本节主要介绍创建通用组件 本节介绍基于ServiceStage创建通用静态应用组件，部署组件的操作请参考部署组件。 前提条件 1.只能在应用下新增组件，请先创建应用，请参考创建应用。 2.如果您基于软件包创建微服务组件，那么您首先需要将软件包上传至OBS对象存储中。 操作步骤 1、登录ServiceStage控制台，选择“应用管理 > 应用列表”。 2、选择已经创建的应用，单击“操作”栏的“新增组件”。 3、“配置方式”选择“自定义配置”，组件类型选择“通用”，单击“下一步”。 4、选择运行时，单击“下一步”。 不同框架支持运行时有所不同，请参考微服务组件说明。 5、是否将以上配置保存为模板？ 是，勾选“将以上2步的配置保存为模版，以便下次使用相同的配置”，输入模板名称。执行步骤6。 否，执行步骤6。 6、步骤4选择的运行时是否为“Docker”？ 是，单击“下一步”，执行步骤7。 否，单击“下一步”，执行步骤8。 7、创建Docker组件： 输入“组件名称”。 创建组件： 单击“立即创建”，创建静态组件。 单击“创建并部署”，进入到部署界面，详细操作请参考部署组件。 操作结束。 组件创建完成后，在应用“概览”页的“组件列表”可查看组件状态。 8、参照下表设置组件信息，参数前面带号的是必须设置的参数。 参数 参数说明 :: 组件名称 组件对应的名称。 软件包 选择“Jar包”、“War包”或“Zip包”时，需设置“上传方式”：将软件包上传至OBS对象存储中 说明运行时为“Java8”时，选择“Jar包”。 运行时为“Nodejs8”、“Php7”或者“Python3”时，选择“Zip包”。 Python框架 当步骤4选择的运行时是“Python3”时，需设置本参数。 除了“Python3Django”，选择其他框架均需设置“Module Name”和“Variable Name”： 如果Python工程入口文件名为server.py，则“Module Name”为“server”。 如果Python工程入口文件server.py的应用函数名称为appgetwsgiapplication()，则“Variable Name”为“app”。 开启构建 （可选）“软件包”选择“Jar包”、“War包”或“Zip包”时，可以设置“开启构建”参数，用于应用组件构建。 根据业务需要选择“组织”和“选择集群”参数。 也可选择“过滤节点标签”，可以通过节点标签将构建任务下发到固定节点上。新增过滤标签请参考“帮助中心 > 云容器引擎 > 用户指南 > 节点管理”。 9、创建组件： 单击“立即创建”，创建静态组件。 单击“创建并部署”，进入到部署界面，详细操作请参考部署组件。 组件创建完成后，在应用“概览”页的“组件列表”可查看组件状态。

应用场景 通过一套汽车零部件配件电子商城示例代码“凤凰商城”，以及“DevOps全流程样例项目”，介绍如何使用软件开发生产线实现HE2E DevOps框架。该方案适用于敏捷/Scrum研发项目。 方案架构 “凤凰商城”示例程序架构 “凤凰商城”示例程序的架构图如下图所示。 凤凰商城技术架构图 示例程序由下表中的5个可以独立开发、测试和部署的微服务组件构成。 凤凰商城微服务组件表 微服务组件 说明 Web用户端服务器（对应样例代码中的“Vote”功能） 业务逻辑：用户可以通过浏览器访问此服务的WebUI。当用户在特定商品上单击“Like”时，服务将用户所选择物品的记录保存在Redis缓存中。 技术栈：Python、Flask框架。 应用服务器：Gunicorn。 Web管理端服务器（对应样例代码中的“Result”功能） 业务逻辑：用户可以通过浏览器访问此服务的WebUI，会动态显示用户端UI上用户单击“Like”的统计数据，此数据来自PostgreSQL数据库。 技术栈：Node.js、express框架。 应用服务器：server.js。 后台订单批处理程序（对应样例代码中的“Worker”功能） 业务逻辑：此服务为后台进程，会监控Redis缓存中物品记录，并将新纪录取出并保存在PostgreSQL数据库中，以便管理端UI可以抽取数据进行统计显示。 技术栈：.net core或者Java（此服务提供两种技术栈实现了同样的功能，可根据需要修改配置选择其中一个作为运行时进程）。 订单缓存 业务逻辑：此服务作为用户端UI服务的数据持久化服务存在。 技术栈：Redis 订单数据库 业务逻辑：此服务作为管理端UI服务的数据源。 技术栈：PostgreSQL “DevOps全流程样例项目”构成 “DevOps全流程样例项目”是一个Scrum类型的模板项目，项目中预置了部分服务的使用模板。项目实践过程中涉及到的产品及服务如下表。 实践涉及产品/服务列表 服务 说明 ::: 软件开发生产线 需求管理 预置3个已规划并已完成的迭代、项目的模块设置、以及若干统计报表。 软件开发生产线 代码托管 预置代码仓库“phoenixsample”，存放项目示例代码。 软件开发生产线 代码检查 预置4个任务，任务详情介绍请参见步骤四：检查代码。 软件开发生产线 编译构建 预置5个任务，任务详情介绍请参见步骤五:构建应用。 软件开发生产线 制品仓库 用于存储通过构建任务生成的软件包。 软件开发生产线 部署 预置3个应用，应用详情介绍请参见步骤六：部署应用CCE篇。 软件开发生产线 测试计划 功能测试用例库，预置十余个测试用例。 软件开发生产线 流水线 预置5条流水线，流水线详情介绍请参见步骤八：配置流水线，实现持续交付。 其它组件和服务 统一身份认证服务 用于管理帐号。 其它组件和服务 容器镜像服务 用于存放构建任务生成的Docker镜像。 其它组件和服务 云容器引擎 用于软件包部署，与ECS部署属于两种不同的部署方式。 其它组件和服务 云主机 用于软件包部署，与CCE部署属于两种不同的部署方式。

防护效果 假如已添加域名“www.example.com”，且配置了“阻断”防护动作的CC防护规则。可参照以下步骤验证防护效果： 步骤1 清理浏览器缓存，在浏览器中输入防护域名，测试网站域名是否能正常访问。 不能正常访问，参照章节网站接入WAF重新完成域名接入。 能正常访问，执行步骤2。 步骤2 清理浏览器缓存，在浏览器中访问满足Cookie条件的“ 如果您设置了“人机验证”防护动作，当用户访问超过限制后需要输入验证码才能继续访问。 步骤3 返回Web应用防火墙控制界面，在左侧导航树中，单击“防护事件”，进入“防护事件”页面，查看防护域名拦截日志，您也可以：下载防护事件数据。 配置示例人机验证 假如防护域名“www.example.com”已接入WAF，您可以参照以下操作步骤验证人机验证防护效果。 步骤1 添加防护动作为“人机验证”CC防护规则。 步骤2 开启CC攻击防护。 步骤3 清理浏览器缓存，在浏览器中访问“ 当您在60秒内访问页面10次，在第11次访问该页面时，页面弹出验证码。此时，您需要输入验证码才能继续访问。 步骤4 返回Web应用防火墙管理控制台，在左侧导航树中，单击“防护事件”，进入“防护事件”页面，您可以查看该防护事件。

