Agent管理列表用于管理您安装的所有探针 概述 Agent管理列表用于管理您安装的所有探针，包括“正常上报“和“未上报”的探针，显示各个探针的关键指标信息，提供查看应用详情的快捷入口和升级探针的功能入口。 1. 登录微服务云应用控制台，左侧菜单栏选择“应用监控 > agent管理”，进入列表查看数据。 具体使用说明可参考天翼云官网的应用性能监控>用户指南>Agent管理的文档。

本文介绍 专属云（计算独享型）的主要应用场景和优势。 适用于对安全有高要求的行业、对系统稳定运行有要求的行业和对资源使用灵活性要求高的行业，例如金融、政府和互联网行业等等。具体如下： 场景一 对安全有高要求的行业 场景描述 对于安全、性能及可靠性有高要求的应用场景，如金融、政府行业等。用户间计算资源物理隔离，网络资源逻辑隔离，结合分布式存储及多种安全防护产品，为用户打造一个立体的安全防护环境。 产品优势 资源安全隔离—用户之间资源物理隔离、VPC网络隔离，满足用户独占物理资源的需求 计算高性能—用户专享计算资源，消除用户之间的资源影响，满足高性能场景需求 存储高并发—搭配专属云（存储独享型）产品使用实现业务数据高并发能力同时满足业务数据的安全 场景二 对于系统稳定有高要求的场景 场景描述 对于系统稳定有高要求的业务场景，专属云为用户提供专用的服务器/集群，帮助用户解决资源共享场景下服务质量恶化的情况，保障业务系统稳定运行。 产品优势 资源安全隔离—专属云资源物理隔离，企业重要应用与其他系统物理隔离，保障用户的业务平稳运行 场景三 科学计算

加密隔离组 加密隔离组是管理员为部门或用户设置的加密文件访问控制组，通过定义隔离涵盖范围和授权共享范围，限制加密文件的读写权限。组内用户的加密文件仅对组内成员或授权共享范围内的用户开放访问，实现数据的隔离与安全管控。

云服务名称 区域 支持IAM 支持企业项目 支持IAM 支持企业项目 系统策略 分布式消息服务Kafka 全局 是 是 是 是 有 分布式消息服务RabbitMQ 全局 是 是 是 是 有 分布式消息服务RocketMQ 全局 是 是 是 是 有 微服务云应用平台 全局 是 是 是 是 有 云容器引擎 全局 是 是 是 是 有 弹性容器实例 全局 是 是 是 是 有 函数计算 全局 是 是 是 是 有 云日志服务LTS 全局 是 是 是 是 有 容器镜像服务 全局 是 是 是 是 有 分布式消息服务MQTT 全局 是 是 是 是 有 应用服务网格 全局 是 是 是 是 有 微服务引擎 全局 是 是 是 是 有

1.2、网络互通 应用双活架构存在跨数据中心调用的场景，需要您提前打通两个数据中心之间的网络。 您可以根据选定的物理架构，选择合适粒度的网络连通方案，例如连通两个区域的云间高速 产品和连通两个VPC的对等连接产品等。 1.3、应用准备 在这个示例中，对应用的部署方式没有强制要求，可以开通弹性云主机ECS 实例自行部署应用服务，也可以开通微服务云应用平台MSAP进行应用部署管理。 还需要您开通： 关系型数据库MySQL版 实例，并结合数据传输服务DTS进行业务数据跨中心同步。 微服务引擎注册配置中心用于注册中心和管控通道。 微服务引擎云原生网关用于前端服务转发。 图 部署架构 2、开通应用容灾多活服务，创建多活应用系统 2.1、创建应用 1. 登录应用高可用 控制台，单击左侧菜单栏应用容灾多活 ，在应用容灾多活菜单下单击应用双活。 2. 进入应用双活 管理页面，然后单击创建 应用系统，输入lilishop商城系统， 勾选应用系统需要开通的模块（微服务引擎注册配置中心、微服务引擎云原生网关、Dubbo、关系数据库MySQL版）、勾选“我已阅读，理解并接受《应用容灾多活计费规则》”，单击确定按钮完成创建。

本文介绍当攻击发生且触发平台稳定性红线时的处理预案及注意事项等。 场景说明 天翼云全站加速是公共的加速服务，平台承载着成千上万的域名加速业务，是一个多客户共用的加速平台，默认不提供防攻击服务。当某个客户的域名遭受攻击（例如CC攻击），而出现带宽或QPS异常大幅上涨触发平台稳定性红线时，全站加速平台有权（根据域名业务情况、攻击影响程度等因素综合判断）将对应客户的域名切入专用隔离资源池以隔离异常业务，避免影响其他正常用户的加速服务。在攻击较严重的情况下，同账户下的其他域名也会切入隔离资源池。 域名被切入隔离资源池后，天翼云全站将不再保证服务质量，部分时段可能会出现无法服务的情况。 说明 隔离资源池是天翼云全站的一组特殊节点，这组节点与常规节点之间相互隔离，隔离资源池被用于隔离有风险的加速业务。 注意事项 因被攻击导致域名被切入隔离资源池后，用户访问带来的流量仍然会产生计费账单。 相关建议 如您的域名存在潜在被攻击风险，不希望在上述场景下被切换至隔离资源池，请切换至安全类加速产品，例如：边缘安全加速平台。 相关概念： DDoS：分布式拒绝服务攻击（Distributed Denial of Service，简称DDoS）是指攻击的发出点是分布在不同地方，且所请求的服务往往要消耗大量的系统资源，造成目标主机无法为用户提供正常服务。 CC攻击：攻击者借助代理服务器生成指向受害主机的合法请求，以实现DDoS和伪装的，称为CC(Challenge Collapsar)，CC主要是攻击页面，属于应用层攻击。

本节介绍了云容器引擎的产品优势。 大规模实践 电信IT系统大规模应用落地，集群部署规模近千套。 以应用为中心 结合微服务云应用平台帮助用户快速开发、构建、部署和运维分布式应用，提供一站式容器服务。 简单易用 一键创建 Kubernetes 集群，基于控制台轻松地实现 Kubernetes 集群的扩容和缩容。 安全稳定 支持高可用部署，提供集群备份恢复插件和安全容器能力，保障应用安全运行。

