子网 云资源（例如云服务器、物理机等）必须部署在子网内。您可以在虚拟私有云内创建一个或多个子网，但是子网的网段必须在虚拟私有云网段范围内。同子网内网络默认互通，同VPC下不同子网之间默认互通。子网网段创建后无法修改。 安全组 安全组是一种网络安全防护机制，用于防止未经授权的访问和保护计算机网络免受恶意攻击。它是一种虚拟防火墙，用于限制入向和出向网络流量。安全组工作在网络层和传输层，它通过检查数据包的源地址、目标地址、协议类型和端口号等信息来决定是否允许通过。安全组创建后，用户可以在安全组中定义各种访问规则，当弹性云主机加入该安全组后，即受到这些访问规则的保护。 区域和可用区 我们用区域和可用区来描述数据中心的位置，您可以在特定的区域、可用区创建资源。 区域（Region）指物理的数据中心。每个区域完全独立，这样可以实现最大程度的容错能力和稳定性。资源创建成功后不能更换区域。 可用区（AZ，Availability Zone）是同一区域内，电力和网络互相隔离的物理区域，一个可用区不受其他可用区故障的影响。一个区域内可以有多个可用区，不同可用区之间物理隔离，但内网互通，既保障了可用区的独立性，又提供了低价、低时延的网络连接。 下图阐明了区域和可用区之间的关系。 目前，天翼云已在全国多个地域开放，您可以根据需求选择适合自己的区域和可用区。更多信息请参见天翼云产品部署看板 。

