本章节向您主要介绍企业路由器的计费模式。 企业路由器目前支持按需计费方式。 按需计费的企业路由器实例本身不收取费用，当您在企业路由器中添加连接时，会收取连接费用、以及流经连接的流量费用。 下表为企业路由器的计费项说明。 计费项 收取该项费用的连接类型 计费说明 连接费用 “虚拟私有云（VPC）”连接 “虚拟网关（VGW）”连接 “VPN网关（VPN）”链接 当您将连接添加到企业路由器中时，会收取连接费用，连接添加成功后开始计费，连接删除后停止计费。 对于共享企业路由器内的连接，接受者创建的连接只有被企业路由器的所有者接受后，才会开始计费。 流量费用 “虚拟私有云（VPC）”连接 “虚拟网关（VGW）”连接 “VPN网关（VPN）”连接 当您将连接添加到企业路由器中时，会根据实际流经连接的流量收取费用，统计从连接发送到企业路由器的每GB流量，即入方向的流量。 “云防火墙（CFW）”连接不收取连接费用和下行流量费用。 企业路由器收取连接费用和流量费用，这些费用均由连接的创建者付费。 企业路由器共享功能，支持在同一个企业路由器中加入不同账号下的“虚拟私有云（VPC）”连接，由于连接归属不同账号，因此付费方不同，比如：账号A是企业路由器的所有者，需要承担自己创建的连接费用。当账号A将企业路由器共享给账号B，那么账号B需要为自己创建的连接付费，包括连接费用和流量费用，账号A不承担该费用。 说明 除了“虚拟私有云（VPC）”连接，其他类型的连接暂不支持添加至共享企业路由器中。 计费周期 连接费用：连接按小时计费，整点结算。 流量费用：根据实际流经连接的流量收取费用，统计从连接发送到企业路由器的每GB流量，即入方向的流量。 计费示例 假设您在2024年7月6日12:25:30创建了一个按需计费的企业路由器，在2024年7月6日12:25:30在企业路由器中添加1个“虚拟私有云（VPC）”连接，并在2024年7月7日 18:50:00删除该连接，连接的使用过程中共产生流量532GB流量。 按需计费的企业路由器实例本身不收取费用，当您在企业路由器中添加连接时，会收取连接费用、以及流经连接的流量费用。 本示例中连接费用为0.40元/小时，流量费用为0.13元/GB，故企业路由器共产生0.4×31+0.13×53281.56元。

此小节介绍Web应用防火墙产品规格。 独享模式说明 独享模式相关说明如下表所示： 项目 说明 部署方式 独享引擎 使用场景 业务服务器部署在云上。 大型企业网站，具备较大的业务规模且基于业务特性具有定制化的安全需求。 防护对象 域名 IP 优势 部署灵活 独享引擎实例资源由用户独享 可以满足大规模流量攻击场景防护需求 独享引擎实例部署在VPC内，网络链路时延低 业务规格 WAF支持的业务规格如下表所示： 业务指标 规格 正常业务请求峰值 以下数据为单实例规格： WAF实例规格选择WI500，参考性能： − HTTP业务：建议QPS 5,000；极限QPS 10,000 − HTTPS业务：建议QPS 4,000；极限QPS 8,000 − Websocket业务：支持最大并发连接5,000 − 最大回源长连接：60,000 WAF实例规格选择WI100，参考性能： − HTTP业务：建议QPS 1,000；极限QPS 2,000 − HTTPS业务：建议QPS 800；极限QPS 1,600 − Websocket业务：支持最大并发连接1,000 − 最大回源长连接：60,000 说明 极限值为实验室测试值，高敏感业务请以实际业务测试数据为准。实际QPS与业务请求数据大小、自定义防护规则种类及数量相关。 业务吞吐量（源站服务器部署在云内） WAF实例规格选择WI500，参考性能：吞吐量：500 Mbps WAF实例规格选择WI100，参考性能：吞吐量：100 Mbps 域名个数 2,000个（支持2,000个一级域名） CC攻击防护峰值 WAF实例规格选择WI500，参考性能：防护峰值：20,000QPS WAF实例规格选择WI100，参考性能：防护峰值：4,000QPS CC攻击防护规则 100条 精准访问防护规则 100条 IP黑白名单规则 100条 地理位置封禁规则 100条 网页防篡改规则 100条 防敏感信息泄露 100条 误报屏蔽规则 1000条 隐私屏蔽规则 100条 说明 域名个数为一级域名（例如，ctyun.com）、单域名/子域名（例如，www.ctyun.com）和泛域名（例如，.ctyun.com）的总数。 同一个域名对应不同端口视为不同的域名，例如www.ctyun.com:8080和www.ctyun.com:8081视为两个不同的域名，将占用两个不同的域名防护额度。 安全功能特性： 功能模板 相关文档 支持添加泛域名 网站接入WAF 非80、443标准端口防护 WAF支持的端口 批量灵活配置防护策略 配置指导 常见的Web应用攻击防护，包括XSS攻击、SQL注入、爬虫检测等 配置Web基础防护规则 云端自动更新最新0Day漏洞防护规则，及时下发0Day漏洞虚拟补丁 配置Web基础防护规则 Webshell检测 配置Web基础防护规则 CC攻击防护 配置CC攻击防护规则 精准访问防护 配置精准访问防护规则 引用表管理 创建引用表 IP黑白名单设置 配置IP黑白名单规则 支持对指定国家、省份的IP自定义访问控制 配置地理位置访问控制规则 网页防篡改 配置网页防篡改规则 基于人机识别和数据风控的动态反爬虫 配置网站反爬虫防护规则 防敏感信息泄露 配置防敏感信息泄露规则 误报屏蔽 配置误报屏蔽规则 隐私屏蔽 配置隐私屏蔽规则

本节主要介绍CCE发布Kubernetes 1.29版本 云容器引擎（CCE）严格遵循社区一致性认证，现已支持创建Kubernetes 1.29集群。本文介绍Kubernetes 1.29版本的变更说明。 新增特性及特性增强 Service的负载均衡IP模式（Alpha） 在Kubernetes1.29版本，Service的负载均衡IP模式以Alpha版本正式发布。其在Service的status中新增字段ipMode，用于配置集群内Service到Pod的流量转发模式。当设置为VIP时，目的地址为负载均衡IP和端口的流量将由kubeproxy重定向到目标节点，当设置为Proxy时，流量将被发送到负载均衡器，然后由负载均衡器转发到目标节点。这项特性将有助于解决流量绕过负载均衡器缩导致的负载均衡器功能缺失问题。 NFTables代理模式（Alpha） 在Kubernetes1.29版本，NFTables代理模式以Alpha版本正式发布。该特性允许kubeproxy运行在NFTables模式，在该模式下，kubeproxy使用内核netfilters子系统的nftables API来配置数据包转发规则。 未使用容器镜像的垃圾收集（Alpha） 在Kubernetes1.29版本，未使用容器镜像的垃圾收集以Alpha版本正式发布。该特性允许用户为每个节点配置本地镜像未被使用的最长时间，超过这个时间镜像将被垃圾回收。配置方法为使用kubelet配置文件中的ImageMaximumGCAge字段。 PodLifecycleSleepAction（Alpha） 在Kubernetes1.29版本，PodLifecycleSleepAction以Alpha版本正式发布。该特性在容器生命周期回调中引入了Sleep回调程序，可以配置让容器在启动后和停止前暂停一段指定的时间。 KubeletSeparateDiskGC（Alpha） 在Kubernetes1.29版本，KubeletSeparateDiskGC以Alpha版本正式发布。该特性启用后，即使在容器镜像和容器位于独立文件系统的情况下，也能进行垃圾回收。 matchLabelKeys/mismatchLabelKeys（Alpha） 在Kubernetes1.29版本，matchLabelKeys/mismatchLabelKeys以Alpha版本正式发布。该特性启用后，在Pod的亲和/反亲和配置中新增了matchLabelKeys/mismatchLabelKeys字段，可配置更丰富的Pod间亲和/反亲和策略。 clusterTrustBundle投射卷（Alpha） 在Kubernetes1.29版本，clusterTrustBundle投射卷以Alpha版本正式发布。该特性启用后，支持将ClusterTrustBundle对象以自动更新的文件的形式注入卷。 基于运行时类的镜像拉取（Alpha） 在Kubernetes1.29版本中，基于运行时类的镜像拉取以Alpha版本正式发布。该特性启用后， kubelet 会通过一个元组（镜像名称，运行时处理程序）而不仅仅是镜像名称或镜像摘要来引用容器镜像。 您的容器运行时可能会根据选定的运行时处理程序调整其行为。基于运行时类来拉取镜像对于基于VM的容器会有帮助。 PodReadyToStartContainers状况达到Beta 在Kubernetes1.29版本，PodReadyToStartContainers状况特性达到Beta版本。其在Pod的status中新增了一个名为PodReadyToStartContainers的Condition，该Condition为true表示Pod的沙箱已就绪，可以开始创建业务容器。该特性使得集群管理员可以更清晰和全面地查看 Pod 沙箱的创建完成和容器的就绪状态，增强了指标监控和故障排查能力。 Job相关特性 Pod更换策略达到Beta 在Kubernetes1.29版本，Pod更换策略特性达到Beta版本。该特性确保只有Pod达到Failed阶段（status.phase: Failed）才会被替换，而不是当删除时间戳不为空时，Pod仍处于删除过程中就重建Pod，以此避免出现2个Pod同时占用索引和节点资源。 逐索引的回退限制达到Beta 在Kubernetes1.29版本，逐索引的回退限制特性达到Beta版本。默认情况下，带索引的 Job（Indexed Job）的 Pod 失败情况会被统计下来，受 .spec.backoffLimit 字段所设置的全局重试次数限制。这意味着，如果存在某个索引值的 Pod 一直持续失败，则会 Pod 会被重新启动，直到重试次数达到限制值。 一旦达到限制值，整个 Job 将被标记为失败，并且对应某些索引的 Pod 甚至可能从不曾被启动。该特性可以在某些索引值的 Pod 失败的情况下，仍完成执行所有索引值的 Pod，并且通过避免对持续失败的、特定索引值的Pod进行不必要的重试，更好的利用计算资源。 原生边车容器达到Beta 在Kubernetes1.29版本，原生边车容器特性达到Beta版本。其在initContainers中新增了restartPolicy字段，当配置为Always时表示启用边车容器。边车容器和业务容器部署在同一个Pod中，但并不会延长Pod的生命周期。边车容器常用于网络代理、日志收集等场景。 传统ServiceAccount令牌清理器达到Beta 在Kubernetes1.29版本，传统ServiceAccount令牌清理器特性达到Beta版本。其作为kubecontrollermanager的一部分运行，每24小时检查一次，查看是否有任何自动生成的传统ServiceAccount令牌在特定时间段内（默认为一年，通过legacyserviceaccounttokencleanupperiod指定）未被使用。如果有的话，清理器会将这些令牌标记为无效，并添加kubernetes.io/legacytokeninvalidsince标签，其值为当前日期。如果一个无效的令牌在特定时间段（默认为1年，通过legacyserviceaccounttokencleanupperiod指定）内未被使用，清理器将会删除它。 DevicePluginCDIDevices达到Beta 在Kubernetes1.29版本，DevicePluginCDIDevices特性达到Beta版本。该特性在DeviceRunContainerOptions增加CDIDevices字段，使得设备插件开发者可以直接将CDI设备名称传递给支持CDI的容器运行时。 PodHostIPs达到Beta 在Kubernetes1.29版本中，PodHostIPs特性达到Beta版本。该特性在Pod和downward API的Status中增加hostIPs字段，用于将节点IP地址暴露给工作负载。该字段是hostIP的双栈协议版本，第一个IP始终与hostIP相同。 API优先级和公平性达到GA 在Kubernetes1.29版本，API优先级和公平性（APF）特性达到GA版本。APF以更细粒度的方式对请求进行分类和隔离，提升最大并发限制，并且它还引入了空间有限的排队机制，因此在非常短暂的突发情况下，API 服务器不会拒绝任何请求。 通过使用公平排队技术从队列中分发请求，这样，一个行为不佳的控制器就不会导致其他控制器异常 （即使优先级相同）。 APIListChunking达到GA 在Kubernetes1.29版本，APIListChunking特性达到GA版本。该特性允许客户端在List请求中进行分页，避免一次性返回过多数据而导致的性能问题。 ServiceNodePortStaticSubrange达到GA 在Kubernetes1.29版本，ServiceNodePortStaticSubrange特性达到GA版本。该特性kubelet会根据Nodeport范围计算出预留地址大小，并将Nodeport划分为静态段和动态段。在Nodeport自动分配时，优先分配在动态段，这有助于减小指定静态段分配时的端口冲突。 PersistentVolume的阶段转换时间戳达到Beta 在Kubernetes1.29版本，PersistentVolume的阶段转换时间戳特性达到Beta版本。该特性在PV的status中添加了一个lastPhaseTransitionTime字段，表示PV上一次phase变化的时间。通过该字段，集群管理员可以跟踪PV上次转换到不同阶段的时间，从而实现更高效、更明智的资源管理。 ReadWriteOncePod达到GA 在Kubernetes1.29版本中，ReadWriteOncePod特性达到GA版本。该特性允许用户在PVC中配置访问模式为ReadWriteOncePod，确保同时只有一个 Pod能够修改存储中的数据，以防止数据冲突或损坏。 CSINodeExpandSecret达到GA 在Kubernetes1.29版本中，CSINodeExpandSecret特性达到GA版本。该特性允许在添加节点时将Secret身份验证数据传递到CSI驱动以供后者使用。 CRD验证表达式语言达到GA 在Kubernetes1.29版本中，CRD验证表达式语言特性达到GA版本。该特性允许用户在CRD中使用通用表达式语言（CEL）定义校验规则，相比webhook更加高效。

