端口 端口是英文port的意译，可以认为是设备与外界通讯交流的出口。这里指的是虚拟的容器端口和节点端口，暴露这些端口以供外部访问，如容器的80端口。 运行应用 运行应用指的是运行在容器上的应用，包括Web服务、数据库、中间件等应用类别。 软件框架 软件框架（software framework），指的是为了实现某个业界标准或完成特定基本任务的软件组件规范，也指为了实现某个软件组件规范时，提供规范所要求之基础功能的软件产品。框架的功能类似于基础设施，与具体的软件应用无关，但是提供并实现最为基础的软件架构和体系。 Web站点 Web站点是网站Web服务（Web Service），是基于XML和HTTPS的一种服务，其通信协议主要基于SOAP，服务的描述通过WSDL、通过UDDI来发现和获得服务的元数据。 Web服务 Web服务是一种面向服务的架构的技术，通过标准的Web协议提供服务，目的是保证不同平台的应用服务可以互操作。 Routes Routes是OpenShift中的推荐方式。它使用唯一的URL公开服务，是为了解决从集群外部（就是从除了集群节点以外的其它地方）访问服务的需求。Routes路由匹配客户端的请求规则，匹配成功后分配到Service层。一个路由指向一个Service，一个Service可以被多个不同规则的路由指向。 Service Account Service Account（服务账号）通常是指在计算机系统、云服务或网络中用于标识和管理服务实体的账户。

本节介绍如何开启弹性IP防护。 注意事项 一个弹性IP防护消耗1个“可防护公网IP数” 配额。 开启弹性IP防护 1. 登录云防火墙（原生版）控制台。 2. 在左侧导航栏，选择“防火墙开关 > 互联网边界防火墙开关”。 3. 在“弹性IP”页签，选择IP版本后，找到需要开启防护的弹性IP，单击操作列的“开启防护”。 系统会定期自动同步当前账号下的资产到该页面，若有弹性IP资产未同步，可以在互联网边界防火墙开关页面右上角单击“同步资产”，手动同步资产。资产同步预计需要1~2分钟。 弹性IP列表展示当前账号下所有VPC内的绑定云主机资产的公网IP。列表包括公网IP（实例名称、ID）、私网IP（实例名称、ID）、虚拟私有云（VPC名称、VPC网段）、子网、绑定资产类型、绑定资产（资产名称、ID）、防护状态。 4. 进入开启弹性IP防护页面，完成相应配置。 1. 自动检查：单击“立即扫描”，待扫描完成后，单击“下一步”。 注意 若有未检查通过的项，请根据提示信息完成相应操作后，再执行下一步。 2. 创建终端节点。配置引流子网后，单击“创建终端节点”。 注意 支持选择已有子网，也可以自定义子网。自定义子网的网段必须属于当前VPC的CIDR；创建后无法更改。 终端节点创建完成后，单击“下一步”。 3. 网络引流配置：确认基础信息后，单击“开始引流”。 4. 开启防护成功。

发起在线迁移操作 1.填写迁移信息 页面参数介绍： 参数 说明 实例名称 DCS中的实例名称，下拉列表选择（源Redis、目标Redis必须有一个是DCS实例)。 Cluster集群 当前集群是否是Cluster原生集群（不填写实例名称时填写）。 实例连接地址 IP:PORT（不填写实例名称时填写）。 实例账号/密码 Redis连接账号/密码，需有DBA管理权限。 key冲突模式 跳过目标key，继续执行/覆盖目标key，继续执行/中断迁移。 同步模式 全量同步+增量同步/全量同步（源Redis未放通PSYNC命令时，不支持增量同步）。 2.连接检查 检查源Redis和目标Redis网络是否互通。 3.创建迁移任务，同时启动数据迁移 迁移进度 数据迁移页面，可查询迁移进度。 说明 如果是增量迁移，会一直保持迁移中状态，需要手动停止迁移。 如需停止迁中的任务，点击记录右侧的”结束“，即可停止迁移。 如需重试中断的任务，点击记录右侧的”重试“，即可重试迁移操作。 迁移后验证 迁移完成后，请使用Rediscli连接源Redis和目标Redis，验证数据的完整性。 查看非cluster原生集群版 数据情况 ./rediscli h $host p $port a $psw dbsize 查看cluster原生集群版 数据情况 ./rediscli a $psw cluster call $host:$port dbsize 说明 如果无增量同步，则迁移过程中源Redis写操作不会同步到目标Redis。

