本章节主要介绍翼MapReduce服务隔离主机。 操作场景 用户发现某个主机出现异常或故障，无法提供服务或影响集群整体性能时，可以临时将主机从集群可用节点排除，使客户端访问其他可用的正常节点。在为集群安装补丁的场景中，也支持排除指定节点不安装补丁。 该任务指导用户在MRS Manager上根据实际业务或运维规划手工将主机隔离。隔离主机仅支持隔离非管理节点。 对系统的影响 主机隔离后该主机上的所有角色实例将被停止，且不能对主机及主机上的所有实例进行启动、停止和配置等操作。 主机隔离后无法统计并显示该主机硬件和主机上实例的监控状态及指标数据。 操作步骤 在MRS Manager单击“主机管理”。 1. 勾选待隔离主机前的复选框。 2. 选择“更多 > 隔离主机”。 3. 在“隔离主机”，单击“确定”。 界面提示“操作成功。”，单击“完成”，主机成功隔离，“操作状态”显示为“已隔离”。 说明 已隔离的主机，可以取消隔离重新加入集群，请参见

本节主要介绍前提条件 注册天翼云帐号，并登录成功。 获取AK/SK，请参考AK/SK获取方法。 说明 如果使用微服务引擎专业版，需要配置AK/SK。 如果使用微服务引擎专享版，不需要配置AK/SK。 创建一个虚拟私有网络VPC，请参考创建虚拟私有云和子网。 创建一个CCE集群，集群中至少包含一个ECS节点(为方便后续步骤的操作，节点 规格最好选择4vCPUs、8GB内存)并且绑定弹性IP。集群绑定弹性IP，请参考云容器引擎 > 购买容器集群。 本例将绑定GitHub源码仓库，实现源码构建、归档、应用创建， 需要先到GitHub官网注册帐号。 在ServiceStage创建仓库授权，授权访问GitHub仓库，请参考微服务云应用平台 > 仓库授权。

本章节主要介绍如何隔离主机。 用户发现某个主机出现异常或故障，无法提供服务或影响集群整体性能时，可以临时将主机从集群可用节点排除，使客户端访问其他可用的正常节点。在为集群安装补丁的场景中，也支持排除指定节点不安装补丁。 该任务指导用户在MRS上根据实际业务或运维规划手工将主机隔离。隔离主机仅支持隔离非管理节点。 对系统的影响 主机隔离后该主机上的所有角色实例将被停止，且不能对主机及主机上的所有实例进行启动、停止和配置等操作。 主机隔离后无法统计并显示该主机硬件和主机上实例的监控状态及指标数据。 前提条件 已完成IAM用户同步（在集群详情页的“概览”页签，单击“IAM用户同步”右侧的“同步”进行IAM用户同步）。 操作步骤 1.在集群详情页，单击“节点管理”。 2.展开节点组信息，勾选待隔离主机前的复选框。 3.选择“节点操作 > 隔离主机”。 4.确认待隔离主机信息并单击“确定”。 界面提示“操作成功。”，单击“完成”，主机成功隔离，“操作状态”显示为“已隔离”。 说明 已隔离的主机，可以取消隔离重新加入集群，请参见

操作步骤 1. 登录Web应用防火墙（边缘云版）控制台 2. 在左侧导航栏中选择【日志管理】—【业务日志】页面 3. 通过域名、时间周期进行组合查询业务日志。支持点击操作列【下载】按钮下载业务日志

本章节主要介绍翼MapReduce服务取消隔离主机。 操作场景 用户已排除主机的异常或故障后，需要将主机隔离状态取消才能正常使用。 该任务指导用户在MRS Manager上取消隔离主机。 前提条件 主机状态为“已隔离”。 主机的异常或故障已确认修复。 操作步骤 在MRS Manager单击“主机管理”。 1.勾选待取消隔离主机前的复选框。 2.选择“更多 > 取消隔离主机”。 3.在“取消隔离主机”，单击“确定”。 界面提示“操作成功。”，单击“完成”，主机成功取消隔离，“操作状态”显示为“正常”。 4.单击已取消隔离主机的名称，显示主机“状态”，单击“启动所有角色”。