本文将向您介绍如何配置Web规则白名单。 功能介绍 若您希望请求针对域名防护规则集中的某条规则加白，可以配置规则白名单。 背景信息 您的域名接入边缘云WAF后，配置防护策略将默认作用于所有符合策略的请求，若您希望某类请求不经过某个防护策略，可以分别配置对应的白名单功能。 若您希望请求针对任意防护策略加白，可以配置网站白名单，配置详情可见设置网站白名单； 若防护规则集中的某条规则出现误报情况，可以配置规则白名单，配置详情可见下文； 若您希望请求针对Bot防护策略加白，可以配置Bot策略白名单，配置详情可见Bot策略白名单 前提条件 已开通Web应用防火墙（边缘云版） 已新增域名并成功接入WAF，具体操作请见WAF接入 开通体验版级以上版本，支持配置规则白名单功能 操作步骤 1、登录Web应用防火墙（边缘云版）控制台，在左侧导航栏中选择【日志管理】—【WAF攻击日志】 2、识别出现误报的攻击，找到其攻击日志，并查看详情 3、点击添加白名单，将自动跳转至【域名规则】【规则白名单】【新增白名单】页面 4、边缘云WAF将自动识别您需要加白所在域名以及规则ID，您只需要配置白名单的生效范围即可。粒度支持配置URI、IP、IPS、PATH、BODY等，支持配置多个生效条件。

本节介绍如何申请开通Web应用防火墙（独享版）独享引擎。 前提条件 已获取管理控制台的登录账号（配置WAF Administrator或WAF FullAccess权限策略）与密码。 已成功申请虚拟私有云VPC。 已创建了资源集。 操作须知 申请成功后，独享引擎实例规格不能修改。 创建实例大约需要10分钟。当实例的运行状态为“运行中”时，说明实例已经创建成功。 操作步骤 步骤1 登录管理控制台。 步骤2 单击管理控制台右上角的，选择区域。 步骤3 单击页面左上方的，选择“安全 > Web应用防火墙（独享版）”。 步骤4 首次申请独享引擎时，在界面左侧，单击“立即申请独享模式”。 步骤5 在“申请Web应用防火墙”界面，配置WAF实例参数如下图。 WAF独享引擎实例参数说明： 参数名称 说明 计费模式 WAF独享引擎实例为按需计费，实例从创建成功开始计费到删除实例时结束计费，按实际使用时长（精确到秒）计费。 区域 原则上，在任何一个区域申请的WAF支持防护所有区域的Web业务。但是为了提高WAF的转发效率，建议您在申请WAF时，根据防护业务的所在区域就近选择申请的WAF区域。 可用区 选择区域中的可用区。 WAF实例名称前缀 设置WAF实例名称前缀，申请多个实例时，实例前缀名称相同。 WAF实例数量 设置申请的WAF实例个数。 WAF实例规格 选择实例的规格。WAF支持500Mbit/s和100Mbit/s两种规格。 CPU架构 选择实例的CPU架构。 CPU规格 选择实例的CPU规格。 预计最终规格 吞吐量的性能参考值。 虚拟私有云 选择源站所在的VPC。 业务网卡 选择VPC中已配置的子网。 安全组 选择区域中已有的安全组，或者单击“管理安全组”，跳转到VPC管理控制台创建新的安全组。选择安全组后，该实例将受到该安全组访问规则的保护。 说明 安全组建议配置以下访问规则： 入方向规则：根据业务需求添加指定端口入方向规则，放通指定端口入方向网络流量。例如，需要放通“80”端口时，您可以添加“策略”为“允许”的“TCP”、“80”协议端口规则。 出方向规则：默认。放通全部出方向网络流量。 如果WAF独享引擎实例与源站不在同一个VPC中，需要在安全组中设置实例与源站的子网互通。 步骤6 确认参数配置无误后，在页面右下角单击“下一步”。 步骤7 确认订单详情无误，单击“立即申请”。 步骤8 单击“返回独享引擎列表”，在独享引擎实例列表界面，可以查看实例的创建情况。

客户端之前连接成功，但间歇性中断下线怎么办？ 产生当前问题的可能原因及解决方案如下表。 分类 原因 解决方案 公网链路质量不佳 由于客户端和VPN网关之间的公网链路质量不佳导致客户端间歇性中断下线。 公网链路质量不佳（延时高或丢包率高等），可联系运营商协助进行故障排查。 SSL服务端配置变更 SSL服务端配置变更导致客户端中断下线。 SSL服务端修改配置后，请在客户端调整配置，重新发起连接。 客户端连接成功，但无法ping通VPC内的网络资源怎么办？ 原因： 1. VPC应用的访问控制策略禁止ping命令探测。 2. 未配置对应的VPC子网资源。 3. VPC应用的安全组规则未放通客户端地址池。 解决方案： 1. 请排查VPC内的网络资源是否禁止ping命令探测，如果是，请修改访问控制策略。 默认情况下Windows操作系统的客户端的防火墙是禁止ping命令探测的，您需要修改Windows防火墙的入站规则允许ICMPv4In。 2. 排查VPC本端子网的配置，确保本端子网中包含了需要访问的网络资源。 3. 排查VPC应用的安全组规则。确保安全组规则允许云主机实例和客户端之间互相访问。

本小节介绍安全专区云堡垒机映射端口策略配置。 如需要从互联网访问云堡垒机，需在云防火墙设置服务器映射策略，操作请参考服务器映射。 策略配置如下： 1.使用“系统管理员”的账户登录安全专区，访问云防火墙组件管理。 2.进入【策略】→【地址转换】→【新增】→【服务器映射】，为云堡垒机添加端口服务映射，需要添加两个云堡垒机的映射策略，包括“堡垒机管理端口服务映射”和“堡垒机运维单点登录映射端口”： 3.添加“堡垒机管理端口服务映射”。 原始数据包 源区域：选择“L3untrustA”； 外网地址：eth0地址（与绑定弹性公网IP对应的私有地址）； 协议&端口：互联网访问的协议及端口。 转换后数据包 内网地址：指定IP； 指定IP：云堡垒机IP地址； 端口转换为：443端口。 4. 添加“堡垒机运维单点登录映射端口”： 原始数据包 源区域：选择“L3untrustA”； 外网地址：eth0地址（与绑定弹性公网IP对应的私有地址）； 协议&端口：9443，12024，12025端口。 转换后数据包 网络对象：指定IP地址； 指定IP：云堡垒机IP地址。