参数 配置说明 微服务类型 默认选择“云容器引擎CCE”。 集群 选择已创建的集群。 命名空间 选择已创建集群中的命名空间，此处选择“default”。 工作负载类型 此处选择“无状态负载 Deployment”，与已创建的工作负载类型一致。 服务标识名 此处选择已创建的工作负载中的Pod标签“app”和“deploymentdemo”，指定工作负载。 服务标识值 此处选择已创建的工作负载中的Pod标签“app”和“deploymentdemo”，指定工作负载。

section244e8eee26e831b6)。 自动隔离：检测出勒索病毒文件后产生告警，并自动隔离病毒文件。 说明 自动隔离后，若出现误报，可在告警列表中对文件进行恢复。 指定防护目录 根据用户的特定防护场景，可自定义创建勒索诱饵文件。 设置生效范围 自定义选择需要开启诱饵防护的服务器。 5. 配置完成后，单击“确认”。 处理勒索告警 启用诱饵防护后，请及时处置勒索告警事件，及时发现并隔离阻断勒索病毒运行、扩散。 说明 若您在配置病毒处理方式时，选择了“自动隔离”的方式则会自动隔离文件，无需手动处理告警 若您选择了“手动处理”的方式，请参考下文进行操作。 1. 登录服务器安全卫士（原生版）控制台。 2. 在左侧导航栏，选择“入侵检测 > 告警中心”，进入告警中心页面。 3. 选择告警名称为“可疑勒索行为”的告警，单击告警操作列的“详情”，可在弹出的对话框中查看告警详情。 4. 核对告警信息，单击弹窗下方的“处理”按钮，根据业务实际需求处理告警。 5. 在弹出的告警处理对话框中，选择告警处理方式。 忽略：选择忽略，告警状态将变为已忽略。 加白名单：选择加白名单，系统会为您自动填写加白规则，若自动生成的加白规则不满足您也可以自定义加白规则。 文件隔离：选择隔离文件，告警状态将变为已隔离。 文件删除：选择删除文件，删除文件可能影响业务系统正常运行，文件被删除后无法恢复，请谨慎操作。

连接 将网络实例接入企业路由器中，则需要为网络实例在企业路由器中添加对应的连接。企业路由器支持接入多种网络实例，不同网络实例对应的连接类型不同，具体说明如下表所示。 连接类型 网络实例 虚拟私有云（VPC） 虚拟私有云VPC。 云防火墙（CFW） 云防火墙。 全域接入网关（DGW） 云专线DC的全域接入网关。 路由表 路由表是企业路由器发送报文的依据，包含了连接的关联关系、传播关系以及路由信息。路由表分为自定义路由表和默认路由表，具体说明如下表所示。 路由表类型 说明 自定义路由表 您可以在企业路由器中创建多个路由表，通过不同的路由策略实现网络实例的灵活互通和隔离。 默认路由表 开启“默认路由表关联”和“默认路由表传播”，并指定默认路由表，系统会自动为新接入的连接在默认路由表中创建关联和传播。 默认路由表可以是自定义路由表，不指定的话系统会自动创建一个路由表作为默认路由表，支持修改。 关联 关联是将连接关联至ER路由表中，一个连接只能关联至一个ER路由表，将连接关联至ER路由表后，可以实现以下功能： 路由转发：来自连接的报文根据它关联的路由表进行转发。 路由学习：将关联路由表中的路由信息自动学习到连接网络中。 对于不同类型的连接，是否支持路由学习，具体如下表所示。 连接类型 路由学习 虚拟私有云（VPC） 不支持 云防火墙（CFW） 不支持 全域接入网关（DGW） 支持

本章节主要介绍操作类问题中有关帐户、密码、权限的问题。 DWS如何实现业务隔离 业务隔离 DWS中可以使用Database和Schema实现业务的隔离，区别在于： Database之间无法直接互访，通过连接隔离实现彻底的权限隔离。各个Database之间共享资源极少，可实现连接隔离、权限隔离等。 Schema隔离的方式共用资源较多，可以通过GRANT与REVOKE语法便捷地控制不同用户对各Schema及其下属对象的权限，从而赋给业务更多的灵活性。 从便捷性和资源共享效率上考虑，推荐使用Schema进行业务隔离。建议系统管理员创建Schema和Database，再赋予相关用户对应的权限。 权限控制 DATABASE 数据库Database是数据库对象的物理集合，不同Database之间资源完全隔离(除部分共享对象之外)。即Database是对业务的物理隔离，不同Database的之间的对象不能相互访问。比如在Database A中无法访问Databse B中的对象。因此登录集群的时候必须显示指定要连接的Databse。 SCHEMA 数据库里面通过Schema把数据库对象进行逻辑划分，在Database中，通过Schema实现对数据库对象的逻辑隔离。 通过权限管理实现在同一个session下对不同Schema下对象的访问和操作权限。Schema下则是各种应用程序会接触到的对象，比如表，索引，数据类型，函数，操作符等。 同一个Schema下，不能存在同名的数据库对象；但是不同Schema下的对象名可以重复。 gaussdb> CREATE SCHEMA myschema; CREATE SCHEMA gaussdb> CREATE SCHEMA myschema1; CREATE SCHEMA gaussdb> CREATE TABLE myschema.t1(a int, b int) DISTRIBUTE BY HASH(b); CREATE TABLE gaussdb> CREATE TABLE myschema.t1(a int, b int) DISTRIBUTE BY HASH(b); ERROR: relation "t1" already exists gaussdb> CREATE TABLE myschema1.t1(a int, b int) DISTRIBUTE BY HASH(b); CREATE TABLE Schema实现了对业务的逻辑划分，反过来这些业务对象也对Schema形成一种依赖关系，因此当Schema下存在对象时，删除Schema的时候会报错，并提示具体的依赖信息。 gaussdb> DROP SCHEMA myschema1; ERROR: cannot drop schema myschema1 because other objects depend on it Detail: table myschema1.t1 depends on schema myschema1 Hint: Use DROP ... CASCADE to drop the dependent objects too. 当删除Schema的时候加上CASCADE选项，把Schema以及依赖此Schema的选项连带删除。 gaussdb> DROP SCHEMA myschema1 CASCADE; NOTICE: drop cascades to table myschema1.t1 gaussdb> DROP SCHEMA