本节介绍了权限管理的相关内容。 如果您需要对的RDS资源，为企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，您可以使用统一身份认证服务（Identity and Access Management，简称IAM）进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全的控制资源的访问。 通过IAM，您可以在账号中给员工创建IAM用户，并授权控制他们对资源的访问范围。例如您的员工中有负责软件开发的人员，您希望开发人员拥有RDS的使用权限，但是不希望他们拥有删除RDS等高危操作的权限，那么您可以使用IAM为开发人员创建用户，通过授予仅能使用RDS，但是不允许删除RDS的权限，控制他们对RDS资源的使用范围。 如果账号已经能满足您的要求，不需要创建独立的IAM用户进行权限管理，您可以跳过本章节，不影响您使用RDS服务的其它功能。 IAM是提供权限管理的基础服务，无需付费即可使用，您只需要为您账号中的资源进行付费。 RDS权限 RDS部署时通过物理区域划分，为项目级服务。授权时，“作用范围”需要选择“区域级项目”，然后在指定区域对应的项目中设置相关权限，并且该权限仅对此项目生效；如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问RDS时，需要先切换至授权区域。 根据授权精细程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。 如下表所示，包括了RDS的所有系统权限。 表 RDS系统策略 策略名称/系统角色 描述 类别 依赖关系 RDS FullAccess 关系型数据库服务所有权限。 系统策略 无。 如果要使用存储空间自动扩容功能，IAM子账号需要添加如下授权项： iam:agencies:listAgencies iam:agencies:createAgency iam:permissions:listRolesForAgencyOnProject iam:permissions:grantRoleToGroupOnProject iam:permissions:grantRoleToAgencyOnProject iam:roles:listRoles iam:roles:createRole RDS ReadOnlyAccess 关系型数据库服务资源只读权限。 系统策略 无。 RDS ManageAccess 关系型数据库服务除删除操作外的DBA权限。 系统策略 无。 RDS Administrator 关系型数据库服务管理员。 系统角色 依赖Tenant Guest和Server Administrator角色，在同项目中勾选依赖的角色。 下表列出了RDS常用操作与系统权限的授权关系，您可以参照该表选择合适的系统权限。 表 常用操作与系统权限的关系 操作 RDS FullAccess RDS ReadOnlyAccess RDS ManageAccess RDS Administrator 创建RDS实例 √ x √ √ 删除RDS实例 √ x x √ 查询RDS实例列表 √ √ √ √ 表 常用操作与对应授权项 操作名称 授权项 备注 创建数据库实例 rds:instance:create rds:param:list 界面选择VPC、子网、安全组需要配置： vpc:vpcs:list vpc:vpcs:get vpc:subnets:get vpc:securityGroups:get vpc:securityGroupRules:get 创建加密实例需要在项目上配置KMS Administrator权限。 变更数据库实例的规格 rds:instance:modifySpec 无。 扩容数据库实例的磁盘空间 rds:instance:extendSpace 无。 单机转主备实例 rds:instance:singleToHa 若原单实例为加密实例，需要在项目上配置KMS Administrator权限。 重启数据库实例 rds:instance:restart 无。 删除数据库实例 rds:instance:delete 无。 查询数据库实例列表 rds:instance:list 无。 实例详情 rds:instance:list 实例详情界面展示VPC、子网、安全组，需要对应配置vpc::get和vpc::list。 修改数据库实例密码 rds:password:update 无。 修改端口 rds:instance:modifyPort 无。 修改内网IP rds:instance:modifyIp 界面查询剩余IP列表需要： vpc:subnets:get vpc:ports:get 修改实例名称 rds:instance:modify 无。 修改运维时间窗 rds:instance:modify 无。 手动主备倒换 rds:instance:switchover 无。 修改同步模式 rds:instance:modifySynchronizeModel 无。 切换策略 rds:instance:modifyStrategy 无。 修改实例安全组 rds:instance:modifySecurityGroup 无。 绑定/解绑公网IP rds:instance:modifyPublicAccess 界面列出公网IP需要： vpc:publicIps:get vpc:publicIps:list 设置回收站策略 rds:instance:setRecycleBin 无。 查询回收站 rds:instance:list 无。 开启、关闭SSL rds:instance:modifySSL 无。 开启、关闭事件定时器 rds:instance:modifyEvent 无。 读写分离操作 rds:instance:modifyProxy 无。 申请内网域名 rds:instance:createDns 无。 备机可用区迁移 rds:instance:create 备机迁移涉及租户子网下的IP操作，若为加密实例，需要在项目上配置KMS Administrator权限。 表级时间点恢复 rds:instance:tableRestore 无。 透明数据加密（Transparent Data Encryption，TDE）权限 rds:instance:tde 仅用于RDS for SQL Server数据库实例。 修改主机权限 rds:instance:modifyHost 无。 查询对应账号下的主机 rds:instance:list 无。 获取参数模板列表 rds:param:list 无。 创建参数模板 rds:param:create 无。 修改参数模板参数 rds:param:modify 无。 应用参数模板 rds:param:apply 无。 修改指定实例的参数 rds:param:modify 无。 获取指定实例的参数模板 rds:param:list 无。 获取指定参数模板的参数 rds:param:list 无。 删除参数模板 rds:param:delete 无。 重置参数模板 rds:param:reset 无。 对比参数模板 rds:param:list 无。 保存参数模板 rds:param:save 无。 查询参数模板类型 rds:param:list 无。 设置自动备份策略 rds:instance:modifyBackupPolicy 无。 查询自动备份策略 rds:instance:list 无。 创建手动备份 rds:backup:create 无。 获取备份列表 rds:backup:list 无。 获取备份下载链接 rds:backup:download 无。 删除手动备份 rds:backup:delete 无。 复制备份 rds:backup:create 无。 查询可恢复时间段 rds:instance:list 无。 恢复到新实例 rds:instance:create 界面选择VPC、子网、安全组需要配置： vpc:vpcs:list vpc:vpcs:get vpc:subnets:get vpc:securityGroups:get vpc:securityGroupRules:get 恢复到已有或当前实例 rds:instance:restoreInPlace 无。 获取实例Binlog清理策略 rds:binlog:get 无。 合并Binlog文件 rds:binlog:merge 无。 下载Binlog文件 rds:binlog:download 无。 删除Binlog文件 rds:binlog:delete 无。 设置Binlog清理策略 rds:binlog:setPolicy 无。 获取数据库备份文件列表 rds:backup:list 无。 获取历史数据库列表 rds:backup:list 无。 查询数据库错误日志 rds:log:list 无。 查询数据库慢日志 rds:log:list 无。 下载数据库错误日志 rds:log:download 无。 下载数据库慢日志 rds:log:download 无。 开启、关闭审计日志 rds:auditlog:operate 无。 获取审计日志列表 rds:auditlog:list 无。 查询审计日志策略 rds:auditlog:list 无。 生成审计日志下载链接 rds:auditlog:download 无。 获取主备切换日志 rds:log:list 无。 创建数据库 rds:database:create 无。 查询数据库列表 rds:database:list 无。 查询指定用户的已授权数据库 rds:database:list 无。 删除数据库 rds:database:drop 无。 创建数据库账户 rds:databaseUser:create 无。 查询数据库账户列表 rds:databaseUser:list 无。 查询指定数据库的已授权账户 rds:databaseUser:list 无。 删除数据库账户 rds:databaseUser:drop 无。 授权数据库账户 rds:databasePrivilege:grant 无。 解除数据库账户权限 rds:databasePrivilege:revoke 无。 任务中心列表 rds:task:list 无。 删除任务中心任务 rds:task:delete 无。

本章节介绍如何新建云原生网关 概述 MSE云原生网关同时具备传统的流量网关和业务网关功能，提供全局性和独立业务域级别的流量管理策略，支持Nacos和K8s等多种服务发现方式，本文介绍如何新建云原生网关。 操作步骤 1. 进入微服务引擎MSE控制台 2. 在顶部菜单栏选择资源池 3. 单击左侧导航栏云原生网关 > 网关列表 4. 单击网关列表页面左上角创建网关按钮 5. 在云原生网关订购页选择您要订购的配置，并单击右下角下一步按钮 云原生网关订购配置说明 参数 描述 计费模式 支持包年包月和按需计费方式，费用说明请参照购买指南>计费说明。 购买时长 可以根据实际需求进行选择，支持1个月、2个月、3个月、4个月、5个月、6个月、1年。 自动续期 您可以选择开启自动续期，避免云原生网关到期后无法使用。 自动续期购买时长 当开启自动续期，可以选择续期时长，支持1个月、2个月、3个月、4个月、5个月、6个月、1年。 系列 支持基础版和集群版。 基础版：只支持单可用区部署，且节点数量为1。 集群版：自动将控制节点以及工作节点平均分配部署至各可用区，且节点数量不少于2。 实例规格 架构支持X86（通用、海光）、ARM（通用、鲲鹏、飞腾），具体以当前资源池提供的选项为准。 实例规格支持2C4G 、4C8G 、8C16G 、16C32G规格，规格支撑能力说明请参照产品规格。 数据盘 支持超高IO ，最低大小50G，可根据实际需求自定义填写，填写值必须为50的倍数。 节点数量 基础版固定1个节点，无需填写；集群版您可以根据实际需求填写节点数量，节点数量不少于2。 部署方式 用户无需修改，基础版固定选中单可用区部署。 集群版时，如果当前资源池支持多可用区且节点数量大于2时，则默认为多可用区部署，单可用区部署置灰，否则为单可用区部署。 可用区 基础版需要选择任意一个可用区进行部署。 集群版会自动将控制节点以及工作节点平均分配部署至各可用区。 虚拟私有云 选择虚拟私有云，若您还没有虚拟私有云，请参照创建虚拟私有云。 所在子网 选择所在子网，若您还没有所在子网，请参照创建所在子网。 安全组 选择安全组，若您还没有可用安全组，请参照创建安全组。 实例名称 自定义实例名称，最长40字符，只能包含小写字母、数字及分隔符()，且必须以小写字母开头，数字或小写字母结尾。 企业项目 网关实例关联的企业项目，可以到IAM控制台创建企业项目。 启用监控指标 启用后，可在控制台观测分析中查看系统和API的流量、成功率、延迟等监控指标，若您还没有开通应用性能监控产品，可先点击提示链接前往开通。 启用链路追踪 可选择采集百分比启用，启用后，可在控制台观测分析中查看API请求的链路追踪信息，若您还没有开通应用性能监控产品，可先点击提示链接前往开通。 启用访问日志采集 启用后，可在控制台观测分析中查看访问日志，若您还没有开通云日志服务，可先点击提示链接前往开通。

本节介绍了分布式消息服务RabbitMQ产品实例如何购买。 实例介绍 RabbitMQ实例订购支持用户自定义规格和自定义特性，采用物理隔离的方式部署。租户独占RabbitMQ实例，可根据业务需要可定制相应规格的RabbitMQ实例。在新的资源池节点上，还支持选择主机类型和存储规格等丰富用户选项。 操作步骤 1. 登录管理控制台。 2. 进入RabbitMQ管理控制台。 3. 在管理控制台右上角单击“地域名称”，选择区域。此处请选择与您的应用服务相同的区域。 4. 点击“购买实例”跳转到购买页面，根据页面订购说明进行产品开通。 5. 下载安装工具Eclipse3.6.0以上上版本或者IntelliJ，JDK 1.8.111以上版本。 实例规格选择说明 以下规格选型适用于6个节点： 芜湖2、南京3、上海7、福州25、重庆2、北京5。 此6个节点可以选择普通版和高级版。 存储空间说明：目前基础版和高级版规格如下： 产品类型 产品规格 高级版本 三节点 8核16GB lvs节点 4核8GB总磁盘范围 300GB – 6000GB 基础版本 三节点 4核8G lvs节点 4核8GB总磁盘范围 300GB – 6000GB 在集群模式中，RabbitMQ需要对消息持久化写入到磁盘中，因为，您在创建RabbitMQ实例选择存储空间时，建议根据业务消息体积预估以及镜像队列副本数量选择合适的存储空间。镜像队列副本数最大为集群的节点数，目前都是3。 例如：业务消息体积预估100GB，则磁盘容量最少应为100GB3 + 预留磁盘大小100GB。 （1）选择计费模式：包年包月/按需计费，两种模式说明参见计费模式。 （2）区域默认为当前资源池，页面左上角切换区域。 （3）选择类型，用户可选高级版和基础版两个版本。其中高级版规格为8核16GB，适用于大型应用系统。基础版规格为4核8GB，适用于中、小型企业应用。 （4）服务节点数出于高可用考虑，默认3个。 （5）选择主机类型，包括2系列、3系列和6系列。主机类型详细内容请参见弹性云主机规格。 （6）选择存储空间，包括磁盘类型和空间。 磁盘类型默认提供普通IO。普通IO适用于大容量、读写速率中等、事务性处理较少的应用场景。了解更多磁盘类型说明参见云硬盘规格。 磁盘空间以300G起步，可以以100倍数增加磁盘空间。 （7）填写实例名称，长度在 4 到 64个字符，必须以字母开头，不区分大小写，可以包含字母、数字、中划线或下划线，不能包含其他特殊字符。 （8）选择已有虚拟私有云，若无虚拟私有云，点击创建跳转到虚拟私有云页面新增，了解更多内容参见虚拟私有云。 （9）选择已有子网，若无子网，点击创建跳转到子网页面新增。 （10）选择已有安全组，若无安全组，点击创建跳转到安全组页面新增。 （11）选择购买时长，拖动选择112个月。 （12）勾选自动续订。按月购买：自动续订周期为1个月；按年购买：自动续订周期为1年。 （13）填写购买数量，单次最多可批量申请5个分布式消息服务。 以下规格选型适用于华东1、华北2、西南1、华南2、上海36、青岛20、长沙42、南昌5、武汉41、杭州7、西南2贵州、太原4、郑州5、西安7、呼和浩特3 节点。 这些节点可选择通用型和计算增强型，具体情况如下： 主机类型 节点数（个） 实例规格 存储IO 存储空间GB 通用型 可选节点数：3/5/7/9 可选规格： 4核 8GB 8核 16GB 16核 32GB 可选IO规格： 普通IO（SATA） 高IO（SAS） 超高IO（SSD） 单节点10010000 计算增强型 可选节点数：3/5/7/9 可选规格： 4核 8GB 8核 16GB 16核 32GB 可选IO规格： 普通IO（SATA） 高IO（SAS） 超高IO（SSD） 单节点10010000 节点可选择3节点、5节点、7节点、9节点，实例规格可选择4C8G、8C16G、16C32G。 存储类型可选择普通IO（SATA）、高IO（SAS）、超高IO（SSD）。 （1）填写实例名称，长度在 4 到 64个字符，必须以字母开头，不区分大小写，可以包含字母、数字、中划线或下划线，不能包含其他特殊字符。 （2）选择引擎类型，默认选择云原生引擎，海量消息堆积能力，支持更多连接和队列数，稳定性高。也可选择rabbitmq引擎，完全支持开源RabbitMQ生态，功能完备。 （3）选择计费模式：包年包月/按需计费，两种模式说明参见计费模式。 （4）购买时长按照计费模式选择变化： 计费模式为包年包月，可选择购买时长16个月、13年。该模式提供自动续期功能，勾选后可以自动续期购买时长：16个月、13年。 计费模式为按需计费，则该选项隐藏无需选择。 （5）部署方式有单可用区和多可用区两个选项，目前仅支持单可用区和3可用区部署,单可用区部署请选中任意一个AZ；多可用区部署请选中3个AZ，系统会自动将Broker节点平均分配至各可用区。 （6）设置节点数，可选择3/5/7/9。RabbitMQ 的节点数是指 RabbitMQ 集群中的节点数量。在 RabbitMQ 集群中，可以有多个节点组成一个集群，每个节点都是一个独立的 RabbitMQ 服务器实例。 （7）下拉选择主机类型，可选择通用型和计算增强型。通用型云主机共享宿主机的CPU资源，主要提供基本水平的vCPU性能、平衡的计算、内存和网络资源，具有较高性价比，支持通用的业务运行。计算增强型云主机独享宿主机的CPU资源，实例间无CPU争抢，并且没有进行资源超配，同时搭载全新网络加速引擎，实现接近物理服务器的强劲稳定性能。 （8）选择实例规格，分布式消息服务RabbitMQ提供通用型和计算增强型各3类规格，各规格详细说明参见弹性云主机规格。 （9）选择存储空间，包括磁盘类型和空间。 磁盘类型提供高IO/普通IO/超高IO三类。普通IO适用于大容量、读写速率中等、事务性处理较少的应用场景。高IO：适用于主流的高性能、高可靠应用场景。超高IO：适用于超高IOPS、超大带宽需求的读写密集型应用场景。了解更多磁盘类型说明参见云硬盘规格。 磁盘空间以100G起步，可以以100倍数增加磁盘空间。 （10）选择已有虚拟私有云，若无虚拟私有云，点击创建跳转到虚拟私有云页面新增，了解更多内容参见虚拟私有云。 （11）选择已有子网，若无子网，点击创建跳转到子网页面新增。 （12）选择已有安全组，若无安全组，点击创建跳转到安全组页面新增。

本节介绍了SSH密钥方式登录的操作场景、前提条件、本地使用Windows操作系统登录流程、本地使用Linux操作系统登录流程、后续处理。 操作场景 本节操作介绍在Windows和Linux环境中使用SSH密钥对方式远程登录Linux云主机的操作步骤。 前提条件 已获取创建该弹性云主机时使用的密钥对私钥文件。 弹性云主机已经绑定弹性IP，绑定方式请参见查看弹性云主机详细信息。 已配置安全组入方向的访问规则，配置方式请参见 配置安全组规则。 使用的登录工具（如PuTTY）与待登录的弹性云主机之间网络连通。例如，默认的22端口没有被防火墙屏蔽。 本地使用Windows操作系统 如果您本地使用Windows操作系统登录Linux弹性云主机，可以按照下面方式登录弹性云主机。 方式一：使用PuTTY登录 我们以PuTTY为例介绍如何登录弹性云主机。使用PuTTY登录弹性云主机前，需要先将私钥文件转化为.ppk格式。 1. 判断私钥文件是否为.ppk格式。 − 是，执行7。 − 否，执行2。 2. 在以下路径中下载PuTTY和PuTTYgen。 说明 PuTTYgen是密钥生成器，用于创建密钥对，生成一对公钥和私钥供PuTTY使用。 3. 运行PuTTYgen。 4. 在“Actions”区域，单击“Load”，并导入创建弹性云主机时保存的私钥文件。导入时注意确保导入的格式要求为“All files ( . )”。 5. 单击“Save private key”。 6. 保存转化后的私钥到本地。例如：kp123.ppk 7. 双击“PUTTY.EXE”，打开“PuTTY Configuration”。 8. 单击“Session”，在“Host Name (or IP address)”下的输入框中输入弹性云主机的弹性IP。 图 配置弹性IP 9. 选择“Connection > data”，在Autologin username处输入镜像的用户名。 说明 使用“SSH密钥方式”登录弹性云主机时： 如果是“CoreOS”的公共镜像，镜像的用户名为“core”。 如果是“非CoreOS”的公共镜像，镜像的用户名为“root”。 10. 选择“Connection > SSH > Auth”，在最下面一个配置项“Private key file for authentication”中，单击“Browse”，选择6转化的密钥。 11. 单击“Open”。 登录弹性云主机。 方式二：使用Xshell登录 1. 打开Xshell工具。 2. 通过弹性IP，执行以下命令，SSH远程连接弹性云主机。 ssh 用户名@弹性IP 说明 使用“SSH密钥方式”登录弹性云主机时： 如果是“CoreOS”的公共镜像，镜像的用户名为“core”。 如果是“非CoreOS”的公共镜像，镜像的用户名为“root”。 3. （可选）如果系统弹窗提示“SSH安全警告”，此时需单击“接受并保存”。 图 SSH安全警告 4. 选择“Public Key”，并单击“用户密钥(K)”栏的“浏览”。 5. 在“用户密钥”窗口中，单击“导入”。 6. 选择本地保存的密钥文件，并点击“打开”。 7. 单击“确定”，登录弹性云主机。