本章节主要介绍翼MapReduce的隔离主机操作。 操作场景 某个主机出现异常或故障，无法提供服务或影响集群整体性能时，可以临时将主机从集群可用节点排除，使客户端访问其他可用的正常节点。 说明 隔离主机仅支持隔离非管理节点。 对系统的影响 主机隔离后该主机上的所有角色实例将被停止，且不能对主机及主机上的所有实例进行启动、停止和配置等操作。 主机隔离后部分服务的实例不再工作，服务的配置状态可能过期。 主机隔离后无法统计并显示该主机硬件和主机上实例的监控状态及指标数据。 待操作节点的SSH端口需保持默认（22），否则将导致本章节任务操作失败。 操作步骤 1. 登录FusionInsight Manager。 2. 单击“主机”。 3. 勾选待隔离主机前的复选框。 4. 在“更多”选择“隔离”。 在弹出窗口中，输入当前登录的用户密码确认管理员身份，单击“确定”。 5. 在确认隔离的对话框中勾选“我确定隔离所选主机，接受可能出现的服务故障等后果。”单击“确定”。 界面提示“操作成功。”，单击“完成”，主机成功隔离，“运行状态”显示为“已隔离”。 6. 以root用户登录到被隔离主机上，执行pkill 9 u omm命令终止节点上的omm用户的进程，然后执行ps ef grep 'container' grep '${BIGDATAHOME}' awk '{print $2}' xargs I '{}' kill 9 '{}'命令查找并终止container的进程。 7. 管理员已排除主机的异常或故障后，需要将主机隔离状态取消才能继续使用该主机。 在“主机”界面勾选已隔离的主机，选择“更多 > 取消隔离”。 说明 取消隔离后，主机上所有角色实例默认不启动。若需要启动主机上角色实例，可以在“主机”页面勾选目标主机，然后选择“更多 > 启动所有实例”。

概 念 介绍 提供了运行实例所需的信息，包括操作系统和运行环境、初始化应用数据等。 分布式持久块存储设备、可弹性扩展的数据块级存储设备，可以用作实例的系统盘和数据盘使用。 虚拟私有云（Virtual Private Cloud），为云主机、云容器、云数据库等云上资源构建隔离、私密的虚拟网络环境。 防火墙是保障轻量型云主机网络安全的重要手段，用户可以通过配置防火墙规则，允许或禁止公网或私网对轻量型云主机的访问。 弹性 IP（Elastic IP Address，简称EIP）指公网 IP 地址，将弹性 IP 地址和子网中关联的各项云资源绑定和解绑，可以实现 VPC 中的云资源通过固定的公网 IP 地址与互联网互通。

本章节主要介绍如何取消隔离主机。 操作场景 用户已排除主机的异常或故障后，需要将主机隔离状态取消才能正常使用。 该任务指导用户在MRS上取消隔离主机。 前提条件 主机状态为“已隔离”。 主机的异常或故障已确认修复。 已完成IAM用户同步（在集群详情页的“概览”页签，单击“IAM用户同步”右侧的“同步”进行IAM用户同步）。 操作步骤 1.在集群详情页，单击“节点管理”。 2.展开节点组信息，勾选待取消隔离主机前的复选框。 3.选择“节点操作 > 取消隔离主机”。 4.确认待取消隔离主机信息并单击“确定”。 界面提示“操作成功。”，单击“完成”，主机成功取消隔离，“操作状态”显示为“正常”。 5.勾选已取消隔离的主机，选择“节点操作 > 启动所有角色”。

本节介绍天翼云AI云电脑快速使用OpenClaw指南。 产品优势 开通指引 新用户极简开通，三步搞定 已有云电脑用户，切换OpenClaw镜像体验 使用指引 典型场景演示 场景一、在桌面创建openclaw.txt文件 场景二：统计桌面有多少个txt文件 进阶用户使用 本文介绍如何通过天翼AI云电脑快速部署OpenClaw（曾用名：Clawdbot/Moltbot），并体验OpenClaw典型应用场景。 说明 为方便用户零门槛快速体验，天翼云默认提供少量 Tokens试用，数量有限；如需获得更优使用体验与效果，请自行购买原生匹配的大模型和Tokens，参照“进阶用户使用”步骤配置。 产品优势 智能与安全兼得 把OpenClaw部署在云端隔离环境，搭配“零信任接入+风险文件隔离+应用管控+数据加密+防火墙”五重防护，真正实现“进不来、拿不走、看不懂、改不了、跑不掉”。数据全程留存在云端，办公再智能，使用也安心。 多系统支持，Windows用户也能轻松上车 额外支持Windows系统，云电脑老用户也能切换体验，让AI智能体真正走进日常办公。 免设置，零门槛体验 云电脑已内置大模型，点击桌面OpenClaw图标可零门槛体验，技术小白也会用。

应用场景概述 在以下场景中，均可使用Web应用防火墙（边缘云版）有效防御以及预防，保障网站以及应用的业务安全。 数据泄漏 随着数字化推进，企业站点存储大量企业信息和个人信息，黑客可以通过Web入侵获取企业信息资产，对企业造成无法估量的损失。 网站被篡改被挂马 黑客在获取Web站点或者服务器权限后，通过插入恶意代码，使客户端用户执行恶意程序，从而实现盗取账号等恶意行为；在站点植入涉黄、涉赌等非法链接；恶意篡改网站图片和文字；对网站造成恶意影响，损坏网站运营者的形象。 恶意数据抓取 电商平台利用爬虫互相爬取商品价格详情进行研究，借此获取竞争先机。羊毛党总是能在演唱会门票发布、促销大促使得优惠券发布时秒空。 CC攻击 CC攻击会造成站点业务中断，或者造成关键门户网站不能访问，攻击者往往是采用大量的数据包淹没业务服务器，导致业务资源占用飙升，请求数量突增，从而阻塞网站正常访问甚至宕机，对业务的连续性和品牌的影响极大，而且往往运营者在被攻击时很被动。 合规资质 天翼云Web应用防火墙（边缘云版）通过信通院泰尔实验室的可信安全云认证、IPv6可用认证、中国网络安全审查技术与认证中心的IT产品信息安全认证和公安部的等保三级认证。