本节介绍如何配置攻击惩罚，使WAF按配置的攻击惩罚时长来自动封禁访问者。 网站域名接入Web应用防火墙后，您可以选择开启攻击惩罚功能。开启并配置攻击惩罚功能后，当WAF检测到访问者的IP、Cookie或请求参数中有恶意请求时，WAF将按配置的攻击惩罚时长来自动封禁访问者。 配置的攻击惩罚标准会提供给BOT防护、精准访问控制防护模块使用。当配置BOT防护规则、精准访问控制规则时，可使用攻击惩罚标准功能。 BOT防护规则：当处置动作选择拦截、动态拦截时，支持勾选“攻击惩罚”。 精准访问控制规则：当处置动作选择拦截时，支持勾选“攻击惩罚”。 攻击惩罚对象 攻击惩罚的对象包含IP以及SESSION会话对象。 前提条件 已开通Web应用防火墙（原生版）实例。 已完成网站域名接入。 使用限制 基础版和标准版不支持攻击惩罚功能，请升级到更高版本使用。 配置攻击惩罚标准 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“防护配置 > 对象防护配置”，进入防护配置页面。 5. 在“防护配置”页面上方的“防护对象选择”下拉框，切换到要设置的域名。 6. 选择“系统配置”页签，定位到“攻击惩罚”模块，可以选择开启/关闭防护。 7. 单击攻击惩罚右侧的“前去配置”，进入攻击惩罚配置页面。 8. 配置攻击惩罚参数。 配置项 说明 拦截周期 配置初次拦截的时长，即第一次惩罚的时长。 单位为“分钟”，可输入10~60的整数。 说明 攻击惩罚与动态拦截同时生效，实际拦截时长按照攻击惩罚和动态拦截的最大时间进行拦截。 每次增长时长 配置多次拦截的增长时长，即在上一次惩罚时长的基础上增长对应的时间。 单位为“分钟”，可输入10~60的整数，10代表拦截时长每次增长10分钟。 最多拦截次数 配置最多拦截的次数。 可输入1~5的数字，1代表着惩罚目标增长1次处罚时间，下一次被永久拦截。5代表惩罚目标增长5次处罚时间后，下一次被永久拦截。 生效范围 默认为全部规则。 9. 单击“确认”，完成攻击惩罚配置。

本文主要为您介绍如何开启防敏感信息泄露防护，以及如何配置防敏感信息泄露规则。 网站域名接入Web应用防火墙后，您可以选择开启防敏感信息泄露功能，并配置防敏感信息泄露规则，可对网页中的敏感信息或指定的HTTP响应码页面进行过滤或拦截。 前提条件 已开通Web应用防火墙（原生版）实例。 已完成网站域名接入。 使用限制 基础版和标准版不支持防敏感信息泄露功能，请升级到更高版本使用。 操作步骤 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“防护配置 > 对象防护配置”，进入防护配置页面。 5. 在“防护配置”页面上方的“防护对象选择”下拉框，切换到要设置的域名。 6. 在“安全防护”页签定位到“防敏感信息泄露”模块，可以选择开启/关闭防护。 7. 点击防护规则右侧的“前去配置”，进入防敏感信息泄露规则页面。 8. 单击“新建防护规则”，在弹出的对话框中，配置防敏感信息泄露规则。 参数说明如下： 配置项 说明 规则名称 设置规则的名称。 规则名称用于标识当前防护规则，建议您使用有明确含义的名称。 匹配条件 选择需要在响应信息中检测的敏感信息类型，包括敏感信息、响应码、关键字。 敏感信息：用户的个人身份信息，包括身份证号、电话号码、电子邮箱等。 响应码：指定的HTTP响应码，比如401、402、403等。 关键字：自定义需要检测关键字。 匹配内容 根据所选匹配条件，对应不同的内容。 敏感信息：包括身份证号、电话号码、电子邮箱等。 响应码：选择特定的HTTP请求状态码。 关键字：需要手动输入匹配的关键字。 防护路径 需要防护的URL的路径。 执行动作 选择在响应信息中检测到敏感信息后系统执行的动作。 观察：仅通过日志记录匹配到的页面和内容，不进行拦截。 信息脱敏全部屏蔽：对匹配到的内容，将被全部进行脱敏展示。 信息脱敏自定义范围：选择该项，还需要配置“显示”或“屏蔽”具体的范围。 拦截：拦截匹配到的页面和内容，并向发起请求的客户端返回拦截响应页面。 规则描述 可选项。设置规则的描述信息。 9. 单击“确定”，规则创建成功，成功后规则默认启用。您可以在规则列表中查看该规则。

参数 是否必填 参数类型 说明 示例 下级对象 firewallId 是 String 防火墙id c7cfe772fd3f482da630132e6548a19a startTime 是 String 开始时间不为空 20241023T08:31:25Z finishTime 是 String 结束时间不为空 20241023T08:31:25Z agreement 否 Array of Strings 协议 ["UDP"] attackApp 否 Array of Longs 攻击应用 [1] sourceIp 否 String 来源ip 1.1.1.1 targetIp 否 String 目标ip 2.2.2.2 page 否 Integer 页码 1 size 否 Integer 页大小 10

依据业务端口信息，配置端口开放策略薄，便于后期策略调用。本小节介绍云下一代防火墙配置服务对象薄。 操作方法 1.打开【对象→服务薄→服务】，新建自定义端口策略。 2.自定义端口策略及名称，可放行单个端口或端口组。 3.配置完成后，端口策略如下：

本节将介绍如何通过控制中心操作界面的远程登录功能(VNC方式)登录到物理机。 Linux远程登录方式 登录Linux物理机的方式有： VNC方式登录：未绑定弹性IP的物理机可通过控制中心提供的远程登录方式直接登录。 SSH方式登录：仅适用于Linux物理机。您可以使用命令提示符工具或远程登录工具（例如PuTTY）登录物理机。此时，需要该物理机绑定弹性IP。 前提条件 远程登录功能使用系统配置的自定义端口进行访问。确保所需使用的端口未被防火墙屏蔽。例如，如果远程登录的链接是“xxx:3389”，请确保端口3389没有被防火墙屏蔽。 如果客户端操作系统使用了本地代理，且用户无法配置代理的防火墙端口，请在使用远程登录功能之前关闭代理模式。 操作步骤 1. 登录控制中心。 2. 单击控制中心正上方的“定位” ，选择所在区域。 3. 单击“左侧导航栏>服务列表”，选择“计算 > 物理机”。 4. 在目标物理机的“操作”列，单击“远程登录”。 5. 在命令行界面按“Enter”键后，输入用户名“root”和创建物理机时设置的登录密码，再按“Enter”完成登录。登录成功界面如下图： Windows远程登录方式 Windows物理机可在控制中心远程登录。 前提条件 物理机已绑定弹性IP。 操作步骤 1. 登录控制中心。 2. 单击控制中心正上方的“定位”，选择所在区域。 3. 单击“左侧导航栏>服务列表”，选择“计算 > 物理机”。 4. 在目标物理机的“操作”列，单击“远程登录”。 5. 进入SAC界面，输入“CMD”后按“Enter”建立命令提示通道。 6. 按“ESC+TAB”进入“cmd0003”通道，按“Enter”进入登录验证。 7. 在“用户名”输入“administrator”，“域”输入物理机公网IP，“密码”输入设置好的物理机密码，按“Enter”进行登录。 8. 进入界面，完成登录 后续操作