微服务治理中心MSGC 归属模块 授权项 权限说明 权限依赖 系统策略 IAM项目 企业项目 归属模块 授权项 权限说明 权限依赖 微服务治理中心MSGCadmin 微服务治理中心MSGCuser 微服务治理中心MSGCviewer IAM项目 企业项目 产品订购 msgc:inst:createinstance 产品开通 无 ✓ ✗ ✗ ✓ ✗ 产品订购 msgc:inst:delinstance 产品退订 无 ✓ ✗ ✗ ✓ ✗ 产品订购 msgc:inst:extendinstance 产品扩容 无 ✓ ✗ ✗ ✓ ✗ 产品订购 msgc:inst:renewinstance 产品续订 无 ✓ ✗ ✗ ✓ ✗ 应用管理 msgc:inst:getAppInfo 查询应用相关信息 无 ✓ ✓ ✓ ✓ ✗ 应用管理 msgc:inst:getOverview 查询应用概览信息 无 ✓ ✓ ✓ ✓ ✗ 应用管理 msgc:inst:manageApp 管理应用 无 ✓ ✗ ✗ ✓ ✗ 服务监控 msgc:inst:getResourceInfo 查询接口相关信息 无 ✓ ✓ ✓ ✓ ✗ 服务监控 msgc:inst:getServiceInfo 查询服务相关信息 无 ✓ ✓ ✓ ✓ ✗ 服务配置 msgc:inst:writeDubboConfig 修改Dubbo相关配置 无 ✓ ✓ ✗ ✓ ✗ 服务配置 msgc:inst:writeNodeConfig 修改节点相关配置 无 ✓ ✓ ✗ ✓ ✗ 流量治理 msgc:inst:readAdaptiveFlowConfig 查询自适应流控相关信息 无 ✓ ✓ ✓ ✓ ✗ 流量治理 msgc:inst:readDegradeConfig 查询服务降级相关信息 无 ✓ ✓ ✓ ✓ ✗ 流量治理 msgc:inst:readHotParamRule 读取热点规则相关信息 无 ✓ ✓ ✓ ✓ ✗ 流量治理 msgc:inst:readLosslessInfo 查询无损上下线相关信息 无 ✓ ✓ ✓ ✓ ✗ 流量治理 msgc:inst:readMqGrayRouteConfig 查询消息灰度相关信息 无 ✓ ✓ ✓ ✓ ✗ 流量治理 msgc:inst:readOutilierConfig 查询离群实例摘除相关信息 无 ✓ ✓ ✓ ✓ ✗ 流量治理 msgc:inst:readPushProtection 查询推空保护相关信息 无 ✓ ✓ ✓ ✓ ✗ 流量治理 msgc:inst:readTagInfo 查询流量标签相关信息 无 ✓ ✓ ✓ ✓ ✗ 流量治理 msgc:inst:writeAdaptiveFlowConfig 修改自适应流控配置 无 ✓ ✓ ✗ ✓ ✗ 流量治理 msgc:inst:writeDegradeConfig 修改服务降级配置 无 ✓ ✓ ✗ ✓ ✗ 流量治理 msgc:inst:writeHotParamRule 修改热点规则 无 ✓ ✓ ✗ ✓ ✗ 流量治理 msgc:inst:writeLosslessConfig 修改无损上下限配置 无 ✓ ✓ ✗ ✓ ✗ 流量治理 msgc:inst:writeMqGrayRouteConfig 修改消息灰度配置 无 ✓ ✓ ✗ ✓ ✗ 流量治理 msgc:inst:writeOutilierConfig 修改离群摘除配置 无 ✓ ✓ ✗ ✓ ✗ 流量治理 msgc:inst:writePushProtection 修改推空保护配置 无 ✓ ✓ ✗ ✓ ✗ 流量治理 msgc:inst:writeSwitchConfig 修改功能开关配置 无 ✓ ✓ ✗ ✓ ✗ 流量治理 msgc:inst:writeTagCanaryConfig 修改金丝雀配置 无 ✓ ✓ ✗ ✓ ✗ 流量治理 msgc:inst:writeTagRouteConfig 修改标签路由配置 无 ✓ ✓ ✗ ✓ ✗ 流量防护 msgc:inst:readCircuitBreakConfig 查看服务熔断相关信息 无 ✓ ✓ ✓ ✓ ✗ 流量防护 msgc:inst:readClientConfig 查询流量防护基础设置 无 ✓ ✓ ✓ ✓ ✗ 流量防护 msgc:inst:readClusterInfo 查询集群防护配置 无 ✓ ✓ ✓ ✓ ✗ 流量防护 msgc:inst:readFallbackBehavior 查询防护行为相关信息 无 ✓ ✓ ✓ ✓ ✗ 流量防护 msgc:inst:readFlowConfig 查询流控隔离相关信息 无 ✓ ✓ ✓ ✓ ✗ 流量防护 msgc:inst:readManualDegradeConfig 查询主动降级相关信息 无 ✓ ✓ ✓ ✓ ✗ 流量防护 msgc:inst:readWebFlowConfig 查询WEB防护相关信息 无 ✓ ✓ ✓ ✓ ✗ 流量防护 msgc:inst:writeCircuitBreakConfig 修改服务熔断配置 无 ✓ ✓ ✗ ✓ ✗ 流量防护 msgc:inst:writeClientConfig 修改流量防护基础配置 无 ✓ ✓ ✗ ✓ ✗ 流量防护 msgc:inst:writeClusterInfo 修改集群防护配置 无 ✓ ✓ ✗ ✓ ✗ 流量防护 msgc:inst:writeFallbackBehavior 修改防护行为 无 ✓ ✓ ✗ ✓ ✗ 流量防护 msgc:inst:writeFlowConfig 修改流控隔离配置 无 ✓ ✓ ✗ ✓ ✗ 流量防护 msgc:inst:writeManualDegradeConfig 修改主动降级配置 无 ✓ ✓ ✗ ✓ ✗ 流量防护 msgc:inst:writeWebFlowConfig 修改WEB防护配置 无 ✓ ✓ ✗ ✓ ✗ 数据库治理 msgc:inst:readDatabaseGrayConfig 查询数据库灰度相关信息 无 ✓ ✓ ✓ ✓ ✗ 数据库治理 msgc:inst:readDatabaseReadWriteConfig 查询数据库读写路由相关信息 无 ✓ ✓ ✓ ✓ ✗ 数据库治理 msgc:inst:readDataSourceInfo 查询连接池相关信息 无 ✓ ✓ ✓ ✓ ✗ 数据库治理 msgc:inst:writeDatabaseGrayConfig 修改数据库灰度配置 无 ✓ ✓ ✗ ✓ ✗ 数据库治理 msgc:inst:writeDatabaseReadWriteConfig 修改数据库读写路由配置 无 ✓ ✓ ✗ ✓ ✗ 数据库治理 msgc:inst:writeDataSourceConfig 修改连接池配置 无 ✓ ✓ ✗ ✓ ✗ 功能开关 msgc:inst:getSwitchInfo 查询功能开关信息 无 ✓ ✓ ✓ ✓ ✗ 功能开关 msgc:inst:getSwitchLog 查询功能开关日志 无 ✓ ✓ ✓ ✓ ✗ 开发测试治理 msgc:inst:readMockConfig 查询服务Mock相关信息 无 ✓ ✓ ✓ ✓ ✗ 开发测试治理 msgc:inst:writeMockConfig 修改服务Mock配置 无 ✓ ✓ ✗ ✓ ✗ 全链路灰度 msgc:inst:readSwimmingGroup 查询泳道组相关信息 无 ✓ ✓ ✓ ✓ ✗ 全链路灰度 msgc:inst:readSwimmingLane 查询泳道相关信息 无 ✓ ✓ ✓ ✓ ✗ 全链路灰度 msgc:inst:writeSwimmingGroup 修改泳道组 无 ✓ ✓ ✗ ✓ ✗ 全链路灰度 msgc:inst:writeSwimmingLane 修改泳道 无 ✓ ✓ ✗ ✓ ✗ 网关治理 msgc:inst:readGatewayApiDef 查询网关API信息 无 ✓ ✓ ✓ ✓ ✗ 网关治理 msgc:inst:writeGatewayApiDef 修改网关API配置 无 ✓ ✓ ✗ ✓ ✗ 运维中心 msgc:inst:getEvent 查询应用事件信息 无 ✓ ✓ ✓ ✓ ✗ 运维中心 msgc:inst:getOpsLog 查询操作日志 无 ✓ ✓ ✓ ✓ ✗

订购专属云（存储独享型）时，存储服务器的容量是裸容量还是可用容量？ 可用容量。 用户订购的申请容量即为实际可用容量，实际可用容量集群裸容量运维占用容量。 更多关于存储专属云容量的信息，请参考存储池容量说明。 可以使用宿主机服务器上的硬盘吗？ 不能使用宿主机服务器自带的本地盘。 无论系统盘还是数据盘，都只能通过挂载云硬盘的方式来提供。数据盘挂载操作请参考挂载磁盘。 是否可以在控制台上申请专属云服务？ 不可以。 由于存储专属云集群需要按需建设，因此存储专属云服务仅支持通过填写业务需求单或直接联系客户经理的方式进行申请。 申请流程请参考操作流程。 专属云中资源是如何隔离的？ 专属云主机创建在物理隔离的计算服务器上，与公有云隔离。 专属磁盘创建在物理隔离的存储服务器上，与公有云隔离。 专属云内网络实现逻辑隔离，您可独占VPC，您与其他用户之间的网络相互隔离。 存储专属云中磁盘扩容上限值是多少？ 系统盘扩容上限为2TB（2048 GB），数据盘扩容上限是32TB（32768 GB）。 专属云中磁盘的扩容方法和云硬盘一致，扩容方法参见扩容磁盘。

