本文为您介绍如何购买Web应用防火墙（原生版）SaaS版实例。 Web应用防火墙（原生版）SaaS版支持包年/包月计费方式，同时提供四个规格：基础版、标准版、企业版、旗舰版，三种资源扩展包：域名扩展包、业务扩展包、规则扩展包。您可以根据业务规模选择WAF SaaS版规格。 前提条件 已经注册天翼云账号并完成实名认证。 规格限制 基础版不支持购买资源扩展包，可升级到标准版或更高版本才能购买。 1个域名扩展包支持10个域名，其中支持添加1个主域名（备案的域名）。 一个业务扩展包包含：1000QPS/个，最多支持30个业务扩展包。 规则扩展包用于提升防护规则配额，支持以下两种扩展方式（二选一）。 IP黑白名单：每个扩展包包含50条防护规则。 重保防护场景：每个扩展包包含1000个IP。（需通过工单指定） 约束条件 WAF SaaS版实例生效期间，支持升级购买的服务版本以及扩增资源扩展包数量，但不支持降级。 开通WAF SaaS版实例，必须购买主套餐，可以在主套餐基础上叠加购买资源扩展包，扩展包与主套餐绑定，到期时间与主套餐一致，不支持单独续订、退订。

本文将向您介绍如何配置网站白名单，让完全信任的请求不经过边缘云WAF配置的防护策略。 功能介绍 若存在您完全信任的请求，支持在边缘云WAF控制台配置网站白名单策略，符合条件的请求将不经过边缘云WAF任意的防护策略。 背景信息 您的域名接入边缘云WAF后，配置防护策略将默认作用于所有符合策略的请求，若您希望某类请求不经过某个防护策略，可以分别配置对应的白名单功能。 若您希望请求针对任意防护策略加白，可以配置网站白名单，配置详情可见下文； 若防护规则集中的某条规则出现误报情况，可以配置规则白名单，配置详情可见设置Web规则白名单； 若您希望请求针对Bot防护策略加白，可以配置Bot策略白名单，配置详情可见Bot策略白名单 前提条件 已开通Web应用防火墙（边缘云版） 已新增域名并成功接入WAF，具体操作请见WAF接入 开通基础版级以上版本，支持配置访问控制功能 操作步骤 1. 登录Web应用防火墙（边缘云版）控制台，在左侧导航栏中选择【域名管理】—【域名列表】，单击域名列表操作【安全防护】； 2. 进入“访问控制”页面，单击【新增】按钮，新增网站白名单策略。

Web应用防火墙主要包括4大类应用场景，本小节介绍Web应用防火墙应用场景。 政企教育医卫行业场景 场景特点 政企行业、教育行业和医卫行业，包括门户网站作为提供给互联网用户获取信息服务的重要渠道，多面临网页被篡改、网页挂马、跨站攻击、SQL注入攻击等安全威胁，同时也面临上级单位和测评机构的监管压力，一旦发生安全事件，将严重影响其形象和公信力。 能解决的问题 政企类用户经常遭受来自境外地区的各类SQL注入等类型攻击，通过WAF可以制定针对指定境外地区直接进行封禁，阻断所有来自风险地区的访问请求，以及WAF可以根据内置的策略等级模式将安全性要求较高的业务重点保障，有效将99%的攻击自动进行禁封。 金融行业场景 场景特点 金融行业面临注入、跨站等多种安全问题，导致用户账号密码泄露，危及用户资金财产安全，进而严重影响企业的形象并承受经济损失。 能解决的问题 网站遭遇大量Web暴力破解请求企图获取平台登录信息，若被获取登录信息后将进一步被攻击者进行渗透，部署WAF后可通过WAF内置CC策略以及暴力破解特征库自动阻断该类型请求并发送告警至自服务平台，大大增加了网站的安全等级，并且可以主动发现并进行禁封或进行攻击溯源。

如何激活Windows物理机？ 对于Windows系列操作系统，目前需要手动激活。 步骤 1 登录Windows物理机操作系统。 步骤 2 单击“开始”菜单，在“搜索程序和文件”中输入“cmd”，并按“Enter”，打开命令提示符。 步骤 3 执行以下命令，配置KMS服务器地址。 slmgr.vbs skms 100.125.0.31 步骤 4 执行以下命令，查看是否激活。 slmgr.vbs ato 如果出现错误：0xC004F074 软件授权服务器报告无法激活该物理机。密钥管理服务（KMS）不可用，说明无法激活，需要执行步骤5。 步骤 5 查看物理机时间与标准时间是否一致，时间相差较大会出现无法激活的情况，将其设置为一致。 步骤 6 执行以下命令，检查物理机到KMS服务器端口是否可达。 telnet 100.125.0.31:1688 如果无法连接，说明物理机内部防火墙没有放通1688端口，需要关闭或者放通防火墙TCP 1688端口。如果有安全狗之类的安全软件也请暂时停止使用。 步骤 7 执行以下命令，重试物理机是否激活。 Slmgr.vbs ato

当您需要使用安全引流服务时，请参考本节先开通对应业务。 操作场景 SDWAN服务支持安全引流，通过为指定智能网关实例开启安全引流功能，您可以将该智能网关实例上的流量引流到云防火墙上，从而增强数据传输安全性。 开通安全引流服务后，用户可以通过“快捷链接”登录云防火墙，配置流量分析、管控等其他高级功能。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 安全引流功能需开通相应业务后方可使用。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，选择区域，本文我们选择华东1。 3. 依次选择“网络”，单击“天翼云SDWAN”，进入天翼云SDWAN总览页面。 4. 选择“安全引流”，根据页面提示联系客户经理或天翼云客服开通安全引流业务。 说明 如需关闭业务，请联系客户经理或天翼云客服进行操作。

本章节主要介绍数据仓库服务入门前的准备工作。 本指南是一个入门教程，向您演示如何创建示例DWS 集群，连接示例DWS 集群数据库、导入存储在OBS中的示例数据和分析示例数据的流程。您可以使用该入门教程评估DWS 服务。 在开始创建DWS 集群之前，请确保您已完成如下前提条件： 确定集群端口 在创建DWS 集群时需要指定一个端口供SQL客户端或应用程序通过该端口访问集群。 如果您的客户端机器位于防火墙之后，则您需要有一个可用的开放端口，这样才能从SQL客户端工具连接到集群并进行查询分析。 如果您不了解可用的开放端口，则请联系网络管理员，在您的防火墙中确定一个开放端口。DWS 支持的端口范围为8000～30000。 在集群创建之后无法更改集群的端口号，请务必确保在集群创建过程中指定的端口为可用的开放端口。