本小节介绍服务器安全卫士操作类常见问题。 订购后如何部署？ 购买成功后，进入控制中心“服务器安全卫士”界面，点击“控制台”，进入控制台后，在通用功能系统设置Agent安装界面，根据页面提示安装Agent即可。 安全卫士是否支持双因子认证？ 服务器安全卫士不支持双因子，因为服务器安全卫士本身是通过登录天翼云账号跳转，直接登录的服务器安全卫士控制台，服务器安全卫士本身并没有账号，所以不支持双因子认证。 如何接收监测报告？ 服务器安全卫士支持以邮件的方式将报告发给客户指定邮箱（首次登录服务器安全卫士时控制台需要填写邮箱）。客户可在服务器安全卫士消息中心——消息接收配置界面，配置是否接收报告，也可添加接收人。 如何接收实时告警？ 服务器安全卫士支持邮件、短信、站内信方式将告警实时告知客户，客户需要在首次登录服务器安全卫士控制台时填入接收的邮箱和手机号，也可以在服务器安全卫士消息中心——消息接收配置界面，配置接收通知的消息类型、接收方式和接收人。 Windows客户端Agent安装失败？ 现象1： 安装时输出“http error code 28” 解决方案： 1. 检查与服务端的网络是否正常连通，测试方法：把安装URL填到浏览器，看看能否正常连接加载内容 2. 检查客户是否配置防火墙进行了拦截 3. 检查客户环境是否有WAF进行了拦截操作 现象2： 安装Windows Agent报NSIS错误。 解决方案： 客户系统是Windows英文版系统，存放安装包的目录带有中文，打开安装包就报错。将安装包移到纯英文目录下就可以正常安装。 现象3： 检查sys.log发现 Can't modify service config 3 解决方案： 是由于客户操作系统环境注册表写入问题，需要排查是否是禁用注册表写入或是杀毒拦截等原因。 现象4： 安装提示Error Launching installer 解决方案： 把安装程序放置到纯英文目录尝试再次安装。 现象5： 安装时提示错误：抽取，无法写入文件 解决方案：查看C盘磁盘是否已经满了，如果满了，清理一下磁盘 现象6： Windows服务器安装Agent报错下载文件失败 如下图： telnet server 所有端口都是通的，但是访问 telnet成功后按ctrl+c结束时会有400返回。 原因： 客户Windows服务器设置了网络代理，查看方式为打开IE浏览器，选择“设置 > Internet选项 > 连接 > 局域网设置”，如下图 ： 解决办法： 打开IE浏览器，选择“设置 > Internet选项 > 连接 > 局域网设置 > 高级”，在“对于下列字符开头的地址不使用代理服务器”中填写： ip;server ip，如下图： 完成配置后重新打开cmd执行安装命令。 现象7： Windows安装Agent时报错“文件或目录损坏且无法读取” 解决方案： 确认发现是客户使用账号没有权限写C盘目录，使用管理员权限问题解决。

配置云主机并创建Linux系统盘镜像 操作场景 安装完操作系统后的临时云主机需要进行相关配置，并安装原生的XEN和KVM驱动，才能保证后续创建的云主机正常使用。 该任务指导用户完成Linux云主机的相关配置与驱动安装，从而创建为Linux系统盘镜像。 操作步骤 1、配置云主机。 a.配置网络 检查云主机的私有IP是否和控制台显示的私有IP一致（可以通过ifconfig查看）。如果不一致，请参考“清理网络规则文件”清理网络规则文件。 检查网卡属性是否为DHCP。如果云主机网络配置为静态IP地址，请参考“设置网卡属性为DHCP”修改为DHCP方式。 检查SSH服务是否为开启状态（可以通过service sshd status查看）。如果未开启，请执行service sshd start。请确保您的云主机防火墙（例如：Linux iptables）允许访问SSH。 b.安装驱动 为了保证镜像创建的新云主机的网络性能以及基本功能正常，必须在创建镜像时使用的云主机中安装原生XEN和KVM驱动。在安装原生XEN和KVM驱动前，需要先卸载PV driver。 说明： 建议您禁用任何防病毒软件或入侵检测软件，安装原生的XEN和KVM驱动完成后，您可以再次启用这些软件。 卸载PV driver，请参考“在Linux系统中卸载PV driver”。 安装原生的XEN和KVM驱动，请参考“安装原生的XEN和KVM驱动”。 驱动安装完成后需要清除日志文件、历史记录等，请参考“清除系统日志”。 c.配置文件系统 修改grub文件的磁盘标识方式为UUID，请参考“修改grub文件磁盘标识方式为UUID”。 修改fstab文件的磁盘标识方式为UUID，请参考“修改fstab文件磁盘标识方式为UUID”。 清除“/etc/fstab”中非系统盘的自动挂载信息，避免对后续挂载数据盘可能带来影响。请参考“卸载云主机的数据盘”。 d.（可选）配置增值功能 安装并配置CloudInit，请参考“安装CloudInit工具”和“配置CloudInit工具”。 开启网卡多队列，请参考“如何设置镜像的网卡多队列属性？”。 配置IPv6地址，请参考“如何开启云主机动态获取IPv6？”。 2、创建Linux系统盘镜像。 具体操作请参考通过云主机创建Linux系统盘镜像。

本节为您介绍如何在本机使用远程登录工具MSTSC登录Windows弹性云主机。 操作场景 本节为您介绍如何在本机使用远程登录工具MSTSC登录Windows弹性云主机。 前提条件 弹性云主机状态为“运行中”。 如果弹性云主机采用密钥方式鉴权，已获取Windows弹性云主机的密码，获取方式请参见获取Windows弹性云主机的密码。 弹性云主机已经绑定弹性IP，绑定方式请参见绑定弹性公网IP。 所在安全组入方向已开放3389端口，配置方式请参见配置安全组规则。 使用的登录工具与待登录的弹性云主机之间网络连通。例如，默认的3389端口没有被防火墙屏蔽。 弹性云主机开启远程桌面协议RDP（Remote Desktop Protocol）。使用公共镜像创建的弹性云主机默认已打开RDP。打开RDP方法请参考开启远程桌面协议RDP。 使用MSTSC方式登录Windows弹性云主机 本地主机为Windows操作系统，那么可以使用Windows自带的远程桌面连接工具MSTSC登录Windows云主机。 1. 在本地主机单击“开始”菜单。 2. 在“搜索程序和文件”中，输入“mstsc”，单击mstsc打开远程桌面连接工具。 3. 在“远程桌面连接”的对话框中，单击“选项”。 图 显示选项 4. 输入待登录的云主机的弹性IP和用户名，默认为Administrator。 说明 如需再次登录时不再重复输入用户名和密码，可勾选“允许我保存凭据”。 图 远程桌面连接 5. （可选）如需在远程会话中使用本地主机的资源，请单击“本地资源”选项卡完成如下配置。 如需从本地主机复制到云主机中，请勾选“剪贴板”。 图 勾选剪贴板 如需从本地主机复制文件到云主机中，单击“详细信息”，勾选相应的磁盘。 图 勾选驱动器 6. （可选）如需调整远程桌面窗口的大小，可以选择“显示”选项卡，再调整窗口大小。 图 调整窗口大小 7. 单击“确定”，根据提示输入密码，登录云主机。 为安全起见，首次登录云主机，需更改密码。 8. （可选）通过远程桌面连接（Remote Desktop Protocol, RDP）方式登录云主机后，如果需要使用RDP提供的“剪切板”功能，将本地的大文件（文件大小超过2GB）复制粘贴至远端的Windows云主机中，由于Windows系统的限制，会导致操作失败。 具体的解决方法，请参考使用远程桌面链接方式复制文件。

梳理项 说明 操作建议 网站和业务信息 网站或应用业务每天的流量带宽峰值情况，包括Mbps 根据日常业务高峰判定风险时间段 若有接入CDN可从CDN流量分析统计获取相应业务数据，作为DDoS高防（边缘云版）的业务带宽评估和购买套餐的选择依据。 业务的主要受众群体（如访问用户的主要地理区域信息） 判断非法攻击来源。 方便根据地理区域信息配置防护策略。 源站是否部署在非中国内地地域 判断业务实例是否符合最佳网络架构。 可在后续选择资源池防护时提供指导依据。 请求协议（如HTTPS） 无 若业务使用HTTPS协议需要上传证书。 业务端口 判断源站使用的端口是否在DDoS支持的范围内 无。 业务是否需要支持IPv6协议 根据源站服务器网络架构及业务开通情况判断是否需要支持IPv6 如果您的业务需要支持IPv6协议，可在域名接入配置中选择开启IPv6支持。 源站服务器的操作系统及所使用的Web服务中间件（Nginx、IIS等） 判断源站服务器是否存在防火墙ACL访问控制策略，避免源站误拦截DDoS高防（边缘云版）回源IP转发的流量。 如果有，需要在源站上设置放行DDoS高防（边缘云版）的回源IP。 业务是否存在空连接 例如，服务器主动发送数据包防止会话中断这类情况接入DDoS高防（边缘云版）后可能影响正常业务。 无。 业务交互过程 了解业务交互过程及其处理逻辑，以便后续配置针对性防护策略。 无。 业务及攻击情况 业务类型及业务特征（例如，游戏、棋牌、网站、App等业务） 便于在后续攻防过程中分析攻击特征。 无。 业务流量（入方向） 帮助后续判断是否包含恶意流量。 无。 业务流量（出方向） 帮助后续判断是否遭受攻击，并且作为是否需要额外业务带宽扩展的参考依据。 无。 单IP的入方向流量范围和连接情况 帮助后续判断是否可针对单个IP制定限速策略。 业务是否遭受过大流量攻击及攻击类型 根据历史遭受的攻击类型，设置针对性的DDoS防护策略。 无。 业务遭受过最大的攻击流量峰值 根据攻击流量峰值判断DDoS高防（边缘云版）功能规格的选择。 无。 业务是否遭受过CC攻击及最大攻击峰值 通过分析历史攻击特征，配置CC防御策略。 更多信息可参见 业务是否提供API接口服务 无。 提供信息为配置访问策略作为指导依据。 业务是否已完成压力测试 评估源站服务器的请求处理性能，作为后续业务异常判断条件之一。 无。

本章主要介绍 步骤五：构建应用 编译构建服务提供配置简单的混合语言构建平台，支持任务一键创建、配置和执行，实现获取代码、构建、打包等活动自动化。 通过本章节，您将了解开发人员Chris如何构建环境镜像、将代码编译打包成软件包，以及通过代码变更触发自动构建来实现持续集成。 预置任务简介 样例项目中预置了如下表所示的5个任务。 预置任务 预置任务 任务说明 phoenixsampleci 基本的构建任务。 phoenixsamplecitest 构建测试环境可用镜像的任务。 phoenixsampleciworker 构建Worker功能镜像的任务。 phoenixsampleciresult 构建Result功能镜像的任务。 phoenixsamplecivote 构建Vote功能镜像的任务。 说明 关于Vote、Result、Worker的说明，请参见 section989mcpsimp 本章节以任务“phoenixsampleci”为例进行讲解，此任务包含的步骤如下表所示。 构建步骤 构建步骤 说明 制作Vote镜像并推送到SWR仓库 通过工作目录“./vote”及Dockerfile路径“./Dockerfile”找到“Dockerfile”文件，依据“Dockerfile”文件制作Vote功能镜像，并将镜像推送到容器镜像服务。 制作Result镜像并推送到SWR仓库 通过工作目录“./result”及Dockerfile路径“./Dockerfile”找到“Dockerfile”文件，依据“Dockerfile”文件制作并推送Result功能镜像，并将镜像推送到容器镜像服务。 使用Maven安装Worker依赖包 使用Maven安装Worker功能所需的依赖。 制作Worker镜像并推送到SWR仓库 通过工作目录“./worker”及Dockerfile路径“Dockerfile.j2”找到“Dockerfile”文件，依据“Dockerfile”文件制作并推送Worker功能镜像，并将镜像推送到容器镜像服务。 生成Postgres and Redis Dockerfile 通过shell命令生成制作Postgres（数据库）和Redis（缓存）镜像的Dockerfile文件。 制作Postgres镜像并推送到SWR仓库 依据“生成Postgres and Redis Dockerfile”所生成的Dockerfile文件制作并推送Postgres镜像，并将镜像推送到容器镜像服务。 制作Redis镜像并推送到SWR仓库 依据“生成Postgres and Redis Dockerfile”所生成的Dockerfile文件制作并推送Redis镜像，并将镜像推送到容器镜像服务。 替换DockerCompose部署文件镜像版本 为了将镜像部署到ECS时，能够可以拉取到正确的镜像，使用shell命令进行完成以下操作。首先，使用sed命令，依次将文件“dockercomposestandalone.yml”中的参数替换为构建任务的参数“dockerServer”、“dockerOrg”、“BUILDNUMBER”进行替换。然后，使用tar命令，将文件“dockercomposestandalone.yml”压缩为“dockerstack.tar.gz”，将部署所需文件进行打包，以便于后续步骤将该文件上传归档。 替换Kubernetes部署文件镜像版本 为了将镜像部署到CCE时，能够可以拉取到正确的镜像，使用shell命令进行完成以下操作。首先，使用sed命令，将目录“kompose”下所有以“deployment”结尾的文件中的参数“dockerserver”、“dockerorg”，替换为构建任务的参数“dockerServer”、“dockerOrg”。然后，使用sed命令，将“resultdeployment.yaml”、“votedeployment.yaml”、“workerdeployment.yaml”三个文件中的参数“imageversion”用构建任务参数“BUILDNUMBER”进行替换。 上传Kubernetes部署文件到软件发布库 将所有“.yaml”文件上传到软件发布库中归档。 上传dockercompose部署文件到软件发布库 将压缩好的“dockerstack.tar.gz”（构建包路径）上传到软件发布库中归档，包名命名为“dockerstack”，实现软件包的版本管理。 说明 在项目部署过程中，经常遇到由于环境不一致而导致的失败，例如研发调试环境的JDK升级后，未在环境清单中标记清楚，导致生产环境未做相应升级而引发失败。为了避免因为环境不一致导致的各种问题，本样例项目中统一使用Docker的方式将各微服务应用与环境统一打包到镜像，保持每个环境（开发调测环境、测试环境、QA环境、生产环境）一致。