服务功能 功能概述 基础版 专业版 企业版 旗舰版 网页防篡改版 容器版 支持的操作系统 检测周期 容器防火墙 对容器集群内部和外部的网络流量进行控制和拦截，防止恶意访问和攻击。 × × × × × √ Linux 实时检测

本节主要介绍创建微服务引擎 微服务引擎专享版采用物理隔离的方式部署，租户独占微服务引擎，您可以根据业务需要创建使用。 前提条件 微服务引擎专享版运行于虚拟私有云，创建微服务引擎前，需保证有可用的虚拟私有云和子网。 创建虚拟私有云和子网，请参考“帮助中心 > 虚拟私有云 > 用户指南 > 虚拟私有云和子网 > 创建虚拟私有云和子网”。 如果引擎创建帐号权限为创建引擎的最小权限，如权限管理的“cse:engine:create”所示。则需要由管理员帐号为其预置VPC默认安全组cseenginedefaultsg，并添加如所示规则。 添加安全组规则，请参考《虚拟私有云用户指南》中“安全组 > 添加安全组规则”章节。 表 默认安全组cseenginedefaultsg规则说明 方向 类型 协议 端口范围/ICMP类型 远端 入方向 IPv4 TCP 3010030130 ANY 入方向 IPv4 ICMP Any 0.0.0.0/0 入方向 IPv6 ICMP Any ::/0 入方向 IPv6 TCP 3010030130 ANY 出方向 IPv4 ANY Any ANY 操作步骤 1、登录ServiceStage控制台，选择“微服务引擎 CSE”。 2、单击“购买微服务引擎” 。 3、填写参数，其中带“”标志的参数为必填参数，参数说明如下表所示。 表 参数说明 参数 说明 企业项目 选择微服务引擎所在的企业项目。 企业项目是一种云资源管理方式，企业项目管理服务提供统一的云资源按项目管理，以及项目内的资源管理、成员管理。 开通企业项目，创建并启用新的企业项目后可以使用，默认选择default。 规格 选择微服务引擎规格。 须知引擎创建成功后，不支持规格变更。 引擎类型 选择微服务引擎的类型。 集群集群模式部署，主机级容灾。 单机单节点部署，不支持容灾。 须知： “引擎类型”为“单机”的微服务引擎专享版仅适用于开发测试环境，不适用于生产环境； 不支持变更引擎类型。如选择使用，请先阅读约束说明并勾选“我已知晓如下约束”。 引擎名称 输入微服务引擎的名称，引擎创建后不能修改名称。 可用区 选择可用区。 “引擎类型”选择“集群”时，根据环境可用区数量，为引擎选择1个或者3个可用区。− 选择1个可用区，可提供主机级别容灾能力。− 选择3个可用区，可提供可用区级别容灾能力。 “引擎类型”选择“单机”时，为引擎选择1个可用区。 网络 为引擎选择已创建的虚拟私有云及其子网，可以为您的引擎构建隔离的、自主配置和管理的虚拟网络环境。ServiceComb引擎支持IPv4和IPv6两种版本的IP地址。启用IPv6前，请确保ServiceComb引擎所在的VPC和子网已开启IPv6配置，在VPC和子网中开启IPv6配置的应用场景和操作步骤请参考《虚拟私有云用户指南》中的“IPv4/IPv6双栈管理”章节。启用IPv6后，ServiceComb引擎可在双堆栈模式下运行，即可拥有两个不同版本的IP地址：IPv4地址和IPv6地址，此时引擎通过IPv4和IPv6进行通信，且IPv4和IPv6通信彼此独立。 描述 输入引擎描述信息。单击 ，输入引擎描述信息。单击，保存描述。 安全认证 开启了“安全认证”的微服务引擎专享版，通过微服务控制台提供了基于RBAC（RoleBased Access Control，基于角色的访问控制）的系统管理功能。l 选择“开启安全认证”：1. 根据业务需要确认需开启安全认证后，勾选“我已知晓：开启安全认证后，需要在微服务的配置文件中添加对应用户的帐号密码，否则服务无法注册到引擎。”。2. 输入root帐号的“密码”，并在“再次输入密码”输入框输入密码进行确认。密码请妥善保管，以免遗失。l 选择“关闭安全认证”：无需配置帐户名、密码即可将服务注册到引擎，效率性能更高，建议用于VPC内访问时使用。 4、单击“下一步”，进入确认微服务引擎规格的页面。确认无误后，单击“提交”，开始创建微服务引擎。 创建微服务引擎专享版大约需要10~30分钟。 创建成功后，微服务引擎的“状态”为“可用”。 如果创建失败，可单击，在弹出菜单选择“重试”，重新创建。 说明 如果重试失败，可以删除创建失败的微服务引擎。删除微服务引擎专享版，请参考删除微服务引擎专享版。 如果未及时删除重试失败的微服务引擎，会占用计算资源。系统会在UTC时间每日18:00统一清理资源。