(二)勒索病毒 1. 故障现象 大量文件被加密，无法正常打开。 2. 排查过程 登录主机侧，确认故障现象。 3. 解决方法 寻求第三方专业解密公司进行数据恢复，或直接重装系统，并进行加固后，再部署业务系统。 (三)系统加固操作建议 1. 为账户设置高强度口令 在“控制面板”>“用户账户”中选择需要设置/修改口令的账户，选择“更改密码”，然后在弹出的界面中输入新口令即可。 【密码设置原则】 不要使用弱密码、默认密码。 不要在多主机、多系统使用同一个密码。 不要长期使用固定密码，定期或者不定期修改密码，安全更有保障。 最好不要把密码保存在电脑、U盘、笔记本、书籍等上面，如果保存要采取安全保护措施。 【高强度口令需满足如下要求】 密码长度不少于10位，且至少包含大写字母、小写字符、数字、特殊字符4类中的3种； 不要使用有一定特征和规律容易被破解的常用口令的密码，如在常用彩虹表中的密码、滚键盘密码、含账户名的密码、含连续数字或字母的密码等。（如：!QAZxsw2，qazxsw，1qaz@WSX，1q2w3e，123456789，password……）； 避免使用生日、电话号码、身份证号码、QQ、邮箱等与个人、单位信息有明显联系的数据。 2. 修改远程登录端口 在注册表编辑器“HKEYLOCALMACHINESYSTEMCurrentControlSetontrolTerminalServerWdsrdpwdTdstcp”路径下找到PortNamber 键，改为要使用的远程端口。建议修改为4位数端口号。（说明：在win10 系统中CurrentControlSet已经变更为CurrentControlSet001），修改完毕后，重启云主机，配置即可生效。 3. 通过本机防火墙进行外联控制。 1. 限制允许远程访问本机的IP地址范围，在Windows系统本机防火墙的“入站规则”中，找到RPC相关条目，在编辑条目的界面中可以添加允许访问的IP地址。 2. 限制本机开放的端口，在Windows系统本机防火墙中，可通过新建规则，设定允许开放的端口范围。

示例：HUAWEI USG6600配置 本章节以Huawei USG6600系列V100R001C30SPC300版本的防火墙的配置过程为例进行说明。 假设数据中心的子网为192.168.3.0/24和192.168.4.0/24，VPC下的子网为192.168.1.0/24和192.168.2.0/24，VPC上IPsec隧道的出口公网IP为1.1.1.1（从VPC上IPsec VPN的本端网关参数上获取）。 配置步骤 1. 登录防火墙设备的命令行配置界面。 2. 查看防火墙版本信息。 display version 17:20:502017/03/09 Huawei Versatile Security Platform Software Software Version: USG6600 V100R001C30SPC300(VRP (R) Software, Version 5.30) 3. 创建ACL并绑定到对应的vpninstance。 acl number 3065 vpninstance vpn64 rule 1 permit ip source 192.168.3.0 0.0.0.255 destination 192.168.1.0 0.0.0.255 rule 2 permit ip source 192.168.3.0 0.0.0.255 destination 192.168.2.0 0.0.0.255 rule 3 permit ip source 192.168.4.0 0.0.0.255 destination 192.168.1.0 0.0.0.255 rule 4 permit ip source 192.168.4.0 0.0.0.255 destination 192.168.2.0 0.0.0.255 q 4. 创建ike proposal。 ike proposal 64 dh group5 authenticationalgorithm sha1 integrityalgorithm hmacsha2256 sa duration 3600 q 5. 创建ike peer，并引用之前创建的ike proposal，其中对端IP地址是1.1.1.1。 ike peer vpnikepeer64 presharedkey （为您输入的预共享密码） ikeproposal 64 undo version 2 remoteaddress vpninstance vpn64 1.1.1.1 sa binding vpninstance vpn64 q 6. 创建IPsec协议。 IPsec proposal IPsecpro64 encapsulationmode tunnel esp authenticationalgorithm sha1 q 7. 创建IPsec策略，并引用ike policy和IPsec proposal。 IPsec policy vpnIPsec64 1 isakmp security acl 3065 pfs dhgroup5 ikepeer vpnikepeer64 proposal IPsecpro64 localaddress xx.xx.xx.xx q 8. 将IPsec策略应用到相应的子接口上。 interface GigabitEthernet0/0/2.64 IPsec policy vpnIPsec64 q 9. 测试连通性。 在上述配置完成后，我们可以利用您在云中的云主机和您数据中心的主机进行连通性测试。

示例：HUAWEI USG6600配置 本章节以Huawei USG6600系列V100R001C30SPC300版本的防火墙的配置过程为例进行说明。 假设数据中心的子网为192.168.3.0/24和192.168.4.0/24，VPC下的子网为192.168.1.0/24和192.168.2.0/24，VPC上IPsec隧道的出口公网IP为1.1.1.1（从VPC上IPsec VPN的本端网关参数上获取）。 配置步骤 1. 登录防火墙设备的命令行配置界面。 2. 查看防火墙版本信息。 display version 17:20:502017/03/09 Huawei Versatile Security Platform Software Software Version: USG6600 V100R001C30SPC300(VRP (R) Software, Version 5.30) 3. 创建ACL并绑定到对应的vpninstance。 acl number 3065 vpninstance vpn64 rule 1 permit ip source 192.168.3.0 0.0.0.255 destination 192.168.1.0 0.0.0.255 rule 2 permit ip source 192.168.3.0 0.0.0.255 destination 192.168.2.0 0.0.0.255 rule 3 permit ip source 192.168.4.0 0.0.0.255 destination 192.168.1.0 0.0.0.255 rule 4 permit ip source 192.168.4.0 0.0.0.255 destination 192.168.2.0 0.0.0.255 q 4. 创建ike proposal。 ike proposal 64 dh group5 authenticationalgorithm sha1 integrityalgorithm hmacsha2256 sa duration 3600 q 5. 创建ike peer，并引用之前创建的ike proposal，其中对端IP地址是1.1.1.1。 ike peer vpnikepeer64 presharedkey （为您输入的预共享密码） ikeproposal 64 undo version 2 remoteaddress vpninstance vpn64 1.1.1.1 sa binding vpninstance vpn64 q 6. 创建IPsec协议。 IPsec proposal IPsecpro64 encapsulationmode tunnel esp authenticationalgorithm sha1 q 7. 创建IPsec策略，并引用ike policy和IPsec proposal。 IPsec policy vpnIPsec64 1 isakmp security acl 3065 pfs dhgroup5 ikepeer vpnikepeer64 proposal IPsecpro64 localaddress xx.xx.xx.xx q 8. 将IPsec策略应用到相应的子接口上。 interface GigabitEthernet0/0/2.64 IPsec policy vpnIPsec64 q 9. 测试连通性。 在上述配置完成后，我们可以利用您在云中的云主机和您数据中心的主机进行连通性测试。