操作步骤 步骤1 登录管理控制台。 步骤2 单击管理控制台右上角的，选择区域或项目。 步骤3 单击页面左上方的，选择“安全>Web应用防火墙（独享版）”。 步骤4 在左侧导航树中，选择“防护策略”，进入“防护策略”页面。 步骤5 单击目标策略名称，进入目标策略的防护配置页面。 步骤6 在“全局白名单（原误报屏蔽）”配置框中，用户可根据自己的需要更改“状态”，单击“自定义全局白名单规则”，进入规则配置页面。 步骤7 在“全局白名单”规则配置页面左上角，单击“添加规则”。 步骤8 添加全局白名单规则，如下图所示。 参数说明： 参数 参数说明 取值样例 防护方式 “全部域名”：默认防护当前策略下绑定的所有域名。 “指定域名”：选择策略绑定的防护域名或手动输入泛域名对应的单域名。“防护方式”选择“指定域名”时，需要配置此参数。 指定域名 防护域名 “防护方式”选择“指定域名”时，需要配置此参数。 需要手动输入当前策略下绑定的需要防护的泛域名对应的单域名，且需要输入完整的域名。 www.example.com 条件列表 单击“添加”增加新的条件，一个防护规则至少包含一项条件，最多可添加30项条件，多个条件同时满足时，本条规则才生效。 条件设置参数说明如下： 字段 子字段：当字段选择“Params”、“Cookie”或者“Header”时，请根据实际使用需求配置子字段。 子字段的长度不能超过2048字节，且只能由数字、字母、下划线和中划线组成。 逻辑：在“逻辑”下拉列表中选择需要的逻辑关系。 内容：输入或者选择条件匹配的内容。 “路径”包含“/product” 不检测模块 “所有检测模块”：通过WAF配置的其他所有的规则都不会生效，WAF将放行该域名下的所有请求流量。 “Web基础防护模块”：选择此参数时，可根据选择的“不检测规则类型”，对某些规则ID或者事件类别进行忽略设置（例如，某URL不进行XSS的检查，可设置屏蔽规则，屏蔽XSS检查）。 Web基础防护模块 不检测规则类型 “不检测模块”选择“Web基础防护模块”时，您可以选择以下三种方式进行配置： 按ID：按攻击事件的ID进行配置。 按类别：按攻击事件类别进行配置，如：XSS、SQL注入等。一个类别会包含一个或者多个规则ID。 所有内置规则。 按类别 不检测规则ID 当“不检测规则类型”选择“按ID”时，需要配置此参数。 “防护事件”列表中事件类型为非自定义规则的攻击事件所对应的规则编号。建议您直接在防护事件页面进行误报处理。 041046 不检测规则类别 当“不检测规则类型”选择“按类别”时，需要配置此参数。 在下拉框中选择事件类别。 WAF支持的防护事件类别有：XSS攻击、网站木马、其他类型攻击、SQL注入攻击、恶意爬虫、远程文件包含、本地文件包含、命令注入攻击。 SQL注入攻击 规则描述 可选参数，设置该规则的备注信息。 不拦截SQL注入攻击 高级设置 如果您只想忽略来源于某攻击事件下指定字段的攻击，可在“高级设置”里选择指定字段进行配置，配置完成后，WAF将不再拦截指定字段的攻击事件。 在左边第一个下拉列表中选择目标字段。支持的字段有：Params、Cookie、Header、Body、Multipart。 当选择“Params”、“Cookie”或者“Header”字段时，可以配置“全部”或根据需求配置子字段。 当选择“Body”或“Multipart”字段时，可以配置“全部”。 当选择“Cookie”字段时，“防护域名”和“路径”可以为空。 说明 当字段配置为“全部”时，配置完成后，WAF将不再拦截该字段的所有攻击事件。 Params 全部

问题描述 外网访问“弹性云主机1”的弹性IP和某个端口，可以自动跳转到“弹性云主机2”的弹性IP和某个端口。 Windows操作系统 假定需要通过“弹性云主机1”（192.168.10.43）的8080端口连接“弹性云主机2”（192.168.10.222）的18080端口，则需要在弹性云主机1执行如下操作。 请确保云主机的安全组、防火墙已放通对应的端口。 请确保已关闭“源/目的检查”。 1. 在云主机详情页面，选择“网卡”页签，并展开，将“源/目的检查”选项设置为“OFF”。 默认情况下，“源/目的检查”状态为“启用”，系统会检查弹性云主机发送的报文中源IP地址是否正确，否则不允许弹性云主机发送该报文。这有助于防止伪装报文攻击，提升安全性。但在该场景中，这种保护机制会导致报文的发送者无法接收到返回的报文。因此，需设置“源/目的检查”状态为禁用。 2. 打开cmd窗口执行命令。本例以Windows 2012操作系统云主机为例。 netsh interface portproxy add v4tov4 listenaddress192.168.10.43 listenport8080 connectaddress192.168.10.222 connectport18080 如果想取消上面配置的端口转发，可执行如下命令。 netsh interface portproxy delete v4tov4 listenaddress192.168.10.43 listenport8080 3. 执行如下命令可查看服务器配置的全部端口映射。 netsh interface portproxy show v4tov4 图 Windows操作系统云主机端口映射 4. 打开IP转发功能。 a. 在“运行”输入字母“regedit”打开注册表编辑器。 b. 定位以下注册表项： HKEYLOCALMACHINESYSTEMCurrentControlSetServicesTcpipParameters c. 选择项目IPEnableRouter，设置值为1 默认为0表示未开启IP转发功能，设置为1表示打开IP转发功能。 d. 在cmd命令窗口执行gpupdate/force更新组策略。 Linux操作系统 以登录为例，登录“弹性云主机1”的1080端口自动跳转访问“弹性云主机2”的22端口。 弹性云主机1的私网IP：192.168.72.10；弹性IP：123.xxx.xxx.456。 弹性云主机2的私网IP：192.168.72.20。 步骤 1登录Linux弹性云主机1。 1. 执行如下命令，修改文件。 vi /etc/sysctl.conf 2. 在文件中添加 net.ipv4.ipforward 1 3. 执行如下命令，完成修改。 sysctl p /etc/sysctl.conf 步骤 2在“iptables”的“nat”表中添加规则，执行如下命令，通过弹性云主机1的1080端口映射到弹性云主机2的22端口。 iptables t nat A PREROUTING d 192.168.72.10 p tcp dport 1080 j DNAT todestination 192.168.72.20:22 iptables t nat A POSTROUTING d 192.168.72.20 p tcp dport 22 j SNAT to 192.168.72.10 步骤 3验证配置是否生效，执行如下命令，登录弹性云主机1的1080端口。 ssh p 1080 123.xxx.xxx.456 图 Linux操作系统云主机端口映射 输入密码后登录到弹性云主机2，弹性云主机2的主机名为ecsinner。 图 登录到弹性云主机2

约束与限制 Windows云主机处于“运行中”状态。 已获得Windows云主机的用户名和密码。如果忘记密码，须重置云主机密码，请参考在控制台重置弹性云主机密码。 Windows云主机所在安全组的入方向已开放3389端口。 Windows防火墙未开启或开启后放通3389端口。 登录工具与Windows云主机具有网络连通性。如果使用处于公网中的终端登录，需要您的Windows云主机已绑定弹性IP。如果通过内网使用此方式登录，则不需要绑定弹性IP，例如VPN、云专线等内网网络连通场景。 Windows云主机已开启远程桌面协议RDP。 GPU实例中，部分实例不支持云平台提供的远程登录功能，需要自行安装VNC Server进行登录。推荐使用MSTSC方式登录弹性云主机。 使用MSTSC方式访问GPU型云主机时，使用WDDM驱动程序模型的GPU将被替换为一个非加速的远程桌面显示驱动程序，造成GPU加速能力无法实现。因此，如果需要使用GPU加速能力，您必须使用不同的远程访问工具，如VNC工具。如果使用管理控制中心操作界面的“远程登录”功能无法满足您的访问需求，请自行在弹性云主机上安装符合要求的远程访问工具（如Tight VNC）。 登录方式概述 请根据需要选择登录方式，登录Windows云主机。 云主机操作系统 本地主机操作系统 连接方法 条件 :::: Windows Windows 使用控制中心远程登录方式： 可参见：Windows弹性云主机远程登陆（VNC方式）、Windows弹性云主机远程登录（TeleCloudShell方式）。 不依赖弹性IP Windows 移动设备 安装远程连接工具，例如Microsoft Remote Desktop在移动设备上登录。 可参见：[]( 云主机绑定弹性IP （如果通过内网环境登录云主机，可以不绑定弹性IP，例如VPN、云专线等内网网络连通场景。） Windows Windows 使用mstsc方式登录云主机。在本地主机单击“开始”菜单，输入mstsc命令，打开远程桌面对话框。 可参见：远程桌面连接（MSTSC方式） 云主机绑定弹性IP （如果通过内网环境登录云主机，可以不绑定弹性IP，例如VPN、云专线等内网网络连通场景。） Windows Linux 安装远程连接工具，例如rdesktop，执行连接命令。 可参见：在Linux主机上登录Windows云主机 云主机绑定弹性IP （如果通过内网环境登录云主机，可以不绑定弹性IP，例如VPN、云专线等内网网络连通场景。） Windows Mac OS系统 安装远程连接工具，例如Microsoft Remote Desktop for Mac在Mac OS系统上登录。 可参见：Mac OS系统登录Windows云主机 云主机绑定弹性IP （如果通过内网环境登录云主机，可以不绑定弹性IP，例如VPN、云专线等内网网络连通场景。）

云工作流支持的功能如下(公测版)： 功能集 功能 功能说明 参考文档 基本功能 流程（Flow） 云工作流基于CNCF ServerlessWorkflow Specification 0.8版本进行适配优化作为天翼云云工作流执行流程定义。执行流程时，云工作流执行引擎会根据流程定义解析并驱动执行相关状态流转。 一个流程通常包含若干状态（State），这些状态可以是简单的执行类状态，例如操作（Operation）、暂停（Sleep）、传递（Noop）和失败（Fail）等；也可以是复杂的流程控制类状态，例如条件分支（Switch）、并行（Parallel）和迭代（Foreach）。 流程定义介绍 创建流程 执行流程 基本功能 调度（Schedule） 云工作流调度（即触发器）是触发工作流执行的方式。在事件驱动的计算模型中，事件源是事件的生产者，工作流是事件的处理者。云工作流目前支持比较常见的触发器场景： 定时触发器、HTTP触发器、消息队列类型（Kafka、 RokectMQ）触发器， 云原生网关触发器 工作流调度简介 特性功能 标准（Standard）模式 云工作流支持创建标准（Standard）和快速（Express）两种模式的工作流。 标准（Standard）模式适用于传统意义上的离线业务流程编排执行场景，具备执行步骤状态的持久化存储，支持运行长时间的工作流执行状态流转。 快速工作流和标准工作流 特性功能 快速（Express）模式 云工作流支持创建标准（Standard）和快速（Express）两种模式的工作流。 快速（Express）模式适用于常见的在线业务流程编排和准实时业务流程编排场景，例如微服务API编排、流式数据处理等低延迟和大负载业务场景。 快速工作流和标准工作流 运维及可观测建设 工作流执行监控 工作流执行监控可对工作流的执行启动、执行成功、执行失败、执行超时以及执行过程中的状态转换和执行耗时等指标进行监控和展示。 监控指标 运维及可观测建设 审计事件 云工作流已接入审计服务，可以在云审计中查询用户操作云工作流产生的管控事件， 例如创建工作流、删除工作流以及执行工作流等。 审计事件 流程开发 工作流设计器 云工作流提供一个低代码、可视化的工作流设计器，包含cloudflow studio、 yaml以及工作流设置等功能区。可以基于cloudflow studio进行工作流可视化编排以及相关属性设置， 降低用户对流程定义语言的学习成本。 工作流设计器 集成建设 云服务优化集成 云工作流支持与天翼云多个云服务集成，允许在流程中调用这些云服务的API进行相关资源的操作，完成业务流程构建。 云工作流与云服务的集成类型包括普通集成和优化集成。普通集成是指允许云工作流直接调用云产品的OpenAPI服务接口，不对这些服务接口做任何包装处理和实现优化，基本包括了在天翼云OpenAPI门户注册的云服务OpenAPI服务接口。 优化集成是指对部分高频使用的云产品服务接口进行包装和优化处理，简化接口使用难度，方便用户集成。 集成模式 服务集成模式 函数计算集成 云工作流计集成 集成建设 云服务普通集成 普通集成是指云工作流直接通过在天翼云产品在天翼云OpenAPI门户注册的OpenAPI对外提供的服务接口进行集成调用，不对服务接口做任何特殊处理和优化。 允许云工作流通过调用弹性计算、存储服务、数据库、容器、大数据处理、中间件服务在内的多个天翼云服务的接口实现业务流程编排。 普通集成

安全边缘节点 在天翼云所有文档中，边缘节点、CDN节点、Cache节点、缓存节点、加速节点、天翼云节点等都是指天翼云边缘节点。边缘节点是相对于网络的复杂结构而提出的一个概念，指距离最终用户接入具有较少的中间环节的网络节点，对最终接入用户有较好的响应能力和连接速度。其作用是将访问量较大的网页内容和对象保存在服务器前端的专用Cache设备上，以此来提高网站访问的速度和质量。 分布式监测集群 分布式结构就是将一个完整的系统，按照业务功能，拆分成一个个独立的子系统，在分布式结构中，每个子系统就被称为“服务”。这些子系统能够独立运行在web容器中，它们之间通过RPC方式通信。因此按照微服务的思想，网站安全监测产品的功能模块可拆分成多个独立的服务，即：安全事件监测、漏洞监测、可用性监测、DNS监测、内容安全监测。每个服务都是独立的项目，可以独立运行。如果服务之间有依赖关系，那么通过RPC方式调用。单机处理到达瓶颈的时候，就把单机复制几份，这样就构成了一个“集群”。集群中每台服务器就叫做这个集群的一个“节点”，所有节点构成了一个集群。每个节点都提供相同的服务，那么这样系统的处理能力就相当于提升了好几倍（有几个节点就相当于提升了这么多倍）。分布式监测集群可以在实现网站安全监测产品完整、系统化的同时，能够解决访问速度和质量的问题。 网站可用性 网站可用性(web usability)是衡量用户体验的指标, 是对用户使用网站达成目标是否顺利、以及在这个过程中用户是否满意的综合衡量，反应在具体指标上关注的有目标站点的响应速度、可访问性等。 Web漏洞 Web漏洞通常是指网站程序上的漏洞，可能是由于代码编写者在编写代码时考虑不周全等原因而造成的漏洞，常见的Web漏洞有Sql注入、Xss漏洞、上传漏洞等。如果网站存在Web漏洞并被黑客攻击者利用，攻击者可以轻易控制整个网站，并可进一步提权获取网站服务器权限，控制整个服务器。主要有以下几种攻击方法：SQL注入、XSS跨站点脚本、跨目录访问、缓冲区溢出、cookies修改、Http方法篡改、CSRF、CRLF、命令行注入。 DNS DNS即Domain Name System，是域名解析服务的意思。它在互联网的作用是：把域名转换成为网络可以识别的ip地址。人们习惯记忆域名，但机器间互相只认IP地址，域名与IP地址之间是一一对应的，它们之间的转换工作称为域名解析，域名解析需要由专门的域名解析服务器来完成，整个过程是自动进行的。比如：上网时输入的www.baidu.com会自动转换成为220.181.112.143。 Web安全 相关Web应用层面的安全问题与事件,包括各种Web组件、协议、应用等。 网站白名单 通过设置网站白名单，可以让满足条件的请求不经过任何网站安全监测防护模块的检测，直接访问源站服务器。 IP黑名单 支持一键阻断来自指定IP地址、IP地址段以及指定地理区域的IP地址的访问请求。 网页挂马 网页挂马指的是把一个木马程序上传到一个网站里面然后用木马生成器生一个网马，再上到空间里面，而后加代码使得木马在打开网页时运行。 暗链攻击 暗链就是看不见的网站链接，其在网站中做得非常隐蔽，短时间内不易被搜索引擎察觉。暗链攻击，是指黑客通过隐形篡改技术在被攻击网站的网页植入暗链，这些暗链往往被非法链接到色情、诈骗、甚至反动信息。

本文主要介绍调用链搜索span信息 背景信息 在分布式架构下，微服务之间的调用情况日趋复杂，在外部请求响应变慢、部分请求异常等场景下，想要快速定位哪个环节存在异常，您可以在业务在调用链路查询页面，通过TraceId精确查询调用链路详细情况，或结合多种条件筛选查询调用链路。 操作步骤 步骤 1 登录APM控制台。 步骤 2 在左侧导航栏选择“应用监控 > 调用链”，进入调用链界面。 步骤 3 输入如下查询条件，单击“查找Trace”，页面右侧展示查找结果。 图 调用链查询结果 表 调用链查询条件 查询条件 具体含义 必填/选填 应用 调用链所在应用。 必填 区域 调用链所在区域。 必填 组件 调用链所在组件。 选填 环境 调用链所在环境。 选填 实例 调用链所在实例。 选填 URL 调用链的URL，分为Rest URL和Real URL两种搜索条件：Rest URL为restful风格的URL，URL中带有变量名称，如/apm/get/{id}；Real URL为实际访问的URL。 选填 精确 对URL是否精确匹配，开启状态下为精确查询URL，不开启则进行模糊查询。 选填 调用方法 调用链的HttpMethod。 选填 状态码 调用链返回的HTTP状态码。 选填 响应时间 调用链的响应时间范围，可以填写最小响应时间和最大响应时间搜索调用链，两个值都可以为空。 选填 是否异常 调用链是否有异常。 选填 Trace ID 调用链的TraceID，填写该搜索条件后，其他搜索条件全部失效，只根据该TraceID搜索。 选填 步骤 4 单击“其他查询条件”，展示“自定义参数”、“全局Trace ID”以及“应用码”三个查询条件。 图 其他条件 表 调用链查询条件 查询条件 具体含义 必填/选填 自定义参数 已配置url监控项的拦截header指定key值、拦截url参数指定key值、拦截cookie指定key值参数后，在这里可以设置keyvalue进行搜索。 选填 全局Trace ID 调用链的全局TraceID，填写该搜索条件后，其他搜索条件全部失效，只根据该全局TraceID搜索。 选填 应用码 已配置url监控项的业务code采集长度限制、解析业务code的key、业务code的正确值参数后，会采集相应的应用码，这里可以根据应用码进行搜索。 选填 自定义参数 使用方法 配置url监控项的拦截header指定key值、拦截url参数指定key值、拦截cookie指定key值参数。 在“自定义参数”后的框中，填写对应的参数以及参数值。 单击“查找Trace”，页面右侧展示查找结果。 图 自定义参数查询结果 全局Trace ID使用方法 使用方法 单击待查看的调用链前的箭头，查看全局Trace ID。 图 获取全局Trace ID 在“全局Trace ID”后的框中，填写全局Trace ID。 单击“查找Trace”，页面右侧展示查找结果。 图 查询全局Trace ID结果 应用码使用方法 使用方法 配置url监控项的业务code采集长度限制、解析业务code的key、业务code的正确值参数。 图 url监控项 在左侧导航栏选择“应用监控 > 调用链”，进入调用链界面。 单击，查看对应的业务code的值。业务code的值即“应用码”。 图 查看业务code 在“应用码”后的框中，填写应用码。 图查找code对应的调用链 单击“查找Trace”，页面右侧展示查找结果。