通过文件监控技术，将可疑或已知恶意文件从正常业务流程中移除，并将其置于受控环境中进行进一步分析，防止文件被执行或传播，点击 可以取消当前文件的隔离。

配置勒索诱饵防护 防护设置 1. 登录服务器安全卫士（原生版）控制台。 2. 在左侧导航栏，选择“设置中心 > 安全设置”，进入安全设置页面。 3. 在文件安全防护模块，单击“勒索诱饵防护”模块的“配置规则”按钮。 4. 在页面右侧弹出的防护设置页面，配置防护参数。 参数说明如下： 参数 说明 启用诱饵防护 自动在系统关键位置投放诱饵文件，实时捕捉勒索行为并进行阻断。 病毒处置方式 支持手动处理和自动隔离。 手动处理：检测出勒索病毒文件后，仅产生告警。需手动在控制中心对勒索告警进行处理，支持隔离、删除、信任。 自动隔离：检测出勒索病毒文件后产生告警，并自动隔离病毒文件。 说明 自动隔离后，若出现误报，可在告警列表中对文件进行恢复。 指定防护目录 根据用户的特定防护场景，可自定义创建勒索诱饵文件。 设置生效范围 自定义选择需要开启诱饵防护的服务器。 5. 配置完成后，单击“确认”。

服务治理概述 如果使用微服务框架开发应用，在应用托管后启动应用，微服务会自动注册到对应的微服务引擎，您可以到微服务引擎控制台，参考治理微服务进行服务治理的相关操作。本章节描述的服务治理只适用于Java Chassis开发框架。 治理微服务 微服务部署完后，您可以根据微服务的运行情况进行微服务的治理。 前提条件 您可以先在“服务目录 > 微服务列表”中创建微服务，启动微服务后，根据yaml文件的配置，会在对应的服务下注册服务实例。 如果没有事先创建微服务或者微服务已删除，在注册服务实例时会自动创建微服务。 微服务在创建以后，需要注册服务实例后才能进行对应操作。 治理策略说明 支持负载均衡、限流、容错、降级、熔断和错误注入等策略的配置，具体说明见下表。 名称 说明 负载均衡 l应用场景 微服务一般会部署多个实例，负载均衡控制微服务消费者访问提供者多个实例的策略，以达到流量均衡的目的。策略包括轮询、随机、响应时间权值、会话粘滞等。 l前提条件 作用于微服务消费者，需要微服务应用集成负载均衡模块，启用loadbalance处理链。 配置示例如下： servicecomb: handler: chain: Consumer: default: loadbalance 在POM中添加如下依赖： org.apache.servicecomb handlerloadbalance ${project.version} 限流 l应用场景 用于控制访问微服务的请求量大小，避免由于流量冲击对系统造成破坏。 l前提条件 作用于微服务提供者，需要微服务应用集成流量控制模块，启用qpsflowcontrolprovider处理链。 配置示例如下： servicecomb: handler: chain: Provider: default: qpsflowcontrolprovider 在POM中添加如下依赖： org.apache.servicecomb handlerflowcontrolqps ${project.version} 降级 l应用场景 用于控制微服务调用其他微服务的时候，强制返回缺省值或者抛出异常，而不将请求发送到目标微服务，以达到屏蔽对目标微服务的访问和降低其压力的目的。 l前提条件 作用于微服务消费者，需要微服务应用集成降级模块，启用bizkeeperconsumer处理链。 配置示例如下： servicecomb: handler: chain: Consumer: default: bizkeeperconsumer 在POM中添加如下依赖： org.apache.servicecomb handlerbizkeeper ${project.version} 容错 l应用场景 当微服务消费者访问提供者出现异常，比如实例网络不通等，需要将请求转发到其他可用的实例。这里的容错，常被称为重试。 l前提条件 作用于微服务消费者，需要微服务应用集成容错模块，启用loadbalance处理链。 配置示例如下： servicecomb: handler: chain: Consumer: default: loadbalance 在POM中添加如下依赖： org.apache.servicecomb handlerloadbalance ${project.version} 熔断 l应用场景 当微服务消费者访问提供者出现异常，比如实例网络不通、请求超时等，并且异常积累到一定的程度，需要停止访问提供者，返回一个异常或者缺省值，防止雪崩效应。 熔断提供了手工熔断和自动熔断两种策略。手工熔断会设置熔断状态，强制返回；自动熔断需要结合错误率等判断是否熔断。 l前提条件 作用于微服务消费者，需要微服务应用集成熔断模块，启用bizkeeperconsumer处理链。 配置示例如下： servicecomb: handler: chain: Consumer: default: bizkeeperconsumer 在POM中添加如下依赖： org.apache.servicecomb handlerbizkeeper ${project.version} 错误注入 l应用场景 错误注入可以模拟一个调用失败，主要用于功能验证、故障场景演示等场景。 l前提条件 作用于微服务消费者，需要微服务应用集成错误注入模块，启用faultinjectionconsumer处理链。 配置示例如下： servicecomb: handler: chain: Consumer: default: faultinjectionconsumer 在POM中添加如下依赖： org.apache.servicecomb handlerfaultinjection ${project.version} 黑白名单 l应用场景 基于公钥认证机制，微服务引擎提供了黑白名单功能。通过黑白名单，可以控制微服务允许其他哪些服务访问。 l前提条件 只有启用了公钥认证，设置的黑白名单才能生效，请参考公钥认证。