使用限制条款 合规落地措施 违规风险 公网ELB 和后端云主机在不同子网 部署时通过控制台校验：公网ELB 选择 “公共子网”，后端 ECS 选择 “业务子网” 流量可能绕开云防火墙，导致防护失效；单点故障时影响范围扩大 绑定EIP 的 ECS 与 NAT 访问的 ECS 在不同子网 1. 绑定 EIP 的 ECS 仅部署在 “公共子网”，NAT 访问的 ECS 仅部署在 “业务子网”； 2. 通过 VPC 路由表隔离：公共子网无指向 NAT 网关的路由，业务子网无直接指向互联网的路由 出访流量路径混乱，无法通过NAT 网关或云防火墙统一管控与审计 子网专项需求（NAT 子网 28 位、公共子网按需、2 个引流子网 28 位） 1. 子网创建时严格按规格配置，禁止随意扩大 / 缩小网段； 2. 通过子网名称规范化标识（如 “NATGWSubnet10.0.1.0/28”“GWLBEInboundSubnet10.10.0.0/28”） 子网地址耗尽；引流子网规格不匹配导致GWLBE 无法正常接收流量 安全产品单独在一个子网 1. 安全产品（如等保专区）仅部署在 “安全产品子网”； 2. 安全产品子网的安全组仅开放与云防火墙的通信端口，禁止其他子网直接访问 安全产品被业务流量干扰；安全产品自身被攻击风险升高

类型 微服务 普通应用 开发 每个微服务的体量相对较小，业界的two pizza团队和“2周即可全部重写全部代码”等都可以作为微服务划分的参考。 在开发时期，需注意服务接口的定义以与周边微服务进行配合，“基于契约”的开发方式是非常推荐的。 微服务开发，请参考“帮助中心 > 微服务云应用平台 > 开发指南 > 微服务开发指南 > 开发微服务应用”章节。 普通应用逻辑复杂、模块耦合、代码臃肿、修改难度大、版本迭代效率低下。 部署 微服务组成的应用系统通常比较复杂，在一次性部署的时候，需要进行编排部署。 微服务应用部署，请参考 部署组件 。 普通应用可能会比较大，构建和部署时间也相应地比较长，不利于频繁部署，阻碍持续交付。 在移动应用开发中，这个问题会显得尤为严重。 运维 在原来的指标监控、日志收集之外还非常强调治理。 其核心理念是在运行时期通过对线上系统的各种调整以达到系统整体健康度要求的效果。 应用运维，请参考 应用运维 。 普通应用线上问题修复周期长，任何一个线上问题修复都需要对整个应用系统进行全面升级。

本章节介绍微服务引擎MSE的定义 产品定义 微服务引擎 MSE 面向业界主流开源微服务项目，提供注册配置中心、云原生网关、微服务治理能力，助力企业搭建微服务平台，实现微服务应用的快速开发和高可用运维。 MSE产品包含以下子产品：注册配置中心、微服务治理中心、云原生网关。您在构建自己的微服务体系时，既可单独使用某个子产品，也可搭配使用以便获得微服务生态的最佳实践。 子产品 描述 注册配置中心 面向业界主流开源微服务项目，致力于帮助用户发现、配置和管理微服务，实现动态服务发现、服务配置、服务元数据及流量管理等功能。 云原生网关 将传统的流量网关和业务网关合二为一，提供全局性和独立业务域级别的流量管理策略，与后端业务紧耦合策略配置。 微服务治理中心 兼容SpringCloud、Dubbo等开源微服务框架，支持无侵入的接入应用，提供标签路由、灰度发布、无损上下线、服务降级、服务鉴权等服务治理的能力。 产品优势 开源增强 100% 兼容Spring Cloud、Dubbo微服务开源项目，无缝对接K8s，无厂商绑定，并在稳定性、性能、可运维性上提供更强的能力。 低成本 节省自建微服务引擎的人力成本，集成流量网关和微服务网关功能，降低50%资源开销，缩短请求时间，降低运维复杂度。