类别 说明 告警转事件原因 当告警的严重性达到一定程度，或者持续出现，或者其影响范围广泛时，它可能不再仅仅是一个需要关注的信号，也可能表明系统或网络中存在一个持续性的问题，此时，它已经演变成了一个需要立即处理的事件，这种情况下，可以将告警转化为事件来处理，以便深入调查问题的根源，并采取相应的措施来彻底解决。通常告警转事件的原因有以下几个方面： 信息聚合与分类 告警通常是对某个特定条件或阈值被违反的即时响应。随着时间的推移，大量的告警可能会被触发，如果直接处理这些独立的告警，可能会变得非常混乱和低效。将这些告警聚合成事件，可以帮助相关人员根据告警的类型、来源、影响等维度进行分类，从而更有效地处理它们。 简化工作流程 告警到事件的转换过程，通常伴随着对告警的过滤、去重、聚合等处理。这些处理使得原本可能触发多个相似告警的情况，被整合为一个更具代表性的事件。这样不仅减少了处理单个告警的工作量，也使得处理过程更加条理清晰，便于跟踪和记录。 提升问题解决效率 将告警转换为事件后，由于事件通常提供了比单个告警更全面的上下文信息，因此相关人员可以更容易地识别出问题的根本原因，有助于更快地定位问题，并采取有效的解决措施。 便于历史回顾与趋势分析 事件记录了问题的发生、发展、解决的全过程，这为后续的问题预防、系统优化等提供了宝贵的历史数据。通过对事件进行趋势分析，可以发现系统中潜在的薄弱环节，提前采取措施进行改进。 增强跨部门协作 在大型组织中，不同的部门可能需要共同参与问题的处理。将告警转换为事件后，可以更容易地在不同部门之间共享相关信息，促进跨部门协作，提高问题解决的效率。 总而言之，将告警转换为事件助于简化工作流程、提升问题解决效率、便于历史回顾与趋势分析。 告警关联事件原因 告警关联事件是监控和故障管理中的一个重要环节，它涉及到将多个独立但可能相互关联的事件或告警组合起来，以便更好地理解问题的根源和范围，从而更有效地进行故障排查和响应。通常告警关联事件的原因有以下几个方面： 依赖关系 在复杂的系统中，各个组件之间往往存在复杂的依赖关系。当一个组件出现故障时，可能会影响依赖它的其他组件的正常工作，进而引发一系列告警。例如，在微服务架构中，一个服务的崩溃可能导致调用该服务的其他服务也出现问题。 资源共享 当多个系统或服务共享同一资源（如服务器、数据库、网络设备等）时，该资源的问题可能导致多个系统或服务同时发出告警。例如，共享数据库服务器的性能下降可能会触发多个依赖该数据库的应用程序的性能告警。 连锁反应 某些情况下，一个初始的故障可能触发一系列连锁反应，导致更多的组件或系统受到影响。这种连锁反应可能由于系统设计不当、错误处理机制不完善或资源限制（如内存泄漏导致的性能下降）等原因引起。 配置错误 配置错误或不一致的配置可能导致系统行为异常，进而触发多个看似不相关的告警。例如，错误的路由配置可能导致流量被错误地路由到不稳定的服务器，从而引发多个与性能相关的告警。 软件缺陷 软件中的缺陷（如bug）可能导致程序在特定条件下表现异常，并触发告警。如果这些缺陷影响了多个组件或系统，则可能引发多个关联告警。 外部因素 外部因素如自然灾害（如地震、洪水）、网络攻击、基础设施故障（如电力中断、网络中断）等也可能导致多个系统或组件同时出现问题，并触发大量告警。

本节介绍了安装原生的XEN和KVM驱动的方法。 操作场景 在优化Linux私有镜像过程中，需要在云主机上安装原生的XEN和KVM驱动。 注意： 如果不安装XEN驱动，弹性云主机的网络性能很差，并且安全组和防火墙也不会生效； 如果不安装KVM驱动，弹性云主机的网卡可能无法检测到，无法与外部通信。因此，请您务必安装XEN和KVM驱动。 本节介绍安装原生XEN和KVM驱动的具体方法。 前提条件 对于使用Linux系统原生的XEN和KVM驱动的Linux云主机，其内核版本必须高于2.6.24。 建议您禁用任何防病毒软件或入侵检测软件，安装原生的XEN和KVM驱动完成后，您可以再次启用这些软件。 操作步骤 请根据操作系统版本，修改不同的配置文件： CentOS/EulerOS系列操作系统 以CentOS 7.0为例，请修改“/etc/dracut.conf”文件，在adddrivers项中添加xenpv以及virtio的驱动（xenpv驱动：xenblkfront、xennetfront；virtio驱动：virtioblk、virtioscsi 、virtionet、virtiopci、virtioring、virtio）。驱动名之间以空格隔开，保存并退出“/etc/dracut.conf”文件，执行dracut f命令，重新生成initrd。 操作方法可参见下文“CentOS/EulerOS系列操作系统相关操作”。 Ubuntu/Debian系列系统 请修改“/etc/initramfstools/modules”文件，添加xenpv以及virtio的驱动（xenpv驱动：xenblkfront、xennetfront；virtio驱动：virtioblk、virtioscsi 、virtionet、virtiopci、virtioring、virtio）。驱动名之间以空格隔开，保存并退出“/etc/initramfstools/modules”文件，执行updateinitramfs u命令，重新生成initrd。 操作方法可参见“Ubuntu/Debian系列操作系统相关操作”。 SUSE和openSUSE系列系统，根据操作系统版本不同，修改不同的配置文件。 − 当操作系统版本低于SUSE 12 SP1或低于openSUSE 13时，请修改“/etc/sysconfig/kernel”文件，在INITRDMODULES""添加xenpv以及virtio的驱动（xenpv驱动：xenvnif、xenvbd、xenplatformpci；virtio驱动：virtioblk、virtioscsi 、virtionet、virtiopci、virtioring、virtio）。驱动名之间以空格隔开，执行mkinitrd命令，重新生成initrd。 − 当操作系统版本为SUSE 12 SP1时，修改“/etc/dracut.conf”文件，在adddrivers项中添加xenpv以及virtio的驱动（xenpv驱动：xenvnif、xenvbd、xenplatformpci；virtio驱动：virtioblk、virtioscsi、virtionet、virtiopci、virtioring、virtio）。驱动名之间以空格隔开，执行命令dracut f，重新生成initrd。 − 当操作系统版本高于SUSE 12 SP1或高于openSUSE 13版本时，修改“/etc/dracut.conf”文件，在adddrivers项中添加xenpv和virtio的驱动（xenpv驱动：xenblkfront、xennetfront；virtio驱动：virtioblk、virtioscsi 、virtionet、virtiopci、virtioring、virtio）。驱动名之间以空格隔开，保存并退出“/etc/dracut.conf”文件，执行dracut f命令，重新生成initrd。 操作方法可参见下文“SUSE/openSUSE系列操作系统相关操作”。 说明： SUSE系列操作系统首先应确认OS是否已经安装了xenkmp包（xenpv的驱动包），执行以下命令： rpm qa grep xenkmp 回显类似如下： xenkmpdefault4.2.2043.0.760.110.7.5 如果没有安装xenkmp的包，请到ISO装机文件中获取并安装。 如果误将builtin形式的驱动添加到initrd或initramfs文件中，不会影响云主机正常使用。

本节介绍云等保专区产品的日志审计配置类问题。 日志审计设备如何进行接入配置？ 1. 首先在进行审计前，用户需要在资产上设置Syslog等协议将日志发送至平台。 2. 平台可自动发现通过Syslog等协议向平台发送日志的资产向平台发送日志的资产，发现这些资产后，需要添加这些资产，在上边栏选择“资产管理”，在左侧菜单栏选择“ 资产 > 全部资产 ”进入资产页面，点击“新增”。 进入新增资产页面，选择资产类型（如Windows）。 编辑相关信息，点击“保存”。 3. 在事件管理模块中可查询资产的日志信息，在性能监控模块中监控资产的性能状态，在上边栏选择“事件管理”，在左侧菜单栏选择“ 事件 > 自定义查询 ”进入自定义查询页面。设置查询条件，点击“查询”即可查询事件，点击“清空”可清空查询条件。 4. 创建解决方案包为可选操作，平台已经内置了2个解决方案包。用户可根据需要创建解决方案包，解决方案包是一系列安全事件模板的集合，平台根据这些模板分析资产的风险趋势，对于威胁事件给予告警，在上边栏选择“规则库”，在左侧菜单栏选择“解决方案包”进入解决方案包页面。 点击“新增”，编辑相关信息，点击“保存”。 5. 用户还可订阅自己关注的告警事件，可第一时间了解资产的威胁态势，在上边栏选择“事件管理”，在左侧菜单栏选择“ 告警 > 告警订阅 ”进入告警订阅页面，选择未订阅页签。在左侧解决方案包导航栏中选择事件（如“防火墙阻断”），选择邮件订阅、短信订阅、FTP订阅和TCP订阅的用户，点击“保存”。 6. 平台会根据解决方案包对日志事件进行审计并对威胁趋势做出统计，用户可查看审计概要和统计报表，在上边栏选择“审计概要”进入审计概要页面，在左侧解决方案包导航栏中选择具体项目，即可查看该项目的审计概要信息。 在上边栏选择“统计报表”，在左侧菜单栏选择“统计报表”，选择报表项，可查看该报表项的信息。 点击“过滤”，在弹出的对话框中设置过滤条件，点击“过滤”即可查看符合过滤条件的统计信息。 点击时间下拉框，选择时间段可查看对应时间段内的事件统计信息。 点击页面右上角的“导出”，在弹出的菜单栏中选择“导出Word”、“导出PDF”即可将统计报表导出为Word、PDF文件保存至本地。

操作步骤 1. 登录管理控制台。 2. 单击管理控制台右上角的，选择区域。 3. 单击页面左上方的，选择“安全 > Web应用防火墙（独享版）”。 4. 在左侧导航树中，选择“防护策略”，进入“防护策略”页面。 5. 单击目标策略名称，进入目标策略的防护配置页面。 6. 在“网站反爬虫”配置框中，用户可根据自己的需要更改网站反爬虫的“状态”，单击“BOT设置”，进入网站反爬虫规则配置页面。 7. 选择“特征反爬虫”页签，根据您的业务场景，开启合适的防护功能。 特征反爬虫规则提供了两种防护动作： 拦截:发现攻击行为后立即阻断并记录。 注意 开启拦截后，可能会有以下影响： 拦截搜索引擎请求，可能影响网站的搜索引擎优化。 拦截脚本工具，可能会影响部分APP访问（部分APP的UserAgent未做修改，会匹配脚本工具类爬虫规则）。 仅记录：默认防护动作，发现攻击行为后只记录不阻断攻击。 默认开启“扫描器”防护检测，用户可根据业务需要，配置防护动作并开启其他需要防护的检测类型。 特征反爬虫检测项说明： 检测项 说明 功能说明 搜索引擎 搜索引擎执行页面内容爬取任务，如Googlebot、Baiduspider。 开启后，WAF将检测并阻断搜索引擎爬虫。 说明 如果不开启“搜索引擎”，WAF针对谷歌和百度爬虫不会拦截。 扫描器 执行漏洞扫描、病毒扫描等Web扫描任务，如OpenVAS、Nmap。 开启后，WAF将检测并阻断扫描器爬虫。 脚本工具 用于执行自动化任务、程序脚本等，如httpclient、okhttp、python程序等。 开启后，WAF将检测并阻断执行自动化任务、程序脚本等。 说明 如果您的应用程序中使用了httpclient、okhttp、python程序等脚本工具，建议您关闭“脚本工具”，否则，WAF会将使用了httpclient、okhttp、python程序等脚本工具当成恶意爬虫，拦截该应用程序。 其他爬虫 各类用途的爬虫程序，如站点监控、访问代理、网页分析等。 说明 “访问代理”是指当网站接入WAF后，为避免爬虫被WAF拦截，爬虫者使用大量IP代理实现爬虫的一种技术手段。 开启后，WAF将检测并阻断各类用途的爬虫程序。 8. 选择“JS脚本反爬虫”页签，用户可根据业务需求更改JS脚本反爬虫的“状态”。 默认关闭JS脚本反爬虫，单击，在弹出的“警告”提示框中，单击“确定”，开启JS脚本反爬虫。 说明 JS脚本反爬虫依赖浏览器的Cookie机制、JavaScript解析能力，如果客户端浏览器不支持Cookie，此功能无法使用。 如果您的业务接入了CDN服务，请谨慎使用JS脚本反爬虫。由于CDN缓存机制的影响，JS脚本反爬虫特性将无法达到预期效果，并且有可能造成页面访问异常。 9. 根据业务配置JS脚本反爬虫规则。 JS脚本反爬虫规则提供了“防护所有请求”和“防护指定请求”两种防护动作。 除了指定路径以外，防护其他所有路径：“防护模式”选择“防护所有请求”，单击“添加排除请求规则”，配置防护路径后，单击“确认”。 只防护指定路径时：“防护模式”选择“防护指定请求”，单击“添加请求规则”，配置防护路径后，单击“确认”。 JS脚本反爬虫防护规则参数说明： 参数 参数说明 示例 规则名称 自定义规则名称。 wafjs 路径 设置JS脚本反爬虫的URL链接中的路径（不包含域名）。 URL用来定义网页的地址。基本的URL格式如下： 协议名://域名或IP地址[:端口号]/[路径名/…/文件名]。 例如，URL为“ 说明 该路径不支持正则。 路径里不能含有连续的多条斜线的配置，如“///admin”，WAF引擎会将“///”转为“/”。 /admin 逻辑 在“逻辑”下拉列表中选择需要的逻辑关系。 包含 规则描述 规则备注信息。