您可以通过网络隔离开关，设置命名空间层面的网络策略。 例如命名空间default，网络隔离的默认状态为“隔离状态未开启”，表示“当前集群下的所有工作负载”都可以访问“命名空间default下的工作负载”。 若您需要设置其它工作负载不可以访问“命名空间default下的工作负载”，请参照以下步骤设置： 须知： 网络模型为“VPC网络”时不支持命名空间（namespace）的网络隔离，仅在“容器隧道网络”模式下支持。 前提条件 您已成功创建一个Kubernetes集群，参见购买混合集群。 您已成功创建一个命名空间，参见创建命名空间。 操作步骤 步骤 1 登录为CCE控制台，在左侧导航栏中选择“资源管理 > 命名空间”。 步骤 2 在“集群”下拉框中，选择命名空间所在的集群。 步骤 3 在待设置命名空间（例如default）后，将网络隔离一栏的“隔离状态未开启”改为“隔离状态已开启”，开启后，当前集群内的其他工作负载都不能访问此命名空间下的工作负载。 设置完成后，当前集群内其它命名空间下的工作负载都不能访问default下的工作负载。

展示当前租户下所有调用链路信息 概述 展示当前租户下所有调用链路信息。您可以根据多个筛选条件租户查询您想看的调用链，可以点击「TraceID」查看具体的调用链详情。 1. 登录微服务云应用控制台，左侧菜单栏选择“应用监控 >链路分析> 链路查询”，进入列表查看数据。 2. 在左侧导航栏中选择“调用链查询“”查看该应用实例/接口的调用链信息。 具体使用说明可参考天翼云官网的应用性能监控>用户指南>Trace详情文档

概述 API授权用于保护API安全访问，确保只有授权用户能调用API。 操作步骤 1. 登录微服务引擎MSE云原生网关管理控制台，选择资源池。 2. 在左侧导航栏，选择云原生网关 > 网关列表，进入对应网关实例的控制台。 3. 在左侧导航栏，选择API托管 > API列表。 4. 点击进入对应的API详情页，上方导航栏点击授权信息。 开启API授权 只有开启了应用授权的API，才能进行授权访问。可在创建时开启，也可编辑API，安全认证选择应用授权开启。 应用授权 应用授权支持环境隔离，只有API发布到指定环境后才能进行授权。将需要授权的应用添加到右侧区块，点击确定即可完成批量授权。授权可设置有效期或选择长期有效。 解除应用授权 在API应用授权信息列表中，可选择授权应用进行移除。 关闭应用授权 编辑API，安全认证方式，选择无认证，即可关闭应用授权。

子网 云资源（例如云服务器、物理机等）必须部署在子网内。您可以在虚拟私有云内创建一个或多个子网，但是子网的网段必须在虚拟私有云网段范围内。同子网内网络默认互通，同VPC下不同子网之间默认互通。子网网段创建后无法修改。 安全组 安全组是一种网络安全防护机制，用于防止未经授权的访问和保护计算机网络免受恶意攻击。它是一种虚拟防火墙，用于限制入向和出向网络流量。安全组工作在网络层和传输层，它通过检查数据包的源地址、目标地址、协议类型和端口号等信息来决定是否允许通过。安全组创建后，用户可以在安全组中定义各种访问规则，当弹性云主机加入该安全组后，即受到这些访问规则的保护。 区域和可用区 我们用区域和可用区来描述数据中心的位置，您可以在特定的区域、可用区创建资源。 区域（Region）指物理的数据中心。每个区域完全独立，这样可以实现最大程度的容错能力和稳定性。资源创建成功后不能更换区域。 可用区（AZ，Availability Zone）是同一区域内，电力和网络互相隔离的物理区域，一个可用区不受其他可用区故障的影响。一个区域内可以有多个可用区，不同可用区之间物理隔离，但内网互通，既保障了可用区的独立性，又提供了低价、低时延的网络连接。 下图阐明了区域和可用区之间的关系。 目前，天翼云已在全国多个地域开放，您可以根据需求选择适合自己的区域和可用区。更多信息请参见天翼云产品部署看板 。

Nodeproblemcontroller故障隔离 说明 故障隔离仅1.16.0及以上版本支持。 Nodeproblemcontroller（NPC）并不会随NPD插件默认安装。在安装NPD插件时，将参数 npc.enable配置为true以部署双实例NPC（注：也可配置单实例但不保证高可用）。 默认情况下，若多个节点发生故障，NPC只会为1个节点添加污点，可通过参数npc. maxTaintedNode提高数量限制。故障恢复时，NPC不在运行状态，污点会残留，需要手动清理或启动NPC。 开源NPD插件提供了故障探测能力，但未提供基础故障隔离能力。对此，CCE在开源NPD的基础上，增强了Nodeproblemcontroller（节点故障控制器组件），该组件参照kubernetes节点控制器实现，针对NPD探测上报的故障，自动为节点添加污点以进行基本的节点故障隔离。 可以按下表修改插件npc.customConditionToTaint参数，配置故障隔离规则。 参数说明 参数 说明 默认值 npc.enable 是否启用npc false npc.customCondtionToTaint 故障隔离规则列表 见下表 npc.customConditionToTaint[i] 故障隔离规则项 N/A npc.customConditionToTaint[i].condition.status 故障状态 true npc.customConditionToTaint[i].condition.type 故障类型 N/A npc.customConditionToTaint[i].enable 是否启用该故障隔离规则项 false npc.customConditionToTaint[i]..taint.effect 故障隔离效果NoSchedule、PreferNoSchedule、NoExecute NoSchedule值域：NoSchedule、PreferNoSchedule、NoExecute npc. maxTaintedNode 集群内多少节点允许被npc添加污点支持int格式和百分比格式 1值域： int格式，数值范围为1到无穷大 百分比格式，数值范围为1%到100%，与集群节点数量乘积计算后最小值为1。 Npc.affinity Controller的节点亲和性配置 N/A 推荐故障隔离规则配置 故障 故障详情 污点 DiskReadonly 磁盘只读 NoSchedule，禁止新建Pod DiskProblem 磁盘空间不足，关键逻辑磁盘被卸载 NoSchedule，禁止新建Pod FrequentKubeletRestart kubelet频繁重启 NoSchedule，禁止新建Pod FrequentDockerRestart Docker频繁重启 NoSchedule，禁止新建Pod FrequentContainerdRestart Containerd频繁重启 NoSchedule，禁止新建Pod KUBEPROXYProblem Kubeproxy异常 NoSchedule，禁止新建Pod PIDProblem Pid不足 NoSchedule，禁止新建Pod FDProblem FD文件句柄数不足 NoSchedule，禁止新建Pod MemoryProblem 节点内存不足 NoSchedule，禁止新建Pod