Web应用防火墙（独享版）支持防护标准端口和非标端口。您在网站接入配置中添加防护网站对应的业务端口，WAF将通过您设置的业务端口为网站提供流量的接入与转发服务。本文介绍WAF支持防护的标准端口和非标端口。 Web应用防火墙可防护的端口如表所示。 端口分类 HTTP协议 HTTPS协议 端口防护限制数 标准端口 80 443 不限制 非标准端口（182个） 9945, 9770, 81, 82, 83, 84, 88, 89, 800, 808, 1000, 1090, 3128, 3333, 3501, 3601, 4444, 5000, 5222, 5555, 5601, 6001, 6666, 6788, 6789, 6842, 6868, 7000, 7001, 7002, 7003, 7004, 7005, 7006, 7009, 7010, 7011, 7012, 7013, 7014, 7015, 7016, 7018, 7019, 7020, 7021, 7022, 7023, 7024, 7025, 7026, 7070, 7081, 7082, 7083, 7088, 7097, 7777, 7800, 7979, 8000, 8001, 8002, 8003, 8008, 8009, 8010, 8020, 8021, 8022, 8025, 8026, 8077, 8078, 8080, 8085, 8086, 8087, 8088, 8089, 8090, 8091, 8092, 8093, 8094, 8095, 8096, 8097, 8098, 8106, 8118, 8181, 8334, 8336, 8800, 8686, 8888, 8889, 8989, 8999, 9000, 9001, 9002, 9003, 9080, 9200, 9802, 10000, 10001, 10080, 12601, 86, 9021, 9023, 9027, 9037, 9081, 9082, 9201, 9205, 9207, 9208, 9209, 9210, 9211, 9212, 9213, 48800, 87, 97, 7510, 9180, 9898, 9908, 9916, 9918, 9919, 9928, 9929, 9939, 28080, 33702, 8011, 8012, 8013, 8014, 8015, 8016, 8017, 8070 8750, 8445, 18010, 4443, 5443, 6443, 7443, 8081, 8082, 8083, 8084, 8443, 8843, 9443, 8553, 8663, 9553, 9663, 18110, 18381, 18980, 28443, 18443, 8033, 18000, 19000, 7072, 7073, 8803, 8804, 8805, 9999 不限制

本小节介绍Web应用防火墙网站基础防护最佳实践。 基础防护配置是基于中国电信多年Web安全防护经验的策略与规则集，全面覆盖OWASP TOP10攻击防护，包括SQL注入、XSS，应用漏洞攻击等常见的Web攻击。 您可以根据网站的实际情况对基础防护规则进行调整，包括但不限于开关网站的安全防护、调整防护模式为阻断或预警、调整防护等级、调整应用对象相关的安全策略、调整基于攻击类型的攻击特征的防护状态和防护模式。 Web应用防火墙为您提供724的技术支持服务，在基础防护配置调整的过程中产生任何问题或疑问都可以通过客户响应快速获得技术支撑。 防护模式： 为了更好的适配您的业务，基础防护模式分为阻断状态和预警，接入防护后默认为阻断状态 ，您可以在平台通过各项规则管理进行系统化定制。 阻断会直接拦截被判定为非法请求的相关数据包。 预警仅会记录非法请求，但是不会进行阻断。 配置建议： 如果用户对网站的相关配置或相关安全配置不尽了解，则推荐采用默认的中等防护等级和阻断模式。 如果用户对安全性需求较高则推荐采用高级防护等级，在采用高级防护等级时，推荐您先使用预警模式观察数周安全规则对网站产生的影响，并根据观察结果对安全规则进行微调，以免严格的安全策略导致产生大量误拦截对网站业务造成影响。

与VPC的关系 VPC是基于天翼云创建的自定义私有网络，为弹性云主机提供一个逻辑上完全隔离的专有网络，您还可以在VPC中定义安全组、IP地址段、带宽等网络特性。用户可以通过VPC方便地管理、配置内部网络，进行安全、快捷的网络变更，详细内容请参见虚拟私有云。云防火墙目前仅支持VPC内绑定云主机资产的IP南北向的防护，并且需要您在同一个VPC内创建一个子网掩码不大于28的子网网段，用于云防火墙的部署，并确保该子网中不进行任何业务配置，只用于云防火墙的部署。 与弹性IP的关系 弹性IP（Elastic IP，EIP）是可以独立申请的公网IP地址，包括公网IP地址与公网出口带宽服务。可以与云主机、物理机、负载均衡、NAT网关等云产品动态绑定和解绑，实现云资源的互联网访问，详情请参见弹性IP。云防火墙会自动同步用户账号下的弹性IP资产，并显示其防护状态。用户可自主决策是否对弹性IP开启安全防护，首次购买后，您会自动进入防火墙控制台页面，同时防火墙自动为您同步资产，同步完成后，公网IP默认处于关闭防护状态，需要您手动“开启防护”，并去配置相关的规则。公网IP统计了您已开启和未开启防护的公网IP，对应防火墙状态中的“已防护”和“未防护”状态，未防护的统计所有绑定资产类型对应的公网IP。可用授权展示已经购买的云防火墙配额数，每个配额可防护一个VPC，您可以为该VPC中的所有IP开启防护。云防火墙（CFW）与EIP关系如下图：