代理的限制与约束 额度限制 1. 代理的任务数量限制 ：每个代理上最多可以下发50个迁移任务，超过限额请新建代理或删除不需要的任务后，再下发新任务。 2. 代理的并发任务数量限制 ：每个代理最多可同时执行12个迁移任务（zmsmaster服务配置文件中修改），超过限制的任务将会排队。 使用限制 1. 工作节点数量 ：建议单个迁移集群内worker节点的数量不超过10个为最佳。 2. 失败对象列表文件的存放限制 ：失败对象列表文件最多存放10万个失败对象，但任务重试可重试所有失败对象。例如：您本次任务有失败对象12万个，您在失败对象列表文件中只能查询到10万个失败对象，但您对该任务进行失败重试，迁移任务会重试迁移失败的全部12万个对象。 3. 运行代理的资源占用 ：代理执行迁移任务时，会占用部署机器的CPU、内存、网络带宽等资源，请确保部署机器上没有您的其他业务系统，避免影响业务。 注意事项 1. zmsmaster服务第一次启动时必须在配置文件中填写注册码，后续填不填均可。 2. 半托管Agent服务启动后，ZMS服务的控制台需要12min时间才能同步状态，您可以在“对象存储迁移迁移任务代理列表”中查看已部署代理的状态。 3. 修改半托管Agent服务配置文件后，需要重启对应的服务，配置才能生效。 4. 若代理某个工作节点始终处于“错误”状态，请按如下步骤排查： 1. 检查该节点zmsworker服务状态 2. 检查该节点与zmsmaster服务节点网络联通性（注意是否有安全组、防火墙阻止相关端口访问） 5. 为了防止非预期的任务自动执行，zmsmaster服务重启后，该半托管Agent上所有正在执行的任务状态（包含：“排队中”、“迁移中”）都会被置为 “暂停” 状态。 6. 任务状态变为 “任务结束 存在失败对象” 后，失败对象列表的文件上传到目的桶中需要一定耗时。若长时间后目的桶中仍没有失败对象列表的文件，可能有如下两种情况： 1. 生成成功但上传失败 ：失败列表文件可以在代理的zmsmaster服务节点安装目录ZMSfailedfiles文件夹下找到； 2. 生成失败 ：本地与目的桶均没有该任务的失败列表文件。 无论何种情况，该任务均可重试，重试仅上传上次执行失败的对象。 7. 请勿随意删除zmsagent安装目录下的文件，否则可能造成该代理不可用。 8. 若出现zmsmaster服务启动失败，报错为网络问题造成的 “Error when starting ZMSMaster: Connect to RabbitMQ failed.”，可稍等两分钟后进行重新启动，若长时间后重启仍失败，请联系天翼云技术人员处理。 9. 若出现zmsworker服务长时间占用内存过高的情况，可以通过重启zmsworker服务解决。 10. 迁移服务传输信息都会进行加密处理，但为了避免其他人伪造您的Agent登录造成信息被恶意盗用的情况，每次下发任务前，请确保您自己部署的Agent在正常运行。 11. 运行日志：代理运行日志保存在安装目录log文件夹下，联系天翼云技术人员处理问题时请提供该目录。 12. 部署代理节点时，请务必正确配置 masteraddr 与 workaddrs 两个核心参数，参数配置错误将直接导致 zmsmaster 与 zmsworker 间的通信链路异常，进而影响整个集群的正常运行。若 workaddrs 参数配置有误，zmsworker 节点将无法与主节点 zmsmaster 建立连接，导致主从节点通信彻底中断；若 masteraddr 参数配置错误，即使 zmsworker 节点完成数据迁移任务，也无法向主节点上报任务的实际执行状态，造成任务状态丢失或同步异常。

本文介绍在局域网内部,Windows云主机之间进行文件夹共享的方法。 约束限制 有些网络服务供应商可能会限制139、445端口的访问，这会导致外部网络无法访问共享文件夹。因此，建议将Windows云主机文件共享方案仅用于内部环境中。 注意安全组的设置，放行对应的端口号。 操作步骤 1. 确保两台需要共享文件夹的Windows云主机的设置是正确的，包括以下几个方面： 确认已开启名为“TCP/IP NetBIOS Helper”的服务。你可以通过打开命令提示符窗口（cmd）并输入 services.msc，然后在服务清单中找到“TCP/IP NetBIOS Helper”服务，检查该服务的运行状态。 图1 TCP/IP NetBIOS Helper 在网络适配器设置中开启TCP/IP上的NetBIOS功能。你可以通过以下步骤完成：右键点击任务栏中的网络图标并选择“打开网络和共享中心”；然后点击“更改适配器设置”；在适配器列表中选择你的以太网连接，右键点击并选择“属性”；双击“Internet协议版本4（TCP/IPv4）”项目；点击“高级”按钮，然后切换到“WINS”选项卡；在这里，选择“启用通过TCP/IP传输NetBIOS（N）”。 图2 启用TCP/IP上的NetBIOS服务 Windows云主机的防火墙已经设置了入站访问策略139和445端口。 2. 修改网络和共享中心。 进入网络和共享中心”，点击“更改高级共享设置”。 图3 更改高级共享设置 a. 确保两台Windows云主机所属的网络应一致，例如均为“公用”或均为“专用”的网络，并勾选“启用网络发现”、“启用共享，以便可以访问网络的用户可以读取和写入公用文件夹中的文件”。 图4 启动网络发现 图5 启用共享，以便可以访问网络的用户可以读取和写入公用文件夹中的文件。 如果无法启用网络发现功能，你可以通过打开“服务”管理器（运行 services.msc命令）来解决，启动“服务”管理器。请检查网络发现功能依赖的服务是否均已启用。网络发现功能依赖的服务包括： Function Discovery Resource Publication、SSDP Discovery Resource Publication、UPnP Device Host。 b. 在“服务”管理器中，开启Workstation服务。 c. 这个服务需要依赖其他部件的支持，开启workstation服务时，必须启动依赖组件Computer Browser和Remote Desktop Configuration。 图6 开启Workstation服务 3. 在需要允许磁盘共享访问的云主机上，进行磁盘共享的设置，点击鼠标右键磁盘，然后选择“属性”选项。切换到“共享”选项卡，接着点击“高级共享”按钮。 图7 设置磁盘共享 设置“共享名”，并单击“确定”。给共享文件夹自定义一个名称。 图8 设置共享文件夹名称 4. 使用位于相同地域的另一台云主机，通过内部网络访问共享文件夹。打开“运行”窗口。输入"内网IP地址share"，并点击确定，即可打开共享文件夹. 图9 访问共享文件夹 5. （可选）为了更加方便的访问共享文件夹，您可以将共享路径文件，创建一个网络驱动器映射。 a. 选择共享的文件夹，右键单击“映射网络驱动器”。 b. 创建映射网络驱动器。 图10 映射网络驱动器 c. 点击选择要映射的网络驱动器名称，接着点击“创建快捷方式”并将其发送到桌面。这样，你就能通过双击桌面上的新快捷方式，方便快速地访问共享文件夹。 图11 创建快捷方式

本节主要介绍云数据库GeminiDB的权限管理。 如果您需要对购买的云数据库 GeminiDB资源，给企业中的员工设置不同的访问权限，以达到不同员工之间的权限隔离，您可以使用统一身份认证服务（Identity and Access Management，简称IAM）进行精细的权限管理。该服务提供用户身份认证、权限分配、访问控制等功能，可以帮助您安全的控制天翼云资源的访问。 通过IAM，您可以在天翼云账号中给员工创建IAM用户，并授权控制他们对天翼云资源的访问范围。例如您的员工中有负责软件开发的人员，您希望他们拥有云数据库 GeminiDB的使用权限，但是不希望他们拥有删除云数据库 GeminiDB等高危操作的权限，那么您可以使用IAM为开发人员创建用户，通过授予仅能使用云数据库 GeminiDB，但是不允许删除云数据库 GeminiDB的权限策略，控制他们对云数据库 GeminiDB资源的使用范围。 如果天翼云账号已经能满足您的要求，不需要创建独立的IAM用户进行权限管理，您可以跳过本章节，不影响您使用云数据库 GeminiDB服务的其它功能。 IAM是天翼云提供权限管理的基础服务，无需付费即可使用，您只需要为您账号中的资源进行付费。 关于IAM的详细介绍，请参见《IAM产品介绍》。 云数据库 GeminiDB权限 默认情况下，管理员创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 云数据库 GeminiDB部署时通过物理区域划分，为项目级服务。授权时，“作用范围”需要选择“区域级项目”，然后在指定区域（如广州4）对应的项目（cngdgz1）中设置相关权限，并且该权限仅对此项目生效；如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问云数据库 GeminiDB时，需要先切换至授权区域。 根据授权精细程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于天翼云各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对ECS服务，管理员能够控制IAM用户仅能对某一类云主机资源进行指定的管理操作。 如表1所示，包括了云数据库 GeminiDB的所有系统权限。 表1 云数据库 GeminiDB系统权限 策略名称/系统角色 描述 类别 依赖关系 GeminiDB FullAccess 云数据库 GeminiDB服务所有权限。 系统策略 创建包周期实例需要配置CBC权限： bss:balance:view bss:balance:update bss:order:view bss:order:pay bss:order:update bss:renewal:view bss:renewal:update 退订包周期实例需要配置CBC权限： bss:unsubscribe:update GeminiDB ReadOnlyAccess 云数据库 GeminiDB服务只读权限。 系统策略 无 表2列出了云数据库 GeminiDB常用操作与系统权限的授权关系，您可以参照该表选择合适的系统权限。 表2 常用操作与系统权限的关系 操作 GeminiDB FullAccess GeminiDB ReadOnlyAccess 创建实例 √ x 查询实例列表 √ √ 查询实例详情 √ √ 查询任务列表 √ √ 删除实例 √ x 重启实例 √ x 重置密码 √ x 变更实例安全组 √ x 修改数据库端口 √ x 绑定/解绑公网IP √ x 磁盘扩容 √ x 规格变更 √ x 节点扩容 √ x 节点缩容 √ x 修改备份策略 √ x 重命名实例 √ x 创建手动备份 √ x 查询备份列表 √ √ 恢复到新实例 √ x 删除备份 √ x 创建参数模板 √ x 查询参数模板列表 √ √ 修改参数模板 √ x 删除参数模板 √ x 查询企业项目配额管理列表 √ √ 修改企业项目配额 √ x 切换SSL开关 √ x 停止备份 √ x 表3列出了云数据库 GeminiDB常用操作以及对应的授权项，您可以参照该表自定义配置权限策略。 表3 常用操作与对应的授权项 操作 授权项 授权范围 备注 实例创建页 vpc:vpcs:list vpc:subnets:get vpc:securityGroups:get 支持： IAM项目(Project) 企业项目(Enterprise Project) 创建页需要查询对应的VPC、子网、安全组。 创建实例 nosql:instance:create vpc:vpcs:list vpc:vpcs:get vpc:subnets:get vpc:securityGroups:get vpc:ports:get 支持： IAM项目(Project) 企业项目(Enterprise Project) 界面使用默认VPC、子网、安全组需对应配置vpc::create权限， 创建加密实例需要在项目上配置KMS Administrator权限。 查询实例列表 nosql:instance:list 支持： IAM项目(Project) 企业项目(Enterprise Project) 查询实例详情 nosql:instance:list 支持： IAM项目(Project) 企业项目(Enterprise Project) 如果实例详情界面需要展示VPC、子网、安全组，请增加vpc::get和vpc::list授权项。 查询任务列表 nosql:task:list 支持： IAM项目(Project) 企业项目(Enterprise Project) 删除实例 nosql:instance:delete 支持： IAM项目(Project) 企业项目(Enterprise Project) 删除实例需要同时删除数据侧IP地址。 重启实例 nosql:instance:restart 支持： IAM项目(Project) 企业项目(Enterprise Project) 重置密码 nosql:instance:modifyPasswd 支持： IAM项目(Project) 企业项目(Enterprise Project) 变更实例安全组 nosql:instance:modifySecurityGroup 支持： IAM项目(Project) 企业项目(Enterprise Project) 修改数据库端口 nosql:instance:modifyPort 支持： IAM项目(Project) 企业项目(Enterprise Project) 绑定公网IP nosql:instance:bindPublicIp 支持： IAM项目(Project) 绑定公网IP时，需要查询已经创建好的公网IP。 不支持企业项目 不支持细粒度 解绑公网IP nosql:instance:unbindPublicIp 支持： IAM项目(Project) 不支持企业项目 不支持细粒度 磁盘扩容 nosql:instance:modifyStorageSize 支持： IAM项目(Project) 企业项目(Enterprise Project) 规格变更 nosql:instance:modifySpecification 支持： IAM项目(Project) 企业项目(Enterprise Project) 节点扩容 nosql:instance:extendNode vpc:vpcs:list vpc:vpcs:get vpc:subnets:get vpc:securityGroups:get vpc:ports:get 支持： IAM项目(Project) 企业项目(Enterprise Project) 节点缩容 nosql:instance:reduceNode 支持： IAM项目(Project) 企业项目(Enterprise Project) 删除集群节点。 修改备份策略 nosql:instance:modifyBackupPolicy 支持： IAM项目(Project) 企业项目(Enterprise Project) 重命名实例 nosql:instance:rename 支持： IAM项目(Project) 企业项目(Enterprise Project) 创建手动备份 nosql:backup:create 支持： IAM项目(Project) 企业项目(Enterprise Project) 查询备份列表 nosql:backup:list 支持： IAM项目(Project) 企业项目(Enterprise Project) 下载备份文件 nosql:backup:download 支持： IAM项目(Project) 企业项目(Enterprise Project) 恢复到新实例 nosql:backup:restoreToNewInstance vpc:vpcs:list vpc:vpcs:get vpc:subnets:get vpc:securityGroups:get vpc:ports:get 支持： IAM项目(Project) 企业项目(Enterprise Project) 加密实例需要在项目上配置KMS Administrator权限。 备份恢复到已有实例 nosql:backup:restoreToExistInstance 支持： IAM项目(Project) 企业项目(Enterprise Project) 删除备份 nosql:backup:delete 支持： IAM项目(Project) 企业项目(Enterprise Project) 创建参数模板 nosql:param:create 支持： IAM项目(Project) 企业项目(Enterprise Project) 查询参数模板列表 nosql:param:list 支持： IAM项目(Project) 企业项目(Enterprise Project) 修改参数模板中的参数值 nosql:param:modify 支持： IAM项目(Project) 企业项目(Enterprise Project) 变更实例下节点的参数配置 nosql:instance:modifyParameter 支持： IAM项目(Project) 企业项目(Enterprise Project) 删除参数模板 nosql:param:delete 支持： IAM项目(Project) 企业项目(Enterprise Project) 标签操作 nosql:instance:tag tms:resourceTags:list 支持： IAM项目(Project) 企业项目(Enterprise Project) 标签列表 nosql:tag:list tms:resourceTags:list 支持： IAM项目(Project) 企业项目(Enterprise Project) 查询企业项目配额管理列表 nosql:quota:list 支持： IAM项目(Project) 企业项目(Enterprise Project) 修改企业项目配额 nosql:quota:modify 支持： IAM项目(Project) 企业项目(Enterprise Project) 切换审计日志开关 nosql:instance:switchAuditLog 支持： IAM项目(Project) 企业项目(Enterprise Project) 下载审计日志 nosql:instance:downloadAuditLog 支持： IAM项目(Project) 企业项目(Enterprise Project) 删除审计日志 nosql:instance:deleteAuditLog 支持： IAM项目(Project) 企业项目(Enterprise Project) 更新慢日志明文开关 nosql:instance:modifySlowLogPlaintextSwitch 支持： IAM项目(Project) 企业项目(Enterprise Project) 切换SSL开关 nosql:instance:switchSSL 支持： IAM项目(Project) 企业项目(Enterprise Project) 修改内网IP nosql:instance:modifyPrivateIp 支持： IAM项目(Project) 企业项目(Enterprise Project) 切换主备节点 nosql:instance:switchover 支持： IAM项目(Project) 企业项目(Enterprise Project) 数据库补丁升级 nosql:instance:upgradeDatabaseVersion 支持： IAM项目(Project) 企业项目(Enterprise Project) 停止备份 nosql:backup:stop 支持： IAM项目(Project) 企业项目(Enterprise Project) 查询日志配置组 lts:groups:get 支持： IAM项目(Project) 企业项目(Enterprise Project) 查询日志配置流 lts:topics:get 支持： IAM项目(Project) 企业项目(Enterprise Project)

