本章节内容主要介绍常见问题中网络安全 文档数据库服务有哪些安全保障措施 文档数据库服务可设置所属虚拟私有云，从而确保实例与其它业务实现网络安全隔离。另外，通过统一身份认证服务，可以实现对文档数据库服务资源的访问权限控制。 为什么在虚拟私有云中使用文档数据库 虚拟私有云允许您在私有、隔离的网络创建虚拟网络环境，从中可以对私有IP地址范围、子网、路由表和网络网关等方面进行控制。借助虚拟私有云，您可以定义虚拟网络拓扑和网络配置，使其非常类似于您在自己的数据中心所操作的传统IP网络。 在下面的情况下您可能想在虚拟私有云中使用文档数据库服务： 您希望运行面向公众的Web应用程序，同时保留公众不可访问的后端服务器。您可以在一个虚拟私有云内同时创建一个文档数据库实例和弹性云主机实例，同时为弹性云主机实例分配公网IP，将Web服务器部署在弹性云主机实例。 如何确保在虚拟私有云中运行的文档数据库的安全 虚拟私有云安全组可用来帮助确保虚拟私有云内文档数据库实例的安全。 此外，通过网络访问控制列表（ACL），可以允许或拒绝进入和退出各个子网的网络流量。内部安全基础设施（包括网络防火墙、入侵检测和防护系统）可以监视通过IPsec虚拟专用网络连接进入或退出虚拟私有云的所有网络流量。

本章节介绍全链路灰度功能使用 概述 在微服务场景中，一次版本的发布可能会涉及多个应用的灰度发布。全链路灰度功能可以将多个相同版本的应用划分为同一个泳道，通过全链路流量控制的功能将相同版本的应用隔离成一个独立的运行环境（泳道），通过设置泳道规则将请求流量路由到目标版本的应用。 版本限制 框架 限制 详情 Spring Cloud Spring Cloud Edgware及以上版本 客户端：Feign、RestTemplate Dubbo 2.5.32.7.8 jdk版本 1.8+ 开通全链路灰度 步骤 1：创建泳道组 1. 登录微服务治理控制台。 2. 在左侧导航栏选择全链路灰度，点击创建泳道组。 3. 在创建泳道组页面，设置泳道组相关参数，然后单击确定。 参数详情： 参数 说明 泳道组名称 自定义设置的泳道组名称。 入口类型 选择Ingress/自建网关需要自定义路由规则，选择Java服务网关可以在控制台设置入口应用流量规则。 入口应用 选择Java服务网关时的入口应用。 泳道组涉及的应用 当前泳道组涉及的应用。

稳定可靠的高可用架构 多资源池分散部署，异地容灾机制安全可靠；运营商级带宽扩容能力，可支持高并发业务接入防护；采用集群+冗余高可用模式，消除单点故障；全面满足各场景下的高可用需求。 满足等保合规要求 与云原生安全产品深度融合，针对云上云下资产，形成纵深防护体系以及融合防护视角，支持ELB/ALB/ECS等云产品一键接入，与证书管理服务、云安全中心、云防火墙（原生版）等原生安全产品协同联动，一站式完成云上安全统一监控和管理，助力企业安全合规建设；深度兼容IPv6双栈协议，满足等保2.0、GDPR等国内外合规要求，针对政务、金融等强监管行业，提供数据本地化、审计日志隔离存储等专项方案，助力客户通过安全审查与合规验收。

本章节介绍如何配置主动降级规则 配置主动降级规则 主动降级规则可以指定哪些接口需要进行降级，以及在何种情况下需要进行降级。被降级的接口会自动触发自定义的降级行为，以确保系统的稳定性和可靠性。 功能入口 1. 登录微服务治理控制台。 2. 在控制台左侧导航栏中选择应用治理。 3. 在应用治理页面的应用卡片页签单击目标应用卡片。 4. 进入应用之后，新建隔离规则：在左侧导航栏，单击流量防护，在流量防护 规则管理 主动降级规则页，单击新增主动降级规则按钮。 5. 在设置主动降级规则的对话框，完成以下配置，然后单击新建。 使用场景 当某个资源发生异常，可以指定对接口进行降级，而不会执行原来的逻辑。

本节介绍了云容器引擎的应用场景,便于用户选择业务场景使用。 微服务架构 企业应用通过微服务拆分和容器化改造后，推荐使用云容器引擎+容器镜像服务+微服务云应用平台+注册配置中心的产品组合，实现一站式云原生应用托管，加速企业业务迭代。 持续集成交付 提供从开发到上线一致的运行环境，借助第三方工具进行流水线开发测试，自动完成从代码变更到代码构建、测试、镜像构建和应用部署的DevOps完整流程。进行持续交付，替代传统部署方式，提高交付效率。 弹性伸缩 企业应用按业务流量自动扩缩容，不需要人工干预，预防流量激增时导致的业务不可用风险，并且减少对闲置资源的浪费和费用支出。

变量属性 变量名称 规范 电话号码 自定义，建议设置为phone等。 长度为5~11位。 支持国内标准手机号、固定电话号码。 其他号码 自定义，建议根据编号类型设置，例如code、order、ordersn、password等。 订单号等数字或编码，主要用于订单号、密码、随机密钥等数字组成的编号。 不支持手机号、QQ号、微信号、URL等联系方式。 变量限制为1~25个字符。 仅包含大小写字母、数字和字符组合。 时间 自定义，建议根据时间类型设置，例如time、date、day、year、month等。 变量限制为1~25个字符。 需要符合时间的表达方式，例如20210315、20210315、2021/03/15等。 说明： 不支持下划线等特殊符号。 金额 自定义，建议设置为money等有意义的变量名称。 变量限制为1~25个字符。 仅支持传入能够正常表达金额的数字或中文，例如壹、贰、叁、肆等。 注意： 变量中仅支持传入数字或中文，￥$等货币符号需要放在模板中。 其他（名称、账号、地址等） 自定义，建议根据变量类型设置一个有意义的变量名称。 变量限制为1~40个字符。（个人认证客户限制为125个字符） 可以设置为公司、产品、地址、姓名、内容、账号、会员名等。 不允许设置为QQ号、微信号（公众号）、手机号、网址、座机号等联系方式。如果有特殊需要，请把联系方式放入模板中。

