。 弹性IP：上述开通云主机后为其绑定的弹性IP。 购买时长：按需选择即可。

本文介绍边缘安全加速平台名词术语。 CNAME 记录 CNAME ( Canonical Name )，即别名，用于把一个域名解析到另一个域名，当 DNS 系统在查询 CNAME 左面的名称的时候，都会转向 CNAME 右面的名称再进行查询，一直追踪到最后的 PTR 或 A 名称，成功查询后才会做出回应，否则失败。例如，您有一台服务器，使用 ctyun.cn 访问，您又希望通过 ctyun.cn1 也能访问该服务器，那么就需要在您的 DNS 解析服务商添加一条 CNAME 记录，将 ctyun.cn 指向 ctyun.cn1，添加该条 CNAME 记录后，所有访问 ctyun.cn 的请求都会被转到 ctyun.cn1，获得相同的内容。 DNS DNS 即Domain Name System，是域名解析服务的意思。它在互联网的作用是：把域名转换成为网络可以识别的 IP 地址。人们习惯记忆域名，但机器间互相只认 IP 地址，域名与 IP 地址之间是一一对应的，它们之间的转换工作称为域名解析，域名解析需要由专门的域名解析服务器来完成，整个过程是自动进行的。比如：上网时输入的 www.ctyun.cn 会自动转换成为220.181.112.143。 常见的DNS解析服务商有：阿里云解析，万网解析，DNSPod，新网解析，Route53（AWS），Dyn，Cloudflare等。 边缘安全节点 边缘安全节点是相对于网络的复杂结构而提出的一个概念，指距离最终用户接入具有较少的中间环节的网络节点，对最终接入用户有较好的响应能力和连接速度。其作用是将访问量较大的网页内容和对象保存在服务器前端的专用 Cache 设备上，以此来提高网站访问的速度和质量。 回源 HOST 回源 host 决定回源请求访问到源站上的具体某个站点。 例1：源站是域名源站为 www.ctyun.cn，回源 host 为 www.ctyun.cn1，那么实际回源是请求到 www.ctyun.cn 解析到的IP，对应的主机上的站点 www.ctyun.cn1。 例2：源站是 IP 源站为1.1.1.1，回源 host 为www.ctyun.cn1，那么实际回源的是1.1.1.1对应的主机上的站点 www.ctyun.cn1。 协议回源 协议回源指回源时使用的协议和客户端访问资源时的协议保持一致，即如果客户端使用 HTTPS 方式请求资源，当 CDN 节点上未缓存该资源时，节点会使用相同的 HTTPS 方式回源获取资源；同理如果客户端使用 HTTP 协议的请求，CDN 节点回源时也使用 HTTP 协议。 过滤参数 过滤参数是指当URL请求中带“？”并携带参数请求到 CDN 节点的时候，CDN 节点在收到该请求后可根据配置决定是否将该带参数的 URL 请求回源站。当开启过滤参数时，该请求到 CDN 节点后会截取到没有参数的 URL 向源站请求。并且 CDN 节点仅保留一份副本。如果关闭该功能，则每个不同的 URL 都缓存不同的副本在 CDN 的节点上。 Web 安全 相关 Web 应用层面的安全问题与事件,包括各种 Web 组件、协议、应用等。 正则防护 经验规则集，自动为网站防御 SQL 注入、XSS 跨站、Webshell 上传、命令注入、后门隔离、非法文件请求、路径穿越、常见应用漏洞攻击等通用的 Web 攻击。 网站白名单 通过设置网站白名单，可以让满足条件的请求不经过任何 Web 应用防火墙防护模块的检测，直接访问源站服务器。 IP 黑名单 支持一键阻断来自指定 IP 地址、IP 地址段以及指定地理区域的 IP 地址的访问请求。 0Day 漏洞 0Day 是指在系统商在知晓并发布相关补丁前就被掌握或者公开的漏洞信息。 CC 安全防护 根据访问者的 URL，频率、行为等访问特征，智能识别 CC 攻击，迅速识别 CC 攻击并进行拦截，在大规模 CC 攻击时可以避免源站资源耗尽，保证企业网站的正常访问。 