字段 场景 是否必填 字段说明 连接器集群名称 远程办公/办公组网/全球加速 是 给您的连接器集群命名，方便您区分对应的网络数据中心。 描述 远程办公/办公组网/全球加速 否 给您的连接器集群进行描述，方便您对连接器集群进行区分和记忆。 使用场景 远程办公/办公组网/全球加速 是 支持单选或者多选远程办公、办公组网、全球加速。 部署模式 办公组网 是 使用场景仅办公组网时，出现部署模式配置。支持配置为： 加速模式：在全球或区域范围内设置多个 POP 点，企业分支机构先连接到就近的 POP 点，POP 点之间通过专线骨干网互联，然后再通过 POP 点连接到企业总部、数据中心或云资源等。适用于分支众多、有跨省或跨国业务的中大型企业，尤其是对网络性能、安全和管理效率要求较高，需要频繁访问云资源或与多个分支机构进行数据交互的企业。 连接模式：远程办公地点或分支机构直接通过AOne加密方式通过互联网直接连接到企业总部网络，没有中间的 POP 点作为中转，是一种点到点的直接连接方式。适合规模较小、分支机构或远程办公点数量较少，网络需求相对简单，主要是实现与企业总部的直接通信和资源共享，对网络成本较为敏感的企业或组织。 混合模式：连接器集群同时与加速模式和连接模式的其他连接器配为组网。 注意：若您希望该连接器集群同时作为办公组网、办公组网或全球加速共同使用时，部署模式仅支持加速模式。 接入区域 远程办公/办公组网/全球加速 是 请选择连接器集群的部署区域，以便获取最优的接入点。 带宽上限 远程办公/办公组网/全球加速 是 带宽上限将限制集群下所有实例上行+下行带宽之和，如超过则进行限速。 若触发限速，平台将根据实例的实际上行/下行带宽值，按比例进行动态分配，对实例进行限速。 例如：设置带宽上限为15Mbps，此时实例A上行带宽为6Mbps，下行带宽为4Mbps；实例B上行带宽为2Mbps，下行带宽为3Mbps。则平台将对实例A下发上行限速6Mbps，下行限速4Mbps；对实例B下发上行限速2Mbps，下行限速3Mbps。 注意：使用场景为远程办公（中国内地）、办公组网（连接模式）时，不限制带宽上限值。其余使用场景，将限制集群的带宽上限之和不能超过区域的订购带宽值。 连接UDP端口 办公组网 是 部署模式为连接模式时，支持配置连接UDP端口，默认50000。 注意：直连部署模式下进行组网的两个连接器集群，至少有一端可通过公网直接访问。如果有防火墙配置，请设置放行连接器IP及连接UDP端口。 自定义DNS服务器 远程办公/办公组网/全球加速 否 支持设置连接器解析域名的DNS服务器地址，至多填写3个，若填写多个会进行轮询解析，请确保连接器所在服务器和DNS服务器网络连通，若未填写，则使用部署连接器所在的服务器上的DNS服务器地址。 升级方案 远程办公/办公组网/全球加速 是 可选自动升级或手动升级： 自动升级将在工作日按照设定的升级时间段进行自动升级（同集群内多台机器将进行错开升级，保障服务）； 手动升级则由您人工触发升级。 升级过程中若存在异常将自动进行回退，整体升级时间在1分钟左右，若连接器集群仅单连接器，则升级可能存在短暂业务影响，请及时关注。创建连接器集群时配置的升级策略将作为连接器安装实例的初始配置，在您安装完连接器后，您可对安装的连接器实例单独配置升级策略。 升级时间 远程办公/办公组网/全球加速 是 若选择自动升级，则需要选择连接器自动升级时间，若新版本发布后将在自动升级时间点内进行后台推送升级，建议您设置在业务低峰期。

参数 参数说明 本实践配置示例 名称 伸缩组的名称，用户可自定义，也可以选择保持系统默认分配名称。 asgrouptest 最大实例数（台） 当伸缩组的当前实例数大于最大实例数时，弹性伸缩服务会自动移出实例，使得伸缩组的当前实例数等于伸缩最大实例数。理论上实际实例数不允许大于最大实例数。 10 最小实例数（台） 当伸缩组的当前实例数小于伸缩最小实例数时，弹性伸缩服务会自动添加实例，使得伸缩组的当前实例数等于伸缩最小实例数。理论上实际实例数不允许小于最小实例数。 0 开启期望实例数 伸缩组内是否开启期望实例数配置。期望实例数是伸缩组内包含的实例数量的稳态值。 若您为伸缩组开启并设置了期望实例数，当伸缩组内实例数不等于期望实例数时，弹性伸缩服务会自动进行扩缩容，确保伸缩组内始终保持该数量的实例数。 不启用 虚拟私有云 同一伸缩组内的弹性云主机的虚拟私有云是一致的。 vpc233测试 网卡 一个伸缩组可以绑定多张网卡，默认第一张网卡为主网卡。 subnet857f 安全组 安全组类似防火墙功能，是一个逻辑上的分组，用于设置网络访问控制。 DefaultSecurityGroup 负载均衡 选择启用负载均衡后，伸缩组中的云主机会自动挂载到您关联的负载均衡下。访问流量将按照分发策略自动分发到伸缩组内的所有弹性云主机。注意：一个伸缩组可最多添加10组负载均衡监听器。当选择使用弹性负载均衡时，需配置4个参数：负载均衡器、主机组、后端端口和权重。 不启用 实例移除策略 在对伸缩组进行缩容时，会采用此策略进行移除，共有以下四种方式： 较早创建的配置且较早创建的实例：先筛选出较早创建的配置所创建出的实例，再筛选较早创建的实例移出。 较晚创建的配置且较晚创建的实例：先筛选出较晚创建的配置所创建出的实例，再筛选较晚创建的实例移出。 较早创建的实例（FIFO）：根据时间筛选较早创建的实例，跟是否是伸缩配置创建的无关。 较晚创建的实例（LIFO）：根据时间筛选较晚创建的实例，跟是否是伸缩配置创建的无关。 较晚创建的实例 实例回收模式 指伸缩组自动创建的实例被移出后的处理策略。 释放模式：将移出的伸缩组自动创建的云主机释放。 注意：对于手动移入伸缩组的云主机，如果被移出伸缩组，资源不会被释放，状态保持不变，不适用此策略。 释放模式 健康检查方式 健康检查会将处于“异常”状态的云主机从伸缩组中移出，并替换同种规格的云主机来承载业务流量。有以下两种方式： 云主机健康检查：是指对云主机的运行状态进行检查，如关机、删除都是云主机异常状态。 弹性负载均衡健康检查：是指根据负载均衡对云主机的健康检查结果进行的检查。所有监听器下检测到的云主机状态必须均为正常。 不启用：关闭伸缩组健康检查，伸缩组不会获取实例健康状态信息。 注意：只有开启负载均衡时您才可以选择弹性负载均衡健康检查，建议当伸缩组开启负载均衡时，使用弹性负载均衡健康检查。 云主机健康检查 健康检查间隔 执行健康检查的周期时间。您可以根据业务实际情况设置合理的健康检查间隔（5分钟、 15分钟、 1小时、 3小时），以确保其包含主机中应用程序的预期启动时间。 5分钟 企业项目 支持为伸缩组选择企业项目。 Default

私网NAT网关支持SNAT规则和DNAT规则共用一个中转IP吗？ 支持，SNAT规则、DNAT规则可以共用同一个中转IP，实现服务开放和主动访问使用同一私网地址。 私网NAT网关是否支持网络ACL？ 私网NAT网关本身不支持ACL，可以通过配置私网NAT后端的主机安全组和ACL来进行访问控制。 网络ACL：可以通过网络ACL来配置子网出入流量的规则，限制特定协议、端口或IP地址的访问，具体操作步骤请参见创建ACL。 安全组：安全组是一种虚拟防火墙，可以在弹性云主机中配置。通过安全组，可以定义允许和拒绝的流量规则，限制特定协议、端口或IP地址的访问，具体操作步骤请参见创建安全组。 私网NAT网关配置完成后，网络不通如何处理？ 私网NAT网关配置完成后，网络不通可以通过以下步骤进行处理： 1. 检查私网NAT网关状态是否处于运行中，如果不是运行中，可以通过以下方法解除异常。 1. 私网NAT网关到期，显示已到期，可以点击续订，让私网NAT网关恢复正常。再次进行连接测试。 2. 私网NAT网关按需欠费后，会处于冻结状态，可以进行续费处理，让私网NAT网关恢复正常。再次进行连接测试。 2. 检查SNAT规则和DNAT规则配置是否正确。 1. 在SNAT规则配置页面确认SNAT规则是否已经配置生效，且确认弹性云主机在SNAT规则子网内，或源访问地址在SNAT规则的源地址段内。如果SNAT规则未配置正确则无法访问公网。如何配置SNAT规则，具体操作步骤请参见管理SNAT规则。 2. 在DNAT规则配置页面确认DNAT规则已经配置生效，DNAT规则配置未生效会访问不通。关于如何配置DNAT规则，具体操作步骤请参见管理DNAT规则。 3. 检查是否由于VPC路由表配置错误引起的，可以通过以下方法重新配置VPC路由表。 1. 找到VPC对应的子网关联的路由表。 2. 查看路由表是否有到私网NAT网关的路由，如果不包含，请添加对应的路由。具体操作步骤请参见管理私网NAT网关，再次进行连接测试。 4. 检查云主机安全组配置，如果安全组没有放通弹性云主机访问和对外提供服务使用的端口，需要在对应的安全组中添加放行该端口。 1. 点击云主机名称，进入云主机详情页，选择安全组页签，展开安全组规则。 2. 出方向放通所有端口，地址为0.0.0.0/0，入方向端口放通DNAT绑定的应用端口，具体操作步骤请参加添加安全组规则。再次进行连接测试。 5. 检查网络ACL设置，如果VPC的业务子网关联了网络ACL，可能导致网络不同。 1. 点击子网名称，进入子网详情页，选择ACL页签，查看是否有绑定网络ACL，检查入方向规则和出方向规则是否添加了放通子网流量的规则。 2. 如果未添加放通子网流量的规则，请添加入方向、出方向规则放通子网流量或者将网络ACL与子网取消关联。再次进行连接测试。 6. 检查私网NAT网关业务量是否超过规格上限。 1. 在云监控云服务监控中找到私网NAT网关名称，点击查看监控指标，查看私网NAT网关业务指标情况。 2. 如果超过上限，可以点击私网NAT网关操作栏的“变配”，变更私网NAT网关的规格。再次进行连接测试。 7. 检查弹性云主机端口，以CentOS为例可使用以下命令行查看端口监听是否正常。 1. netstat ntulp grep 云主机端口。 2. 如果端口没有被正常监听，请重新开启弹性云主机端口。 8. 如果上述排查后，网络依然不通，可以提交工单，联系技术支持人员帮助解决。

本节介绍如何创建扫描任务。 操作场景 该任务指导用户通过漏洞扫描服务创建扫描任务。 前提条件 已获取管理控制台的登录帐号与密码。 域名的“认证状态”为“已认证”。 如果您的网站设置了防火墙或其他安全策略，将导致VSS的扫描IP被当成恶意攻击者而误拦截。因此，在使用VSS前，请您将以下VSS的扫描IP添加至网站访问的白名单中：114.217.39.79，222.93.127.109 操作步骤 1. 登录管理控制台。 2. 在左侧导航树中，单击，选择“安全 > 漏洞扫描（专业版）”，进入漏洞扫描服务页面。 3. 在“资产列表 > 网站”页签，单击对应的网站信息“操作”列的“扫描”。 4. 进入创建扫描任务入口，如下图所示。 5. 在“创建任务”界面，请根据下表进行扫描设置，设置后如下图所示。 扫描设置参数说明： 参数 参数说明 任务名称 用户自定义。 目标网址 待扫描的网站地址或IP地址。 通过下拉框选择已认证通过的域名。 开始时间 可选参数，设置开始扫描的时间，不设置默认立即扫描。 扫描策略 三种扫描策略： 极速策略：扫描耗时最少，能检测到的漏洞相对较少。 标准策略：扫描耗时适中，能检测到的漏洞相对较多。 深度策略：扫描耗时最长，能检测到最深处的漏洞。 有些接口只能在登录后才能访问，建议用户配置对应接口的用户名和密码，VSS才能进行深度扫描。 说明 “极速策略”：扫描的网站URL数量有限且VSS会开启耗时较短的扫描插件进行扫描。 “深度策略”：扫描的网站URL数量不限且VSS会开启所有的扫描插件进行耗时较长的遍历扫描。 “标准策略”：扫描的网站URL数量和耗时都介于“极速策略”和“深度策略”两者之间。 是否扫描登录URL 默认不扫描登录URL，开启扫描登录URL前请先评估业务影响。 是否将本次扫描升级为专业版规格 基础版用户开启此功能后，扫描过程中会按需扣费： 鼠标移动至“?”了解升级后影响。 打开此功能时，扫描时会自动升级为专业版按需扣费，关闭该功能时，扫描时不会升级。 扫描项设置 VSS支持的扫描功能参照下表。 ：开启。 ：关闭。 扫描项设置： 扫描项名称 说明 Web常规漏洞扫描（包括XSS、SQL注入等30多种常见漏洞） 提供了常规的30多种常见漏洞的扫描，如XSS、SQL等漏洞的扫描。默认为开启状态，不支持关闭。 端口扫描 检测主机打开的所有端口。 弱密码扫描 对网站的弱密码进行扫描检测。 CVE漏洞扫描 CVE，即公共暴露漏洞库。VSS可以快速更新漏洞规则，扫描最新漏洞。 网页内容合规检测（文字） 对网站文字的合规性进行检测。 网页内容合规检测（图片） 对网站图片的合规性进行检测。 网站挂马检测 挂马：上传木马到网站上，使得网站在运行的时候执行木马程序，被黑客控制，遭受损失。VSS可以检测网站是否存在挂马。 链接健康检测（死链、暗链、恶意外链） 对网站的链接地址进行健康性检测，避免您的网站出现死链、暗链、恶意链接。 说明 如果您当前的服务版本已经为专业版，不会提示升级。 基础版支持常见漏洞检测、端口扫描，每日扫描任务上限5个，单个扫描任务时长限制2小时。 专业版支持常见漏洞检测、端口扫描、弱密码扫描，每日扫描任务上限多达60次。 高级版支持常见漏洞检测、端口扫描、弱密码扫描，每日扫描任务上限多达60次。 企业版支持常见网站漏洞扫描、基线合规检测、弱密码、端口检测、紧急漏洞扫描、周期性检测，每日扫描任务上限多达60次。 6. 设置完成后，单击“开始扫描”。 说明 如果没有设置开始扫描时间，且此时服务器没有被占用，则创建的任务可立即开始扫描，任务状态为“进行中”；否则进入等待队列中等待，任务状态为“等待中”。