本文介绍如何将网站域名接入Web应用防火墙（边缘云版），保障您网站的安全性和可用性。 步骤1：网站业务梳理 在将网站接入Web应用防火墙（边缘云版，简称WAF）前，建议您先梳理网站的业务信息以及历史受攻击的情况，便于使用WAF制定合适的防护策略。 梳理网站的基础信息 梳理网站的基础信息，有利于您在域名接入WAF时，填写正确的域名配置。 网站支持哪些访问协议，如果需要支持HTTPS，那需要提前准备对应的HTTPS证书。 网站有使用了哪些业务端口，判断WAF是否能支持该网站的所有业务端口。 源站的IP有哪些，源站是否有iptables之类的访问限制，如果有需要加白WAF防护集群的回源IP。 梳理网站的业务情况 了解自身网站业务有利于WAF防护策略的配置，也有助于在订购WAF套餐时能选择合适的套餐规格属性。 网站当前的业务流量情况，包括流量峰值的Mbps、QPS情况。 网站访问者的主要来源，访问者的客户端环境有哪些，是否有APP客户端。 网站有多少用户活跃度，主要的用户群体有哪些，有助于分析访问行为特征并制定防护策略。 梳理网站的历史访问与攻击情况 单用户的访问频率一般有多少，有助于后续制定合适的频率控制策略。 是否遭受过大流量网络层攻击，判断是否需要开通DDoS服务以及开通多少防护规格。 是否遭受过大量高频的CC攻击，有助于提前配置对应的CC防护策略。

本文将向您介绍安全分析报表模块，在此模块可以查看WAF安全报表与CC安全报表的攻击数据，帮助您了解站点的安全情况。 功能介绍 可以通过安全报表，可以查询Web安全、CC安全两个维度的攻击数、攻击趋势、威胁类型分布、攻击IP TOP 10、TOP攻击URL等报表，并且支持导出报表。 前提条件 已开通Web应用防火墙（边缘云版） 已新增域名并成功接入WAF，具体操作请见WAF接入 新增域名后，边缘云WAF将会自动为域名开启域名防护规则功能，一旦识别到攻击行为，将产生攻击日志，并将攻击数据统计在安全报表中 查看安全报表 1. 登录Web应用防火墙（边缘云版）控制台，在左侧导航栏中选择【安全分析】模块 2. 根据您的安全数据查看需求，选择WAF攻击报表或者CC攻击报表页面 Web安全报表说明 数据指标 说明 请求数 展示所选域名的请求数 攻击数 展示所选域名的攻击请求数 攻击源 展示所选域名的攻击来源个数 攻击网站数 展示所选域名中被攻击的域名个数 攻击趋势 展示所选域名的受攻击次数趋势 威胁类型分布 展示所选域名被攻击的类型的分布，包括：SQL注入、代码执行等 攻击地域来源TOP 10 展示所选域名攻击来源分布最多的10个地区 攻击IP TOP 10 展示所选域名收到攻击最多的10个IP

本章节介绍推送轨迹的相关功能 概述 推送轨迹是指客户端注册了Listener监听Nacos的配置或者服务，当服务端的配置或服务发生变化时，主动推送给客户端，轨迹就是记录推送过程中的相关情况，包括触发时间、客户端、服务或者配置、推送耗时等信息。通过查询推送轨迹信息，可以清晰的确认服务或配置的推送情况，有利于提高问题排查效率。本节介绍推送轨迹的具体功能以及如何在控制台查看推送轨迹数据。 前提条件 1. 已开通微服务引擎MSE，参考章节：创建Nacos实例 2. 已开通Nacos实例并且状态正常 3. 已注册服务 注册中心推送轨迹 注册中心推送轨迹数据记录了服务推送的信息。当您在使用Nacos作为注册中心监听注册的服务后，当服务发生变化，客户端却没有收到变更推送时，就可以通过推送轨迹数据来确认时推送的动作没有触发、推送失败抑或是客户端返回了错误信息。 操作步骤 1. 登录微服务引擎MSE注册配置中心管理控制台，选择资源池。 2. 在左侧导航栏，选择注册配置中心 > 实例列表。 3. 在实例列表页面，单击目标实例ID、实例名称或者目标行“管理”按钮均可跳转至实例基础信息页面。 4. 在基础信息页面，点击服务管理> 服务列表，选择命名空间，查看当前Nacos注册的服务列表。 5. 找到目标服务所在行，点击推送轨迹按钮，可以快速查看该服务的推送轨迹。也可以直接点击服务管理> 推送轨迹，然后选择命名空间，选择服务和分组，查看对应服务的推送轨迹数据。 6. 在推送轨迹页面，还可以根据需要选择查询维度：服务或者IP。服务维度查询需要输入或选择分组和服务名称，选择时间或者自定义时间，点击查询。IP维度查询客户端收到的全部推送信息,需要输入客户端IP作为查询参数. 配置中心推送轨迹 配置中心推送轨迹数据记录了配置推送的信息。当您在使用Nacos配置后，当配置发生变化，某台客户端配置却没有生效等场景，就可以通过配置推送轨迹数据来辅助定位问题。

本章节介绍如何使用istio资源实现版本流量路由 前提条件 1. 已开通云容器引擎，至少有一个云容器引擎实例。产品入口：云容器引擎。 2. 开通天翼云应用服务网格实例。 3. 开通天翼云微服务引擎，并在服务网格控制面集群同VPC内创建云原生网关实例。产品入口：微服务引擎MSE。 操作步骤 部署多版本reviews服务 这里以bookinfo应用里面的reviews服务为例，使用istio资源实现对reviews服务的多版本路由，首先到云容器引擎控制台部署reviews服务的v2和v3版本，yaml如下： apiVersion: apps/v1 kind: Deployment metadata: name: reviewsv2 labels: withServiceMesh: "true" spec: replicas: 1 selector: matchLabels: name: reviewsv2 template: metadata: labels: app: reviews version: v2 name: reviewsv2 source: CCSE "sidecar.istio.io/inject": "true" csmAutoEnable: "on" annotations: "sidecar.istio.io/inject": "true" spec: containers: name: reviews image: 'registryvpccrshuadong1.cnspinternal.ctyun.cn/library/istioexamplesbookinforeviewsv2:1.16.2' imagePullPolicy: IfNotPresent env: name: LOGDIR value: "/tmp/logs" volumeMounts: name: tmp mountPath: /tmp name: wlpoutput mountPath: /opt/ibm/wlp/output volumes: name: wlpoutput emptyDir: {} name: tmp emptyDir: {} apiVersion: apps/v1 kind: Deployment metadata: name: reviewsv3 labels: withServiceMesh: "true" spec: replicas: 1 selector: matchLabels: name: reviewsv3 template: metadata: labels: app: reviews version: v3 name: reviewsv3 source: CCSE "sidecar.istio.io/inject": "true" csmAutoEnable: "on" annotations: "sidecar.istio.io/inject": "true" spec: containers: name: reviews image: 'registryvpccrshuadong1.cnspinternal.ctyun.cn/library/istioexamplesbookinforeviewsv3:1.16.2' imagePullPolicy: IfNotPresent env: name: LOGDIR value: "/tmp/logs" volumeMounts: name: tmp mountPath: /tmp name: wlpoutput mountPath: /opt/ibm/wlp/output volumes: name: wlpoutput emptyDir: {} name: tmp emptyDir: {} 通过云原生网关持续访问bookinfo应用可以看到前端页面在三种效果内跳变，分别对应reviews服务的三个版本： （1）Review内没有评分。 （2）Review内有评分信息，评分的星星颜色是黑色。 （3）Review内有评分信息，评分的星星颜色是红色。