删除组件 1、登录ServiceStage控制台，选择“应用管理 > 应用列表”。 2、选择已经创建的应用，单击应用名称，进入应用“概览”页。 3、单击“组件列表”页签： 单个删除 选择待删除的组件，在“操作”列单击“删除”，在弹出的提示框单击“确定”。 批量删除 勾选待删除的多个组件，单击“批量删除组件”，在弹出的提示框单击“确定”。 创建应用组件流水线 1、登录ServiceStage控制台，选择“应用管理 > 应用列表”。 2、选择已经创建的应用，单击应用名称，进入应用“概览”。 3、在“组件列表”页签，单击组件名称，进入组件“概览”页。 4、选择“流水线 > 创建流水线”，创建流水线。请参考应用组件流水线。 不支持为运行时为Docker的组件创建流水线。 查看应用组件构建 1、登录ServiceStage控制台，选择“应用管理 > 应用列表”。 2、选择已经创建的应用，单击应用名称，进入应用“概览”。 3、在“组件列表”页签，单击组件名称，进入组件“概览”页。 4、单击“构建”页签，可以查看应用组件构建工程的状态，详情请参考应用组件构建。 维护组件实例 1、登录ServiceStage控制台，选择“应用管理 > 应用列表”。 2、选择已经创建的应用，单击应用名称，进入应用“概览”。 3、在“环境视图”页签下，选择“环境”： 可以查看各个环境下该应用组件部署情况。 （可选）选择微服务类型的应用组件版本，单击“微服务管理”，进入微服务控制台进行服务治理。详情请参考服务治理。 选择应用组件版本，单击“运维管理”，可以进入组件实例“概览”页，查看组件实例详情。 选择应用组件版本，单击“操作”，可以选择进行组件升级、伸缩、事件查看、启动/停止、重启、回退、删除等运维操作。详情请参考应用运维。 勾选“全选”或者勾选对应的应用组件，单击“升级组件”，对组件进行版本号、软件包/镜像包的变更操作。

本文介绍如何隔离容器。 支持将存在异常的Pod进行隔离，被隔离的Pod将不允许与其他资源进行通信。 注意事项 特权容器、节点启动容器、安全容器、pause应用类型容器暂不支持隔离。 操作步骤 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“容器安全 > 实时检测”，进入容器实时检测页面。 3. 单击容器列表右侧操作列中的“隔离Pod”。 4. 在弹出的对话框中，输入说明信息。 5. 单击“确认”，隔离容器。

本小节整体介绍 云下一代防火墙入门所需各项操作步骤。 操作步骤 操作步骤 概述 订购云主机 按需订购加载云墙镜像云主机，并为云主机绑定空闲可用弹性IP 查询序列号 登录云墙查看云墙序列号 订购云墙实例 按需订购云墙，单节点/主备、规格、功能等 云墙业务部署 按需进行初始化配置及安全防护策略配置 云墙上线风险 预知云墙上线操作及上线风险 说明 本表格仅输出当前平台侧操作，梳理工作需线下进行。 操作流程说明

本文进行了云防火墙（原生版）产品的术语说明。 VPC 虚拟私有云（Virtual Private Cloud，VPC），为云服务器、云容器、云数据库等云上资源构建隔离、私密的虚拟网络环境。您可以完全掌控自己的专有网络，VPC丰富的功能帮助您灵活管理云上网络，包括创建子网、设置安全组和网络ACL、管理路由表、申请弹性公网IP和带宽等。 互联网边界防火墙 互联网边界防火墙主要用于检测互联网和云上资产间的通信流量，也称为南北向流量。 访问控制 是流量过滤规则的集合，通过防火墙的访问控制功能可以对内网的计算机进行访问限制，比如限制访问的Internet网站、限制使用的端口号，这样可以保证局域网的安全性。 黑名单规则 访问控制规则的一种。配置成功后，可对配置地址的入或出通信流量进行阻断。 白名单规则 访问控制规则的一种。配置成功后，可对配置地址的入或出通信流量进行放行。 五元组 包括源IP地址、目的IP地址、协议号、源端口、目的端口。 入侵防御 主动发现外部入侵与恶意外联等未知风险，在检测到可疑事件时，提供实时的防护与告警。如果检测到攻击，入侵防御会在攻击扩散到网络的其他地方之前阻止该恶意通信。 主动外联访问 主动外联访问是指云主机主动访问外部IP的行为，通过对主动外联访问防护，可以帮助您有效管理和控制主机外联行为。