对比维度 容器隧道网络 VPC网络 核心技术 OVS IPVlan，VPC路由 适用集群 CCE集群 虚机集群 CCE集群 虚机集群 网络隔离 支持Kubernetes原生NetworkPolicy 否 IP地址管理 容器网段单独分配 节点维度划分地址段，动态分配（地址段分配后可动态增加） 容器网段单独分配 节点维度划分地址段，静态分配（节点创建完成后，地址段分配即固定，不可更改） 网络性能 基于vxlan隧道封装，有一定性能损耗。 无隧道封装，跨节点通过VPC 路由器转发，性能好，媲美主机网络。 组网规模 最大可支持2000节点 默认支持200节点，受限于VPC路由表能力。 VPC网络模式下，集群每添加一个节点，会在VPC的路由表中添加一条路由，因此集群本身规模受VPC路由表上限限制。 适用场景 一般容器业务场景。 对网络时延、带宽要求不是特别高的场景。 对网络时延、带宽要求高。 容器与虚机IP互通，使用了微服务注册框架的，如Dubbo、CSE

操作步骤 步骤1：登录弹性云服务器。 弹性云服务器有多种登录方法，本示例是通过管理控制台远程登录（VNC方式）。 步骤2：在弹性云服务器的远程登录窗口，执行以下命令，验证网络情况。 执行以下命令，验证VPC网络隔离情况。 ping 弹性云服务器IP地址 以登录ecsisolation01，验证vpcisolation01与vpcisolation02、vpcisolation03的网络隔离情况为例： ping 10.2.0.215 ping 10.3.0.14 回显如下信息，没有流量信息，表示网络隔离配置成功。 执行以下命令，验证VPC网络互通情况。 ping 弹性云服务器IP地址 以登录ecsisolation01，验证vpcisolation01与vpcshare的网络互通情况为例： ping 192.168.0.130 回显如下信息，表示网络互通。 步骤3：重复执行步骤1~2，验证其他VPC之间的网络隔离和互通情况。

本节介绍云下一代防火墙功能特性,包括应用识别、监控统计等。 功能介绍 产品功能 功能解释 应用识别 在进行分析报文头的基础上，结合不同的应用协议特征库综合判断所属的应用 监控统计 对设备数据进行统计，并以柱状图、折线图、表格、报表、日志等方式呈现出来，帮助用户通过统计数据掌握设备状况，排查问题 用户认证 对用户进行识别，通过认证的用户可以访问对应的管理资源 访问控制 划分安全区域和非安全区域，区域之间的访问基于安全策略进行控制 攻击防护 暴力破解，DDoS攻击，泛洪攻击等多种攻击方式监测与拦截 入侵防御 实时监控多种网络攻击并根据配置对网络攻击进行阻断等操作 病毒过滤 探测各种病毒威胁，例如恶意软件、恶意网站等，并且根据配置对发现的病毒进行处理。 数据安全 文件级数据安全防护，根据文件格式和传输协议探测文件数据安全 僵尸网络防护 外连网络安全监测，可以识别内网失陷主机，拦截挖矿等外连服务 IP信誉库 国家地址位置IP信誉识别，识别风险IP双向流量，定期更新特征库 云沙箱 未知威胁风险文件模拟运行环境，动态静态双模式识别 页面访问控制 针对不同用户的权限对页面的访问进行区别 带宽管理 能够管理和优化网络带宽，提高用户的网络体验和带宽资源利用率 高可用性 在通信线路或设备产生故障时提供备用方案，从而保证数据通信的畅通，有效增强网络的可靠性 IPV6 全面适配IPV6环境，支持IPV4与IPV6双栈网络 授权管理 集中管理功能授权并可进行不同种类授权的统一下发 REST API 标准restAPI接口，特殊用户需求可进行联调开发 VPN 支持IPSEC VPN和SSL VPN功能配置

Nacos 微服务注册中心Nacos引擎包括配置中心和注册中心，提供动态配置、服务发现和服务健康监测等简单易用的特性，经过实践检验具备高性能和高可用性，帮助用户管理配置、注册和发现微服务，更加快捷方便地构建、交付和管理微服务平台。 Nacos 企业版支持MCP服务标准化与可视化管理和存量 HTTP 服务一键转换，快速对接 MCP 生态，适配微服务架构升级需求。通过底层核心资源独享提供更高规格的配额能力，相对于开源提供更强的性能和更高的可用性。 系列能力对比 功能 社区版 单机版 集群版 企业版 AI能力 MCP注册 不支持 不支持 不支持 支持 可用性 风险自动扫描管理 不支持 支持 支持 支持 可用性 配置标签灰度 不支持 支持 支持 支持 可用性 多节点容灾 不支持 不支持 支持 支持 可用性 多可区容灾 不支持 不支持 支持 支持 可用性 推空保护 不支持 不支持 支持 支持 可用性 无损变更能力 不支持 不支持 支持 支持 安全性 AK 访问模式 不支持 支持 支持 支持 安全性 TLS 传输加密 不支持 不支持 支持 支持 易用性 自动化运维 不支持 不支持 支持 支持 易用性 故障节点自愈 不支持 不支持 支持 支持 易用性 完善的指标监控告警 不支持 支持 支持 支持 易用性 迁移工具 不支持 支持 支持 支持