本章节介绍网关基本信息和网关入口 您可以在网关详情页查看网关基本信息和网关入口。 操作步骤 1. 进入微服务引擎MSE控制台； 2. 在顶部菜单栏选择资源池； 3. 单击左侧导航栏云原生网关 > 网关列表 ； 4. 您可以在网关列表页单击需要查看的网关实例ID或者 实例名称 ，也可以单击操作列中的管理按钮； 5. 在云原生网关详情页您可以查看当前网关实例的基本信息和网关入口信息； 基本信息 网关入口 查看已绑定的ELB列表，您可以进行 绑定ELB 、解绑ELB操作。操作说明请参照管理网关入口ELB。

本章节介绍如何续订云原生网关 如何为已开通的云原生网关进行续费？ 实例计费模式为包年包月，当实例生命周期达到截至使用时间时，云原生网关实例会处于到期停机的状态，然后保留15天，保留期内，用户可以通过续费恢复实例；若超出保留期实例将被真正地清理。 操作步骤 1. 进入微服务引擎MSE控制台； 2. 在顶部菜单栏选择资源池； 3. 单击左侧导航栏云原生网关 > 网关列表 ； 4. 在实例列表点击“续订”； 5. 进入实例续订页，选择 续订时长 ，提交订单，完成续费；

本章节介绍应用服务网格CSM对接Nacos注册中心 概述 天翼云应用服务网格CSM对接Nacos架构如下图所示，控制面通过xDS协议从nacos发现服务，通过xDS协议下发到数据面中。 注意 服务网格对接Nacos注册中心前需要您已经订购了微服务引擎注册配置中心实例（Nacos内核）。 开通网格实例时添加Nacos注册中心 在网格开通页面可以选择添加Nacos注册服务，选择已经开通的同VPC下的Nacos注册中心实例即可。 访问Nacos中注册的服务 访问服务网格中从Nacos注册中心发现的服务格式如下： ${服务名}.${nacos分组名}.${nacos命名空间id}.nacos

本文简述什么是QUIC协议。 什么是QUIC协议 QUIC全称：Quick UDP Internet Connections，是一种传输层网络协议，其安全性可以与TLS/SSL相媲美，并且具备更低的延迟。QUIC目前主要应用于http协议，基于QUIC的HTTP/3协议（RFC9114），除了拥有HTTP/2的各项优点，同时由于QUIC的特性，在弱网环境下拥有更强大的性能优势。QUIC由Google自研，2012年部署上线，2013年提交IETF，2021年5月，IETF推出标准版RFC9000。 QUIC的主要优势如下： 优势1：握手建连更快 QUIC建连时间大约0~1 RTT，在两方面做了优化： 传输层使用了UDP，减少了1个RTT三次握手的延迟。 加密协议采用了TLS 协议的最新版本TLS 1.3，相对之前的TLS 1.11.2，TLS1.3允许客户端无需等待TLS握手完成就开始发送应用程序数据的操作，可以支持1RTT和0RTT。 对于QUIC协议，客户端第一次建连的握手协商需1RTT，而已建连的客户端重新建连可以使用之前协商好的缓存信息来恢复TLS连接，仅需0RTT时间。因此QUIC建连时间大部分0RTT、极少部分1RTT，相比HTTPS的3RTT的建连，具有极大的优势。 优势2：避免队首阻塞的多路复用 QUIC同样支持多路复用，相比HTTP/2，QUIC的流与流之间完全隔离的，互相没有时序依赖。如果某个流出现丢包，不会阻塞其他流数据的传输和应用层处理，所以这个方案并不会造成队首阻塞。 优势3：支持连接迁移 什么是连接迁移？举个例子，当你用手机使用蜂窝网络参加远程会议，当你把网络切换到WLAN时，会议客户端会立马重连，视频同时出现一瞬间的卡顿。这是因为，TCP采用四元组（包括源IP、源端口、目标地址、目标端口）标识一个连接，在网络切换时，客户端的IP发生变化，TCP连接被瞬间切断然后重连。连接迁移就是当四元组中任一值发生变化时，连接依旧能保持，不中断业务。QUIC支持连接迁移，它用一个（一般是64位随机数）ConnectionID标识连接，这样即使源的IP或端口发生变化，只要ConnectionID一致，连接都可以保持，不会发生切断重连。 优势4：可插拔的拥塞控制 QUIC是应用层协议，用户可以插拔式选择像Cubic、BBR、Reno等拥塞控制算法，也可以根据具体的场景定制私有算法。 优势5：前向纠错（FEC） QUIC支持前向纠错，弱网丢包环境下，动态的增加一些FEC数据包，可以减少重传次数，提升传输效率。

限制项 说明 访问规则 OBS基于DNS解析性能和可靠性的考虑，要求凡是携带桶名的请求，在构造URL的时候都必须将桶名放在domain前面，形成三级域名形式，又称为虚拟主机访问域名。例如，如果您有一个位于gz1区域的名为testbucket的桶，期望访问桶中一个名为testobject对象的acl，正确的访问URL为 桶 在OBS中，桶名必须是全局唯一的且不能修改，即用户创建的桶不能与自己已创建的其他桶名称相同，也不能与其他用户创建的桶名称相同。 桶创建成功后，桶名、所属区域和数据冗余存储策略均不允许修改。 一个帐号及帐号下的所有IAM用户可创建的桶+并行文件系统的上限为100个。建议结合OBS细粒度权限控制能力，合理进行桶规划和使用。例如，建议在桶内根据对象前缀划分不同的目录，通过细粒度权限控制实现不同目录在不同业务部门之间的权限隔离。 默认情况下，OBS系统和单个桶都没有总数据容量和对象数量的限制。 删除桶之前必须确保桶内所有对象已彻底删除。 用户删除桶后，需要等待30分钟才能创建同名桶和并行文件系统。 上传对象 OBS管理控制台支持批量上传文件，单次最多支持100个文件同时上传，总大小不超过5GB。如果只上传1个文件，则这个文件最大为5GB。 OBS Browser+、obsutil、API和SDK上传的单个对象最大是48.8TB。 支持批量上传功能需要满足以下条件： OBS桶的版本号为“3.0”。 在未开启多版本控制功能的情况下，如果新上传的文件和桶内文件重名，则新上传的文件会自动覆盖老文件，且不会保留老文件的ACL等信息；如果新上传的文件夹和桶内文件夹重名，则上传后会将新老文件夹合并，合并过程如遇重名文件，会使用新上传的文件夹中的文件进行覆盖。 在开启了多版本控制功能的情况下，如果新上传的文件和桶内文件重名，则会在老文件上新增一个版本。 对象键（对象名）虽然可以使用任何UTF8字符，但是建议按照对象键命名指导原则进行命名，有助于最大程度符合DNS、Web安全字符、XML分析器和其他API的要求。 删除对象 桶没有开启多版本控制功能时，对象删除后不可恢复，请谨慎操作。