本章节介绍如何通过制品(JAR包)部署微服务应用到容器 概述 在微服务云应用平台中接入您的应用进行发布，所支持的介质类型大体上可分为制品（JAR/WAR/TAR包等）、镜像等，您可以按实际需求选择接入的方式。 本文介绍如何通过制品（JAR包）部署微服务应用到容器。 通过JAR包部署微服务应用到容器 前提条件 1. 您已开通微服务云应用平台 2. 您已订购一个云容器引擎实例 3. 您已订购一个nacos注册中心实例 创建环境和导入资源 在左侧导航栏，选择环境管理。在环境列表左上角点击创建环境。环境创建好后，将云容器引擎和nacos注册中心导入到环境中。 创建项目和应用 在左侧导航栏，选择应用列表。在应用列表点击新增项目。展开新增完成的项目，在应用管理下创建应用，技术栈选择 SpringCloud。 项目关联环境 展开项目树，在环境管理下将步骤1创建的环境关联上。 创建容器应用实例并部署 在左侧导航栏，选择容器应用实例 > 应用发布 > 应用实例。在应用实例左上角点击创建应用实例。 基本信息 项目/应用：选择步骤2创建的应用 应用实例名称：无需修改，使用默认名称即可 技术栈版本：选择1.0.0j180jar 接入方式：选择制品 镜像目标架构：云容器引擎是ARM架构勾选linux/arm64，云容器引擎是X86架构勾选linux/amd64或不勾 应用实例版本：无需修改，使用默认版本即可 企业项目：选择default 部署配置 选择集群：选择步骤1导入到环境中的云容器引擎 部署包来源：选择官方demo（支持上传自定义程序包、选择已有程序包、选择官方提供的demo） Demo类型：任意选择一个 制品版本：输入制品版本 完成以上信息填写后，点击下一步进入到预览页面，确认信息无误后，点击创建按钮，完成应用实例创建。 应用实例创建完成后，直接点击查看实例详情按钮，到实例详情页面。点击上方发布应用实例按钮，进入到应用发布界面。点击右下角发布按钮，进入到发布单详情界面。等待发布单完成初始化后再点击发布按钮进行应用发布。应用开始发布后，可点击应用实例发布单，查看应用发布具体信息。

本文为您介绍云搜索服务产品咨询类问题。 云搜索服务如何保证数据和业务运行安全？ 主机安全 云搜索服务提供如下安全措施： 通过VPC+安全组来确保VPC内主机的安全。 通过网络访问控制列表，可以允许或拒绝进出各个子网的黑白名单管控。 内部安全基础设施（包括网络防火墙、入侵检测和防护系统）等。 数据安全 云搜索服务内部，通过多副本、权限管控可对索引数据进行保护隔离。 网络安全 整个网络部署分两个部分进行，两部分物理隔离，保证业务、管理各自网络安全。 业务部分：主要是实例的网络，支持为用户提供业务通道，对外提供数据定义、索引、搜索能力。 管理部分：主要是管理控制台，用于管理云搜索服务。 云搜索服务创建实例时有哪些节点存储选项？ 目前云搜索服务支持高I/O、通用SSD、超高I/O规格，限制最大单盘6T容量。 云搜索服务的实例节点磁盘空间用于存放哪些文件？ 日志文件：Elasticsearch/OpenSearch日志。 数据文件：Elasticsearch/OpenSearch索引文件。 其他文件：集群配置文件、操作系统占用等。 云搜索服务支持哪些搜索功能？ 云搜索服务支持的搜索功能包括强大的全文检索，高亮显示，切面搜索，近实时索引，动态聚类，丰富的文档（如Word、PDF等格式）处理和地理信息搜索等。 云搜索服务使用的数据压缩算法是什么？ 天翼云云搜索服务，除了支持搜索引擎自带的LZ4和DEFLATE算法外，还额外支持了ZSTD压缩算法。具体介绍和使用方法可参考压缩算法章节。

本章节介绍微服务云应用平台的应用部署方式 概述 应用部署，微服务云应用平台提供了两种部署方式，即：普通发布和金丝雀发布。可以根据自己的发布需求，选择不同的部署方式。如果应用pod数量少且架构简单，可以直接选择普通发布；如果应用pod数量较多且架构复杂，可以在普通发布的基础上，设置发布批次，进行分批发布，直到全量更新完成；如果应用是Java Spring Cloud框架或者Dubbo框架的微服务，为了验证应用的正确性，可使用金丝雀发布先进行小规模测试，然后再全量更新。 应用部署 在左侧导航栏，选择容器应用实例 > 应用发布 > 应用实例。点击需要发布的应用实例进入应用实例详情页面，点击上方发布应用实例按钮。 普通发布 选择普通发布，如果发布批次设置为1，则一次性会更新所有pod。如果发布批次设置的大于1，需要再填写首批数量，第一批后更新首批数量的pod个数，后续批次会根据剩余pod数量平均分配到每个批次，依次完成更新。分批方式选择手动，每一批次更新完成后需要手动点击执行下一批。分批方式选择自动，则完成上一批次后会自动执行下一批。 注意 需要注意的是发布的应用实例pod个数需要大于1才可以进行多批发布。 金丝雀发布 选择金丝雀发布，需要设置首批数量、剩余批次和灰度规则。首先会发布首批数量的pod，符合灰度规则的流量会被路由到首批发布的pod中。观察首批发布的pod流量，验证没问题后，可点击执行下一批。若设置的自动在点击完执行下一批后后续批次都会自动执行，设置的手动则需要手动点击执行下一批才会继续执行。 注意 需要注意的是发布的应用实例pod个数需要大于1才可以选择金丝雀发布且首次发布不可使用金丝雀发布。