本文介绍如何通过独享型接入方式将网站接入WAF进行防护。 使用独享型接入方式接入WAF前，需要先添加防护对象。 前提条件 已购买WAF独享型实例，且当前实例支持接入的防护对象数量未超过限制。 操作步骤 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 进入到云WAF控制台，在左侧导航栏选择“接入管理”，选择“独享型接入”页签。 5. 点击“添加防护对象”进入信息配置页，依次配置“防护对象”、“服务器配置”、“代理情况”、“负载均衡策略”等信息。 配置项说明如下： 配置项 说明 选择实例 单击“选择实例”，在弹出的选择实例对话框中，找到目标实例，单击操作列的“选择”。 防护对象 填写防护网站的域名或IP。 域名：支持添加精确域名和泛域名。 精确域名：支持多级别精确域名，例如主域名ctyun.cn、子域名www.ctyun.cn等。 泛域名：支持使用泛域名格式，例如.ctyun.cn可以匹配www.ctyun.cn、test.ctyun.cn。 说明 使用泛域名后，WAF将自动匹配该泛域名对应的所有子域名，例如，.ctyun.cn能够匹配www.ctyun.cn、test.ctyun.cn等。 泛域名不支持匹配对应的主域名，例如.ctyun.cn不能匹配ctyun.cn。 如果同时存在精确域名和泛域名，则精确域名的转发规则和防护策略优先生效。 IP：支持防护公网IP、私网IP。 当填写公网IP时，指客户端访问业务系统直接指向的弹性IP（该弹性IP可能绑定在防火墙或WAF上）。 当填写私网IP时（用于内网访问防护场景），填写内网客户端访问的内网IP（因内网访问情况下，WAF代理业务系统，此处需填写WAF代理业务系统的IP而非业务系统本身的IP，即WAF业务网卡的VIP，业务系统内网IP填写在回源IP处）。 说明 采用内部IP代理场景下，因直接通过IP访问，WAF监听对象为WAF本身的IP，为了区分不同的业务，后端多业务不能采用相同端口，例如后端两个不同的业务不能同时采用80端口，否则WAF无法判断业务需要回源到哪个端口，会导致防护无法生效；若内部WAF采用域名进行区分则可配置相同端口。 防护对象名称 自定义防护网站的显示名称。 服务器配置 单击“添加一个服务器端口组”，弹出新增服务器端口组窗口。 选择网站使用的协议类型以及对应的转发服务端口： 协议类型：HTTP/HTTPS。 端口：选中协议后，系统会对应设置默认端口，HTTP协议默认为80端口，HTTPS协议默认为443端口。 用户也可自定义选择其他端口，可选类型： 标准端口：80、8080；443、8443。 非标端口：除以上标准端口以外的端口。 说明 如果防护域名使用非标准端口，请查看WAF支持的端口。 WAF通过此处添加的端口为网站提供流量的接入与转发服务，网站域名的业务流量只通过已添加的服务端口进行转发。对于未添加的端口，WAF不会转发任何该端口的访问请求流量到源站服务器，因此这些端口的启用不会对源站服务器造成任何安全威胁。 源站地址：设置网站的源站服务器地址，支持IP地址格式和域名格式。完成接入后，WAF将过滤后的访问请求转发到此处设置的服务器地址。设置说明如下： IP地址格式：填写源站的私网IP地址。 最多支持添加40个源站IP或服务器域名。 支持同时配置IPv4和IPv6地址。 说明 如果此处配置私网IP，请确保WAF到源站的网络路径是可访问的，以便于WAF能够对流量进行监控。 域名格式：一般对应该域名在DNS服务商处配置的CNAME。使用域名格式时， WAF会将客户端请求转发到回源域名解析出来的IP地址。 权重：当负载均衡算法为“加权轮询”时生效，所有请求将此处配置的权重轮流分配给源站服务器，权重越大，回源到该源站的几率越高。 不输入则视同为最低权重1。 当输入值为0时，业务不会回源到该站点。 取值范围：0~100的正整数。 说明 当健康检查发现站点出现问题时，剩余站点将按照剩余配置权重进行动态比例变化后的结果进行回源转发，节点回源请求比例节点权重/所有权重之和。 若回源列表中所有源站健康检查均失败了，为保障业务默认通路WAF将会强制回源至回源列表中顺序为第一个的站点。 若设置多个权重为0的节点，仅会回源至列表上第一个权重为0的节点。 所有站点全部健康检查失败，会强制回配置列表第一个节点。 证书配置 若选择HTTPS协议，还需要上传证书，且证书必须正确、有效，才能保证WAF正常防护网站的HTTPS协议访问请求。 1. 点击“上传证书”，进入服务器端证书配置页面。 2. 选择证书类型，支持“通用证书”和“国密证书”。 3. 配置证书。支持证书选择、手动填写、文件上传方式： 证书选择：如您使用了证书管理服务，可通过下拉框选择已有证书。 手动填写：填写证书名称，并将与域名关联的证书文件和私钥文件的文本内容的PEM编码分别复制粘贴到证书文件和证书私钥中。 文件上传：填写证书名称，点击“上传”，将与域名关联的证书文件和私钥文件上传至平台中。 说明 手动填写需要将证书和私钥的PEM编码内容填入。 上传证书时，如果证书是.PEM/.CER/.CRT的后缀，可以直接上传；私钥文件若为.KEY/.PEM的后缀，请确保内容格式为PME编码，即可上传。 高级设置 > HTTP强制跳转 选择HTTPS后，还支持启用HTTP强制跳转功能。 HTTPS强制跳转表示将客户端的HTTP请求强制转换为HTTPS请求，默认跳转到443端口。 如果您需要强制客户端使用HTTPS请求访问网站以提高安全性，则开启该设置。 说明 只有在未选中HTTP协议时，支持开启该设置。 请确保网站支持HTTPS业务再开启该设置。开启该设置后，部分浏览器将被强制设置为使用HTTPS请求访问网站。 高级设置 > TLS协议版本和加密套件 选择证书后，需要配置TLS协议版本和加密套件。WAF默认配置的TLS协议版本为“TLS1.0及以上版本”，加密套件为“全部加密套件”。 TLS协议版本 配置说明如下，为了确保网站安全，请根据业务实际需求进行配置： 支持TLS1.0及以上版本：所有的TLS协议都可以访问网站，兼容性最高，适用于网站无安全性要求的场景。 支持TLS1.1及以上版本：WAF将自动拦截TLS1.0协议的访问请求，适用于网站安全性能要求一般的场景。 支持TLS1.2及以上版本：WAF将自动拦截TLS1.0和TLS1.1协议的访问请求，适用于网站安全性能要求很高的场景。 自定义加密协议：WAF只允许所选TLS协议访问网站。 加密套件 配置说明： 全部加密套件：兼容性较高，安全性较低。 协议版本的自定义加密套件：请谨慎选择，避免影响业务。 WAF支持的加密套件及TLS协议版本详细信息请参见WAF支持的加密套件。 高级设置 > SSL解析方式 选择HTTPS后，支持配置SSL解析方式。支持“单向认证”和“双向认证”。 说明 国密证书暂不支持双向认证。 健康检查 开启健康检查将自动移除对失效源站的转发策略，当失效源站恢复健康后将重新加入转发列表。 开启后，还需配置健康检查策略。 代理情况 选择网站业务在接入WAF前是否开启了其他代理服务（例如DDoS高防、CDN等），按实际情况选择： 否：表示WAF收到的业务请求来自发起请求的客户端。WAF直接获取与WAF建立连接的IP作为客户端IP。 是：表示WAF收到的业务请求来自其他代理服务转发，而非直接来自发起请求的客户端。 为了保证WAF可以获取真实的客户端IP进行安全分析，需要进一步设置“源IP获取方式”。 源IP获取方式：系统默认设置为“从Socket连接中获取”，您也可按实际情况，创建一个有序的判定列表，系统将从列表的第一项开始查找，若不存在或者是非法的IP格式，则尝试下一条。 其中检测末项固定为“从Socket连接中获取”。获取方式列表最多可添加5条规则，可选项如下： 从Socket连接中获取 从XFowardedFor连接中获取倒数第x层代理 从HTTP头“XClientIP”中获取 负载均衡策略 当设置了多个源站服务器地址时，需设置多源站服务器间的负载均衡算法。可选项如下： 轮询：将所有请求轮流分配给不同的源站服务器。 IP Hash：将来自同一个IP的请求定向分配给同一个源站服务器。 加权轮询：根据同一组回源地址内配置的权重进行加权回源，权重越大，回源到该源站的几率越高。 设置生效后，WAF将根据设置的负载均衡算法向多个源站地址分发回源请求，实现负载均衡。 流量标记 开启流量标记功能，WAF在转发客户端请求到源站服务器时，通过在回源请求头部添加标记字段，标记该请求经过WAF转发，可以帮助源站判断请求来源。 如果请求中存在指定标记字段，则为WAF检测后的正常请求，放行该请求；如果请求中不存在指定标记字段，则为攻击者请求，拦截该请求。 单击“添加一个标记”，添加流量标记。最多支持添加5个标记字段。 支持如下标记类型： 自定义请求Header，配置自定义Header名、Header值。 客户端真实IP，配置客户端真实IP所在的HTTP Header名。 客户端真实源端口，配置客户端真实源端口所在的HTTP Header名。 注意 请勿填写标准的HTTP头部字段，否则会导致标准头部字段内容被自定义的字段值覆盖。 回源长连接 功能开启后，支持回源长连接功能，WAF独享版最大支持50000个回源长连接。 开启“回源长连接”后，还需配置“空闲连接超时时间”，默认值为10秒，最多支持60秒。 功能关闭后，将不支持WebSocket。 说明 当针对源站健康检查失败时，WAF会主动将失效的源站剔除回源列表，并将请求按照剩余站点权重比例/轮询转发至剩余健康站点，直至该源站恢复健康。 若回源列表中所有源站健康检查均失败了，为保障业务默认通路WAF将会强制回源至回源列表中顺序为第一个的站点。 源站响应超时切换时间公式：（检查间隔 + 响应超时时间） × 请求失败失效阈值。 源站恢复切换时间公式：（检查间隔 + 响应超时时间） × 失效后恢复健康阈值。 超时配置 开启超时配置，可以配置如下超时时间： 连接超时时间：WAF转发客户端请求时，与源站建立连接的超时时间。 读连接超时时间：WAF等待源站响应的超时时间。 写连接超时时间：WAF向源站发送请求的超时时间。 以上默认值均为60秒，最短支持10秒，最长支持1200秒。 备注 防护对象的描述信息，可以自定义。 6. 配置完成后单击“保存”，返回独享型接入页面。该网站的WAF防护开关默认开启。

$ % ^ & ( ) + [ ] { } ; : , . / ?), and must not contain any of the following: 3 consecutive repeating characters, 3 consecutive or inreverse order of numbers or letters (caseinsensitive) , 3 consecutive or inreverse order of keyboard sequences (caseinsensitive). 新密码不符合规则。长度范围8~16，至少包含以下字符中的3种：大写字母、小写字母、数字、特殊字符 (~ ! @ $ % ^ & ( ) + [ ] { } ; : , . / ?)，区分大小写。不能包含：3个连续重复的字符，3个连续或反序的数字、或字母（不区分大小写），3个连续或反序的键盘序列（不区分大小写）。 400 InvalidNodeName Value value at 'node name' failed to satisfy constraint: Argument must contain only letters, digits, dots (.), underscores () or hyphens (), and does not exceed 63 characters, must begin with a letter or digit. 节点名称不正确。长度范围1~63，只能由字母、数字、句点(.)、下划线（）和短横线()组成，字母区分大小写，且仅支持以字母或数字开头。 400 InvalidNodeType Value value at 'node type' failed to satisfy constraint: the first node type must be root. 节点类型的包含关系错误，第一个节点必须是root。 400 InvalidNodeType Value value at 'node type' failed to satisfy constraint: childNodes of room are limited to [rack, server], childNodes of rack to [server], childNodes of server to [path] only. 节点类型的包含关系错误。room的节点仅限于rack、server，机架的子节点是server，server的子节点是path。 400 InsufficientPath The base storage pool must have at least one disk path. 基础存储池至少要有一个数据目录。 400 InvalidPort Value valueat 'argument' failed to satisfy constraint: Argument must have value between 1 and 65535. Port的取值必须在[1, 65535]之间。 400 InvalidPortRange Value value at 'port range' failed to satisfy constraint: Argument must satisfy pattern 'port1port2', where port1, port2 are positive integers between 1 and 65535, port1 is less than port2. 参数必须是“port1port2”格式，port1和port2必须是介于[1,65535]之间的正整数，且port1小于port2。 400 InvalidPublicNetwork Value publicNetwork at 'public network' failed to satisfy constraint: Argument must satisfy CIDR specifications. 业务网格式错误。 400 InvalidServers The current server is not in the servers list. 当前服务器不在servers列表内。 400 InvalidServersCount The number of servers for xx service shoule be value. XX服务的服务器数量应该为value台。 400 InvalidStorName Value 'value' at 'argument' failed to satisfy constraint: Argument can only contain letters, digits, hyphens () or underscores (), and does not exceed 64 characters, must begin with a letter or digit. HBlock名称不合法。 400 InvalidTopologyContent The content of the topology is not compliant. 拓扑文件内容解析错误。 400 MissingClusterNetwork Value null at 'cluster network' failed to satisfy constraint: Argument must not be null when 'server ip' contains 'localhost'/'127.0.0.1'/'0:0:0:0:0:0:0:1'. 当server ip包含localhost、127.0.0.1或0:0:0:0:0:0:0:1时，集群网不能为空。 400 MissingPublicNetwork Value null at 'public network' failed to satisfy constraint: Argument must not be null when 'server ip' contains 'localhost'/'127.0.0.1'/'0:0:0:0:0:0:0:1'. 当server ip包含localhost、127.0.0.1或0:0:0:0:0:0:0:1时，业务网不能为空。 400 NotInterfaceIP The IP IP is not an interface IP address, check and retry. IP地址不是服务器的接口IP，请修改并重试。 400 ProductTypeDoesNotMatch HBlock product type does not match. 产品类型不一致。 400 ServerAlreadyInitialized The server has been initialized. 服务器已初始化。 400 StandaloneModeNotAllowed 'operation' is not supported by standalone mode of HBlock. 单机版本HBlock不支持该操作。 400 TooFewServers The number of servers must be greater than or equal to 3. 服务器必须大于等于3台。 400 UnrecognizedServer Value IP at 'argument' failed to satisfy constraint: Argument must be in the setup server list. 服务器IP不在初始化服务器列表内。 400 VersionDoesNotMatch Please replace the HBlock version of server serverIP [,serverIP...] to clutserVersion, then try again. 版本号不一致。 403 InvalidUserName Invalid user name. 用户名不正确。 403 InvalidUserNameOrPassword Invalid user name or password hash. 用户名或密码不正确。 409 PortChanged Initialization failed because the port on the server serverIP is currently used by another service during the initialization process. Please try again. 端口在初始化过程中被其他服务占用，请重试。 409 PortConflict The following port is/ports are in use. serverID/IP/local server: portname port[, portname port...] [ serverID/IP/local server: portname port[, portname port...]...] 端口冲突。 500 InitializeServerFailed Server serverIP initialization failed, please check the firewall, network, memory, diskpath, etc, or contact technical team for support. 服务器初始化失败，请检查防火墙、网络、内存、数据目录等设置，或联系技术团队进行支持。

参数 是否必选 参数说明 名称 是 伸缩组的名称，用户可自定义，也可以选择保持系统默认分配名称。 最大实例数（台） 是 伸缩组内包含的实例数量的最大值，伸缩组内执行的任何伸缩活动结果不得大于最大实例数。 若您修改了伸缩组的最大实例数使得伸缩组的当前实例数大于最大实例数，弹性伸缩服务会自动移出实例，保证伸缩组的当前实例数等于最大实例数。 最小实例数（台） 是 伸缩组内包含的实例数量的最小值，伸缩组内执行的任何伸缩活动结果不得小于最小实例数。 若您修改了伸缩组的最小实例数使得伸缩组的当前实例数小于伸缩最小实例数时，弹性伸缩服务会自动添加实例，保证伸缩组的当前实例数等于伸缩最小实例数。 开启期望实例数 否 伸缩组内是否开启期望实例数配置。期望实例数是伸缩组内包含的实例数量的稳态值。 若您为伸缩组开启并设置了期望实例数，当伸缩组内实例数不等于期望实例数时，弹性伸缩服务会自动进行扩缩容，确保伸缩组内始终保持该数量的实例数。 虚拟私有云 是 同一伸缩组内的弹性云主机的虚拟私有云是一致的。 网卡 是 一个伸缩组可以绑定多张网卡，默认第一张网卡为主网卡。 多可用区扩容策略 是 多可用区资源池伸缩组需指定扩容策略。 均衡策略：在伸缩组绑定的伸缩配置关联多个可用区时生效，支持在多个可用区之间均衡分布云主机实例。 优先级策略：伸缩组绑定的伸缩配置先选择的可用区优先级高。弹性伸缩优先在优先级最高的可用区尝试伸缩活动。若无法扩进行伸缩活动，则自动在优先级次之的可用区进行。 添加已有云主机实例 否 伸缩组创建完成后，支持将符合条件的已有云主机实例移入伸缩组，作为初始化实例，最大可选择添加10个实例。添加已有的云主机实例数量受到最小、最大、期望实例数限制。 安全组 是 安全组类似防火墙功能，是一个逻辑上的分组，用于设置网络访问控制。 负载均衡 否 选择启用负载均衡后，伸缩组中的云主机会自动挂载到您关联的负载均衡下。当选择使用弹性负载均衡时，需配置4个参数：负载均衡器、主机组、后端端口和权重。 访问流量将按照分发策略自动分发到伸缩组内的所有弹性云主机。 注意：一个伸缩组可最多关联10个负载均衡监听器。 实例移除策略 是 在对伸缩组进行缩容时，会采用此策略进行移除，共有以下四种方式： 较早创建的配置较早创建的实例：先筛选出较早创建的配置所创建出的实例，再筛选较早创建的实例移出。 较晚创建的配置较晚创建的实例：先筛选出较晚创建的配置所创建出的实例，再筛选较晚创建的实例移出。 较早创建的实例：根据时间筛选较早创建的实例，跟是否是伸缩配置创建的无关。 较晚创建的实例：根据时间筛选较晚创建的实例，跟是否是伸缩配置创建的无关。 实例回收模式 是 指伸缩组自动创建的实例被移出后的处理策略。 释放模式：将移出的伸缩组自动创建的云主机释放。 注意：对于手动移入伸缩组的云主机，如果被移出伸缩组，资源不会被释放，状态保持不变，不适用此策略。 健康检查方式 是 健康检查会将处于“异常”状态的云主机从伸缩组中移出，并替换同种规格的云主机来承载业务流量。有以下两种方式： 云主机健康检查：是指对云主机的运行状态进行检查，如关机、错误等人为或非人为状态都是云主机异常状态。 弹性负载均衡健康检查：是指根据负载均衡对云主机的健康检查结果进行的检查。所有监听器下检测到的云主机状态必须均为正常。 不启用：关闭伸缩组健康检查，伸缩组不会获取实例健康状态信息。 注意：只有开启负载均衡时您才可以选择弹性负载均衡健康检查，建议当伸缩组开启负载均衡时，使用弹性负载均衡健康检查。 健康检查间隔 是 执行健康检查的周期时间。您可以根据业务实际情况设置合理的健康检查间隔（5分钟、 15分钟、 1小时、 3小时），以确保其包含主机中应用程序的预期启动时间。 企业项目 是 支持为伸缩组选择企业项目。