产品用户手册下载，帮助您全面了解产品能力。 天翼云托管检测与响应（原生版）用户手册.pdf

本节为您介绍如何同步最新的服务器资产信息。 系统默认每天01:00自动同步服务器资产信息，您可以根据需要修改自动同步周期，或手动执行同步资产操作。 手动同步资产 1. 登录服务器安全卫士（原生版）控制台。 2. 在左侧导航栏，选择“资产管理 > 服务器列表”，进入服务器列表页面。 3. 单击右上角“同步资产”，系统会立即获取最新的服务器资产信息，更新服务器列表。 自动同步资产周期设置 系统默认每天01:00自动同步服务器资产信息，您可以根据需要修改同步周期，同步周期支持12小时和24小时。 1. 登录服务器安全卫士（原生版）控制台。 2. 在左侧导航栏，选择“设置中心 > 安全配置”，选择“系统设置”页签，进入同步资产设置页面。 3. 选择自动同步资产周期。 1. 12小时：每天01:00、13:00自动同步服务器资产信息。 2. 24小时：每天01:00自动同步服务器资产信息。

本节介绍如何开启弹性负载均衡防护。 注意事项 一个弹性负载均衡防护消耗1个“可防护公网IP数” 配额。 约束限制 不支持防护“经典型”的负载均衡实例。 开启弹性负载均衡防护 1. 登录云防火墙（原生版）控制台。 2. 在左侧导航栏，选择“防火墙开关 > 互联网边界防火墙开关”。 3. 在“弹性负载均衡”页签，选择IP版本后，找到需要开启防护的弹性负载均衡实例，单击操作列的“开启防护”。 系统会定期自动同步当前账号下的资产到该页面，若有弹性负载均衡资产未同步，可以在互联网边界防火墙开关页面右上角单击“同步资产”，手动同步资产。资产同步预计需要1~2分钟。 弹性负载均衡实例列表展示当前账号下已创建的弹性负载均衡实例。列表包括名称（实例名称）、状态、网络类型、服务地址（包括公网IP和内网IP）、虚拟私有云（VPC名称、VPC网段）、子网、IPv4带宽、防护状态。 4. 进入开启弹性负载均衡防护页面，完成相应配置。 1. 自动检查：单击“立即扫描”，待扫描完成后，单击“下一步”。 注意 若有未检查通过的项，请根据提示信息完成相应操作后，再执行下一步。 2. 创建终端节点。 配置引流子网后，单击“创建终端节点”。 注意 支持选择已有子网，也可以自定义子网。自定义子网的网段必须属于当前VPC的CIDR；创建后无法更改。 终端节点创建完成后，单击“下一步”。 3. 网络引流配置：确认基础信息后，单击“开始引流”。 4. 开启防护成功。

云主机支持通过内网访问对象存储，对象存储可供用户存储任意类型的数据。将图片、视频等数据存储至对象存储后，在弹性云主机上可以访问对象存储，下载桶中的图片或视频等数据。 步骤一：创建桶 在对象存储（原生版）Ⅰ型页面，单击“创建Bucket”，填写桶信息，完成桶的创建。 步骤二：上传文件 点击创建完成的桶名称，进入桶详情页面，单击“文件管理”页签，进入文件管理页签，单击“上传文件”上传所需的文件至对象存储桶中。 步骤三：在Windows云主机上通过内网访问对象存储，详细内容参见对象存储（原生版）Ⅰ型云主机通过内网访问对象存储。

本文介绍了云防火墙（原生版）产品的互联网边界规则统计功能、以及规则优先级。 约束限制 互联网边界防火墙最多支持10000条访问控制规则。 防护规则统计 对防护规则数量进行统计，包括：黑名单规则数、白名单规则数、入向规则数、出向规则数、已占用规格数/总规格。 其中，已占用规格数量入向规则数+出向规则数+黑名单规则数+白名单规则数。 规则类型 互联网边界防火墙支持如下防护规则，可以根据您的需要分别进行配置。 黑名单规则 白名单规则 入向规则 出向规则 防护规则优先级 优先级：黑名单规则 > 白名单规则 > 入向规则 > 出向规则 防护策略优先级判定顺序的设定为：优先过滤黑名单流量，其次为白名单流量，然后为访问控制策略，最后为入侵防御策略。 1. 为当用户设置黑名单后，此时系统认为黑名单流量即为垃圾流量，系统可根据用户设置的黑名单过滤掉恶意流量，以便系统后续处理非垃圾流量，保证系统处理的数据为用户的有效数据。 2. 当流量经过黑名单过滤后，剩余流量为用户可能关注的流量，在此基础上，通过用户设置的白名单规则，系统可以过滤出用户确定关注的白名单流量，以便对有效流量进行处理，过滤出白名单流量后，系统会直接放行白名单流量至入侵防御策略处进行安全检测，不再进行访问控制。 3. 对于非黑非白的流量，系统将对其进行访问控制检测，对于策略允许的流量进行放行，对于策略禁止的流量进行丢弃。放行后的流量依然需要进行安全检测。