本文介绍如何在容器安全卫士响应中心页面查看已处理的告警信息，并支持对已暂停的容器进行恢复、对已隔离的Pod进行解除隔离等操作。 响应中心展示“已隔离”、“已暂停”、“已重启”的容器，“已阻断”的镜像和已加入白名单的告警。 隔离Pod列表 1. 登录容器安全卫士控制台。 2. 在左侧导航栏，选择“告警响应 > 响应中心”，进入响应中心页面。 3. 在隔离Pod列表，可以对已隔离的Pod进行恢复。 暂停容器列表 1. 登录容器安全卫士控制台。 2. 在左侧导航栏，选择“告警响应 > 响应中心”，进入响应中心页面。 3. 在暂停容器列表，可以对已暂停的容器进行恢复。 重启Pod列表 1. 登录容器安全卫士控制台。 2. 在左侧导航栏，选择“告警响应 > 响应中心”，进入响应中心页面。 3. 在重启Pod列表，可以查看重启过的Pod。 镜像阻断列表 1. 登录容器安全卫士控制台。 2. 在左侧导航栏，选择“告警响应 > 响应中心”，进入响应中心页面。 3. 在镜像阻断列表，可以对已阻断的镜像解除阻断。

勒索诱饵防护 说明 仅服务器安全卫士旗舰版支持配置勒索诱饵防护规则。 1. 单击“配置规则”，开始配置勒索诱饵防护。 2. 在页面右侧弹出的防护设置页面，配置相关参数。 参数 说明 启用诱饵防护 自动在系统关键位置投放诱饵文件，实时捕捉勒索行为并进行阻断。 病毒处置方式 配置发现勒索病毒文件后的处理方式。支持手动处理和自动隔离。 手动处理：检测出勒索病毒文件后，仅产生告警。需手动在控制中心对勒索告警进行处理，支持隔离、删除、信任，详细操作请参见处理勒索告警。 自动隔离：检测出勒索病毒文件后产生告警，并自动隔离病毒文件。 说明 自动隔离后，若出现误报，可在告警列表中对文件进行恢复。 指定防护目录 根据用户的特定防护场景，可自定义创建勒索诱饵文件。 设置生效范围 自定义选择需要开启诱饵防护的服务器。 3. 配置完成后，单击“确认”。

本节介绍云下一代防火墙功能特性，包括应用识别、监控统计等。 功能介绍 产品功能 功能解释 应用识别 在进行分析报文头的基础上，结合不同的应用协议特征库综合判断所属的应用 监控统计 对设备数据进行统计，并以柱状图、折线图、表格、报表、日志等方式呈现出来，帮助用户通过统计数据掌握设备状况，排查问题 用户认证 对用户进行识别，通过认证的用户可以访问对应的管理资源 访问控制 划分安全区域和非安全区域，区域之间的访问基于安全策略进行控制 攻击防护 暴力破解，DDoS攻击，泛洪攻击等多种攻击方式监测与拦截 入侵防御 实时监控多种网络攻击并根据配置对网络攻击进行阻断等操作 病毒过滤 探测各种病毒威胁，例如恶意软件、恶意网站等，并且根据配置对发现的病毒进行处理。 数据安全 文件级数据安全防护，根据文件格式和传输协议探测文件数据安全 僵尸网络防护 外连网络安全监测，可以识别内网失陷主机，拦截挖矿等外连服务 IP信誉库 国家地址位置IP信誉识别，识别风险IP双向流量，定期更新特征库 云沙箱 未知威胁风险文件模拟运行环境，动态静态双模式识别 页面访问控制 针对不同用户的权限对页面的访问进行区别 带宽管理 能够管理和优化网络带宽，提高用户的网络体验和带宽资源利用率 高可用性 在通信线路或设备产生故障时提供备用方案，从而保证数据通信的畅通，有效增强网络的可靠性 IPV6 全面适配IPV6环境，支持IPV4与IPV6双栈网络 授权管理 集中管理功能授权并可进行不同种类授权的统一下发 REST API 标准restAPI接口，特殊用户需求可进行联调开发 VPN 支持IPSEC VPN和SSL VPN功能配置

虚拟私有云为用户提供完全隔离的虚拟网络环境,可满足不同的应用场景。 虚拟私有云是您在云上的私有网络，为云主机、云容器、云数据库等云上资源构建隔离、私密的虚拟网络环境。同时，VPC可以灵活搭配其他网络服务，支撑您构建构建多元化网络环境。 构建高安全的云上网络 虚拟私有云VPC是云上的私有网络，您可以将应用程序部署在VPC内的实例上，同时，通过配置安全组和网络ACL策略，可以保障VPC内部署的实例安全运行。 安全组对实例进行防护，将实例加入安全组内后，该实例将会受到安全组的保护。 网络ACL对整个子网进行防护，将子网关联至网络ACL，则子网内的所有实例都会受到网络ACL保护。 您可以根据业务需求设置流量访问控制规则，比如您要部署面向公网提供服务的Web应用程序，则您可以在子网SubnetA01中的ECS上部署应用程序，在另外一个和公网隔离的子网SubnetA02中部署数据库，并且通过不同的安全组和网络ACL控制出入子网的流量。 构建多业务隔离的云上网络 如果您同时有多种业务需要部署在VPC内，并且业务A和业务B需要网络隔离，则您可以将业务A和业务B分别部署在不同的VPC。比如可以将业务A部署在VPCA内，业务B部署在VPCB内，两个VPC之间默认网络隔离，不同VPC内的资源无法直接通信，从而实现了业务间的逻辑隔离。