本文介绍什么是RBI云端浏览器。 什么是远程浏览器隔离（RBI） Web浏览器是整个网络环境中最广泛应用的软件之一，因浏览器漏洞导致的网络安全事件层出不穷，同时浏览器漏洞的存在是难免的，往往是通过事后修补都方式，都依赖人员意识。远程浏览器隔离（RBI）主要解决Web浏览器访问问题，它可以在云服务器上加载网页并执行相关代码，远离用户的本地设备以及企业的内部网络。在结束网页浏览后会删除用户浏览会话记录，因此，与会话相关的恶意 cookie 或下载内容都会被清除。 RBI云端浏览器 RBI云端浏览器是基于零信任网络+远程浏览器隔离技术，以“不让数据流出去、不让坏数据流进来”为宗旨，通过隔离浏览环境进行数据隔离、运行隔离，限制员工行为，保障员工终端安全，敏感数据不落地，提供全流程的行为审计，保证恶意行为证据可追溯。 当用户使用浏览器访问网页时，Web隔离系统利用RBI技术，将网页内容加载到远端浏览器上，在远端的浏览器上执行渲染后，将渲染的结果以图像的方式传到用户端浏览器上显示。 可管控限制用户在浏览器内执行有风险的操作，包括限制下载、上传、复制粘贴、键盘输入和打印功能。 零信任可安全连通内网进行身份认证、权限管控，提供完整链路访问。

订购专属云（存储独享型）时，存储服务器的容量是裸容量还是可用容量？ 可用容量。 用户订购的申请容量即为实际可用容量，实际可用容量集群裸容量运维占用容量。 更多关于存储专属云容量的信息，请参考存储池容量说明。 可以使用宿主机服务器上的硬盘吗？ 不能使用宿主机服务器自带的本地盘。 无论系统盘还是数据盘，都只能通过挂载云硬盘的方式来提供。数据盘挂载操作请参考挂载磁盘。 是否可以在控制台上申请专属云服务？ 不可以。 由于存储专属云集群需要按需建设，因此存储专属云服务仅支持通过填写业务需求单或直接联系客户经理的方式进行申请。 申请流程请参考操作流程。 专属云中资源是如何隔离的？ 专属云主机创建在物理隔离的计算服务器上，与公有云隔离。 专属磁盘创建在物理隔离的存储服务器上，与公有云隔离。 专属云内网络实现逻辑隔离，您可独占VPC，您与其他用户之间的网络相互隔离。 存储专属云中磁盘扩容上限值是多少？ 系统盘扩容上限为2TB（2048 GB），数据盘扩容上限是32TB（32768 GB）。 专属云中磁盘的扩容方法和云硬盘一致，扩容方法参见扩容磁盘。

等保体系 等保测评项 安全产品名称 二级等保基础版 二级等保高级版 三级等保基础版 三级等保高级版 安全通信网络 应避免将重要网络区域部署在边界处，重要网络区域与其他网络区域之间应采取可靠的技术隔离手段 下一代防火墙 ✓ ✓ ✓ ✓ 安全区域边界 应具有提供访问控制、边界防护、入侵防范等安全机制 Web应用防火墙 ✓ ✓ ✓ ✓ 安全计算环境 应启用安全审计功能，数据进行安全审计 云安全中心 × ✓ ✓ ✓ 安全计算环境 应启用安全审计功能，数据进行安全审计 日志审计 ✓ ✓ ✓ ✓ 安全计算环境 应启用安全审计功能，数据进行安全审计 数据库审计 × × ✓ ✓ 安全计算环境 应对用户进行身份鉴别、访问控制、运维审计 堡垒机 × ✓ ✓ ✓ 安全计算环境 应能发现已知漏洞，并在经过充分测试评估后，及时修补漏洞 漏洞扫描 × × × ✓ 安全计算环境 应能发现已知漏洞，并在经过充分测试评估后，及时修补漏洞 主机安全 ✓ ✓ ✓ ✓ 安全管理中心 集中监控，集中审计，集中配置，集中告警 云安全中心 × ✓ ✓ ✓ 安全运维管理 应根据数据资产安全管理制度识别数据并编制数据资产清单 数据分类分级 大数据扩展场景可选 安全数据处理 应根据数据的使用目的，采取相应的数据脱敏技术、数据脱敏规则和数据脱敏策略对敏感数据进行脱敏。 数据脱敏与水印 大数据扩展场景可选

本文主要介绍如何设置命名空间级的网络策略。 您可以通过网络隔离开关，设置命名空间层面的网络策略。 例如命名空间default，网络隔离的默认状态为“隔离状态未开启”，表示“当前集群下的所有工作负载”都可以访问“命名空间default下的工作负载”。 若您需要设置其它工作负载不可以访问“命名空间default下的工作负载”，请参照以下步骤设置： 注意 当前仅容器隧道网络模型的集群支持网络策略（NetworkPolicy）。 网络策略（NetworkPolicy）暂不支持设置出方向（egress）。 不支持对IPv6地址网络隔离。 前提条件 您已成功创建一个Kubernetes集群，参见购买CCE集群。 您已成功创建一个命名空间，参见创建命名空间。 操作步骤 步骤 1 登录为CCE控制台，在左侧导航栏中选择“资源管理 > 命名空间”。 步骤 2 在“集群”下拉框中，选择命名空间所在的集群。 步骤 3 在待设置命名空间（例如default）后，将网络隔离一栏的“隔离状态未开启”改为“隔离状态已开启”，开启后，当前集群内的其他工作负载都不能访问此命名空间下的工作负载。 设置完成后，当前集群内其它命名空间下的工作负载都不能访问default下的工作负载。 图 命名空间网络策略