本节介绍天翼AI云电脑（政企版）的产品优势。 统一管理，维护便捷 无需设立专门的前端维护人员，桌面维护全部在管理台进行可视化操作，一键完成开通桌面、重装系统、镜像升级等操作，并通过自动化批量方式，实现快速大规模的部署。 强化安全，自主可控 网络访问使用VPC、安全组、ACL、主机防火墙进行网络隔离及访问控制，通过防火墙实施安全审计与监控。 规格丰富，配置灵活 提供灵活多样的AI云电脑规格，支持资源包方式开通使用，灵活选择系统版本，网络可配置，并可使用池化桌面提高桌面利用率。 自主领先，畅游云端 自研的CLINK安全传输协议，低延时、高画质、带宽占用少，弱网环境下也可畅快使用。 随时随地，便捷访问 用户通过终端AI云电脑应用即可快速访问调取云端资源，随时随地享受数据共享、移动办公、休闲娱乐等功能。 说明 关于天翼AI云电脑（政企版）的产品规格说明，请参考 关于天翼AI云电脑（政企版）的产品功能说明，请参考 关于天翼AI云电脑（政企版）的客户端下载，请前往

本节介绍如何开启云间高速防护。 前提条件 当前账号下已创建云间高速实例，详细操作请参见创建并配置云间高速实例。 仅“企业版”支持开启云间高速防护。 一个云间高速防护将消耗1个“VPC边界防火墙配额”，在开启防护前，需确保有足够的VPC边界防护配额。 开启云间高速防护 1. 登录云防火墙（原生版）控制台。 2. 在左侧导航栏，选择“防火墙开关 > VPC边界防火墙开关”。 3. 在“云间高速”页签，找到需要开启防护的VPC，单击操作列的“开启防护”。 系统会定期自动同步当前账号下的资产到该页面，若有资产未同步，可以在VPC边界防火墙开关页面右上角单击“同步资产”，手动同步资产。资产同步预计需要1~2分钟。 云间高速列表展示当前账号下所有已创建的云间高速实例。列表包括VPC名称、VPC ID、状态、子网网段 IPV4、云网关ID、云间高速名称、云间高速ID、防护状态。 4. 进入开启云间高速防护页面，完成相应配置。 1. 自动检查：单击“立即扫描”，待扫描完成后，单击“下一步”。 注意 若有未检查通过的项，请根据提示信息完成相应操作后，再执行下一步。 2. 创建终端节点。 配置引流子网后，单击“创建终端节点”。 注意 支持选择已有子网，也可以自定义子网。自定义子网的网段必须属于当前VPC的CIDR；创建后无法更改。 终端节点创建完成后，单击“下一步”。 3. 网络引流配置：目前仅支持手动引流，请根据界面提示的步骤完成引流配置。手动配置完成后，单击“配置完成”。 注意 若VPC下有多个业务子网，每个业务子网须分别进行引流配置。在“本端业务子网”下拉框选择不同业务子网以查看对应配置步骤。 4. 开启防护成功。

参数 参数类型 说明 示例 下级对象 status Integer 状态 1开启 其他关闭 1 day Integer 间隔天数 1 hour Integer 扫描时间小时，1代表每间隔day天的凌晨1点minute分开始 1 minute Integer 扫描时间分钟，0代表每间隔day天的hour点的0分开始 0 severity String 漏洞修复优先级,多个逗号分割，1低 2中 3高 1,2,3 timeout Integer 超时时间，单位分钟 60 scopeType String 生效范围 OPTIONAL自选机器 ALL所有机器 OPTIONAL vulScanType String 漏洞扫描类型，多个逗号分割 LINUXLinux漏洞 WINDOWSWindows漏洞 WEBCMSWEB漏洞 APPLICATION应用漏洞 EMERGENCYVUL紧急漏洞 LINUX,WEBCMS,APPLICATION,EMERGENCYVUL vulType Array of Strings 漏洞扫描类型，多个逗号分割 LINUXLinux漏洞 WINDOWSWindows漏洞 WEBCMSWEB漏洞 APPLICATION应用漏洞 EMERGENCYVUL紧急漏洞 ["LINUX", "WINDOWS", "APPLICATION", "WEBCMS", "EMERGENCYVUL"] 表 riskDiscoverInfo

下载MacOS版控件 1. 使用访问用户登录云堡垒机（原生版）控制台。 2. 在左侧导航栏选择“运维设置”，进入“运维设置”页面。 3. 单击页面右上角的“访问插件”按钮。 4. 在访问插件窗口，下载MacOS版控件到本地。 5. 下载完成后，可以查看文件“cbhcontrolxxx.dmg”。 示例： 安装MacOS版控件 1. 双击下载的MacOS版控件。 2. 在弹出的窗口中，将CBHCMD、CBHsom、vncviewer放入应用程序。 3. 在安装过程中出现的权限申请，需要选择“允许”，如果点击其他地方或点击不允许，弹框消失后，只能卸载重装插件。 允许插件添加代理配置：在如下窗口中，单击“允许”。 允许系统扩展：在如下窗口中，单击“打开系统设置”。 在如下页面，单击“允许”，允许应用程序“CBHsom”的系统软件载入。 4. 安装完成后，能在应用程序里看到已安装的插件。 5. 若使用了本地初始化功能，在“设置 > 网络 > 过滤条件”里能看到名为CBHAppProxy的透明代理状态为已启用。 若无法拉起CBHAppProxy的透明代理，请在“通用 > 登录项与扩展 > 网络拓展”中启用CBHsom，需要卸载重装插件，并确保安装过程中权限申请均选择“允许”。 注意 高版本的Mac需要手动打开网络拓展才能正常拉起代理，如下图所示。