本章节主要介绍修复隔离主机补丁 。 若集群中存在主机被隔离的情况，集群补丁安装完成后，请参见本节操作对隔离主机进行补丁修复。修复完成后，被隔离的主机节点版本将与其他未被隔离的主机节点一致。 访问MRS Manager，详细操作请参见访问MRS Manager（MRS2.x及之前版本）。 1. 选择“系统设置 > 补丁管理”，进入补丁管理页面。 2. 在“操作”列表中，单击“详情”。 3. 在补丁详情界面，选中“Status”是“Isolated”的主机节点。 4. 单击“Select and Restore”，修复被隔离的主机节点。

本章节介绍如何通过镜像部署微服务应用到容器 概述 在微服务云应用平台中接入您的应用进行发布，所支持的介质类型大体上可分为制品（JAR/WAR/TAR包等）、镜像等，您可以按实际需求选择接入的方式。 本文介绍如何通过镜像部署微服务应用到容器。 通过镜像部署微服务应用到容器 前提条件 1. 您已开通微服务云应用平台 2. 您已订购一个云容器引擎实例 3. 您已订购一个nacos注册中心实例 创建环境和导入资源 在左侧导航栏，选择环境管理。在环境列表左上角点击创建环境。环境创建好后，将云容器引擎和nacos注册中心导入到环境中。 创建项目和应用 在左侧导航栏，选择应用列表。在应用列表点击新增项目。展开新增完成的项目，在应用管理下创建应用，技术栈选择 SpringCloud。 项目关联环境 展开项目，在环境管理下将步骤1创建的环境关联上。 创建容器应用实例并部署 基本信息 项目/应用：步骤2创建的应用 应用实例名称：无需修改，使用默认名称即可 技术栈版本：选择1.0.0j180jar 接入方式：选择镜像 应用实例版本：无需修改，使用默认版本即可 企业项目：选择default 部署配置 选择集群：选择步骤1导入到环境中的云容器引擎 镜像类型：选择Demo镜像（支持自购镜像仓库、Demo镜像和MSAP仓库镜像） 选择镜像：选择springcloudprovidernacos.jar镜像使用1.0.0版本 完成以上信息填写后，点击下一步进入到预览页面，确认信息无误后，点击创建按钮，完成应用实例创建。 应用实例创建完成后，直接点击查看实例详情按钮，到实例详情页面。点击上方发布应用实例按钮，进入到应用发布界面。点击右下角发布按钮，进入到发布单详情界面。等待发布单完成初始化后再点击发布按钮进行应用发布。应用开始发布后，可点击应用实例发布单，查看应用发布具体信息。

Web应用防火墙对网站业务流量进行多维度检测和防护，降低数据被篡改、失窃的风险。 精准高效的威胁检测 采用规则和AI双引擎架构，默认集成最新的防护规则和优秀实践。 企业级用户策略定制，支持拦截页面自定义、多条件的CC防护策略配置、海量IP黑名单等，使网站防护更精准。 0day漏洞快速修复 专业安全团队724小时运营，实现紧急0day漏洞2小时内修复完成，帮助用户快速抵御最新威胁。 保护用户数据隐私 支持用户对攻击日志中的账号、密码等敏感信息进行脱敏。 支持PCIDSS标准的SSL安全配置。 支持TLS协议版本和加密套件的配置。

本章节主要介绍如何修复隔离主机补丁。 若集群中存在主机被隔离的情况，集群补丁安装完成后，请参见本节操作对隔离主机进行补丁修复。修复完成后，被隔离的主机节点版本将与其他未被隔离的主机节点一致。 说明 MRS3.x版本暂不支持在管理控制台执行本章节操作。 1.访问MRS Manager，详细操作请参见访问MRS Manager（MRS2.x及之前版本）。 2.选择“系统设置 > 补丁管理”，进入补丁管理页面。 3.在“操作”列表中，单击“详情”。 4.在补丁详情界面，选中“Status”是“Isolated”的主机节点。 5.单击“Select and Restore”，修复被隔离的主机节点。

删除已隔离文件 1、登录管理控制台。 2、在页面左上角选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、选择“主动防御 > 病毒查杀”，进入“病毒查杀”界面。 4、单击界面右上角“文件隔离箱”，弹出“文件隔离箱”弹窗。 5、单击文件隔离箱列表中“操作”列的“删除”，弹出“删除已隔离文件”对话框。如需批量删除已隔离文件，您可以勾选多个目标已隔离文件，并单击已隔离文件列表左上角的“删除”。 6、单击“确认”，完成删除。 说明 执行删除操作会将隔离文件彻底删除，请谨慎操作。

本节介绍了弹性云主机安全配置类问题。 弹性云主机怎么防DDoS攻击的？ 首先，我们的监控系统会在发现您的流量异常时自动启动流量清洗并建议您封闭不用的端口。同时，我们提供了防DDoS的服务（AntiDDoS服务），它可以阻止您的弹性云主机受到非法的攻击。 如何保护弹性云主机安全？ 我们提供了虚拟化防病毒（从云市场购买）、漏洞扫描服务（Vulnerability Scan Service, VSS）、主机加固与防护（从云市场购买）、AntiDDoS流量清洗、Web应用防火墙等安全产品服务；同时我们也提供了虚拟私有云服务，您可以利用安全组服务保证您网络的逻辑安全隔离。