本章节介绍云原生工具箱相关功能 概述 云原生工具箱是微服务应用平台研发团队针对云原生应用架构提供的研发提效工具，提高在开发、测试、调试和诊断等阶段的开发效率。 审计终端 前提条件 1. 云容器引擎安装云原生工具箱插件成功 2. 云原生工具箱已经安装并绑定了公网elb 操作步骤 1. 登录微服务云应用控制台，选择“应用运维 > 容器应用实例>应用发布>应用实例” 2. 在容器应用实例列表界面，选择指定的目标应用实例，点击进入“应用总览” 3. 左侧菜单栏切换到“云原生工具箱”，点击“进入云原生工具箱” 4. 在云原生工具箱的操作页面，先打开终端窗口，然后执行ls rht;pwd等linux命令 5. 然后点击审计日志的跳转入口，进入到pod审计日志的页面。查看列表中是否显示用户操作的命令行信息 6. 点击审计日志列表中的预览和文件下载，并查看下载后的文件是否能够正常打开 文件管理

参数名称 告警事件状态说明 时间范围 支持选择固定周期，支持自定义查询告警的时间范围，自定义只能选择30天范围内的查询。 固定周期可选择如下： 最近24小时 最近3天 最近7天 最近30天 主机安全告警 存在告警的服务器 待处理告警事件 展示您资产中所有待处理告警的数量。 安全告警处理页面默认展示所有待处理告警信息。 已处理告警事件 展示您资产中所有已处理的告警事件数量。 已拦截IP 展示已拦截的IP。单击“已拦截IP”，可查看已拦截的IP地址列表。 已拦截IP列表展示“服务器名称”、“攻击源IP”、“登录类型”、“拦截状态”、“拦截次数”、“开始拦截时间”、“最近拦截时间”。 如果您发现有合法IP被误封禁（比如运维人员因为记错密码，多次输错密码导致被封禁），可以手工解除拦截。如果发现某个主机被频繁攻击，需要引起重视，建议及时修补漏洞，处理风险项。 说明 解除被拦截的IP后，主机将不会再拦截该IP地址对主机执行的操作。 每种软件最多拦截10000个ip。 如果您的linux主机不支持ipset，mysql和vsftp最多拦截50个ip。 如果您的linux主机既不支持ipset不支持hosts.deny，ssh最多拦截50个ip 已隔离文件 主机安全可对检测到的威胁文件进行隔离处理，被成功隔离的文件会添加到“主机安全告警”的“文件隔离箱”中。 被成功隔离的文件一直保留在文件隔离箱中，您可以根据自己的需要进行一键恢复处理，关于文件隔离箱的详细信息，请参见管理文件隔离箱。 容器安全告警 存在告警的服务器 待处理告警事件 展示您资产中所有待处理告警的数量。 安全告警处理页面默认展示所有待处理告警信息。 已处理告警事件 展示您资产中所有已处理的告警事件数量。 威胁等级 将被告警按照不同等级进行统计：致命 、 高危 、 中危、 低危。 TOP5事件类型 展示数量最多的前五种告警类型及数量。

本文主要介绍参考知识类问题。 一、 如何使容器重启后所在容器IP仍保持不变？ 单节点场景 如果集群下仅有1个节点时，要使容器重启后所在容器IP保持不变，需在工作负载中配置主机网络，在工作负载的yaml中的spec.spec.下加入hostNetwork: true字段。 多节点场景 如果集群下有多个节点时，除进行以上操作外，还需要设置节点的亲和策略，但工作负载创建后实例运行数不得超过亲和的节点数。 完成效果 进行如上设置并在工作负载运行后，工作负载实例ip与节点ip将保持一致，重启工作负载后ip也将保持不变。 二、云容器引擎CCE和微服务引擎的区别是什么？ 对于使用者而言，云容器引擎关注的重点是pod的部署，微服务引擎关注的是服务的使用。 对于技术实现来看，微服务引擎是对云容器引擎的再一次封装。 基础概念 云容器引擎（CCE） 云容器引擎（Cloud Container Engine，简称CCE）提供高度可扩展的、高性能的企业级Kubernetes集群，支持运行Docker容器，提供了Kubernetes集群管理、容器应用全生命周期管理、应用服务网格、Helm应用模板、插件管理、应用调度、监控与运维等容器全栈能力，为您提供一站式容器平台服务。借助云容器引擎，您可以在天翼云上轻松部署、管理和扩展容器化应用程序。 应用管理与运维平台（ServiceStage） ServiceStage应用管理与运维平台是一个应用托管和微服务管理平台，可以帮助企业简化部署、监控、运维和治理等应用生命周期管理工作。ServiceStage面向企业提供微服务、移动和Web类应用开发的全栈解决方案，帮助您的各类应用轻松上云，聚焦业务创新，帮助企业数字化快速转型

您在使用云应用引擎托管应用之前，需要完成一些准备工作，包括开通服务、创建VPC和创建命名空间。VPC为您构建隔离的网络环境，命名空间为您构建隔离的资源环境。 创建VPC VPC为您的应用提供了完全隔离的网络环境，处于同一VPC的应用可以互相访问，从网络层面提高应用的安全性。 创建命名空间 在多环境场景下，您应使用命名空间为应用的服务调用和应用配置建立逻辑隔离的运行时单元。通过将开发、测试、生产等环境分别置于独立的命名空间中，可以实现应用的封闭式管理，从而提升安全性，并支持批量启停全部服务，优化运维效率。