本文介绍如何设置监控告警规则。 通过设置WAF告警规则，用户可自定义监控目标与通知策略，设置告警规则名称、监控对象、监控指标、告警阈值、监控周期和是否发送通知等参数，帮助您及时了解WAF防护状况，从而起到预警作用。 前提条件 防护网站已接入WAF。 操作步骤 1. 登录管理控制台。 2. 单击管理控制台顶部的区域选择框，选择区域。 3. 单击页面左上方的“服务列表”，选择“管理与部署> 云监控服务”。 4. 在左侧导航栏，选择“告警> 告警规则”，进入“告警规则”页面。 5. 在页面右上方，单击“创建告警规则”，进入“创建告警规则”界面。 6. 设置告警规则名称。 7. 在“资源类型”下拉列表框中选择“Web应用防火墙”，选择“维度”、“监控范围”，设置告警模板、是否发送通知。 8. 单击“立即创建”，在弹出的提示框中，单击“确定”，告警规则创建成功。

前提条件 当前账号下已创建对等连接，详细操作请参见创建对等连接。 仅“企业版”支持开启对等连接防护。 一个对等连接防护将消耗1个“VPC边界防火墙配额数” 配额，在开启防护前，确保有足够的VPC边界防护配额。 开启对等连接防护 1. 登录云防火墙（原生版）控制台。 2. 在左侧导航栏，选择“防火墙开关 > VPC边界防火墙开关”。 3. 在“对等连接”页签，找到需要开启防护的对等连接实例，单击操作列的“开启防护”。 系统会定期自动同步当前账号下的资产到该页面，若有对等连接资产未同步，可以在VPC边界防火墙开关页面右上角单击“同步资产”，手动同步资产。资产同步预计需要1~2分钟。 对等连接列表展示当前账号下所有对等连接。列表包括名称、状态、连接类型、本端VPC、本端VPC网段、对端VPC、对端VPC网段、防护状态。 4. 进入开启对等连接防护页面，完成相应配置。 1. 自动检查：单击“立即扫描”，待扫描完成后，单击“下一步”。 注意 若有未检查通过的项，请根据提示信息完成相应操作后，再执行下一步。 2. 创建终端节点。 配置引流子网后，单击“创建终端节点”。 注意 支持选择已有子网，也可以自定义子网。自定义子网的网段必须属于当前VPC的CIDR；创建后无法更改。 终端节点创建完成后，单击“下一步”。 3. 网络引流配置：目前仅支持手动引流，请根据界面提示的步骤完成引流配置。手动配置完成后，单击“配置完成”。 注意 若VPC下有多个业务子网，每个业务子网须分别进行引流配置。在“本端业务子网”下拉框选择不同业务子网以查看对应配置步骤。 4. 开启防护成功。

功能模块 说明 包括DDoS防护（中国内地）、DDoS防护（非中国内地），可控制是否开启DDoS防护功能。 包括防护规则引擎、合规性检测、敏感信息防护、网页防篡改、攻击挑战、Cookie防护等安全配置。 包括CC防护、访问控制、频率控制安全配置。 包括Bot策略白名单、高频爬虫限制、爬虫陷阱安全配置。

使用标签筛选实例 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > 日志审计（原生版）”，进入日志审计实例管理页面。 4. 单击“筛选标签”。 5. 在“标签筛选”弹窗中，下拉选择已有标签。 6. 单击“确定”，执行筛选标签操作，列表将展示标签筛选结果。筛选结果返回包含所选择的多项键值的实例。 解绑标签 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > 日志审计（原生版）”，进入日志审计实例管理页面。 4. 选择需要解绑标签的日志审计实例，单击“编辑标签”。 支持批量解绑：勾选多个实例，在实例列表上方，单击“批量解绑标签”，为多个实例批量解绑标签。 5. 在弹出的编辑标签窗口中，单击目标标签操作列的“删除”。 6. 单击“确定”，解绑标签完成。