防敏感信息泄露 帮助网站过滤服务器返回内容（异常页面或关键字）中的敏感信息（例如身份证号、银行卡号、电话号码和敏感词汇），脱敏展示敏感信息或返回默认异常响应页面。 网络爬虫 又称为网页蜘蛛，网络机器人，是一种按照一定的规则，自动地抓取万维网信息的程序或者脚本。 挖矿 借助大量计算能力来计算产生虚拟货币。 多源评估 通过对多种输入信息源数据动态地进行综合分析与评估的能力。 访问主体 能访问客体的主动实体。 访问客体 能与主体建立访问连接的被动实体。 SSL 证书 SSL 证书（Secure Sockets Layer）指一种安全协议，目的是为互联网通信提供安全及数据完整性保障。SSL 证书遵循 SSL 协议，可安装在服务器上，实现数据传输加密。 云工作负载 指云环境中从应用程序层到管理程序或处理的自包含组件（如堆栈中的虚拟机和容器）的整个应用程序堆栈。 访问控制 确保对资产的访问是基于业务和安全要求进行授权和限制的手段。 零信任 一组围绕资源访问控制的安全策略、技术与过程的统称。从对访问主体的不信任开始，通过持续的身份鉴别和监测评估、最小权限原则等，动态调整访问策略和权限，实施精细化的访问控制和安全防护。 策略引擎 负责最终决定是否授予指定访问主体对资源（访问客体）的访问权限。策略引擎使用企业安全策略以及来自外部源的输入作为“信任算法”的输入，以决定授予或拒绝对该资源的访问。 连接器 放置在业务前端的引流设备，用于打通内外网业务，确保终端用户可以安全访问业务数据。 动态授权 基于零信任对访问主体永不信任的原则，根据用户所处的环境动态调整用户拥有的访问权限。 SDP 即软件定义边界，旨在对于网络安全防护中不信任任何设备、人物、身份、系统等相关，每一个步骤都要有所验证，有所根据，让所有安全防护的相关都变为可信安全。 TCP 协议 TCP 协议指传输控制协议（Transmission Control Protocol），是一种面向连接的、可靠的、基于字节流的传输层通信协议，由 IETF 的 RFC 793 定义。TCP 工作在网络 OSI 的七层模型中的第四层（传输层），连接到不同但互连的计算机通信网络的主计算机中的成对 进程之间依靠 TCP 提供可靠的通信服务。 UDP 协议 Internet 协议集支持一个无连接的传输协议，该协议称为用户数据包协议（UDP，User Datagram Protocol）。UDP 为应用程序提供了一种无需建立连接就可以发送封装的 IP 数据包的方法。RFC 768 描述了 UDP。 Internet 的传输层有两个主要协议，互为补充。无连接的是 UDP，它除了给应用程序发送 数据包功能并允许它们在所需的层次上架构自己的协议之外，几乎没有做什么特别的事情。 面向连接的是 TCP，该协议几乎做了所有的事情。 无服务器 Serverless 无服务器是一种云原生开发模型，可使开发人员专注构建和运行应用，而无需管理服务器。无服务器方案中仍然有服务器，但它们已从应用开发中抽离了出来。云提供商负责置备、维护和扩展服务器基础架构等例行工作。开发人员可以简单地将代码打包到容器中进行部署。部署之后，无服务器应用即可响应需求，并根据需要自动扩容。公共云提供商的无服务器产品通常通过一种事件驱动执行模型来按需计量。因此，当无服务器功能闲置时，不会产生费用。 函数即服务 FaaS 函数即服务（FaaS：Function as a service）是一种事件驱动计算执行模型；开发人员编写代码逻辑，部署到完全由平台管理的函数运行时中，然后按需执行。与 BaaS 不同，FaaS 可让开发人员拥有更大的掌控权力，他们可以创建自定义应用，而不依赖于包含预编写服务的库。 代码则部署到边缘安全加速平台管理的容器运行时中。具体而言，这些函数运行时具有以下特点： 无状态 让数据集成变得更加简单。 运行周期短 可以只运行非常短的时间。 事件触发 可在需要时自动运行。 