可查看和管理已经处理成功的病毒文件，并支持查看每一次对病毒文件的处理操作记录。 已隔离 查看已隔离成功的病毒文件，可对隔离的文件进行还原和彻底删除。 已删除 查看已删除成功的病毒文件，被删除的文件不可还原。 已阻断 查看已阻断成功的病毒文件，阻断后的文件还可以进一步隔离或删除。 处理记录 可查看所有的处理操作记录，方便用户追溯和确认处理的操作是否正常或者合规。

服务器安全卫士（原生版）的病毒查杀功能，支持对挖矿木马、蠕虫、勒索病毒等进行有效的检测，提供灵活的检测方式，支持一键检测和定时检测方式，通过简单操作即可完成对病毒的处理，支持对病毒文件进行隔离、删除和信任。 病毒检测模式 包含快速检测、全盘检测、自定义检测三种模式。 快速检测：扫描耗时短，对系统关键位置文件进行扫描。 全盘检测：对主机所有硬盘文件进行扫描，清理更彻底。 自定义检测：按指定位置有选择性扫描文件。 病毒扫描方式 提供实时检测、一键扫描、定时扫描三种扫描方式，方便用户基于实际使用场景进行操作。 病毒文件处理方式 服务器安全卫士（原生版）检测到病毒文件会立即产生告警，需要您根据告警详细信息对病毒文件作出处置，处置方式包括以下三种： 隔离：将病毒文件或恶意程序移动至隔离区域，进行加密处理，禁止正常运行。对于已隔离的文件，支持取消隔离。 删除：永久从系统中删除病毒文件或恶意程序，以确保不再有可能的威胁。 注意 文件删除后将不可恢复，请谨慎操作。 信任：经分析后确认为误报，可以选择将文件进行信任，信任后将不再对该文件进行检测告警。

本章节介绍Dubbo应用的服务列表和服务详情 概述 您可以通过微服务云应用平台查询部署的Dubbo应用的服务列表和服务详情。 查看服务列表 在左侧导航栏，Dubbo治理 > 服务查询。查看当前账号下的Dubbo服务。Dubbo服务支持查看服务名、应用名和实例数。如果服务较多，可以通过环境、服务名、应用名进行筛选或搜索，服务名和应用名大小写不敏感。 查看服务详情 在服务查询页面，单击服务名称查看服务的详细信息。服务详情面板包含基本信息、服务调用关系和元数据。 ● 基本信息 ● 服务调用关系 ● 元数据

状态 描述 正常 主机及主机上的服务角色正常运行。 已隔离 主机被用户隔离，主机上的服务角色停止运行。

状态 描述 正常 主机及主机上的服务角色正常运行。 已隔离 主机被用户隔离，主机上的服务角色停止运行。

专属云中的云容器引擎 场景特点：专属云容器引擎在天翼公有云中为企业用户提供物理隔离的资源和服务专属云空间。租户独占计算资源和存储资源，并使用天翼云高可靠的云网络，满足租户应用系统的高可靠、高性能和高安全等要求，支撑企业关键应用，减轻企业运维负担 场景优势： 专属隔离 租户在专属云中独享计算资源、存储资源和容器集群，与公有云其它租户的资源物理隔离，满足特殊行业核心数据隔离合规等要求 安全可靠 资源独占零抖动，服务专享高安全，可支持云上云下双中心、多点容灾备份 灵活组合 专属云中的云容器引擎支持与数据库、应用平台等服务实例对接，可灵活搭配公有云服务，实现资源弹性扩容

本章节为您介绍企业路由器的应用场景。 企业客户业务上云，多个业务网络之间需要互相访问或者隔离，并且业务网络需要和线下IDC互通。比如X企业的业务部署在天翼云，业务A、业务B、业务C相互独立，因此三个业务所在的VPC网络隔离。同时，业务A、业务B、业务C均需要访问VPC4内的公共业务以及线下IDC。 客户痛点 VPC之间的网络互通和隔离，通过VPC对等连接来实现。点对点的连接导致网络拓扑复杂，路由配置繁多，管理难度大。 公共服务VPC和每个业务VPC互通，需要配置大量的对等连接和路由，对服务规格要求高。VPC对等连接的规格不适用大规模组网，具体如下： 一个租户在一个区域最多可以配置50个对等连接数量。 VPC的一个路由表最多支持200条路由。 VPC访问线下IDC，通过云专线DC，需要为每个VPC都需要配置专线，成本高。 企业路由器价值 通过将VPC关联至企业路由器中不同的路由表，灵活实现VPC之间的互通和隔离，网络拓扑简洁，配置简单易管理。 企业路由器可以在所有VPC之间路由流量，无需配置大量对等连接，同时企业路由器支持大规格路由条目，适合企业复杂组网场景。

云容器实例开通 选择云容器引擎>创建集群，开通云容器引擎实例。 前提条件 已创建对应技术栈类型的项目，并且与云容器引擎的环境关联。 已创建支持应用性能监控的技术栈版本。 应用实例创建 1. 登录微服务云应用控制台，左侧菜单栏选择“应用运维>容器应用实例>应用发布>应用实例”，点击左侧顶部“创建应用实例”，填写应用实例基本信息。 2. 在基本信息中选择镜像部署，在点击“下一步”来到“部署配置“，填写部署配置信息。 3. 选择集群以及镜像，这里以goconsumer:1.0.0的demo镜像为例，在“监控及治理方案“选项中勾选“接入应用性能监控”。 4. 点击“环境变量”，设置环境变量信息。 5. 点击下一步，创建应用实例，最后发布部署。 6. 部署成功后，进入对应的容器应用实例的“应用总览”，在“容器组Pod”栏下，选择对应pod的“终端“，点击进入云容器引擎终端控制台。 7. 在终端控制台中执行curl 127.0.0.1:8080/api/user?namehelloworld命令，输出 plaintext { "errno": "0", "errmsg": "成功", "data": { "name": "helloworld" } } 则表示微服务调用成功。 8. 链路调用校验，在指定容器应用实例选择“应用监控>调用链查询”，即可看到对应调用链路，表示应用性能监控正常。