本章节介绍微服务治理中心MSGC子产品的产品规格 微服务治理中心支持专业版及企业版两种规格，您可以按需选择合适的规格，具体能力差异如下： 核心功能 功能说明 专业版 企业版 服务查询 支持查看应用下服务的提供者、消费者和接口元数据等信息。 √ √ 微服务可观测 支持查看最近5分钟的监控数据。 √ √ 金丝雀发布 支持在应用发布时，可以为新版本的应用打上gray的标签，通过按流量比例路由或按内容路由的方式，将灰度流量引入带有gray标签的应用中，从而达到小规模验证的目的。 √ √ 标签路由 支持将每个服务打上一个标签，通过标签将标签相同的服务分为同一个分组，然后约束流量在同一个分组内流转。 √ √ 无损上下线 无损上线：支持在服务上线时，提供服务预热、延迟注册服务的能力解决流量损失问题。 无损下线：保证应用在下线、重启时流量零损耗。 √ √ 错误注入 支持模拟微服务间异常调用。 √ √ 离群实例摘除 支持监测下游实例的可用性，并摘除异常实例。 √ √ 推空保护 支持当注册中心返回了空列表，此时客户端忽略该空返回的变更，从缓存中获取上一次正常的服务端地址进行服务访问。 √ √ 服务鉴权 支持为提供者的服务设置鉴权规则，允许或拒绝某个消费者访问服务。 √ √ 服务测试 支持在控制台填写调用参数、发起服务调用，并得到服务调用的结果。 √ √ 自动化回归 支持通过用例管理和用例集管理能力实现功能快速回归。 √ √ 服务Mock 支持模拟真实后端服务。 √ √ 事件中心 支持通过事件类型和事件来源维度查询事件记录，感知微服务治理事件。 √ √ 操作日志 支持记录关键治理中心操作日志。 √ √ 流量防护 支持以流量为切入口，对请求流量进行流量控制、熔断降级和系统保护等操作。 × √ 网关防护 支持针对SpringCloud Gateway和Zuul应用实现流量控制。 × √ 全链路灰度 支持将多个相同版本的应用划分为同一个泳道，通过全链路流量控制的功能将相同版本的应用隔离成一个独立的运行环境（泳道）。 × √ 功能开关 提供了一个轻量级的动态配置框架，可以在项目中快速接入配置，并在控制台实时管理配置项。 × √ 数据库治理 支持SQL监控统计、SQL流量防护、连接池治理、数据库灰度、数据库读写路由等功能。 × √ 全局鉴权 支持通过创建鉴权规则，实现多个微服务之间通信的身份验证。 × √

本章节介绍如何配置热点规则 配置热点规则 为应用程序配置热点规则后，微服务治理中心会对系统中的资源调用次数进行分析，并根据配置的热点规则来限制包含热点参数的资源调用，以保证系统的稳定性。 功能入口 1. 登录微服务治理控制台。 2. 在控制台左侧导航栏中选择应用治理。 3. 在应用治理页面的应用卡片页签单击目标应用卡片。 4. 进入应用之后，新建隔离规则：在左侧导航栏，单击流量防护，在流量防护 规则管理 热点规则页，单击新增热点规则按钮。 5. 在新增热点限流规则对话框中，配置规则信息。 6. 单击新增。 使用场景 常用场景 1：秒杀场景 为了保证系统稳定性，可以配置热点规则，当超过一定量的阈值后，系统会让满足热点规则的请求流量排队等待。例如，对于购买同一商品的请求，如果在1秒内调用次数超过100次，则其他请求将被等待处理。在新建热点规则对话框中，可以配置以下规则信息： 阈值：设置超过多少次请求会被限流。 等待时间：设置等待时间，单位为秒。 调用次数：设置调用次数的阈值。 例如购买同一商品，1s内调用超过100次请求后，则其余请求进行等待。在新建热点规则对话框中配置以下规则信息： 填写接口名称。 统计维度选择通过请求数。 统计周期时间设置为1s，单机阈值设置为100。 流控效果选择排队等待。 超时时间设置为30 ms。

应用管理列表展示当前租户当前资源池下已接入(有过数据上报)的所有应用 概述 应用管理列表展示当前租户当前资源池下已接入（有过数据上报）的所有应用。 1. 登录微服务云应用控制台，左侧菜单栏选择“应用监控 > 应用管理”，进入列表查看数据。 显示基础的应用实例名称、语言信息、项目名称。 显示每秒请求数、错误率、平均响应时间、响应时间趋势图等关键指标信息。 支持根据应用名称搜索。 支持筛选时间段。 支持操作查看详情，点击应用实例名称，进入对应的应用详情页，详见应用性能监控>应用列表。