本文为您介绍轻量型云主机对网络的支持情况。 虚拟私有云( VPC) 轻量型云主机使用虚拟私有云 (VPC) 来进行网络隔离和管理。每个 VPC 包括私网网段、路由表和至少一个子网。 私网网段 ：在创建 VPC 时，用户无法自行指定私网网段，轻量型云主机默认自动创建10.0.0.0/8私网网段，您可以在这个范围内创建子网。 子网 ：云资源（例如云主机、云数据库等）必须部署在子网内。 路由表 ：在创建虚拟私有云VPC时，系统会自动生成默认路由表，新创建的子网会关联到该默认路由表下。默认路由表确保同一个 VPC 下的所有子网之间可以互通。 防火墙 防火墙在轻量型云主机的网络安全中起着关键作用。轻量型云主机的防火墙相当于云主机中的安全组，提供同等的安全防护作用。通过配置防火墙规则，您可以控制轻量型云主机对网络的入站和出站访问，从而增强网络安全。 弹性IP 弹性 IP（Elastic IP Address，简称EIP）是可以独立申请的公网 IP 地址，将弹性 IP 地址和子网中关联的各项云资源绑定和解绑，可以实现 VPC 中的云资源通过固定的公网 IP 地址与互联网互通。弹性IP产品既包含公网IP地址，也可以提供公网带宽服务，与其他带宽产品组合使用，可以达到访问公网与节省成本的目的。轻量型云主机订购时默认分配公网IP，并绑定独享带宽。

本章节介绍如何使用K8s配置项替换配置文件 概述 当您选择使用Kubernetes进行容器化部署时，可以使用配置项去保存一些不需要加密的配置信息，如JVM堆内存、JVM属性参数等，在创建或者部署应用时，系统会自动将配置信息直接注入到容器中。 在微服务云应用平台场景下，这种配置管理方式变得更加灵活和强大。微服务云应用平台不仅支持上述的配置注入，还允许您将配置项以文件的形式直接挂载到容器内的指定目录。这意味着，除了能够动态调整应用的运行参数外，您还可以确保这些配置信息以文件的形式存在，这不仅方便了日常的管理和维护工作，也使得在需要时更新配置或进行故障排查变得更为直观和高效，从而显著提升了整体的运维体验和工作效率。 前提条件 1. 您已开通微服务云应用平台 2. 您已订购一个云容器引擎实例 常用使用场景 覆盖目录下已经存在的文件 这里以常用的nginx镜像举例，在官方的nginx镜像中，/etc/nginx目录下的nginx.conf文件是需要配置的，并且在不同的环境下，该文件内容也不相同。此时，可以使用将配置项以文件形式挂载到容器指定目录下，覆盖原文件，来实现不同环境使用不同配置的效果。 首先需要创建K8s配置项，左侧导航栏，选择容器应用实例 > Kubernetes配置，进入到配置列表，点击左上角创建配置项。需要注意的是：配置项下的键值对映射，键是文件名称，值为文件内容。 挂载配置项，左侧导航栏，选择容器应用实例 > 应用发布 > 应用实例。在应用实例列表选择需要覆盖的应用，进入应用详情界面，点击上方新增版本按钮，进入应用配置界面，在配置管理模块下配置文件挂载。 在配置管理中，可以通过挂载文件的方式，向容器中注入配置信息。需要注意的是，在挂载文件路径中，需要填写到文件名称。如下图所示： 参数 描述 配置类型 目前只支持配置项。 挂载类型 挂载到文件。 挂载源 挂载到应用容器文件系统中的配置项的名称。 挂载主目录 设置容器的挂载主目录，必须以斜杠（/）开头。 文件挂载方式 保留原文件：保留原目录下的文件，添加本次挂载文件。注意，相同文件名将保留本次挂载文件，隐藏原目录重名文件。 挂载配置 要挂载的Key：需要挂载到应用容器文件系统中的配置项指定的Key。挂载文件路径：相对挂载主目录的子路径。

故障级别 故障类型 说明 重调度处理 优雅容错处理 L1 NotHandleFault 对业务无影响的故障，无需处理 暂不处理 暂不处理 L2 RestartRequest 影响业务执行，需要重新执行业务请求 隔离设备，进行任务重调度 推理场景重执行推理请求，训练场景重新执行训练业务 L3 RestartBusiness 影响业务执行，需要重新执行业务 隔离设备，进行任务重调度 重新执行业务 L4 FreeRestartNPU 影响业务执行，待芯片空闲时需复位芯片 隔离设备，进行任务重调度 复位芯片后重新执行业务 L5 RestartNPU 影响业务执行，需立即复位芯片 隔离设备，进行任务重调度 复位芯片后重新执行业务 L6 SeparateNPU 无法恢复，需要隔离设备 隔离设备，进行任务重调度 隔离设备，进行任务重调度