本章节介绍如何下线路由规则 前提条件 路由规则处于已发布状态。 操作步骤 1. 进入微服务引擎MSE控制台； 2. 在顶部菜单栏选择资源池； 3. 单击左侧导航栏云原生网关 > 网关列表 ； 4. 您可以在网关列表页单击需要查看的网关实例ID或者 实例名称 ，也可以单击操作列中的管理按钮； 5. 单击左侧导航栏 路由配置 ； 6. 单击路由配置列表页操作列下线按钮； 结果验证 在路由配置页面，查看状态是否显示未发布。

本章节介绍如何发布路由规则 前提条件 路由规则处于未发布状态。 操作步骤 1. 进入微服务引擎MSE控制台； 2. 在顶部菜单栏选择资源池； 3. 单击左侧导航栏云原生网关 > 网关列表 ； 4. 您可以在网关列表页单击需要查看的网关实例ID或者 实例名称 ，也可以单击操作列中的管理按钮； 5. 单击左侧导航栏 路由配置 ； 6. 单击路由配置列表页操作列发布按钮； 结果验证 在路由配置页面，查看状态是否显示已发布 。

主机漏洞扫描 支持深入扫描：通过配置验证信息，可连接到服务器进行OS检测，进行多维度的漏洞、配置检测。 支持内网扫描：可以通过跳板机方式访问业务所在的服务器，适配不同企业网络管理场景。 支持中间件扫描。 丰富的扫描场景 支持主流Web容器、前台开发框架、后台微服务技术栈的版本漏洞和配置合规扫描。 多扫描方式可选 支持通过标准包或者自定义安装等多种方式识别服务器的中间件及其版本，全方位发现服务器的漏洞风险。

本小节介绍云下一代防火墙SSL VPN远程拨入最佳实践。 背景信息 用户存在远程拨入运维请求，但未购买天翼云平台SSL VPN服务，可使用云下一代防火墙SSL VPN服务，该服务需单独配置。 前期准备 提供使用SSL VPN人员数量及人员账户信息。 配置流程说明 序号 子流程 配置内容 1 梳理VPN用户及登录密码 梳理内部登录权限 2 创建VPC地址池 【网络】→【VPN】→【SSL VPN】→新建 3 创建用户 【对象】→【用户】→【本地用户】→新建 4 创建隧道接口 【网络】→【接口】→【新建】，编辑安全域及对应地址和链接隧道 5 配置安全策略 确认需要进行过滤的访问对象，进行安全策略配置 【策略】→【安全策略】→【新建】，详细配置参考配置安全策略 配置内容 1.配置VPN地址池 打开【网络→VPN→SSL VPN】，进行新建。 新建基本配置起始IP、终止IP、掩码、DNS1。 注意 该地址池是用户拨入VPN后，用户可获取的VPN地址，必须与隧道接口中的地址在同网段，且不能覆盖。 2.VPN用户配置 登录云墙，打开【对象→用户→本地用户→新建→用户】，输入名称、密码、确认密码。 本次配置信息：名称：testuser；密码：123（此名称密码为示例）。 3.配置VPN安全域 打开【网络→安全域】，使用VPN安全域。 4.新建SSL VPN隧道接口。 打开【网络→接口】，新建→隧道接口。 配置接口名称：tunnel10； 安全域：VPNHub； IP地址配置：10.1.1.1/24。 注意 该IP地址是用于VPN登录时的网关地址，一般默认是XX.XX.XX.1/24的地址。 该地址网段涉及到下面SSL VPN地址池的配置，请根据自身网络进行规划。 逆向路由：关闭，防止出现环路。 5.配置出向策略。 SNAT配置：VPN地址池转换为防火墙接口地址。 安全策略访问：VPN安全域（被转换接口安全域）。

ECS自建库(MySQL)连接失败怎么办 1. 报错信息：“Access denied for user 'username'@'100.xxx.xx.xx' (using password: YES)”。 a. 报错原因：ECS自建库用户名或密码不对。 解决方法：请确认数据库用户名和密码是否正确。如果确认帐户名和密码正确，可以通过客户端或命令行工具登录数据库，执行select from mysql.user where user 'username'命令查看用户信息，如果存在100.%网段的用户，则DAS只能通过100.%网段的数据库用户去连接数据库。username @%与username @100.%是两个用户，其密码和权限都是独立的，请确认输入的密码是否是username @100.%用户的密码。 b. 报错原因：DAS服务器的IP地址不在您输入用户的白名单中。 解决方法：使用客户端或命令行工具登录到数据库，创建DAS可以访问的数据库用户。 create user 'username'@'100.%' identified by 'password'; grant all privileges on . to 'username'@'100.%'; 说明 lDAS服务器IP地址所在网段为100.%，请根据实际使用需要添加白名单。 l请根据实际使用需要给username@100.%用户赋予权限。 c. 报错原因：使用SSL用户登录，服务端没有开启SSL功能。 解决方法：请执行如下语句查询用户是否是SSL用户，如果是，则在RDS实例详情页面，将SSL开关打开。其中，ssltype字段有值即表示此用户是SSL用户。 select user, host, ssltype from mysql.user where user 'username'; 2. 报错信息：Host 'xxx.xxx.xx.xx' is not allowed to connect to this MySQL server。 报错原因：您输入的数据库用户不允许远程登录MySQL（如root用户，mysql.user表中只设置了root@localhost用户，指定用户只能本地登录）。 解决方法：使用客户端工具或命令行登录MySQL，创建可以远程登录的用户。 create user 'username'@'100.%' identified by 'password'; grant all privileges on . to 'username'@'100.%'; 说明 lDAS服务器IP地址所在网段为100.%，请根据实际使用需要添加白名单。 l请根据实际使用需要给username@100.%用户赋予权限。 3. 报错信息：Communications link failure The last packet sent successfully to the server was 0 milliseconds ago. The driver has not received any packets from the server。 a. 报错原因：ECS设置的安全组规则不支持此端口被访问 解决方法：请参考3.2.12 如何查看并放通ECS实例安全组规则。 b. 报错原因：ECS虚拟机设置的防火墙策略不允许此端口被访问。 解决方法：请参考3.2.13 如何查看并放通防火墙。 c. 报错原因：远程访问MySQL数据库，服务端侧进行的DNS解析动作，耗时太长导致连接实例超时。 解决方法：请按照以下操作进行修复。 i. 在/etc/my.cnf路径下查找MySQL数据库的配置文件，在“[mysqld]”下，输入如下内容，并保存退出。 skipnameresolve 说明 lMySQL数据库的配置文件，默认位置为“/etc/my.cnf”，若您将配置文件指定位置存放时，需对应调整。 ii. 重启数据库服务"systemctl restart mysqld"，尝试再次连接。 4. 报错信息：Communications link failure The last packet sent successfully to the server was 0 milliseconds ago. The driver has not received any packets from the server 报错原因：DAS服务器与实例网络不通。 解决方法：请检查实例的防火墙配置是否正常、是否开放对应端口，如防火墙配置异常或未开放对应端口请修复后再次尝试连接实例。修复后还无法解决，请联系技术支持协助处理 5. 报错信息：Instance connect timeout, please login again. 报错原因：DAS服务器连接超时。 解决方案：请按照以下方法进行检查并尝试修复。 a. 请远程登录ECS虚拟机，执行“iptables S grep input”命令检查实例的防火墙配置是否正常。如果自建库端口号没在开放的白名单中，您可以新增一条iptables规则或通过“systemctl stop iptables”命令关闭防火墙，保证端口能被访问后再次尝试连接实例。 b. 请远程登录ECS虚拟机，执行“ps ef grep mysql”命令检查数据库进程是否正常，mysqldsafe进程与mysqld进程均存在则为正常。如进程不存在请执行“systemctl start mysqld”命令重启数据库后再次尝试连接实例。 c. 如上述方法均无法解决，请联系技术支持协助处理。