微服务治理中心MSGC 归属模块 授权项 权限说明 权限依赖 系统策略 IAM项目 企业项目 归属模块 授权项 权限说明 权限依赖 微服务治理中心MSGCadmin 微服务治理中心MSGCuser 微服务治理中心MSGCviewer IAM项目 企业项目 产品订购 msgc:inst:createinstance 产品开通 无 ✓ ✗ ✗ ✓ ✗ 产品订购 msgc:inst:delinstance 产品退订 无 ✓ ✗ ✗ ✓ ✗ 产品订购 msgc:inst:extendinstance 产品扩容 无 ✓ ✗ ✗ ✓ ✗ 产品订购 msgc:inst:renewinstance 产品续订 无 ✓ ✗ ✗ ✓ ✗ 应用管理 msgc:inst:getAppInfo 查询应用相关信息 无 ✓ ✓ ✓ ✓ ✗ 应用管理 msgc:inst:getOverview 查询应用概览信息 无 ✓ ✓ ✓ ✓ ✗ 应用管理 msgc:inst:manageApp 管理应用 无 ✓ ✗ ✗ ✓ ✗ 服务监控 msgc:inst:getResourceInfo 查询接口相关信息 无 ✓ ✓ ✓ ✓ ✗ 服务监控 msgc:inst:getServiceInfo 查询服务相关信息 无 ✓ ✓ ✓ ✓ ✗ 服务配置 msgc:inst:writeDubboConfig 修改Dubbo相关配置 无 ✓ ✓ ✗ ✓ ✗ 服务配置 msgc:inst:writeNodeConfig 修改节点相关配置 无 ✓ ✓ ✗ ✓ ✗ 流量治理 msgc:inst:readAdaptiveFlowConfig 查询自适应流控相关信息 无 ✓ ✓ ✓ ✓ ✗ 流量治理 msgc:inst:readDegradeConfig 查询服务降级相关信息 无 ✓ ✓ ✓ ✓ ✗ 流量治理 msgc:inst:readHotParamRule 读取热点规则相关信息 无 ✓ ✓ ✓ ✓ ✗ 流量治理 msgc:inst:readLosslessInfo 查询无损上下线相关信息 无 ✓ ✓ ✓ ✓ ✗ 流量治理 msgc:inst:readMqGrayRouteConfig 查询消息灰度相关信息 无 ✓ ✓ ✓ ✓ ✗ 流量治理 msgc:inst:readOutilierConfig 查询离群实例摘除相关信息 无 ✓ ✓ ✓ ✓ ✗ 流量治理 msgc:inst:readPushProtection 查询推空保护相关信息 无 ✓ ✓ ✓ ✓ ✗ 流量治理 msgc:inst:readTagInfo 查询流量标签相关信息 无 ✓ ✓ ✓ ✓ ✗ 流量治理 msgc:inst:writeAdaptiveFlowConfig 修改自适应流控配置 无 ✓ ✓ ✗ ✓ ✗ 流量治理 msgc:inst:writeDegradeConfig 修改服务降级配置 无 ✓ ✓ ✗ ✓ ✗ 流量治理 msgc:inst:writeHotParamRule 修改热点规则 无 ✓ ✓ ✗ ✓ ✗ 流量治理 msgc:inst:writeLosslessConfig 修改无损上下限配置 无 ✓ ✓ ✗ ✓ ✗ 流量治理 msgc:inst:writeMqGrayRouteConfig 修改消息灰度配置 无 ✓ ✓ ✗ ✓ ✗ 流量治理 msgc:inst:writeOutilierConfig 修改离群摘除配置 无 ✓ ✓ ✗ ✓ ✗ 流量治理 msgc:inst:writePushProtection 修改推空保护配置 无 ✓ ✓ ✗ ✓ ✗ 流量治理 msgc:inst:writeSwitchConfig 修改功能开关配置 无 ✓ ✓ ✗ ✓ ✗ 流量治理 msgc:inst:writeTagCanaryConfig 修改金丝雀配置 无 ✓ ✓ ✗ ✓ ✗ 流量治理 msgc:inst:writeTagRouteConfig 修改标签路由配置 无 ✓ ✓ ✗ ✓ ✗ 流量防护 msgc:inst:readCircuitBreakConfig 查看服务熔断相关信息 无 ✓ ✓ ✓ ✓ ✗ 流量防护 msgc:inst:readClientConfig 查询流量防护基础设置 无 ✓ ✓ ✓ ✓ ✗ 流量防护 msgc:inst:readClusterInfo 查询集群防护配置 无 ✓ ✓ ✓ ✓ ✗ 流量防护 msgc:inst:readFallbackBehavior 查询防护行为相关信息 无 ✓ ✓ ✓ ✓ ✗ 流量防护 msgc:inst:readFlowConfig 查询流控隔离相关信息 无 ✓ ✓ ✓ ✓ ✗ 流量防护 msgc:inst:readManualDegradeConfig 查询主动降级相关信息 无 ✓ ✓ ✓ ✓ ✗ 流量防护 msgc:inst:readWebFlowConfig 查询WEB防护相关信息 无 ✓ ✓ ✓ ✓ ✗ 流量防护 msgc:inst:writeCircuitBreakConfig 修改服务熔断配置 无 ✓ ✓ ✗ ✓ ✗ 流量防护 msgc:inst:writeClientConfig 修改流量防护基础配置 无 ✓ ✓ ✗ ✓ ✗ 流量防护 msgc:inst:writeClusterInfo 修改集群防护配置 无 ✓ ✓ ✗ ✓ ✗ 流量防护 msgc:inst:writeFallbackBehavior 修改防护行为 无 ✓ ✓ ✗ ✓ ✗ 流量防护 msgc:inst:writeFlowConfig 修改流控隔离配置 无 ✓ ✓ ✗ ✓ ✗ 流量防护 msgc:inst:writeManualDegradeConfig 修改主动降级配置 无 ✓ ✓ ✗ ✓ ✗ 流量防护 msgc:inst:writeWebFlowConfig 修改WEB防护配置 无 ✓ ✓ ✗ ✓ ✗ 数据库治理 msgc:inst:readDatabaseGrayConfig 查询数据库灰度相关信息 无 ✓ ✓ ✓ ✓ ✗ 数据库治理 msgc:inst:readDatabaseReadWriteConfig 查询数据库读写路由相关信息 无 ✓ ✓ ✓ ✓ ✗ 数据库治理 msgc:inst:readDataSourceInfo 查询连接池相关信息 无 ✓ ✓ ✓ ✓ ✗ 数据库治理 msgc:inst:writeDatabaseGrayConfig 修改数据库灰度配置 无 ✓ ✓ ✗ ✓ ✗ 数据库治理 msgc:inst:writeDatabaseReadWriteConfig 修改数据库读写路由配置 无 ✓ ✓ ✗ ✓ ✗ 数据库治理 msgc:inst:writeDataSourceConfig 修改连接池配置 无 ✓ ✓ ✗ ✓ ✗ 功能开关 msgc:inst:getSwitchInfo 查询功能开关信息 无 ✓ ✓ ✓ ✓ ✗ 功能开关 msgc:inst:getSwitchLog 查询功能开关日志 无 ✓ ✓ ✓ ✓ ✗ 开发测试治理 msgc:inst:readMockConfig 查询服务Mock相关信息 无 ✓ ✓ ✓ ✓ ✗ 开发测试治理 msgc:inst:writeMockConfig 修改服务Mock配置 无 ✓ ✓ ✗ ✓ ✗ 全链路灰度 msgc:inst:readSwimmingGroup 查询泳道组相关信息 无 ✓ ✓ ✓ ✓ ✗ 全链路灰度 msgc:inst:readSwimmingLane 查询泳道相关信息 无 ✓ ✓ ✓ ✓ ✗ 全链路灰度 msgc:inst:writeSwimmingGroup 修改泳道组 无 ✓ ✓ ✗ ✓ ✗ 全链路灰度 msgc:inst:writeSwimmingLane 修改泳道 无 ✓ ✓ ✗ ✓ ✗ 网关治理 msgc:inst:readGatewayApiDef 查询网关API信息 无 ✓ ✓ ✓ ✓ ✗ 网关治理 msgc:inst:writeGatewayApiDef 修改网关API配置 无 ✓ ✓ ✗ ✓ ✗ 运维中心 msgc:inst:getEvent 查询应用事件信息 无 ✓ ✓ ✓ ✓ ✗ 运维中心 msgc:inst:getOpsLog 查询操作日志 无 ✓ ✓ ✓ ✓ ✗