本节介绍了云容器引擎的应用场景,便于用户选择业务场景使用。 微服务架构 企业应用通过微服务拆分和容器化改造后，推荐使用云容器引擎+容器镜像服务+微服务云应用平台+注册配置中心的产品组合，实现一站式云原生应用托管，加速企业业务迭代。 持续集成交付 提供从开发到上线一致的运行环境，借助第三方工具进行流水线开发测试，自动完成从代码变更到代码构建、测试、镜像构建和应用部署的DevOps完整流程。进行持续交付，替代传统部署方式，提高交付效率。 弹性伸缩 企业应用按业务流量自动扩缩容，不需要人工干预，预防流量激增时导致的业务不可用风险，并且减少对闲置资源的浪费和费用支出。

本小节介绍Web应用防火墙功能特性。 网络层防护 HTTP/HTTPS Flood（CC 攻击）防护 应用层防护 黑白名单 对指定访问源加白名单，对恶意访问来源进行封禁。 支持 IP、URL、UserAgent（用户代理）、Referer（Http 访问来源）。 HTTP协议规范攻击防护 包括特殊字符过滤、请求方式、内容传输方式。 例如：multipart/formdata，text/xml，application/xwwwformurlencoded。 注入攻击（form和URL参数，post和get）防护 包括SQL注入防御、LDAP注入防御、命令注入防护（OS命令，Webshell等）、XPath注入、Xml/Json注入。 XSS攻击访问 Form和URL参数，post和get，包括三类攻击：存储式，反射式、基于Dom的XSS。 目录遍历（Path Traversal）攻击防护 认证管理和会话劫持攻击防护 阻断认证管理、cookie信息被盗用、会话劫持攻击。 内容过滤 过滤post form和get参数。 Web服务器漏洞探测攻击防护 阻断Web服务器漏洞探测。 爬虫防护 限制阻断爬虫访问。 站点转换（URL rewrite）访问防护 限制阻断站点转换访问。 网页检测到异常自动阻断源地址 认证管理和会话劫持 防护 CSRF

本章节介绍如何使用全链路流量控制将流量路由到目标应用 概述 您可以为部署在微服务云应用平台中的微服务应用配置全链路流量控制，将具有一定特征的流量路由到目标版本应用。 前提条件 部署新版本应用或升级应用。 背景信息 本文以电商架构中的下单场景为例介绍全链路流控功能。 客户下单后流量从入口应用（或者微服务网关）进来，调用商城应用，商城应用再调用订单应用，订单应用调用下游的支付应用。 商城应用和订单应用各有两个新版本（V1.1和V1.2）在运行，需要对这两个新版本进行灰度验证。此时在入口应用（或者微服务网关）上期望将满足特定流控规则的请求流量路由到新版本，其余流量全部路由到线上（基线）版本。 创建泳道组 在左侧导航栏，选择微服务治理 > 全链路流量控制，单击创建泳道组及泳道按钮。 环境：选择一个环境。 泳道组名称：自定义一个泳道组名称。 入口类型：选择云原生网关类型，需要先将云原生网关实例导入到环境中。 入口应用：选择一个入口应用。 泳道组涉及的所有应用：选择您的入口应用/网关所涉及的所有相关服务。

实例的实际峰值QPS超过已购QPS流量规格时，实例可能会进入沙箱。本文介绍WAF的沙箱机制、如何解除实例的沙箱状态。 沙箱说明 沙箱机制设有沙箱隔离阈值，是不同QPS规格的WAF实例可短期服务的最大防护QPS阈值。当实际业务QPS峰值超过沙箱阈值，或者实际业务QPS峰值超过正常业务请求QPS峰值，但未达到实例沙箱隔离阈值累计3次（含3次），实例会进入沙箱隔离状态，进入沙箱的实例将不再保证产品SLA。 正常业务请求QPS峰值套餐标准QPS峰值+业务扩展包扩展QPS。 沙箱隔离阈值 实例QPS沙箱隔离阈值 正常业务请求QPS峰值 2 不同版本的最大流量规格值及沙箱隔离阈值如下： 版本 套餐标准QPS峰值 正常业务请求QPS峰值 沙箱隔离阈值 基础版 100 100 200 标准版 3000 203000 406000 企业版 5000 205000 410000 旗舰版 10000 210000 420000 上表中，正常业务请求QPS峰值指购买了200个业务扩展包的情况。一个业务扩展包包含：1000QPS/个，最多支持200个业务扩展包。基础版不支持购买扩展包。

本文介绍如何配置防火墙防护策略，包括配置入侵防御模式和配置访问控制策略。 云防火墙提供基础防御功能，可以针对访问流量进行检测与防护，覆盖多种常见的网络攻击，有效保护您的资产。 访问控制策略默认状态为放行，通过配置合适的策略调整防护能力，实现更有效的精细化管控，防止内部威胁扩散，增加安全战略纵深。 配置入侵防御模式操作步骤 在左侧导航栏中，选择“攻击防御 > 入侵防御” 。 功能名称 功能说明 :: 防护模式 观察模式：仅对攻击事件进行检测并记录到日志中。 拦截模式：在发生明确攻击类型的事件和检测到异常IP访问时，将实施自动拦截操作。 拦截模式宽松：防护粒度较粗。拦截可信度高且威胁程度高的攻击事件。 拦截模式中等：防护粒度中等。满足大多数场景下的防护需求。 拦截模式严格：防护粒度精细，全量拦截攻击请求。建议您等待业务运行一段时间后，根据防护效果配置误报屏蔽规则，再开启“严格”模式。 说明 选择防护模式后，可对基础防御规则库的单条防御规则进行修改。具体操作请参见修改基础防御规则动作。 基础防御 为您的资产提供基础的防护能力，默认为“开启”状态。防御功能包括： 检查威胁及漏洞扫描。 检测流量中是否含有网络钓鱼、特洛伊木马、蠕虫、黑客工具、间谍软件、密码攻击、漏洞攻击、SQL注入攻击、XSS跨站脚本攻击、Web攻击。 是否存在协议异常、缓冲区溢出、访问控制、可疑DNS活动及其他可疑行为。 虚拟补丁 在网络层级为IPS提供热补丁，实时拦截高危漏洞的远程攻击行为，同时避免修复漏洞时造成业务中断。 高级 敏感目录扫描防御 防御对用户主机敏感目录的扫描攻击。 “动作”： 观察模式：发现敏感目录扫描攻击后，CFW仅记录攻击日志，查看攻击日志请参见日志查询。 拦截Session：发现敏感目录扫描攻击后，拦截当次会话。 拦截IP：发现敏感目录扫描攻击后，CFW会阻断该攻击IP一段时间。 “持续时长”：“动作”选择“拦截IP”时，可设置阻断时间，范围为60~3600s。 “阈值”：对于单个敏感目录扫描频率达到设定的阈值后，CFW会采取相应“动作”。 高级 反弹Shell检测防御 防御网络上通过反弹shell方式进行的网络攻击。 “动作” ： 观察模式：发现反弹shell攻击后，仅记录攻击日志，查看攻击日志请参见日志查询。 拦截Session：发现反弹shell攻击后，拦截当次会话。 拦截IP：发现反弹shell攻击后，CFW会阻断该攻击IP一段时间。 “持续时长”：“动作”选择“拦截IP”时，可设置阻断时间，范围为60~3600s。 “模式 ”： 低误报：防护粒度较粗。观察或拦截频次较高的攻击，用于确保攻击处理没有误报。 高检测：防护粒度精细，确保攻击能够被发现并处理。