本章节介绍云原生API网关的定义。 概述 云原生API网关分为API网关和AI网关两个产品。API网关是一款面向现代应用架构设计的高性能网关解决方案，集成流量治理、安全防护、服务集成与可观测能力于一体。通过动态路由、插件热插拔、配置热更新等关键特性，实现对海量API请求的高效处理与灵活控制，全面适配微服务、Kubernetes、AI推理等多样化场景，助力企业构建稳定安全、可演进的API基础设施，全面提升系统的敏捷性与运维效率。AI网关是一款面向AI场景的高性能网关解决方案，统一代理大模型API、MCP Server和Agent API，可以作为AI应用与大模型服务、工具和其他Agent之间的桥梁，助力企业提升AI服务的集成效率和治理能力。 API网关 API网关在使用上，分为HTTP API、REST API、WebSocket API。 HTTP API 以路由为核心，适用于接口规范不统一的场景。推荐用于流量转发、Kubernetes Ingress、微服务间通信等应用。若您关注请求路由控制和流量管理，建议选择此类型。 REST API 遵循统一的OpenAPI 规范，适用于前后端协作、系统集成以及API的精细化管理。适合需要对外提供标准接口文档、SDK 等协作支持的场景。若您希望构建标准化、可治理的API接口体系，建议选择此类型。 WebSocket API 基于WebSocket协议，支持双向实时通信，适用于AI、IoT、即时通讯等对实时性要求高的场景。相较于传统HTTP接口，具备长连接和低延迟优势，已内置相关默认配置。若您的应用需实现高效的实时数据交互，建议选择此类型。 AI网关

本章节介绍错误注入功能的使用。 概述 错误注入功能提供模拟微服务间异常调用的能力，可应用于故障演练、能力验证等场景。该能力支持调用延时和调用异常响应的模拟，通过该能力可进行应用容错能力研发、测试和演示，提高开发测试人员工作效率。 版本限制 框架 限制 详情 Spring Cloud Spring Cloud Dalston及以上版本 客户端：Feign、RestTemplate Dubbo 2.5.3+ 无 jdk版本 1.8+ 无 功能入口 1. 登录微服务治理控制台。 2. 在控制台左侧导航栏中选择应用治理。 3. 在应用治理页面的应用卡片页签单击目标应用卡片。 4. 进入应用详情页后，点击流量治理，选择错误注入页面 5. 点击创建错误注入规则按钮，完成错误注入规则创建。 错误注入规则参数说明： 参数 说明 规则名称 错误注入规则的名称 框架 支持SpringCloud和Dubbo框架 服务消费者应用 服务消费者对应的应用名称 服务提供者应用 服务提供者对应的应用名称 服务 被调用服务标识 SpringCloud框架：服务注册名称 Dubbo框架：服务名称/分组/版本信息，格式为{DubboService}:{group}:{version}， 如 com.example.DemoService:dev:v1 请求路径 SpringCloud框架被调用接口的路径 请求方法 SpringCloud框架Http请求方法 支持GET/POST/PUT/DELETE 选择ALL匹配所有方法 服务方法 Dubbo框架被调用的方法，格式为{MethodName}:{ParamType...}如 sayHello:java.lang.String,java.lang.String 类型 延迟：模拟调用延迟，可自定义延迟时间 错误：SpringCloud框架下模拟调用返回的Http状态码和响应体；Dubbo框架下模拟调用触发的异常，可输入异常类全路径和异常信息 触发概率 触发此规则相关模拟调用的概率

修改服务保护阈值 健康保护阈值为Nacos服务元数据中的一个属性，当该注册服务下的健康注册实例数 / 该注册服务下的总注册实例数的比值 实例列表。 3. 在实例列表页面，单击目标实例ID、实例名称或者目标行“管理”按钮均可跳转至实例基础信息页面。 4. 在基础信息页面，点击服务管理> 服务列表，选择命名空间，查看当前命名空间下注册的服务列表。 5. 找到目标服务所在行，点击“查看”按钮，进入服务详情页面，进一步点击“保护阈值”旁边的编辑按钮，设置具体的值，有效范围0~1之间的小数； 删除服务 您可以在控制台服务管理服务列表页面删除服务，只有当服务中的实例数量为0时才允许删除。 1. 登录微服务引擎MSE注册配置中心管理控制台，选择资源池； 2. 在左侧导航栏，选择注册配置中心 > 实例列表； 3. 在实例列表页面，单击目标实例ID、实例名称或者目标行“管理”按钮均可跳转至实例基础信息页面； 4. 在基础信息页面，点击服务管理> 服务列表，选择命名空间，查看当前命名空间下注册的服务列表； 5. 找到目标服务所在行，确认提供者数量为0，点击右侧删除按钮，弹出框点击确定，即可删除服务；