本章节主要介绍翼MapReduce服务的权限管理。 如果您需要将已经创建的翼MapReduce服务资源，给企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，您可以结合使用统一身份认证服务（Identity and Access Management，简称IAM）、角色管理和用户权限进行精细的权限管理。IAM服务提供用户身份认证和翼MR用户与角色的管理权限；角色管理服务提供不同角色的集群菜单权限分配能力；用户权限服务赋予不同的IAM用户以不同的角色，提供集群访问控制，这些可以帮助您安全的控制资源的访问。 如果账号已经能满足您的要求，不需要创建独立的IAM用户进行权限管理，您可以跳过本章节，不影响您使用翼MR服务的其它功能。 翼MapReduce权限说明 默认情况下，管理员创建的IAM用户没有任何权限，需要将其授予实际的角色，才能使得IAM用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。您可以通过IAM与翼MR控制台内的角色管理功能为用户进行授权。 授予翼MR使用权限：您可以通过“账号中心”“统一身份认证服务”功能为用户授予“翼MapReduce 管理员”或“翼MapReduce 用户”权限，并为用户分配企业项目。被授予“翼MapReduce 管理员”身份的用户可以在翼MR控制台内进行IAM用户同步、新建角色、编辑角色、删除角色、删除集群、查看所在企业项目的集群等操作；被授予“翼MapReduce 用户”身份的用户可以在翼MR集群列表中查看到所在企业项目的集群。 授予集群使用权限：您可以通过翼MR控制台内的“角色管理”功能，创建所需角色并为该角色授予集群的使用权限。设定角色后，您可通过集群内的“用户权限”功能，为IAM用户授予创建好的角色，支持被授权用户在该集群内行使相应权限。 1）角色管理：通过“翼MR控制台”“角色管理”进入页面，如下图所示，您可以按需赋予不同角色以不同的菜单功能，创建的角色可在全部集群中被授予目标用户。 注意 角色管理内展示了全部可配置的权限，实际功能范围将依据集群版本提供。 2）用户权限：在“翼MR控制台”“我的集群”页面选择目标集群，点击“用户权限”进入页面，如下图所示，集群管理员或有“用户角色添加”权限的用户，即可为目标用户授予所选角色，被授权的用户在当前集群内可行使角色相应的权限。

本文为您介绍密钥管理服务KMS（Key Management Service）的服务模式及规格说明。 注意 自2024年9月13日起，KMS全新升级上线包周期版，升级后不再支持按需版本的开通，新用户需购买包周期版KMS（基础版、企业版），原已开通按需版KMS的用户仍可继续使用按需密钥，并依据按需版计费标准计费。 包周期服务 KMS服务提供两种版本，分别为基础版、企业版，您可以根据本章节列出的版本对比信息，选择合适的服务版本，同时，KMS包周期服务提供免费的默认密钥，支持用于云产品加密功能。具体配额数据请参见下方表格。 同一账号支持开通多套KMS服务，服务之间资源隔离。单套KMS服务规模取决于基础实例数量，您可根据业务需求选择开通数量，支持扩容，扩容后可提升服务整体性能及可用性。服务性能（单基础实例）请参见性能数据。 说明 当前仅华南2资源池支持开通多套KMS服务，其他资源池陆续上线，敬请关注。 √表示支持，×表示不支持。 对比项 子项 默认密钥 基础版 企业版 计费模式 免费 包周期 包周期 应用场景 云产品透明加密 √ √ √ 应用场景 用户自建应用加密 √ √ 应用场景 密评合规 × √ 应用场景 证书管理 √ √ 配额 默认计算性能（以对称加密为例） 1000QPS（所有云产品的默认密钥共享加密接口的性能） 单基础实例专享：2000QPS（通过应用接入点在VPC间调用） 共享网关：750QPS（通过openapi调用） 单基础实例专享：2000QPS（通过应用接入点在VPC间调用） 共享网关：750QPS（通过openapi调用） 配额 密钥数量 每个天翼云账号在每个资源池，可为每个云产品创建1个默认密钥 单基础实例：02000个 单基础实例：02000个 配额 证书数量 单基础实例：01000个 单基础实例：01000个 配额 应用接入点 单基础实例：3个 单基础实例：3个 接入网络类型 内部网络 openapi（公网） VPC间调用（私网） openapi（公网） VPC间调用（私网） 密钥管理 密钥规格 AES256 对称密钥：AES256 非对称密钥：RSA2048 对称密钥： AES256 SM4 非对称密钥： RSA2048 SM2 密钥管理 导入外部密钥材料（BYOK） × √ 对称密钥支持 √ 对称密钥支持 密钥管理 密钥自动轮转 × √ 对称密钥支持 √ 对称密钥支持 密钥管理 计划删除密钥 × √ √ 密钥管理 密钥删除保护 × √ √ 密钥管理 密钥别名管理 √（系统默认别名） √ √ 密钥管理 密钥标签管理 √ √ √ 密码运算 数据加解密 √（云产品） √ √ 密码运算 签名验签 × √ √ 密码运算 完整性校验 × √ √ 证书管理 创建证书 × √ √ 证书管理 导入证书 × √ √ 证书管理 吊销证书 × √ √ 证书管理 删除证书 × √ √