配置SSH登录IP白名单 SSH登录IP白名单功能是防护帐户爆破的一个重要方式，主要是限制需要通过SSH登录的服务器。 单一账号最多可添加10个SSH登录IP白名单。配置了白名单的服务器，只允许白名单内的IP通过SSH登录到服务器，拒绝白名单以外的IP。 启用该功能时请确保将所有需要发起SSH登录的IP地址都加入白名单中，否则您将无法SSH远程登录您的服务器。若您的业务需要访问主机，但不需要SSH登录，则可以不用添加到白名单。 IP加入白名单后，帐户破解防护功能将不再对来自白名单中的IP登录行为进行拦截，该IP对您加入白名单的服务器登录访问将不受任何限制，请谨慎操作。 1、选择“安装与配置 > 安全配置 > SSH登录IP白名单”，单击“添加白名单IP”。 2、在弹出的对话框中输入“白名单IP”，勾选需要生效的云服务器，可勾选多个服务器，确认无误单击“确认”，添加操作完成。 说明 “常用登录IP”必须填写公网IP或者IP段。如果设置的非公网IP地址，您将无法SSH远程登录您的服务器 单次只能添加一个IP，若需添加多个IP，需重复操作添加动作，直至全部IP添加完成。 3、返回“安装与配置 > 安全配置 > 常用登录IP”页面查看是否已新增，出现新增表示添加成功。 开启恶意程序隔离查杀 开启恶意程序隔离查杀后，HSS对识别出的后门、木马、蠕虫等恶意程序，提供自动隔离查杀功能，帮助您自动识别处理系统存在的安全风险。 1、选择“安装与配置 > 安全配置 > 恶意程序隔离查杀”，分别单击“恶意程序隔离查杀”和“恶意软件云查杀”的开关，开启“恶意程序隔离查杀”和“恶意软件云查杀”。 开启后将应用至企业主机安全全局服务器，但部分检测能力受主机安全配额版本的限制无法运行，若需正常使用，建议您开启企业版及以上版本更好的体验隔离查杀功能。 2、在弹出的对话框中单击“确认”，开启“恶意程序隔离查杀”和“恶意软件云查杀”。 自动隔离查杀有可能发生误报。您可以在企业主机安全控制台“入侵检测”页面中，选择“事件管理”页签，查看被隔离的恶意程序。在此您可以对指定的恶意程序执行取消隔离、忽略等操作。 程序被隔离查杀时，该程序的进程将被立即终止，为避免影响业务，请及时确认检测结果，若隔离查杀有误报，您可以执行取消隔离/忽略操作。 在“恶意程序隔离查杀”界面，如果不开启“恶意程序隔离查杀”功能，当HSS检测到恶意程序时，将会触发告警。 您可以在“入侵检测”的“安全告警事件”中，查看“恶意程序”中的告警信息，并对恶意程序进行隔离查杀。

应用详情页面,可查看应用的 QPS 数据、TOP 列表等信息。本文介绍应用详情页面的主要功能。 前提条件 已部署应用。 已开通 MSE 微服务治理。 说明 使用 MSE 时会产生单独费用。MSE 的计费说明，请参见微服务治理计费概述。 功能入口 1. 登录 CAE控制台，在左侧导航栏选择应用管理 > 应用列表，然后单击目标应用名称。 2. 在左侧导航栏，选择微服务治理 > 应用详情。 功能介绍 应用详情 页面会动态刷新，展示错误请求数、总请求数、平均响应时间、应用基础信息和服务列表等数据。 说明 应用详情中涉及到的错误请求数、总请求数、平均响应时间，都是应用入口接口的统计，不包括应用内部方法调用的统计。 性能指标 ：统计应用QPS 、RT(ms)等数据。 请求数据 ：展示近 5 分钟通过实例数、通过请求数和拒绝请求数的走势图。 RT(ms)：响应时间，单位为 ms。展示了近 5 分钟响应时间的走势图。 TOP列表及系统资源指标 ：包括通过QPS TOP 、防护拒绝 QPS TOP 、平均 RT TOP 接口列表。 TOP 接口列表会动态刷新，通过 QPS TOP页签下接口按照通过 QPS 排序，其他页签下接口按照各自的字段排序。 单击接口名称或该区域右上角的查看全部 ，进入WEB 服务 页签，查看所有接口的 QPS 数据（秒级） 、RT 数据（ms） 、最大并发（秒级） 和事件的详细信息。 单击目标接口操作 列的流控 或隔离，可为该资源配置相应规则。