本章节介绍如何实现服务实例按照配置权重分配流量. 前提条件 1. 已开通微服务引擎MSE； 2. 开通MSE实例并且状态正常； 3. 注册服务提供者,服务至少包含两个两个实例； 4. 注册服务消费者,服务至少包含两个两个实例； 5. 服务提供者和服务消费者必须在同一命名空间下； 6. 服务提供者和服务消费者客户端使用 SpringCloud和Feign作为服务调用框架； 服务端配置 1. 登录微服务引擎MSE注册配置中心管理控制台，选择资源池； 2. 在左侧导航栏，选择注册配置中心 > 实例列表； 3. 在实例列表页面，单击目标实例ID、实例名称或者目标行“管理”按钮均可跳转至实例基础信息页面； 4. 在基础信息页面，点击服务管理> 服务列表，选择命名空间，查看当前命名空间下注册的服务列表； 5. 找到目标服务所在行，点击查看按钮查看服务详情； 6. 点击服务详情页面"提供者" tab页,查看当前服务的实例,点击右侧操作列权重按钮，可以修改服务实例的权重，权重取值范围为[010000]，含义为万分之N，数值与权重成正比； 说明 1. 服务实例的权重会影响该服务的消费者对该服务下所有实例的调用权重，例如，某个服务nacosprovider下存在提供者实例1.1.1.1:11和1.1.1.1:22，此时设置1.1.1.1:11权重为1，1.1.1.1:22权重为2，则服务nacosprovider的消费者nacosconsumer在进行服务消费时将可实现调用1.1.1.1:11和1.1.1.1:22的理论调用次数比例为1:2，据此可细粒度控制nacosprovider服务的负载均衡策略。 2. 权重设置的取值范围为010000，需要注意的是，当权重设置为0时，该实例将无法被消费者发现，从而无法接收请求。

本章节主要介绍数据仓库服务的告警管理。 概述 告警管理包含查看告警规则、告警规则配置与告警信息订阅功能。其中，告警规则可以提供过去一周的告警信息统计与告警信息明细，方便用户自行查看租户下的告警。该特性除了以默认值的形式提供一套DWS告警最佳实践外，还允许用户根据自己的业务特点，个性化修改告警阈值。告警管理通过消息通知服务（Simple Message Notification，简称SMN）发送DWS 告警通知，用户可订阅告警启用通知。 说明 该特性仅支持8.1.1.200及以上版本的数据库内核。 进入告警管理页面 1.登录DWS 管理控制台。 2.在左侧导航栏，单击“告警管理”，切换至“告警”页签。 3.进入数据仓库告警展示页面。该页面分为三个区域： 存量告警统计 最近7天的存量告警统计值（按告警级别分类），以柱状图的形式展示。用户可通过存量告警统计图，对过去一周告警发生的数量和分布有清晰的了解。 当日告警 当天的存量告警统计值（按级别分类），以列表的形式展示。重点向用户强调当天未处理的告警数量，帮助用户快速掌握目前告警的数量和分布。 告警详情 最近7天的所有告警（包括已处理和未处理）的明细信息，以表格的形式展示。可查看近7天内所有告警的告警名称、告警级别、集群名称、定位信息、详细信息、产生日期、状态等信息，帮助用户快速发现和定位问题。 说明 告警展示页面的数据源来自EventService微服务，该微服务最多可以提供30天的告警缓存数据。

创建秘钥 本操作的主要目的是给基于Mesher框架的前端应用组件weathermapweb准备密钥。 组件部署运行后，Mesher会自动读取密钥信息。 • 仅当使用微服务引擎专业版时需要创建密钥。 • 如果使用微服务引擎专享版，无需执行本操作。 1、对资源准备时获取的AK/SK分别进行base64编码。 在本地Linux环境下，使用echo n '编码内容' base64命令。示例如下： root@ubuntu:~ echo n 'ctyun' base64 Y3R5dW4 2、登录ServiceStage控制台，选择“应用管理 > 应用配置 > 密钥 > 创建密钥”。 3、“创建方式”选择“可视化” 4、“密钥名称”填写为“meshersecret”。 5、“所在集群”和“命名空间”选择部署应用的集群和命名空间(命名空间默认为 default)。 6、“密钥类型”选择“Opaque”。 7、“密钥数据”请参考下表填写。 键 值 :: csecredentialsaccessKey 已进行了Base64编码的AK 值。 csecredentialssecretKey 已进行了Base64编码的SK 值。 8、单击“创建”，完成密钥创建。 Fork天气预报源码 登录您的GitHub帐号，并Fork天气预报源码。源码地址: 仓库授权 > 新建授权”。 2、参考下表配置授权信息。参数前面带号的是必须设置的参数。 参数 说明 :: 授权名称 发授权名称，创建之后不可更改。 仓库类型 选择GitHub。 “授权方式”：支持OAuth/私人令牌。 3、单击“ 创建”，完成GitHub仓库授权创建。

CSE Nacos支持配置的导入、导出操作。 导入配置 1、登录微服务引擎控制台。 2、在左侧导航栏选择“注册配置中心”。 3、单击待操作的Nacos引擎实例名称。 4、在左侧导航栏选择“配置管理 > 配置列表”。 5、单击“导入配置”，参考下表设置导入参数。 图 导入配置 参数名称 参数说明 相同配置 终止导入：导入过程中，如果遇到和系统中相同的配置，导入终止。 跳过：导入过程中，如果遇到和系统中相同的配置，该配置会被跳过，继续导入其余配置。 覆盖：导入过程中，如果遇到和系统中相同的配置，该配置的值会被替换。 配置文件 单击“导入文件”，选择待导入配置文件。 6、单击“关闭”，完成导入。 说明 当“相同配置”选择为“终止导入”时，导入过程中，如果遇到和系统中相同的配置，则会弹出“终止导入”弹框，单击“确定”终止导入。 当“相同配置”选择为“跳过”时，导入过程中，如果遇到和系统中相同的配置，该配置会被跳过，继续导入其余配置，会弹出“导入成功”弹框，显示具体导入的配置信息，单击“确定”导入完成。 导出配置 1、登录微服务引擎控制台。 2、在左侧导航栏选择“注册配置中心”。 3、单击待操作的Nacos引擎实例名称。 4、在左侧导航栏选择“配置管理 > 配置列表”。 5、选中待导出的配置，单击“导出”。 说明 也可单击“全部导出”可将所有配置项信息导出到本地。 请您尽量分开导出，保证导出的配置文件大小不超过2MB。 图 导出配置 6、在弹出框中单击“导出”配置项则导出到本地。