隔离规则 隔离规则通过控制接口或依赖的并发线程数，来保证系统的稳定性。适用于在调用第三方服务时，防止过多的慢调用挤占正常调用的资源，避免服务不可用。 1. 在应用总览页面，选择限流降级规则管理，进入规则管理页面 2. 选择隔离规则页签，点击新增进入规则配置页面 3. 选择防护场景 配置项 描述 接口名称 待流控的资源名称。 4. 配置防护规则 参数 描述 是否开启 打开开关表示启用该规则，关闭开关表示禁用该规则。 并发数阈值 资源的并发线程数（即该资源正在执行的线程数）阈值。 来源应用 该规则针对的来源应用，默认来源应用设为default，代表不区分来源应用。 统计维度 选择资源调用关系进行流控。 1.当前接口 ：直接控制来自来源应用中调用来源的访问流量，如果来源应用为default则不区分调用来源。通常应用于流量匀速通过的场景。 2.关联接口 ：控制当前资源的关联资源的流量。通常应用于资源争抢时，留足资源给优先级高接口的场景。 3.链路入口 ：控制该资源所在的调用链路的入口流量。选择链路入口后需要继续配置入口资源，即该调用链路入口的上下文名称。通常应用于预热启动避免大流量冲击的场景。 5. 配置限流行为 配置行为主要是配置Fallback行为。Fallback行为定义某个埋点资源触发了某种规则（如流控、熔断、降级）后的处理行为。目前Fallback行为仅支持Web和RPC两种资源类型。如果您不需要自定义限流后的Fallback行为，则选择默认行为即可。 配置成功后，新的隔离规则将出现在隔离规则列表中。

本文带您了解云主机访问控制的方法。 IAM身份认证 统一身份认证（Identity and Access Management，简称IAM）服务，是提供用户进行权限管理的基础服务，可以帮助您安全的控制云服务和资源的访问及操作权限。具体请参考：统一身份认证IAM介绍。 企业项目 企业项目管理（Enterprise Project Management Service，简称“EPS”），为客户提供与企业组织架构和业务管理模型匹配的云治理能力。以面向企业资源管理为出发点，帮助企业以部门、项目等组织架构分级管理和项目业务结构来实现企业在云上的人、物、权管理，提供企业人员管理、项目管理、资源管理等能力。 企业项目服务申请开通后免费使用，您只需要为您帐号中的资源进行付费。 企业项目更多相关内容请参见：企业项目管理。 访问控制 虚拟私有云 虚拟私有云（Virtual Private Cloud，VPC）是您在天翼云上申请的隔离的、私密的网络环境。您能够在一个安全可控、隔离的网络环境中实现云资源的高效管理和利用。虚拟私有云具备丰富的产品特性，使得您可以自定义网络地址、路由表、安全组等。同时，虚拟私有云提供丰富的网络连接，可以满足云上虚拟私有云互访、公网访问、通过专线或者VPN与线下IDC互通等网络场景。 更多内容请参见虚拟私有云产品介绍。 安全组 安全组是一种网络安全防护机制，用于防止未经授权的访问和保护计算机网络免受恶意攻击。它是一种虚拟防火墙，用于限制入向和出向网络流量。安全组工作在网络层和传输层，它通过检查数据包的源地址、目标地址、协议类型和端口号等信息来决定是否允许通过。安全组创建后，用户可以在安全组中定义各种访问规则，当弹性云主机加入该安全组后，即受到这些访问规则的保护。 安全组默认规则请参见安全组安全组概述。

概述 插件是云原生网关的扩展机制，用于增强网关功能，支持动态加载，能够在请求的不同阶段（如请求处理、转发、响应）执行自定义逻辑。插件支持环境隔离，仅在所绑定的特定环境中生效。 操作步骤 1. 登录微服务引擎MSE云原生网关管理控制台，选择资源池。 2. 在左侧导航栏，选择云原生网关 > 网关列表，进入对应网关实例的控制台。 3. 在左侧导航栏，选择API托管 > API列表。 绑定插件 API只能绑定路由级插件，需先在路由级插件页面创建插件。然后在API列表页中，点击API右侧省略号中的绑定插件进入插件绑定页面。只有发布后的API，才能绑定插件。将所需插件添加到右侧区块，点击确定后即可完成批量绑定。每个API只能绑定一个同类型插件，若已有同类型插件，本次绑定会覆盖。同时，同类型插件中，API绑定的优先级高于分组绑定的插件。 解绑插件 API的插件支持解绑，进入API详情页，在已绑插件区块，可单个、也可批量进行插件解绑。

标签 标签值 说明 ack.node.gpu.schedule egpu 仅显存隔离，不限制算力 ack.node.gpu.schedule coremem 显存隔离和算力限制

标签 标签值 说明 ack.node.gpu.schedule egpu 仅显存隔离，不限制算力 ack.node.gpu.schedule coremem 显存隔离和算力限制