添加公网ELB访问 在云应用引擎部署应用后，默认无法从公网访问应用。为解决上述问题，您可以为应用绑定公网ELB，实现通过一个固定的公网IP访问应用，并实现应用实例间的负载均衡。 1. 在应用访问设置 区域中，选择基于 ELB 访问页签。 2. 单击添加公网ELB访问。 3. 为应用绑定公网ELB实例：您可以新建ELB实例或绑定已有ELB实例。 4. 参考以下说明，至少配置一个监听。如果您需要添加多条监听，请单击添加下一条监听 配置项 说明 示例值 HTTP协议 HTTP端口：提供公网访问应用的ELB端口，取值范围为[1,65535]。 容器端口：进程监听端口，由程序定义。 HTTP端口 ：80 容器端口 ：8080（Web服务的默认端口） HTTPS协议 HTTPS端口：提供公网访问应用的ELB端口，取值范围为[1,65535]。 SSL证书：SSL协议证书，在下拉列表中选择已创建的SSL证书。 容器端口：进程监听端口，由程序定义。 HTTPS端口 ：443 SSL证书：在下拉列表中选择已创建的SSL证书。 容器端口 ：8080（Web服务的默认端口） TCP协议 CLB端口：提供公网访问应用的ELB端口，取值范围为[1,65535]。 容器端口：进程监听端口，由程序定义。 ELB端口 ：21 容器端口 ：8080（Web服务的默认端口） UDP协议 CLB端口：提供公网访问应用的ELB端口，取值范围为[1,65535]。 容器端口：进程监听端口，由程序定义。 ELB端口 ：49152 容器端口 ：8080（Web服务的默认端口） 5. 完成配置后，单击确定。 6. 等待ELB绑定完成，在公网访问地址区域，可以查看应用的IP地址和端口。

插件名称 插件简介 CoreDNS域名解析（系统资源插件，必装） CoreDNS插件是一款通过链式插件的方式为Kubernetes提供域名解析服务的DNS服务器。 CCE容器存储（everest，必装） Everest是一个云原生容器存储系统，基于CSI为Kubernetes v1.15.6及以上版本集群对接云存储服务的能力。 CCE节点故障检测 nodeproblemdetector（简称：npd）是一款监控集群节点异常事件的插件，以及对接第三方监控平台功能的组件。它是一个在每个节点上运行的守护程序，可从不同的守护进程中搜集节点问题并将其报告给apiserver。nodeproblemdetector可以作为DaemonSet运行，也可以独立运行。 Kubernetes Dashboard Kubernetes Dashboard是Kubernetes集群基于Web的通用UI，集合了命令行可以操作的所有命令。它允许用户管理在集群中运行应用程序并对其进行故障排除，以及管理集群本身。 CCE集群弹性引擎 集群自动扩缩容插件autoscaler，是根据pod调度状态及资源使用情况对集群的工作节点进行自动扩容缩容的插件。 metricsserver MetricsServer是集群核心资源监控数据的聚合器。 CCE容器弹性引擎 ccehpacontroller插件是一款CCE自研的插件，能够基于CPU利用率、内存利用率等指标，对无状态工作负载进行弹性扩缩容。 prometheus（停止维护） Prometheus是一套开源的系统监控报警框架。在云容器引擎CCE中，支持以插件的方式快捷安装Prometheus。 Kubernetes Web终端（停止维护） webterminal是一款支持在Web界面上使用Kubectl的插件。它支持使用WebSocket通过浏览器连接Linux，提供灵活的接口便于集成到独立系统中，可直接作为一个服务连接，通过cmdb获取信息并登录服务器。 CCE AI套件（NVIDIA GPU） gpubeta插件是支持在容器中使用GPU显卡的设备管理插件，仅支持Nvidia驱动。 Volcano调度器 Volcano提供了高性能任务调度引擎、高性能异构芯片管理、高性能任务运行管理等通用计算能力，通过接入AI、大数据、基因、渲染等诸多行业计算框架服务终端用户。 nginxingress控制器 nginxingress为Service提供了可直接被集群外部访问的虚拟主机、负载均衡、SSL代理、HTTP路由等应用层转发功能。 节点本地域名解析加速 NodeLocal DNSCache通过在集群节点上作为守护程序集运行DNS缓存代理，提高集群DNS性能。

选项 说明 开启 API 自动全量上报 开启后，将会自动监听并上报 Web 应用发起的所有 fetch、 xhr 请求。 开启 SPA 自动解析 开启后，会监听页面的 hashchange 事件并自动上报PV，适用于SPA（SinglePage Application，单页面应用）场景。 开启静态资源上报 开启后，会监听并上报 Web 应用所有静态资源（js/css/图片等）的加载结果。

多手柄支持 支持同时连接多个游戏手柄。目前已支持 Xbox 协议的蓝牙手柄，已验证型号如下： Xbox 游戏手柄、Xbox精英手柄 雷神 G50S 盖世小鸡 GameSirT4n Lite 机械师 G5Pro Max 畅玩版 飞智黑武士 4 Pro 说明 支持14个手柄同时连接，轻松开启多人同屏畅玩，让聚会游戏乐趣翻倍。 鼠标模式自由视角 功能概述 在3D游戏和应用中，自适应鼠标拖动旋转视角的操作，解除边界限制。 此状态下，无法通过常规悬停鼠标的方式唤出云电脑工具栏，需通过快捷键（默认Ctrl + Alt + 9）临时释放鼠标光标，即可进行展开工具栏或移出AI云电脑客户端窗口等操作。 功能设置 游戏云电脑默认开启此功能，每次登陆时自动重置为开启状态； 该功能仅针对3D游戏和应用优化，若在其他场景下鼠标操作异常，可尝试关闭功能； 关闭方式：将鼠标移动至云电脑客户端边缘悬浮条（通常为顶部或侧边）展开工具栏，点击“控制中心”，进入“设置其他设置鼠标模式自由视角”； 快捷键变更：可自定义快捷键，支持数字或字母。 注意 版本要求：云电脑客户端版本不低于v2.9.0（不支持Web客户端），建议更新至最新版本。 常见问题