参数 参数类型 说明 示例 下级对象 appDeployUuid String 应用实例uuid appDeployCode String 应用实例名称 appUuid String 应用uuid appName String 应用名称 envUuid String 环境uuid clusterUuid String 集群uuid clusterNamespace String 集群命名空间 techStackUuid String 技术栈uuid techStackVersion String 技术栈版本 techArch String 技术栈 deployUnitList Array of Strings 部署单元列表 appDeployInstVersionUuid String 应用实例版本uuid version String 应用实例版本 comment String 应用实例版本名称 type String 应用类型 packageSource String 制品来源 packageName String 制品名称 packageVer String 制品版本 dockerfileContent String dockerfile instanceId String 镜像服务实例id namespace String 镜像服务实例命名空间 repositoryId String 镜像服务实例仓库ID imageUrl String 镜像地址 imageName String 镜像名称 imageVer String 镜像版本 imageType String 镜像仓库类型 imageSecret String 镜像密钥 crType String 镜像仓库 crConnectionUuid String 服务连接CR类型connectionUuid ecsIds Array of Strings ECS uuid replicas Integer 应用实例pod数 runtimeEnvCode String 运行环境code runtimeEnvVer String 运行环境版本 activateMsgc Boolean 是否接入微服务治理中心 activateApm Boolean 是否接入应用性能监控 csmEnable Boolean 是否接入服务网格 source String 来源 epProjectId String 企业项目id imagePlatform String 镜像架构 appGroupUuid String 应用分组uuid msManagement Object 微服务治理 msManagement istioService Object 服务网格 istioService flowPrevention Object 限流降级 flowPrevention podResourceSpec Object Pod资源 podResourceSpec startCommand Object 启动命令 startCommand envVariableList Array of Objects 环境变量 envVariableList localStorage Object 本地存储 localStorage schedulingRule Object 调度规则 schedulingRule lifeCycleMgt Object 应用生命周期管理 lifeCycleMgt logConfigList Array of Objects 日志收集管理 logConfigList configMgtList Array of Objects 配置管理 configMgtList dnsConfigMgt Object DNS配置 dnsConfigMgt labelList Array of Objects 标签（Label）配置 labelList tomcatConfig Object Tomcat配置 tomcatConfig javaStartUpConfig Object Java启动参数配置 javaStartUpConfig annotationList Array of Objects 注解（Annotation）配置 annotationList sidecars Array of Objects Sidecar配置 sidecarAndInitContainer initContainers Array of Objects InitContainer配置 sidecarAndInitContainer pvcMountDescs Array of Objects PVC挂载 pvcMountDescs pvcTemplates Array of Objects PVC模板 pvcTemplates

您可以采用VNC、MSTSC方式登录Windows弹性云主机,本文介绍操作流程。 只有运行中的云主机才允许用户登录，登录云主机的方式有：VNC方式登录、MSTSC方式登录。 VNC方式登录：未绑定弹性IP的云主机可通过控制中心提供的远程登录方式直接登录。 MSTSC方式登录：仅适用于Windows云主机。您可以通过在本机运行MSTSC方式登录云主机。此时，需要该云主机绑定弹性IP。 说明 如果使用控制中心提供的“远程登录”功能无法满足您的访问需求，请自行在云主机上安装符合要求的远程访问工具（如Tight VNC）。 Tight VNC 下载地址： 首次登录使用用户名administrator。 VNC方式登录 约束与限制 当前提供的远程登录功能是通过系统配置的自定义端口进行访问的，所以在使用远程登录功能时，请确保需要使用的端口未被防火墙屏蔽。例如：远程登录的链接为“xxx:8002”，则需要确保端口8002没有被防火墙屏蔽。 如果客户端操作系统使用了本地代理，且用户无法配置该本地代理的防火墙端口，请关闭代理模式后再使用远程登录功能。 操作步骤 1. 进入天翼云官网，点击页面右上方“控制中心”按钮，登录控制中心。 2. 选择“计算”>“弹性云主机”。 3. VNC方式登录云主机时，需已知其密码，然后再采用VNC方式登录。 4. 在云主机列表中的右上角，输入云主机名、IP地址或ID进行搜索。 5. 在搜索到的云主机的“操作”列下，单击“远程登录“。 6. （可选）如果界面提示“Press CTRL+ALT+DELETE to log on”，请单击远程登录操作面板右上方的“Send CtrlAltDel”按钮进行登录。 7. 根据界面提示，输入云主机的密码，回车完成登录验证。 MSTSC密码方式登录

本节主要介绍入门概述 应用服务网格提供非侵入式的微服务治理解决方案，支持完整的生命周期管理和流量治理，兼容Kubernetes和Istio生态，其功能包括负载均衡、熔断、限流等多种治理能力。 流程说明 为集群开通Istio的流程包含以下步骤： 图 为集群开通Istio的流程图

1、登录微服务引擎控制台。 2、在左侧导航栏选择“注册配置中心”。 3、单击待操作的Nacos引擎实例名称。 4、在左侧导航栏选择“配置管理 > 配置列表”。 5、通过以下任意一种方式实现删除操作。 在待删除的配置集ID右侧“操作”列的“删除”。 可选中待删除的配置集ID，单击上方的“删除”。 6、单击“确定”，配置删除成功。

本文为您介绍Web应用防火墙(原生版)的产品规格。 Web应用防火墙（原生版）提供两种WAF云SaaS模式 和WAF独享模式 两种模式。不同模式支持的接入方式、对应的服务版本不同。本文通过对比接入方式、服务版本规格的差异，帮助用户根据实际业务需求，快速选择适合的服务版本。 接入方式说明 Web应用防火墙（原生版）提供WAF云SaaS模式 域名接入 、WAF云SaaS模式 ELB接入 、WAF独享模式接入 三种接入方式，具体差异说明如下： 分类 WAF云SaaS模式 域名接入 WAF云SaaS模式 ELB接入 WAF独享模式接入 使用场景 适用于个人、政企、金融客户 支持天翼云、其他公有云、线下IDC等公网访问场景 大型企业网站，对业务稳定性有较高要求的安全防护需求 适用于业务资产在云上，有较高个性化配置和资源独享的用户安全防护需求 产品优势 弹性扩容能力强，通过升级规格可以扩容防护能力 支持IPv6防护 不改变业务架构，水平扩展防护能力 旁路部署，业务零影响 可靠性高 当WAF发生故障时，流量将直接通过ELB发送给后端，不影响客户正常业务 部署灵活 独享引擎实例资源由用户独享 可以满足大规模流量攻击场景防护需求 独享引擎实例部署在VPC内，网络链路时延低，延迟增加约等于0ms 业务部署位置 业务服务器部署在天翼云、非天翼云或线下 业务服务器部署在天翼云 业务服务器部署在天翼云 防护对象 域名 域名、IP（公网IP/私网IP） 域名、IP（公网IP/私网IP） 服务版本 基础版、标准版、企业版、旗舰版 标准版、企业版、旗舰版 单机版、集群版 支持的资源池 全局服务，所有资源池均支持 仅支持华东1、武汉41资源池 已支持大部分资源池，若您所在的资源池不支持，请提交工单申请 接入指导 1. 购买WAF云SaaS型实例 2. 网站接入WAF防护（域名接入） 1. 购买WAF云SaaS型实例 2. 网站接入WAF防护（ELB接入） 1. 购买WAF独享型实例 2. 网站接入WAF防护（独享型接入）