本文介绍专属云（存储独享型）的功能特性。 资源池物理隔离 专属云（存储独享型）满足客户对计算存储资源物理独享的需求。云主机确保创建在物理隔离的计算服务器上，云硬盘确保创建在物理隔离的存储服务器上。 规格丰富 支持高IO、超高IO，满足各种数据存储需求。 支持专属存储池实时监控 支持专属存储池容量和性能的实时监控，您可以随时掌握专属存储池的运行状态。 支持磁盘备份 支持磁盘备份功能，以确保数据的可靠性和可恢复性。

本章节介绍网关治理中的流量治理功能 标签路由 标签路由是将每个服务打上一个标签，通过标签将标签相同的服务分为同一个分组，然后约束流量在同一个分组内流转，以此实现灰度发布、金丝雀发布、蓝绿发布等功能。 版本限制 框架 限制 详情 Spring Cloud Spring Cloud Edgware及以上版本 客户端：Feign、RestTemplate 负载均衡：Ribbon、LoadBalancer Dubbo 2.5.3~2.7.8 支持Alibaba Dubbo、Apache Dubbo 注册中心 Nacos、Eureka、Zookeeper jdk版本 1.8+ 应用场景 A/B测试 在营销活动中，经常会有A/B测试，A/B测试是为了测试不同的规则对业务的影响，所以一个应用会有多个版本同时运行，可以通过标签的方式区分不同的版本，对不同版本的应用进行流量隔离，将特殊用户的流量路由到特殊版本，从而实现A/B测试。 开通标签路由 步骤1：应用设置标签。 为云容器引擎集群应用设置标签，为应用容器添加环境变量MSESERVICETAGgray。 为ECS应用设置标签，在启动应用时，添加JVM启动参数Dctgcloud.service.taggray。 步骤2：在微服务治理中心控制台创建标签路由。 登录微服务治理中心控制台。 在左侧导航栏选择 微服务治理中心 >网关治理。 在网关治理页面单击目标应用卡片。 在网关页面左侧导航栏选择流量治理 标签路由，查看服务标签。 在标签路由页点击流量分配，为标签按比例分配流量。 在标签路由页的流量规则栏新增流量规则。 流量规则参数说明： 参数 说明 路由名称 路由规则的名称。 应用 所选的应用。 标签 设置的标签名。 应用实例 设置了该标签的实例ip。 是否链路传递 代表开启全链路流控。 框架类型 Spring Cloud Dubbo。 Path SpringCloud为path路径，Dubbo为接口。 条件模式 满足一个条件，或者满足所有条件。 条件列表 可以设置Header、Cookie、Parameter和Body Content四种参数类型。 是否开启流量规则 流量规则开关。

本文为您介绍Web应用防火墙（原生版）的应用场景。 场景一： 网站应用防数据泄露 恶意访问者通过SQL注入，网页木马等攻击手段，入侵网站数据库，窃取业务数据或其他敏感信息。 方案优势 精准识别恶意流量，全面防护SQL注入、XSS、Webshell上传、目录遍历、后门隔离等各类常见Web攻击。 根据会话特征有效识别恶意爬虫，防止数据泄露。 目标用户 互联网 + 企业Web服务、电商O2O站点、金融政务网站 场景示意图 场景二：CC攻击防护 网站被发起大量的恶意CC请求，长时间占用核心资源，导致网站业务响应缓慢或无法正常提供服务。 方案优势 可根据IP或者会话Session设置灵活的限速策略，精准识别CC攻击，保障业务稳定运行。 用户可根据业务需要，自主控制访问频率，并配置期望的处置动作，满足业务定制化需要。 场景示意图 场景三：0Day漏洞修复 第三方框架或插件爆发0Day漏洞时，需要通过下发虚拟补丁，第一时间防护由漏洞引发的攻击。

故障演练的业务痛点 技术要求高：异构的故障源，从基础设施到操作系统，从容器环境到应用进程，以及依赖的中间件，都需要理解其原理才能模拟故障。 实施难度大：跨团队、长流程、多权限，故障演练不仅是技术问题，更涉及组织流程与制度，需要建立相应规范。 影响不可控：故障是已知的，影响是未知的。如何感知并最小化“爆炸半径”，既要有处置预案，又要有工具支持。 故障演练的产品功能 标准化流程管理：固化演练流程，提供组织、人员、应用、资源等多维度的数据与权限管理规范。 丰富的故障场景：实现涵盖应用不同分层的原子故障注入能力，并提供具备业务含义的故障场景组合。 完备的演练防护：实现隔离与熔断双重演练防护，包括权限隔离、环境隔离和范围隔离，以及主动熔断、指标熔断和超时熔断等多种保护机制。 一站式接入管理：深度整合现有应用体系，自动导入组织权限、应用架构和关联资源，实现一站式可编排、可控制、可观测。

故障演练的业务痛点 技术要求高：异构的故障源，从基础设施到操作系统，从容器环境到应用进程，以及依赖的中间件，都需要理解其原理才能模拟故障。 实施难度大：跨团队、长流程、多权限，故障演练不仅是技术问题，更涉及组织流程与制度，需要建立相应规范。 影响不可控：故障是已知的，影响是未知的。如何感知并最小化“爆炸半径”，既要有处置预案，又要有工具支持。 故障演练的产品功能 标准化流程管理：固化演练流程，提供组织、人员、应用、资源等多维度的数据与权限管理规范。 丰富的故障场景：实现涵盖应用不同分层的原子故障注入能力，并提供具备业务含义的故障场景组合。 完备的演练防护：实现隔离与熔断双重演练防护，包括权限隔离、环境隔离和范围隔离，以及主动熔断、指标熔断和超时熔断等多种保护机制。 一站式接入管理：深度整合现有应用体系，自动导入组织权限、应用架构和关联资源，实现一站式可编排、可控制、可观测。