sectionfc84ec4f53b0a6e5)中恢复文件至原路径。 文件删除：手动删除病毒文件，删除文件可能影响业务系统正常运行，文件被删除后无法恢复，请谨慎操作。 文件隔离箱 您可以随时对已加入文件隔离箱的文件，从文件隔离箱中恢复文件。恢复文件后，该文件将会被文件隔离箱中移除，继续产生告警。 1. 登录服务器安全卫士（原生版）控制台。 2. 在左侧导航栏，选择“文件安全 > 病毒查杀”，进入病毒查杀页面。 3. 单击页面右上角的“文件隔离箱”，进入文件隔离箱页面。 4. 选择需要恢复的文件，点击操作列中的“恢复”。 5. 在弹出的确认对话框中，单击“确定”，文件从文件隔离箱中恢复。

故障级别 故障类型 说明 重调度处理 优雅容错处理 L1 NotHandleFault 对业务无影响的故障，无需处理 暂不处理 暂不处理 L2 RestartRequest 影响业务执行，需要重新执行业务请求 隔离设备，进行任务重调度 推理场景重执行推理请求，训练场景重新执行训练业务 L3 RestartBusiness 影响业务执行，需要重新执行业务 隔离设备，进行任务重调度 重新执行业务 L4 FreeRestartNPU 影响业务执行，待芯片空闲时需复位芯片 隔离设备，进行任务重调度 复位芯片后重新执行业务 L5 RestartNPU 影响业务执行，需立即复位芯片 隔离设备，进行任务重调度 复位芯片后重新执行业务 L6 SeparateNPU 无法恢复，需要隔离设备 隔离设备，进行任务重调度 隔离设备，进行任务重调度

本节介绍天翼AI云电脑（政企版）的产品优势。 统一管理，维护便捷 无需设立专门的前端维护人员，桌面维护全部在管理台进行可视化操作，一键完成开通桌面、重装系统、镜像升级等操作，并通过自动化批量方式，实现快速大规模的部署。 强化安全，自主可控 网络访问使用VPC、安全组、ACL、主机防火墙进行网络隔离及访问控制，通过防火墙实施安全审计与监控。 规格丰富，配置灵活 提供灵活多样的AI云电脑规格，支持资源包方式开通使用，灵活选择系统版本，网络可配置，并可使用池化桌面提高桌面利用率。 自主领先，畅游云端 自研的CLINK安全传输协议，低延时、高画质、带宽占用少，弱网环境下也可畅快使用。 随时随地，便捷访问 用户通过终端AI云电脑应用即可快速访问调取云端资源，随时随地享受数据共享、移动办公、休闲娱乐等功能。 说明 关于天翼AI云电脑（政企版）的产品规格说明，请参考 关于天翼AI云电脑（政企版）的产品功能说明，请参考 关于天翼AI云电脑（政企版）的客户端下载，请前往

区域和终端节点 当您通过API使用资源时，您必须指定其区域终端节点。 云搜索服务如何保证数据和业务运行安全？ 云搜索服务主要从以下几个方面保障数据和业务运行安全： 网络隔离 整个网络划分为2个平面，即业务平面和管理平面。两个平面采用物理隔离的方式进行部署，保证业务、管理各自网络的安全性。 −业务平面：主要是集群的网络平面，支持为用户提供业务通道，对外提供数据定义、索引、搜索能力。 −管理平面：主要是管理控制台，用于管理云搜索服务。 主机安全 云搜索服务提供如下安全措施： −通过VPC安全组来确保VPC内主机的安全。 −通过网络访问控制列表（ACL），可以允许或拒绝进入和退出各个子网的网络流量。 −内部安全基础设施（包括网络防火墙、入侵检测和防护系统）可以监视通过IPsec VPN连接进入或退出VPC的所有网络流量。 数据安全 在云搜索服务中，通过多副本、集群跨az部署、索引数据第三方（OBS）备份功能保证用户的数据安全。 用户平时需要关注云搜索服务的哪些监控指标？ 用户需要关注的监控指标为磁盘使用率和集群健康状态。用户可以登录到云监控服务，根据实际应用场景配置告警提示，当收到告警，可采取相应措施消除告警。 配置示例 如果在某段时间内（如5min），磁盘使用率出现多次（如5次）不低于某特定值（如85%）的情况，则发出相应告警。 如果在某段时间内（如5min），集群健康状态出现多次（如5次）大于0的情况，则发出相应告警。