本文主要为您介绍如何开启Cookie防篡改功能，以及如何配置Cookie防篡改参数。 网站域名接入Web应用防火墙后，您可以选择开启Cookie防篡改功能，开启后，WAF可通过Cookie中的字段对网页进行完整性校验保护。 前提条件 已开通Web应用防火墙（原生版）实例。 已完成网站域名接入。 使用限制 基础版和标准版不支持Cookie防篡改功能，请升级到更高版本使用。 操作步骤 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“防护配置 > 对象防护配置”，进入防护配置页面。 5. 在“防护配置”页面上方的“防护对象选择”下拉框，切换到要设置的域名。 6. 选择“系统配置”页签，定位到“Cookie防篡改”模块，可以选择开启/关闭防护。 7. 单击配置详情右侧的“前去配置”，进入Cookie防篡改配置页面，配置相关参数。 参数说明如下： 配置项 说明 防护模式 默认为“Cookie签名”，且不支持修改。 新增Cookie字段，字段值为待防护Cookie字段的签名，请求会对签名值进行完整性校验，若发生篡改则进行处置。 Cookie密钥 用于生成防篡改签名值的密钥（AES256），您可以自定义或者“快速生成密钥”。 Cookie兼容时间 生成配置后为了兼容之前未带Cookie签名的请求，可以设置生效时间。默认为当前时间。 IP校验 默认为“是”，表示除了对于防护Cookie值校验，同时也会对访问IP进行校验，同一Cookie值更换IP后无法通过校验。 修改为“否”，将仅对Cookie值进行校验。 Cookie字段名称 单击“新增Cookie字段”，新增一个Cookie字段。 HttpOnly：Cookie属性字段，用于避免客户端脚本访问该Cookie，勾选后可防止客户端脚本读取Cookie，防范XSS攻击。 Secure：Cookie属性字段，勾选后仅支持通过Https发送Cooike，防范采用Http协议发起的政击。 处置动作 选择WAF检测到篡改行为后，系统执行的动作。 拦截：拦截请求。 观察（仅记录）：仅通过日志记录请求，不进行拦截。 8. 单击“确认”，完成配置。

购买步骤（二类节点区域） 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“系统管理 > 管理独享引擎”；或选择“系统管理 > 查看产品信息”，选择“独享型”页签。在实例列表上方，单击“立即购买”。 首次使用WAF时，进入如下欢迎页面，单击“立即购买”。 5. 在产品订购页面，版本选择“WAF独享模式”，配置区域 、可用区 、虚拟私有云 、子网 、弹性IP等信息。 说明 若需要开启IPv6，请确保所选子网已开启IPv6功能。详细操作请参见创建IPv4/IPv6双栈子网。 仅“二类节点”区域需要在此处配置弹性IP。 6. 选择规格和购买数量。 参数说明如下： 参数 说明 规格选择 二类节点区域暂时只支持选择“单机版”。 购买数量 单机版实例只需购买1个节点。 7. 配置承载WAF独享版实例的云主机规格。 说明 云主机的CPU和内存为系统默认选择，不支持修改。 主机规格、系统盘类型、数据盘类型请根据实际情况进行选择，系统盘和数据盘大小不能低于系统限制的最小值，具体限制请在购买时以购买页面的信息为准。 8. 购买“带宽扩展包”、“域名扩展包”，可以设置购买数量。 扩展包 规格 数量限制 带宽扩展包 1个带宽扩展包包含1000QPS业务请求峰值、50Mbps业务带宽。 单机版最多支持16个带宽扩展包。 域名扩展包 1个域名扩展包支持10个域名或IP。 最多支持1000个域名扩展包。 9. （可选）填写交付联系方式。 说明 为保障产品顺利交付，天翼云提供免费交付服务，请提供交付联系方式，订购完成后，天翼云安全专家会与您取得联系。 10. 选择“购买时长”，拖动时间轴设置购买时长。 说明 支持开启“自动续订”，当服务到期前，系统会自动按照默认的续费周期生成续费订单并进行续费，无须用户手动续费。 11. 确认参数配置无误后，阅读《天翼云Web应用防火墙（原生版）服务协议》，并勾选“我已阅读，理解并接受《天翼云Web应用防火墙（原生版）服务协议》“，单击“立即购买”。 12. 进入“付款”页面，完成付款。

本文主要介绍 Linux云主机SSH登录的安全加固 Linux云主机常用的登录方式是SSH，对于密码登录方式创建的云主机，如何保证登录安全性呢？本文以CentOS 7.6为例，对SSH登录进行安全加固。 表 弹性云主机详细信息 参数 取值 名称 ecsf5a2 操作系统 CentOS 7.6 64bit 弹性公网IP 119.3.xxx .x 登录方式 密码 修改默认端口 1.通过SSH密码方式远程登录云主机。 2.执行以下命令，修改SSH登录的默认端口，比如修改为“5000”。 vim /etc/ssh/sshdconfig 按“i”进入编辑模式，在第17行，将注释符“ ”删掉，修改为“Port 5000”。 图 修改前 图 修改后 3.按“Esc”，输入:wq保存并退出。 增加防火墙规则：开放指定端口 CentOS 7系列操作系统的默认防火墙是fireware，而不是iptables。因此，如果系统是默认防火墙，则不需要执行本节操作；如果安装过iptables，则要参考本节指导开放SSH登录的5000端口。 1.执行以下命令，检查是否安装了iptables。 service iptables status 如果提示如下类似信息，表示未安装iptables，跳过本节，继续添加安全组规则操作。 如果提示如下类似信息，表示安装了iptables，并且为“active”状态。继续执行步骤2。 2.执行以下命令增加iptables规则，开放5000端口。 iptables A INPUT p tcp m state state NEW m tcp dport 5000 j ACCEPT 3.执行以下命令查看iptables现有规则是否已包含5000端口。 iptables L n