本文介绍如何在容器安全卫士响应中心页面查看已处理的告警信息，并支持对已暂停的容器进行恢复、对已隔离的Pod进行解除隔离等操作。 响应中心展示“已隔离”、“已暂停”、“已重启”的容器，“已阻断”的镜像和已加入白名单的告警。 隔离Pod列表 1. 登录容器安全卫士控制台。 2. 在左侧导航栏，选择“告警响应 > 响应中心”，进入响应中心页面。 3. 在隔离Pod列表，可以对已隔离的Pod进行恢复。 暂停容器列表 1. 登录容器安全卫士控制台。 2. 在左侧导航栏，选择“告警响应 > 响应中心”，进入响应中心页面。 3. 在暂停容器列表，可以对已暂停的容器进行恢复。 重启Pod列表 1. 登录容器安全卫士控制台。 2. 在左侧导航栏，选择“告警响应 > 响应中心”，进入响应中心页面。 3. 在重启Pod列表，可以查看重启过的Pod。 镜像阻断列表 1. 登录容器安全卫士控制台。 2. 在左侧导航栏，选择“告警响应 > 响应中心”，进入响应中心页面。 3. 在镜像阻断列表，可以对已阻断的镜像解除阻断。

勒索诱饵防护 说明 仅服务器安全卫士旗舰版支持配置勒索诱饵防护规则。 1. 单击“配置规则”，开始配置勒索诱饵防护。 2. 在页面右侧弹出的防护设置页面，配置相关参数。 参数 说明 启用诱饵防护 自动在系统关键位置投放诱饵文件，实时捕捉勒索行为并进行阻断。 病毒处置方式 配置发现勒索病毒文件后的处理方式。支持手动处理和自动隔离。 手动处理：检测出勒索病毒文件后，仅产生告警。需手动在控制中心对勒索告警进行处理，支持隔离、删除、信任，详细操作请参见处理勒索告警。 自动隔离：检测出勒索病毒文件后产生告警，并自动隔离病毒文件。 说明 自动隔离后，若出现误报，可在告警列表中对文件进行恢复。 指定防护目录 根据用户的特定防护场景，可自定义创建勒索诱饵文件。 设置生效范围 自定义选择需要开启诱饵防护的服务器。 3. 配置完成后，单击“确认”。

参数名称 告警事件状态说明 时间范围 支持选择固定周期，支持自定义查询告警的时间范围，自定义只能选择30天范围内的查询。 固定周期可选择如下： 最近24小时 最近3天 最近7天 最近30天 主机安全告警 存在告警的服务器 待处理告警事件 展示您资产中所有待处理告警的数量。 安全告警处理页面默认展示所有待处理告警信息。 已处理告警事件 展示您资产中所有已处理的告警事件数量。 已拦截IP 展示已拦截的IP。单击“已拦截IP”，可查看已拦截的IP地址列表。 已拦截IP列表展示“服务器名称”、“攻击源IP”、“登录类型”、“拦截状态”、“拦截次数”、“开始拦截时间”、“最近拦截时间”。 如果您发现有合法IP被误封禁（比如运维人员因为记错密码，多次输错密码导致被封禁），可以手工解除拦截。如果发现某个主机被频繁攻击，需要引起重视，建议及时修补漏洞，处理风险项。 说明 解除被拦截的IP后，主机将不会再拦截该IP地址对主机执行的操作。 每种软件最多拦截10000个ip。 如果您的linux主机不支持ipset，mysql和vsftp最多拦截50个ip。 如果您的linux主机既不支持ipset不支持hosts.deny，ssh最多拦截50个ip 已隔离文件 主机安全可对检测到的威胁文件进行隔离处理，被成功隔离的文件会添加到“主机安全告警”的“文件隔离箱”中。 被成功隔离的文件一直保留在文件隔离箱中，您可以根据自己的需要进行一键恢复处理，关于文件隔离箱的详细信息，请参见管理文件隔离箱。 容器安全告警 存在告警的服务器 待处理告警事件 展示您资产中所有待处理告警的数量。 安全告警处理页面默认展示所有待处理告警信息。 已处理告警事件 展示您资产中所有已处理的告警事件数量。 威胁等级 将被告警按照不同等级进行统计：致命 、 高危 、 中危、 低危。 TOP5事件类型 展示数量最多的前五种告警类型及数量。

参数名称 告警事件状态说明 时间范围 支持选择固定周期，支持自定义查询告警的时间范围，自定义只能选择30天范围内的查询。 固定周期可选择如下： 最近24小时 最近3天 最近7天 最近30天 主机安全告警 存在告警的服务器 待处理告警事件 展示您资产中所有待处理告警的数量。 安全告警处理页面默认展示所有待处理告警信息。 已处理告警事件 展示您资产中所有已处理的告警事件数量。 已拦截IP 展示已拦截的IP。单击“已拦截IP”，可查看已拦截的IP地址列表。 已拦截IP列表展示“服务器名称”、“攻击源IP”、“登录类型”、“拦截状态”、“拦截次数”、“开始拦截时间”、“最近拦截时间”。 如果您发现有合法IP被误封禁（比如运维人员因为记错密码，多次输错密码导致被封禁），可以手工解除拦截。如果发现某个主机被频繁攻击，需要引起重视，建议及时修补漏洞，处理风险项。 说明 解除被拦截的IP后，主机将不会再拦截该IP地址对主机执行的操作。 每种软件最多拦截10000个ip。 如果您的linux主机不支持ipset，mysql和vsftp最多拦截50个ip。 如果您的linux主机既不支持ipset不支持hosts.deny，ssh最多拦截50个ip 已隔离文件 主机安全可对检测到的威胁文件进行隔离处理，被成功隔离的文件会添加到“主机安全告警”的“文件隔离箱”中。 被成功隔离的文件一直保留在文件隔离箱中，您可以根据自己的需要进行一键恢复处理，关于文件隔离箱的详细信息，请参见管理文件隔离箱。 容器安全告警 存在告警的服务器 待处理告警事件 展示您资产中所有待处理告警的数量。 安全告警处理页面默认展示所有待处理告警信息。 已处理告警事件 展示您资产中所有已处理的告警事件数量。 威胁等级 将被告警按照不同等级进行统计：致命 、 高危 、 中危、 低危。 TOP5事件类型 展示数量最多的前五种告警类型及数量。