本文帮助您快速熟悉创建安全组的操作场景和操作流程。 操作场景 您可以创建安全组并定义安全组中的规则，将VPC中的弹性云主机划分成不同的安全域，以提升弹性云主机访问的安全性。建议您将不同公网访问策略的弹性云主机划分到不同的安全组。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东华东1。 3. 依次选择“网络”，单击“虚拟私有云”；进入网络控制台页面。 4. 在左侧导航栏，选择“访问控制安全组”选项。 5. 点击页面右上角“创建安全组”按钮，进入创建安全组页面。 6. 根据界面提示配置参数，设置安全组信息；参数说明如下： 配置 说明 名称 输入安全组的名称。 模板 模板自带安全组规则，方便您快速创建安全组。提供如下几种模板： 自定义：用户自定义安全组规则。 通用Web服务器：默认放通22、3389、80、443端口和ICMP协议。 开放全部端口：开放全部端口有一定安全风险，请谨慎选择。 虚拟私有云 选择安全组所属的虚拟私有云，仅可用区资源池支持此选项。 描述 安全组的描述信息。 企业项目 创建安全组时，可以将安全组加入已启用的企业项目。 7. 点击“确认”按钮，即可完成安全组的创建。 注意 1. 默认情况下，控制台已经为您提供了几种安全组规则模板，您可以跟据您的业务需求去选择规则模板，如果您需要自定义规则，可以参考“ 2. 同一安全组内云服务器实例内网互访默认是隔离状态，如您有同一安全组内的云服务器之间互通的需求，您可以在添加安全组规则时配置一条引用本安全组的规则，实现组内互通，详细操作可参考“ 3. 对于地域资源池来说，创建安全组时无需选择对应的虚拟私有云，多个VPC可以复用一个安全组。对于可用区资源池来说，创建安全组时需选择对应的虚拟私有云。不同的VPC业务一般是不同的，所使用的安全组规则也应该是不一样的。将VPC与安全组关联方便您部署不同业务情况。您可以根据自身业务需求选择创建合适区域的安全组。

创建工作空间 步骤 1 以DAYU Administrator 或Tenant Administrator账号登录DataArts Studio管理控制台。 步骤 2 在“空间管理”页签，单击“新建”，在空间信息页面请根据页面提示配置参数，参数说明如表1 所示。 表1 新建空间参数说明 参数名 说明 空间名称 空间名称，只能包含字母、数字、下划线、中划线、中文字符，且长度不超过32个字符。在当前的DataArts Studio实例中，工作空间名称必须唯一。 空间描述 空间的描述信息。 空间模式 选择新建工作新建工作空间的模式。 l简单模式：即传统的DataArts Studio工作空间模式，使用方便，但无法对数据开发流程和表权限进行强管控。 l企业模式：企业模式下DataArts Studio数据开发组件以及对应管理中心组件数据连接支持设置开发环境和生产环境，有效隔离开发者对生产环境业务的影响。企业模式的相关介绍请参见 DataArts Studio企业模式概述。 企业项目 DataArts Studio实例默认工作空间关联的企业项目。 如果已经创建了企业项目，这里才可以选择。当DataArts Studio实例需连接云上服务（如DWS、MRS、RDS等），还必须确保DataArts Studio工作空间的企业项目与该云服务实例的企业项目相同。 l一个企业项目下只能创建一个DataArts Studio实例。 l需要与其他云服务互通时，需要确保与其他云服务的企业项目一致。 作业日志OBS路径 用于指定DataArts Studio数据开发作业的日志存储的OBS桶。工作空间成员如需使用DataArts Studio数据开发，必须具备“作业日志OBS桶”的读、写权限，否则，在使用过程中，系统将无法正常读、写数据开发的作业日志。 l单击“请选择”按钮，您可以选择一个已创建的OBS桶和对象，系统将基于工作空间全局配置作业日志OBS桶。 l如果不配置该参数，DataArts Studio数据开发的作业日志默认存储在以“dlflog{projectId}”命名的OBS桶中。{projectId}即项目ID，您可以参考获取项目ID和账号ID进行获取。 DLI脏数据OBS路径 用于指定DataArts Studio数据开发中DLI SQL执行过程中的脏数据存储的OBS桶。工作空间成员如需使用DataArts Studio数据开发执行DLI SQL，必须具备“DLI脏数据OBS桶”的读、写权限，否则，在使用过程中，系统将无法正常读、写DLI SQL执行过程中的脏数据。 l单击“请选择”按钮，您可以选择一个已创建的OBS桶和对象，系统将基于工作空间全局配置DLI脏数据OBS桶。 l如果不配置该参数，DataArts Studio数据开发的DLI SQL脏数据默认存储在以“dlflog{projectId}”命名的OBS桶中。 步骤 3 配置完成后，单击“确定”完成工作空间的创建。

本文为您介绍VPN连接服务的权限管理。 如果您需要对云服务平台上创建的VPN资源，为企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，您可以使用统一身份认证服务（Identity and Access Management，简称IAM）进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全的控制资源的访问。 通过IAM，您可以在帐号中给员工创建IAM用户，并授权控制员工对云服务资源的访问范围。例如您的员工中有负责软件开发的人员，您希望他们拥有VPN的使用权限，但是不希望他们拥有删除VPN等高危操作的权限，那么您可以使用IAM为开发人员创建用户，通过授予仅能使用VPN，但是不允许删除VPN的权限，控制他们对VPN资源的使用范围。 如果帐号已经能满足您的要求，不需要创建独立的IAM用户进行权限管理，您可以跳过本章节，不影响您使用VPN服务的其它功能。 IAM是云服务平台提供权限管理的基础服务，无需付费即可使用，您只需要为您帐号中的资源进行付费。关于IAM的详细介绍，请参见统一身份认证服务用户指南。 VPN权限 默认情况下，管理员创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 VPN部署时通过物理区域划分，为项目级服务。授权时，“授权范围”需要选择“指定区域项目资源”，然后在指定区域对应的项目中设置相关权限，并且该权限仅对此项目生效；如果“授权范围”选择“所有资源”，则该权限在所有区域项目中都生效。访问VPN时，需要先切换至授权区域。 根据授权精细程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于云服务平台各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对VPN服务，管理员能够控制IAM用户仅能对某一类VPN资源进行指定的管理操作。

配置步骤 1. 登录Web应用防火墙（原生版）控制台。 2. 在左侧导航栏，选择“防护配置 > 对象防护配置”进入防护配置页面。 3. 在“安全防护”页签定位到需要设置优先级的模块，单击“前去配置”。 说明 CC防护、BOT防护、精准访问控制这三个防护模块支持设置规则优先级。 4. 新建/编辑防护规则。 5. 设置优先级，单击“保存”，完成设置。

云下一代防火墙首次登录后，需强制修改密码，密码策略及修改账密操作。 修改密码 web界面右上角，点击修改密码。 按照要求，提供旧密码，并连续输入两次新密码，保存后即修改成功。 密码策略配置 打开菜单栏，【系统→设备管理→设置及操作→系统设置】，修改对应策略要求即可。

本文介绍如何管理HTTPS证书。 新增证书 1. 进入Web应用防火墙控制台。 2. 在左侧导航栏，选择“WAF防护配置”，进入WAF防护配置页面。 3. 选择“https证书管理”，进入https证书管理页面。 4. 单击“新增”，弹出新增证书对话框。 5. 配置证书名称、证书公钥、证书私钥。 6. 单击“确定”，完成新增证书操作。 删除证书 单击“删除证书”，即可删除已新增的证书。 注意 删除证书前，请确保证书未在使用中，且未在“WAF防护配置”中配置。