本节介绍了远程登录(VNC方式Linux)的操作场景、约束与限制、登录Linux弹性云主机、后续处理等内容。 操作场景 本节为您介绍如何通过控制台提供的远程登录功能（即VNC方式）登录到弹性云主机上。 登录成功后，如需使用VNC界面提供的复制、粘贴功能，请参见后续处理。 说明 对于“密钥对”方式创建的Linux弹性云主机，如需使用控制台提供的“远程登录”功能（VNC方式），需先使用“SSH密钥方式”登录，并设置密码，然后才能使用VNC方式登录。 约束与限制 当前提供的远程登录功能是通过系统配置的自定义端口进行访问的，所以在使用远程登录功能时，请确保需要使用的端口未被防火墙屏蔽。例如：远程登录的链接为“xxx:8002”，则需要确保端口8002没有被防火墙屏蔽。 如果客户端操作系统使用了本地代理，且用户无法配置该本地代理的防火墙端口，请关闭代理模式后再使用远程登录功能。 登录Linux弹性云主机 1. 登录管理控制台。 2. 选择“计算 > 弹性云主机”。 3. 在弹性云主机列表中的右上角，输入弹性云主机名、IP地址或ID，进行搜索。 4. 在搜索到的弹性云主机的“操作”列下，单击“远程登录”。 5. （可选）如果界面提示“Press CTRL+ALT+DELETE to log on”，请单击远程登录操作面板上方的“发送 CtrlAltDel”按钮进行登录。 说明 请勿使用物理键盘按“CTRL+ALT+DELETE”，该操作不生效。 6. （可选）登录G1型弹性云主机时，远程登录界面上无法显示鼠标。此时，需单击远程登录操作面板上方的“本地鼠标”按钮，鼠标就可以正常显示了。 图 本地鼠标 7. 根据界面提示，输入弹性云主机的密码。

参数 是否必填 参数类型 说明 示例 下级对象 firewallId 是 String 防火墙id dca4f9ffaca2447aa24310c1e62c4690 startTime 是 String 开始时间 20240925T05:36:13Z endTime 是 String 结束时间 20240925T05:36:13Z reportType 是 String 报表类型 DAY selectedTime 否 String 选择时间 20240925T05:36:13Z page 否 Integer 页码 1 size 否 Integer 条数 10

本节主要介绍创建环境 1、登录ServiceStage，选择“环境管理”，单击“创建环境” 。 2、设置环境信息。 “环境名称”:输入本实例的环境名称，如“testenv”。 “虚拟私有云(VPC)”:在下拉列表选择已创建的虚拟私有云VPC。 “基础资源”:单击“新增基础资源”，选择该VPC下的基础资源，本例使用云容器引擎(CCE)。 “可选资源”:单击“新增可选资源”，选择该VPC下可选资源，本例使用名称为“Cloud Service Engine”的专业版微服务引擎。 说明 选定VPC后，会加载该VPC下的基础资源和可选资源供选择，不在该VPC下的资源无法选择。 3、单击“立即创建”，完成环境创建。

参数 是否必填 参数类型 说明 示例 下级对象 eipIds 是 Array of Strings eip列表 protectStatus 是 Boolean 防护状态 firewallId 是 String 防火墙id 9f3618ee1c594598a942550985345d0d: gwlbeSubnetId 否 String 引流子网id(gwlbeSubnetId和cidr只填一个) subnet23 subnetIds 是 Array of Strings 子网id列表 cidr 否 String 引流子网cidr(gwlbeSubnetId和cidr只填一个) 192.168.1.0/24