本章节介绍注册中心命名空间管理 概述 Nacos实例中不同命名空间的服务是隔离的。通常命名空间可以用于不同环境的服务的隔离，建议为不同环境创建不同的命名空间。下面介绍注册配置中心的命名空间管理。 前提条件 已创建Nacos引擎实例，具体操作可参考创建Nacos实例。 操作步骤 1. 登录微服务引擎MSE注册配置中心管理控制台，选择资源池。 2. 在左侧导航栏，选择注册配置中心> 实例列表。 3. 在实例列表页面，单击目标实例ID 、实例名称或者目标行“管理”按钮均可跳转至实例基础信息页面。 4. 在左侧导航栏，单击命名空间，然后在页面左上角单击创建命名空间，弹出创建命名空间对话框，填写命名空间名称和描述信息，需满足下表参数规范，其中命名空间ID选填，如果不填则提交后会自动生成； 5. 在命名空间列表，查看命名空间已创建成功； 6. 命名空间创建成功后，也可以在命名空间列表的操作列，按需执行如下操作： 1. 修改命名空间：点击编辑，根据提示修改命名空间名称和描述信息； 2. 删除命名空间：单击删除，弹出框提示确认需要删除的命名空间名称，点击确定即可删除命名空间。 命名空间参数 参数 是否必填 说明 命名空间名称 必填 最短1个字符，最长128个字符。命名空间名称必须唯一。 命名空间ID 非必填 以英文字母、数字、下划线开头，支持英文字母、数字、下划线、中横线，最短2个字符，最长128个字符。命名空间ID必须唯一。 若不填，则由系统自动生成。 命名空间描述 非必填 最长256个字符。 注意 1，MSE注册配置中心实例会默认创建一个public命名空间，这个命名空间不可修改和删除，一般仅做测试使用。当客户端未指定命名空间时，会默认使用public命名空间。我们建议生产环境业务不要使用public命名空间或者不指定命名空间，尽可能使用独立的命名空间，以达到权限管理和资源隔离的目的； 2，当业务客户端创建配置或者注册服务到一个不存在的命名空间，服务端不会响应错误，也不会自动创建命名空间，但是无法在控制台上查看到创建的服务实例或者配置，造成疑惑，因此业务侧客户端应谨慎配置已经存在的命名空间。

本文将为您介绍专属云（计算独享型）服务相关的术语概念，例如物理隔离等。 专属云（计算独享型） 是在公有云上物理隔离出来的专属虚拟计算资源池，支持一个租户独占的计算物理资源。租户在该资源池内申请独享计算集群资源后，可在其上创建弹性云主机。 宿主机 宿主机是运行云主机的物理服务器。专属云内的宿主机，搭载了天翼云虚拟化系统，支持在其上灵活创建、管理多个云主机实例，自主规划物理资源的使用。 物理隔离 物理隔离是通过物理手段将系统、设备或资源与公有云资源隔离开，以防止未经授权的访问或干扰。因此，专属云中申请的宿主机资源与公有云中的计算资源具有物理隔离的特点。使用专属云内的宿主机，可独占计算资源，独享CPU、内存、网卡等物理资源，带来更高级别的隔离，可解决与其他租户争抢资源的问题。 逻辑隔离 逻辑隔离是通过软件、配置或逻辑手段将不同的系统、资源或数据隔离开来，即使它们共享同一物理基础设施，也可以尽量减少它们之间的相互影响。计算专属云中的存储资源与网络资源实现逻辑独享，存储专属云中的网络资源实现逻辑独享。

处理方式 处理方式说明 忽略 仅忽略本次告警。若再次出现相同的告警信息，HSS会再次告警。 隔离查杀 选择隔离查杀后，该程序无法执行“读/写”操作，同时该程序的进程将被立即终止。HSS将程序或者进程的源文件加入文件隔离箱，被隔离的文件不会对主机造成威胁。 您可以单击“文件隔离箱”，查看已隔离的文件，详细信息请参见管理文件隔离箱。 程序被隔离查杀时，该程序的进程将被立即终止，为避免影响业务，请及时确认检测结果，若隔离查杀有误报，您可以执行取消隔离/忽略操作。 手动处理 选择手动处理。您可以根据自己的需要为该事件添加“备注”信息，方便您记录手动处理该告警事件的详细信息。 加入登录白名单 如果确认“暴力破解”和“异常登录”类型的告警事件是误报，且不希望HSS再上报该告警，您可以将本次登录告警事件加入登录白名单。 HSS不会对登录白名单内的登录事件上报告警。加入登录白名单后，若再次出现该登录事件，则HSS不会告警。 有以下告警事件支持加入登录白名单。 暴力破解 异常登录 加入告警白名单 如果确认以下类型的告警事件是误报，且不希望HSS再上报该告警，您可以将本次告警事件加入告警白名单。 HSS不会对告警白名单内的告警事件上报告警。加入告警白名单后，若再次出现该告警事件，则HSS不会告警。

处理方式 处理方式说明 忽略 仅忽略本次告警。若再次出现相同的告警信息，HSS会再次告警。 隔离查杀 选择隔离查杀后，该程序无法执行“读/写”操作，同时该程序的进程将被立即终止。HSS将程序或者进程的源文件加入文件隔离箱，被隔离的文件不会对主机造成威胁。 您可以单击“文件隔离箱”，查看已隔离的文件，详细信息请参见管理文件隔离箱。 程序被隔离查杀时，该程序的进程将被立即终止，为避免影响业务，请及时确认检测结果，若隔离查杀有误报，您可以执行取消隔离/忽略操作。 手动处理 选择手动处理。您可以根据自己的需要为该事件添加“备注”信息，方便您记录手动处理该告警事件的详细信息。 加入登录白名单 如果确认“暴力破解”和“异常登录”类型的告警事件是误报，且不希望HSS再上报该告警，您可以将本次登录告警事件加入登录白名单。 HSS不会对登录白名单内的登录事件上报告警。加入登录白名单后，若再次出现该登录事件，则HSS不会告警。 有以下告警事件支持加入登录白名单。 暴力破解 异常登录 加入告警白名单 如果确认以下类型的告警事件是误报，且不希望HSS再上报该告警，您可以将本次告警事件加入告警白名单。 HSS不会对告警白名单内的告警事件上报告警。加入告警白名单后，若再次出现该告警事件，则HSS不会告警。

本章节介绍微服务云应用平台审计日志功能 概述 您可以在MSAP控制台上查看审计日志。如果当前账号为主账号，则可以查询当前账号及其所有子账号在控制台上的操作日志；如果当前账号为某个主账号的子账号，则可以查询该子账号在控制台上的操作日志。 点击审计日志，可以查看当前项目下审计日志列表。 ● 时间范围：选择开始时间和结束时间。 ● 操作人：请输入完整账号，不支持模糊匹配。 ● 选择分类：选择操作分类和具体的操作。