本章主要介绍API网关其他常见问题。 API、环境、应用之间的关系？ API可以被发布到不同的环境中。比如RELEASE和BETA两个环境，分别代表线上和测试环境。 应用指代一个API调用者的身份。创建应用时，系统会自动生成用于认证该身份的应用key&secret。将指定的API授权给指定应用后，该应用的持有者才可以调用已发布到环境中的指定API。 同一个API发布到不同的环境时，可以为之定义不同的流控策略并授权给不同的应用。举例，API v2版本在测试过程中，可以发布到BETA环境，并授权给测试应用，而API v1版本是稳定版本，可以在RELEASE环境中，授权给所有用户或应用使用。 怎样使用API网关？ API网关提供了以下方式来管理/调用API： Web化的服务管理平台，即管理控制台。 如果您已注册公有云，可直接登录管理控制台，单击管理控制台，然后单击“API网关 APIG”。 基于Java、Go、Python、Javascript、C 、PHP、C++、C、Android等多种语言的SDK包。 您可以通过下载SDK包来调用API。 API网关支持哪些SDK语言？ API网关当前支持Java、Go、Python、C 、javascript、PHP、C++、C和Android的SDK。 API网关是否支持通过POST方法上传文件？ API网关支持通过POST方法上传文件。 专享版：在实例配置参数中，配置“requestbodysize”参数。“requestbodysize”表示API请求中允许携带的Body大小上限，支持修改范围1~9536 M。 如何获取API网关错误返回信息？ 当API请求到达网关后，网关返回请求结果信息。查看返回结果的Body信息如下。 { "errorcode": "APIG.0101", "errormsg": "API not exist or not published to environment", "requestid": "acbc548ac6f2a0dbdb9e3518a7c0ff84" } “errorcode”表示错误码。 “errormsg”表示报错原因。 相关错误码请参考API网关有哪些错误码。

子产品 权限策略 当前权限策略描述 注册配置中心 微服务引擎注册配置中心RCCuser 微服务引擎注册配置中心RCC默认使用者策略，拥有实例的使用权限，无订购、扩缩容、退订等管理权限（适用于一类节点资源池） 注册配置中心 微服务引擎注册配置中心RCCadmin 微服务引擎注册配置中心RCC默认管理者策略，拥有所有权限（适用于一类节点资源池） 云原生网关 微服务引擎云原生网关CGWadmin 微服务引擎云原生网关CGW默认管理者策略，拥有所有权限（适用于一类节点资源池） 云原生网关 微服务引擎云原生网关CGWviewer 微服务引擎云原生网关CGW默认查看者策略，拥有实例的只读权限（适用于一类节点资源池） 微服务治理中心 微服务引擎微服务治理中心MSGCadmin 微服务引擎微服务治理中心MSGC默认管理者策略，对应用拥有管理权限（适用于一类节点资源池） 微服务治理中心 微服务引擎微服务治理中心MSGCuser 微服务引擎微服务治理中心MSGC默认使用者策略，对应用拥有治理权限（适用于一类节点资源池） 微服务治理中心 微服务引擎微服务治理中心MSGCviewer 微服务引擎微服务治理中心MSGC默认查看者策略，对应用仅拥有只读权限（适用于一类节点资源池）

应用授权（可选） 未授权应用则默认不引流，按原有路径进行访问，建议可添加到已授权策略，避免策略过多。若暂未明确授权范围，可先跳过配置，后续再进行统一授权。 具体配置模式参考应用授权。 编辑应用 编辑时可针对应用进行相关配置。 WEB应用：http，https，ws，wss协议类型应用。 网络应用：除WEB应用协议外的其他协议，例如tcp，udp，ssh。 注意 对于不同的应用类型（WEB应用、网络应用），应用地址的添加字段和处理存在差异，请根据具体应用类型进行选择，若类型选择错误，可能会导致访问异常。 如果您想了解更多关于单点登录（SSO）、无端访问，详细配置见单点登录（SSO）是什么，什么是无端访问。 标签列表 标签是作为应用的分类分组标识，通过标签可以对应用进行分组管理，根据不同的应用类型和标签分类，实现对应用的快速筛选和授权选择。 可针对应用标签进行添加、编辑、删除。