操作场景 节点是指纳管到容器集群的计算资源，包括虚拟机、物理机等。用户需确保所在集群的节点资源充足，若节点资源不足，会导致创建工作负载等操作失败。 前提条件 已创建至少一个集群，请参见集群管理>购买混合集群。 您需要新建一个密钥对，用于远程登录节点时的身份认证。 说明： 若使用密码登录节点，请跳过此操作。 约束与限制 仅支持创建KVM虚拟化类型的节点，非KVM虚拟化类型的节点创建后无法正常使用。 集群中的节点一旦购买后不可变更可用区。 集群中通过“按需计费”模式购买的节点，在CCE“节点管理”中进行删除操作后将会直接被删除；通过“包年/包月”模式购买的节点不能直接删除，请通过页面右上角用户名称下的“我的订单”执行资源退订操作。 操作步骤 步骤 1 登录CCE控制台，可通过如下两种方式进入“购买节点”页面： 在左侧导航栏中选择“资源管理 > 节点管理”，选择节点所在的集群后，在节点列表页面单击上方的“购买节点”。 在左侧导航栏中选择“资源管理 > 集群管理”，在集群卡片上，单击“购买节点”。 步骤 2 计费模式：支持“按需计费”和“包年/包月”类型。本章以“按需计费”类型为例进行讲解。 步骤 3 选择区域和可用区。 当前区域：节点实例所在的物理位置。 可用区：请根据业务需要进行选择。可用区是在同一区域下，电力、网络隔离的物理区域，可用区之间内网互通，不同可用区之间物理隔离。 如果您需要提高工作负载的高可靠性，建议您在创建集群后将云服务器部署在不同的可用区，购买集群时节点只能部署在一个可用区。 步骤 4 节点类型：选择“虚拟机节点”。配置以下参数。 节点名称：自定义节点名称。长度范围为156个字符，以小写字母开头，支持小写字母、数字、中划线()，不能以中划线()结尾。 节点规格：请根据业务需求选择相应的节点规格。 −通用型：该类型实例提供均衡的计算、存储以及网络配置，适用于大多数的使用场景。通用型实例可用于Web服务器、开发测试环境以及小型数据库工作负载等场景。 −GPU加速型：提供优秀的浮点计算能力，从容应对高实时、高并发的海量计算场景。P系列适合于深度学习，科学计算，CAE等；G系列适合于3D动画渲染，CAD等。 −高性能计算型：实例提供具有更稳定、超高性能计算性能的实例，可以用于超高性能计算能力、高吞吐量的工作负载场景，例如科学计算。 −通用计算增强型：该类型实例具有性能稳定且资源独享的特点，满足计算性能高且稳定的企业级工作负载诉求。 为确保节点稳定性，系统会自动预留部分资源，用于运行必须的系统组件。详细请参见节点预留资源计算公式。 操作系统：请直接选择节点对应的操作系统。 系统盘：设置工作节点的系统盘空间。您可以设置系统盘的规格为40GB1024GB之间的数值，缺省值为40GB。 在默认情况下，系统盘可提供高IO、超高IO两种基本的云硬盘类型。 数据盘：设置工作节点的数据盘空间。您可以设置数据盘的规格为100GB32678GB之间的数值，缺省值为100GB。数据盘可提供的云硬盘类型与上方系统盘一致。 说明：若数据盘卸载或损坏，会导致docker服务异常，最终导致节点不可用。建议不要删除该数据盘。 −数据盘空间分配：单击后方的“更改配置”，可以对数据盘中的“k8s空间”和“用户空间”占比进行自定义设置，开启LVM管理的数据盘将按照设置的比例进行统一分配。部分集群版本不支持此功能，具体以界面为准。 k8s空间：您可以自定义数据盘中Docker和Kubelet的资源占比。Docker资源包含Docker工作目录、Docker镜像数据以及镜像元数据；Kubelet资源包含Pod配置文件、密钥以及临时存储EmptyDir等挂载数据。 用户空间：定义本地盘中不分配给kubernetes使用的空间大小和用户空间挂载路径。 说明：请注意“挂载路径”不能设置为根目录“/”，否则将导致挂载失败。挂载路径一般设置为： /opt/xxxx（但不能为/opt/cloud） /mnt/xxxx（但不能为/mnt/paas） /tmp/xxx /var/xxx （但不能为/var/lib、/var/script、/var/paas等关键目录） /xxxx（但不能和系统目录冲突，例如bin、lib、home、root、boot、dev、etc、lost+found、mnt、proc、sbin、srv、tmp、var、media、opt、selinux、sys、usr等） 注意不能设置为/home/paas、/var/paas、/var/lib、/var/script、/mnt/paas、/opt/cloud，否则会导致系统或节点安装失败。 虚拟私有云：不可修改，仅用于展示当前集群所在的虚拟私有云。 所在子网：通过子网提供与其他网络隔离的、可以独享的网络资源，以提高网络安全。可选择该集群虚拟私有云下的任意子网，集群节点支持跨子网。 该参数仅在v1.13.10r0及以上版本的集群中显示，请务必确保子网下的 DNS 服务器可以解析对象存储服务域名，否则无法创建节点。 已有集群添加节点时，如果子网对应的VPC新增了扩展网段且子网是扩展网段，要在控制节点安全组（即集群名称ccecontrol随机数）中添加如下三条安全组规则，以保证集群添加的节点功能可用（新建集群时如果VPC已经新增了扩展网段则不涉及此场景）： 弹性IP ： 独立申请的公网IP地址，若节点有互联网访问的需求，请选择“暂不使用”或“使用已有”。集群开启 IPv6 时，不显示该参数。 弹性公网IP提供外网访问能力，可以灵活绑定及解绑，随时修改带宽。未绑定弹性公网IP的云服务器无法直接访问外网，无法直接对外进行互相通信。 暂不使用：若新增节点未绑定弹性IP，则在该节点上运行的工作负载将不能被外网访问，仅可作为私有网络中部署业务或者集群所需云服务器进行使用。 使用已有：请选择已有的弹性IP，将为当前节点分配已有弹性IP。 说明： CCE默认不启用VPC的SNAT。若VPC启用了SNAT，可以不使用EIP去访问外网。 共享带宽： 请选择“暂不使用”或“使用已有”。仅在集群开启 IPv6 时，显示该参数。 弹性公网IP提供外网访问能力，可以灵活绑定及解绑，随时修改带宽。未绑定弹性公网IP的云服务器无法直接访问外网，无法直接对外进行互相通信。 登录方式：支持密码和密钥对。 −选择“密码”：用户名默认为“root”，请输入登录节点的密码，并确认密码。 登录节点时需要使用该密码，请妥善管理密码，系统无法获取您设置的密码内容。 −选择“密钥对”：选择用于登录本节点的密钥对，支持选择共享密钥。 密钥对用于远程登录节点时的身份认证。若没有密钥对，可单击选项框右侧的“创建密钥对”来新建。 说明： 如果子用户创建节点选择密钥对创建，这个密钥只对创建这个密钥的子用户有效，即使其他子用户在同一个组也无法选择，也无法使用。例如：A用户创建的密钥，B用户无法使用这个密钥对创建节点，并且Console也选不到。 云服务器高级设置： （可选），单击展开后可对节点进行如下高级功能配置： −安装前执行脚本：请输入脚本命令，大小限制为0~1000字符。 脚本将在Kubernetes软件安装前执行，可能导致Kubernetes软件无法正常安装，需谨慎使用。常用于格式化数据盘等场景。 −安装后执行脚本：请输入脚本命令，大小限制为0~1000字符。 脚本将在Kubernetes软件安装后执行，不影响Kubernetes软件安装。常用于修改Docker配置参数等场景。 −新增数据盘：单击“新增数据盘”，选择云硬盘类型并输入数据盘规格。 −子网IP ：可选择“自动分配IP地址”和“手动分配IP地址”，推荐使用“自动分配IP地址”。 Kubernetes 高级设置： （可选），单击展开后可对集群进行如下高级功能配置： −最大实例数：节点最大允许创建的实例数(Pod)，该数量包含系统默认实例，取值范围为16~128。 该设置的目的为防止节点因管理过多实例而负载过重，请根据您的业务需要进行设置。 节点购买数量： 此处设置的节点数不能超过集群管理的最大节点规模，请根据业务需求和界面提示进行选择，单击后方的可查看影响能添加节点数的因素（取决于最小值）。 步骤 5 购买时长：若选择“包年包月”的计费模式购买节点时，请设置购买时长。 步骤 6 单击“下一步：配置确认”，确认订单无误后，单击“提交”。 若计费模式为“包年包月”，在确认订单无误后，请单击“去支付”，请根据界面提示进行付款。 系统将自动跳转到节点列表页面，待节点状态为“可用”，表示节点添加成功。添加节点预计需要810分钟左右，请耐心等待。 说明： 集群创建时自动创建的安全组以及安全组规则禁止删除，否则会导致集群异常。 步骤 7 单击“返回节点列表”，待状态为可用，表示节点创建成功。 说明： 可分配资源：可分配量按照实例请求值(request)计算，表示实例在该节点上可请求的资源上限，不代表节点实际可用资源。 计算公式为： 可分配CPU CPU总量 所有实例的CPU请求值 其他资源CPU预留值 可分配内存 内存总量 所有实例的内存请求值 其他资源内存预留值

本章节介绍网关扩容功能 概述 节点扩容可以满足业务规模增长的需求；云原生网关目前支持高可用版的节点扩容，基础版不支持扩容能力；扩容的大概过程如图所示，集群扩容后，将更新ELB与网关实例的绑定关系，在此过程中，通过ELB作负载均衡来实现无损节点扩容。 操作步骤 1. 进入微服务引擎MSE控制台； 2. 在顶部菜单栏选择资源池； 3. 单击左侧导航栏云原生网关 > 网关列表 ； 4. 选择需要扩容 的实例 ，点击扩容，跳转扩容订单页； 实例信息部分展示变更前实例原有的基本信息 实例扩容部分为变更后的总节点数 5. 在实例扩容栏目， 选择新节点数 ，提交订单，完成付款； 新节点表示实例扩容完成后集群具有的总节点数 6. 返回微服务引擎MSE控制台，单击左侧导航栏云原生网关 > 网关列表 ； 7. 查看实例当前状态（扩容中） ，此时实例不可进行路由等资源的配置，但不影响已有路由转发； 8. 扩容完成后， 实例状态恢复为正常 ，实例可以正常访问； 9. 查看实例基本信息，实例节点数、连接信息都已经更新完成；