本文为您介绍分布式消息服务MQTT的相关术语解释。 实例（Instance） 创建购买消息队列 MQTT 服务的实体单元，包含MQTT Broke和kafka集群节点。 MQTT Broker 消息队列 MQTT 提供的 MQTT 协议交互的服务端节点，用于完成与 MQTT 客户端消息收发和数据存储至消息队列。 MQTT 客户端 用于和 MQTT 服务器交互的移动端节点。 父级 Topic（Parent Topic） MQTT 协议基于 Pub/Sub 模型，因此任何消息都属于一个 Topic。根据 MQTT 协议，Topic 存在多级，定义第一级 Topic 为父级 Topic，需先在控制台创建该父级 Topic。 子级 Topic（Subtopic） MQTT 的二级 Topic，甚至三级 Topic 都是父级 Topic 下的子类。使用时，直接在代码里设置，无需创建。需要注意的是微消息队列 MQTT 限制父级 Topic 和子级 Topic 的总长度为 64 个字符，如果超出长度限制将会导致客户端异常。 Client ID 微消息队列 MQTT 的 Client ID 是每个客户端的唯一标识，要求全局唯一，使用相同的 Client ID 连接消息队列 MQTT服务会被拒绝。 消息队列Kafka MQTT Broker主要承担移动端连接接入、连接管理、数据转发等工作。后端数据持久化和消息存储至kafka消息队列；租户后端应用系统可通过kafka分析、处理数据并下发指令。 终端连接地址 即MQTT Broker端接入地址，设备端使用。 服务端连接地址 即kakfa集群连接地址，云端应用服务使用。 订阅关系 终端设备每订阅一个主题即一个订阅关系。

集群类型 CCE Standard CCE Turbo 产品定位 标准版本集群，提供高可靠、安全的商业级容器集群服务。 面向云原生2.0的新一代容器集群产品，计算、网络、调度全面加速。 使用场景 面向有云原生数字化转型诉求的用户，期望通过容器集群管理应用，获得灵活弹性的算力资源，简化对计算、网络、存储的资源管理复杂度。 适合对极致性能、资源利用率提升和全场景覆盖有更高诉求的客户。 网络模型 云原生网络1.0：面向性能和规模要求不高的场景。 容器隧道网络模式 VPC网络模式 云原生网络2.0：面向大规模和高性能的场景。 组网规模最大支持2000节点 hostPort 支持 不支持 网络性能 VPC网络叠加容器网络，性能有一定损耗 VPC网络和容器网络融合，性能无损耗 容器网络隔离 容器隧道网络模式：集群内部网络隔离策略，支持NetworkPolicy。 VPC网络模式：不支持 Pod可直接关联安全组，基于安全组的隔离策略，支持集群内外部统一的安全隔离。 容器资源隔离 普通容器：Cgroups隔离 安全容器：当前仅物理机支持，提供虚机级别的隔离 普通容器：Cgroups隔离 边缘基础设施管理 不支持 支持管理智能边缘小站

维度 子维度 CCE Turbo集群 CCE集群 集群 定位 面向云原生2.0的新一代容器集群产品，计算、网络、调度全面加速 标准版本集群，提供商用级的容器集群服务 集群 节点形态 支持虚拟机和物理机混合 支持虚拟机和物理机混合 网络 网络模型 云原生网络2.0 ：面向大规模和高性能的场景。 组网规模最大支持2000节点 云原生网络1.0 ：面向性能和规模要求不高的场景。 容器隧道网络模式 VPC网络模式 网络 网络性能 VPC网络和容器网络融合，性能无损耗 VPC网络叠加容器网络，性能有一定损耗 网络 容器网络隔离 Pod可直接关联安全组，基于安全组的隔离策略，支持集群内外部统一的安全隔离。 隧道网络模式：集群内部网络隔离策略，支持Networkpolicy。 VPC网络模式：不支持 安全 隔离性 物理机：安全容器，支持虚机级别的隔离 虚拟机：普通容器 普通容器，Cgroups隔离

成本效益 在云计算领域，用户只需按需购买和使用资源，不需要投资大额资金购买硬件设备，因此成本效益非常重要。 价格：弹性云主机的价格与配置相关，一般来说，配置越高，价格越高。在选择配置时，需要根据应用的需求和预算来综合考虑。 弹性伸缩：弹性云主机搭配弹性伸缩使用，可以根据应用的需求进行资源灵活调整。在选择配置时，可以考虑未来应用的发展和变化。可以搭配负载均衡实现业务负载的均衡分布。 选择弹性云主机配置需要综合考虑性能需求、应用需求和成本效益等因素，选择最适合业务负载需求的云主机。 网络与安全 弹性云主机通常需要与网络结合使用，因此需要重点考虑到网络设计安全性，同时需要配置多项安全措施保障云主机的安全。 网络逻辑隔离 虚拟私有云提供了一个隔离的虚拟网络环境，可以在云平台上创建自己的私有网络。将弹性云主机部署在虚拟私有云中，可以更好地控制网络访问和保护数据的安全性。主要通过下列方法进行网络安全设置： 使用安全组：安全组是一种虚拟防火墙，用于控制弹性云主机的网络流向。配置适当的安全组规则，限制入站和出站流量，只允许必要的端口和协议访问。配置详细步骤参见弹性云主机安全组配置示例。 使用网络ACL：网络ACL是一种在子网级别控制流量的安全策略。通过配置网络ACL规则，实现对子网内所有ECS实例的访问控制，防止未经授权的访问。配置详细步骤参见虚拟私有云创建ACL。