本文介绍如何查看WAF监控指标。 您可以通过管理控制台，查看WAF的相关指标，及时了解WAF防护状况，并通过指标设置防护策略。 前提条件 WAF已对接云监控，即已在云监控页面设置监控告警规则。有关设置监控告警规则的详细操作，请参见设置监控告警规则。 操作步骤 1. 登录管理控制台。 2. 单击管理控制台顶部的区域选择框，选择区域。 3. 单击页面左上方的“服务列表”，选择“管理与部署> 云监控服务”。 4. 在左侧导航树栏，选择“云服务监控> Web应用防火墙”，进入“云服务监控”页面。 5. 在目标独享引起实例或防护域名所在行的“操作”列中，单击“查看监控指标”，查看对象的指标详情。 说明 在“网站设置”列表中，目标域名所在行的“操作”列，单击“云监控”，可直接查看单个网站的监控信息。

本文主要介绍工作负载概述。 工作负载是在Kubernetes上运行的应用程序。无论您的工作负载是单个组件还是协同工作的多个组件，您都可以在Kubernetes上的一组Pod中运行它。在Kubernetes中，工作负载是对一组Pod的抽象模型，用于描述业务的运行载体，包括Deployment、Statefulset、Daemonset、Job、CronJob等多种类型。 云容器引擎CCE提供基于Kubernetes原生类型的容器部署和管理能力，支持容器工作负载部署、配置、监控、扩容、升级、卸载、服务发现及负载均衡等生命周期管理。 Pod Pod是Kubernetes创建或部署的最小单位。一个Pod封装一个或多个容器（container）、存储资源（volume）、一个独立的网络IP以及管理控制容器运行方式的策略选项。 Pod使用主要分为两种方式： Pod中运行一个容器。这是Kubernetes最常见的用法，您可以将Pod视为单个封装的容器，但是Kubernetes是直接管理Pod而不是容器。 Pod中运行多个需要耦合在一起工作、需要共享资源的容器。通常这种场景下应用包含一个主容器和几个辅助容器（SideCar Container），例如主容器为一个web服务器，从一个固定目录下对外提供文件服务，而辅助容器周期性的从外部下载文件存到这个固定目录下。 图 Pod 实际使用中很少直接创建Pod，而是使用Kubernetes中称为Controller的抽象层来管理Pod实例，例如Deployment和Job。Controller可以创建和管理多个Pod，提供副本管理、滚动升级和自愈能力。通常，Controller会使用Pod Template来创建相应的Pod。

本小节介绍日志审计(原生版)配置事件规则。 在新增资产设备后，您需要对事件规则进行配置才可以通过日志审计（原生版）服务获取业务所需的日志信息。 支持配置如下规则： 事件规则 功能介绍 配置解析接入规则 解析接入规则是对采集日志的分析，符合解析接入规则的日志才能被采集到日志审计平台。 配置事件分类规则 事件分类规则是对采集到的日志进行分组分类。 配置字段映射规则 字段映射规则是对采集到的日志字段内容映射，如等级字段，接收到的可能是数值1、2、3，可以通过字段映射成：低、中、高。 配置事件归并规则 事件归并规则是对过滤后的事件，基于归并条件进行归并。 配置事件过滤规则 事件过滤规则是对采集到的日志进行过滤，将不需要审计的日志条件填入规则，不再审计过滤的日志。

使用场景 大模型API提供了接口以便用户更好地进行DeepSeek管理和应用开发。用户在开通天翼云DeepSeek云主机后，利用Open WebUI API即可实现对外提供API调用，同时也可以非常方便的实现外部大模型API接入使用。 本教程使用的GPU云主机规格如下所示，用于部署DeepSeekr1:7b模型，配置仅供参考。 plaintext cpu 16核  内存 64G GPU: NVIDIA A101 (24GB) 如需体验其它模型版本，请参考在天翼云使用Ollama运行 DeepSeek的最佳实践7b版弹性云主机最佳实践AIGC实践 天翼云自定义部署DeepSeek步骤二：规格选型，选择合适的云主机。 准备 参考在天翼云使用Ollama运行 DeepSeek的最佳实践7b版弹性云主机最佳实践AIGC实践 天翼云快速体验DeepSeek ，准备相关设备及模型资源。 认证 OpenWebUI 使用Bearer Token认证保证客户端请求的合法性，其Token为APIKEY中JWT令牌(Json Web Token)。获取API key方式如下： 1. 登录Open WebUI。 2. 选择设置>账户，选择获取或者新建API KEY。