这样，您只用为所需的计算能力付费，而不必管"闲置"的应用和服务器。 使用 FaaS 时，开发人员可以通过触发器调用无服务器应用。 触发器 用户绑定触发器和对应函数，来实现多种调用效果。目前支持定时触发器以及HTTP触发器。 HTTP 路由 用户绑定 HTTP 触发器和对应函数后，访问安全与加速服务中托管域名的特定路由，即可在边缘节点调用起对应函数计算逻辑。 KV 存储 OmniKV 边缘存储提供了 KeyValue 型边缘存储服务，使开发人员能够构建低时延、频繁读取、不频繁写入的数据驱动的边缘无服务器应用程序。借助 OmniKV，无服务器应用程序可以将数据存放在靠近用户的位置，避免从云端或本地解决方案中检索信息的需要，从而实现快速响应。用户快速可以构建高度动态的 API 和网站服务，部署轻量型的 API 网关、BaaS 服务。 运行时 用于在边缘节点运行用户自定义函数的安全隔离环境。函数运行时所支持的编程语言，目前支持 JavaScript。 开发者工具 开发人员使用命令行工具，在本地完成函数编写，构建，灰度上线。

如何激活Windows物理机？ 对于Windows系列操作系统，目前需要手动激活。 步骤 1 登录Windows物理机操作系统。 步骤 2 单击“开始”菜单，在“搜索程序和文件”中输入“cmd”，并按“Enter”，打开命令提示符。 步骤 3 执行以下命令，配置KMS服务器地址。 slmgr.vbs skms 100.125.0.31 步骤 4 执行以下命令，查看是否激活。 slmgr.vbs ato 如果出现错误：0xC004F074 软件授权服务器报告无法激活该物理机。密钥管理服务（KMS）不可用，说明无法激活，需要执行步骤5。 步骤 5 查看物理机时间与标准时间是否一致，时间相差较大会出现无法激活的情况，将其设置为一致。 步骤 6 执行以下命令，检查物理机到KMS服务器端口是否可达。 telnet 100.125.0.31:1688 如果无法连接，说明物理机内部防火墙没有放通1688端口，需要关闭或者放通防火墙TCP 1688端口。如果有安全狗之类的安全软件也请暂时停止使用。 步骤 7 执行以下命令，重试物理机是否激活。 Slmgr.vbs ato

当您需要使用安全引流服务时，请参考本节先开通对应业务。 操作场景 SDWAN服务支持安全引流，通过为指定智能网关实例开启安全引流功能，您可以将该智能网关实例上的流量引流到云防火墙上，从而增强数据传输安全性。 开通安全引流服务后，用户可以通过“快捷链接”登录云防火墙，配置流量分析、管控等其他高级功能。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 安全引流功能需开通相应业务后方可使用。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东1。 3. 依次选择“网络”，单击“天翼云SDWAN”，进入天翼云SDWAN总览页面。 4. 选择“安全引流”，根据页面提示联系客户经理或天翼云客服开通安全引流业务。 说明 如需关闭业务，请联系客户经理或天翼云客服进行操作。

本章节主要介绍数据仓库服务入门前的准备工作。 本指南是一个入门教程，向您演示如何创建示例DWS 集群，连接示例DWS 集群数据库、导入存储在OBS中的示例数据和分析示例数据的流程。您可以使用该入门教程评估DWS 服务。 在开始创建DWS 集群之前，请确保您已完成如下前提条件： 确定集群端口 在创建DWS 集群时需要指定一个端口供SQL客户端或应用程序通过该端口访问集群。 如果您的客户端机器位于防火墙之后，则您需要有一个可用的开放端口，这样才能从SQL客户端工具连接到集群并进行查询分析。 如果您不了解可用的开放端口，则请联系网络管理员，在您的防火墙中确定一个开放端口。DWS 支持的端口范围为8000～30000。 在集群创建之后无法更改集群的端口号，请务必确保在集群创建过程中指定的端口为可用的开放端口。