删除已隔离文件 1、登录管理控制台。 2、在页面左上角选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、选择“主动防御 > 病毒查杀”，进入“病毒查杀”界面。 4、单击界面右上角“文件隔离箱”，弹出“文件隔离箱”弹窗。 5、单击文件隔离箱列表中“操作”列的“删除”，弹出“删除已隔离文件”对话框。如需批量删除已隔离文件，您可以勾选多个目标已隔离文件，并单击已隔离文件列表左上角的“删除”。 6、单击“确认”，完成删除。 说明 执行删除操作会将隔离文件彻底删除，请谨慎操作。

添加告警白名单后，为什么进程还是被隔离？ 告警白名单仅用于忽略告警，把当前告警事件加入告警白名单后，当再次发生相同的告警时不再进行告警。 隔离查杀恶意程序 方式一：在“安装与配置 > 安全配置 > 恶意程序隔离查杀”中，开启自动隔离查杀。 方式二：在“入侵检测 > 安全告警事件 > 主机安全告警 > 事件列表”中，将恶意程序手动隔离查杀。 隔离查杀后，该程序无法执行“读/写”操作，同时该程序的进程将被立即终止。HSS将程序或者进程的源文件加入文件隔离箱，被隔离的文件不会对主机造成威胁。 恢复隔离查杀文件 在“入侵检测 > 安全告警事件 > 已隔离文件”中，选择“主机安全告警”，单击“已隔离文件”的“查看详情”，单击目标服务器的“恢复”，恢复隔离文件。 被隔离查杀的程序恢复隔离后，文件的“读/写”权限将会恢复，但被终止的进程不会再自动启动起来。 提示主机有挖矿行为怎么办？ 当主机提示有挖矿行为时： 建议备份数据，关闭不必要的端口。 增强主机密码。 使用主机安全服务（HSS），HSS提供帐户破解防护、异地登录检测恶意程序检测、网站后门检测等入侵检测功能，以及软件漏洞、一键查杀恶意程序或修复系统漏洞等功能。

本节主要介绍构建微服务应用 典型业务应用场景 应用场景 对于传统的单体架构项目，不同的业务模式必须采取统一的技术方案及技术平台，每个业务模块也不能独立出来复用，系统中一个模块出现问题会导致整个系统不可用。随着企业业务的复杂度不断提升，传统单体架构模式越来越臃肿，难以适应灵活多变的业务需求，微服务应用可以完美解决上述问题。 价值 通过应用微服务化，企业可将一个臃肿的系统拆分成若干小的服务组件，组件之间的通讯采用轻量的协议完成，实现各组件生命周期管理的解耦。 随着业务增长，服务会遇到各种意外情况，如：瞬时大规模并发访问、服务出错、入侵等情况。使用微服务架构可以对服务做细粒度管控，支撑业务需求。 ServiceStage可承载微服务应用的全生命周期管理。支持Java、Go、Node.js、Docker、Tomcat等运行环境，可无侵入托管Apache ServiceComb Java Chassis、Spring Cloud、Dubbo、服务网格等微服务应用，另外还提供配置管理、监控运维和服务治理等更多功能，让企业微服务应用上云更简单。 优势 ServiceStage提供了业内领先的微服务应用解决方案，具有以下优势： 支持原生ServiceComb、Spring Cloud、Dubbo和Service Mesh多种微服务框架，无需更改业务代码直接托管上云。 API First，支持基于Swagger的API管理。 支持多语言微服务，如JAVA、Go、Node.js等。 提供服务中心、配置中心、仪表盘、微服务灰度发布等功能。 提供容错、限流、降级、熔断、错误注入、黑白名单等全套微服务治理策略。可针对业务场景进行界面化操作，极大提高了服务治理的可用性。 实现Spring Cloud、Java Chassis和Go Chassis之间的互相发现。 持续集成和持续交付

参数 说明 计费模式 选择计费方式，目前支持： 包年/包月 按需计费 企业项目 选择Nacos所在的项目，可在下拉框中搜索和选择需要的企业项目。 引擎名称 输入Nacos引擎的名称。 注册配置中心类型 选择“Nacos”。 说明 Nacos引擎默认多可用区部署，部署在三节点上的，可提供可用区级别容灾能力。 微服务实例数 选择需要购买的容量规格。 版本 只能创建最新版本。 网络 选择已创建的虚拟私有云及子网，可在下拉框中搜索和选择合适的虚拟私有云和子网。 虚拟私有云可以为您的引擎构建隔离的、用户自主配置和管理的虚拟网络环境。 购买时长 计费模式选择“包年/包月”时需要设置。可设置是否开通自动续费。