本章节介绍如何创建云原生API网关实例 概述 云原生API网关支持多种服务发现方式（如云容器引擎CCE、注册配置中心RCCNacos引擎、注册配置中心RCCEureka引擎、函数计算FaaS等），并集成安全运维能力。本文介绍如何创建云原生API网关实例。 操作步骤 1. 登录云原生API网关控制台，并在顶部菜单栏选择地域。 2. 在概览页，点击新建实例；或者在左侧导航栏，选择实例，单击新建实例。 3. 跳转至订购页，选择相关配置（参见下方配置项说明），然后点击下一步。 4. 跳转至配置总览页，确认配置信息，点击提交订单， 5. 跳转至支付页，完成费用支付， 6. 返回云原生API网关控制台，左侧导航栏选择实例，刷新列表查看创建的网关信息和状态。 7. 实例创建大约需要5~10分钟，当网关信息和创建时一致，且状态为运行中，则表示网关创建成功。 实例配置说明 配置项 描述 计费模式 支持包年包月和按需计费方式，费用说明请参照购买指南>计费说明。 购买时长 可以根据实际需求进行选择，支持1个月、2个月、3个月、4个月、5个月、6个月、1年。 自动续期 您可以选择开启自动续期，避免云原生API网关到期后无法使用。 自动续期购买时长 开启自动续期，可以选择续期时长，支持1个月、2个月、3个月、4个月、5个月、6个月、1年。 网关类型 选择云原生API网关 部署方式 实例节点将按单可用区、多可用区部署方式，分布在单个或者多个可用区中。多可用区部署可增强实例的容灾能力。注意：基础版规格不具备高可用、多AZ容灾能力。 可用区 选择单可用区部署方式时，可用区可任选其一；选择多可用区部署时，必须选择至少3个可用区。 CPU架构 部署实例的主机架构。 主机类型 部署实例的主机类型。 网关规格 参见产品简介产品规格介绍 虚拟私有云 选择虚拟私有云，若您还没有虚拟私有云，请参照创建虚拟私有云。 所在子网 择所在子网，若您还没有所在子网，请参照创建所在子网。 启用ipv6 若子网已开启ipv6访问，在此处可选择启用ipv6。未启用ipv6时，将通过ipv4访问。 安全组 选择安全组，若您还没有可用安全组，请参照创建安全组。 实例名称 自定义实例名称，不可重复；实例名称长度4~40个字符，大小写字母开头，只能包含大小写字母、数字及分隔符()，大小写字母或数字结尾。 企业项目 网关实例关联的企业项目，可以到IAM控制台创建企业项目。 指标监控 启用后，可在控制台观测分析中查看系统和API的流量、成功率、延迟等监控指标，若您还没有开通应用性能监控产品，可先点击提示链接前往开通。 链路追踪 可选择采集百分比启用，启用后，可在控制台观测分析中查看API请求的链路追踪信息。您可通过委托授权的方式开通此服务。 云日志服务 启用后，可在控制台观测分析中查看访问日志。您可通过委托授权的方式开通此服务。

帮助您了解如何生成护航版服务序列号及服务序列号的作用。 操作场景 服务序列号用于唯一标识本次服务，安全服务经理在服务过程中，会向您索要服务序列号，用于标识本次服务已进入服务阶段。 前提条件 已订购护航版服务。 操作步骤 在服务概览页面，可查看订购记录，可以生成并查看服务序列号。 1. 登录托管检测与响应服务（原生版）控制台。 2. 在左侧导航栏，选择“服务概览”，进入服务概览页面。 3. 选择“护航版”页签，找到目标订单，点击“生成”按钮，可生成服务序列号。 4. 单击“服务序列号”列的“复制”，即可复制已生成的服务序列号。

本章节介绍网关扩容功能 概述 节点扩容可以满足业务规模增长的需求；云原生网关目前支持高可用版的节点扩容，基础版不支持扩容能力；扩容的大概过程如图所示，集群扩容后，将更新ELB与网关实例的绑定关系，在此过程中，通过ELB作负载均衡来实现无损节点扩容。 操作步骤 1. 进入微服务引擎MSE控制台； 2. 在顶部菜单栏选择资源池； 3. 单击左侧导航栏云原生网关 > 网关列表 ； 4. 选择需要扩容 的实例 ，点击扩容，跳转扩容订单页； 实例信息部分展示变更前实例原有的基本信息 实例扩容部分为变更后的总节点数 5. 在实例扩容栏目， 选择新节点数 ，提交订单，完成付款； 新节点表示实例扩容完成后集群具有的总节点数 6. 返回微服务引擎MSE控制台，单击左侧导航栏云原生网关 > 网关列表 ； 7. 查看实例当前状态（扩容中） ，此时实例不可进行路由等资源的配置，但不影响已有路由转发； 8. 扩容完成后， 实例状态恢复为正常 ，实例可以正常访问； 9. 查看实例基本信息，实例节点数、连接信息都已经更新完成；

本节介绍如何配置事件分类规则。 事件分类规则是对采集到的日志进行一个分组分类。可对事件分类规则进行新增、查看、修改、删除操作。 新增事件分类规则 1. 登录日志审计（原生版）控制台。 2. 在左侧导航栏选择“风险分析 > 事件策略 > 事件分类规则”。 3. 单击“新增”，弹出新增规则窗口。 4. 配置事件分类规则。带“”的为必选参数。 参数 是否必选 参数说明 分类名称 必选 自定义事件分类规则的名称。 日志分组 必选 在下拉框中选择该事件分类中，日志划分的类型。 例如：分组根节点 / 策略违规 / 策略违规/应用策略违规 / 策略违规/应用策略违规/密码策略 日志等级 必选 在下拉框中选择该日志的影响等级。支持轻微、低级、中级、高级、严重。 判断类别 必选 选择日志的判断类型，可选“关键字”或“正则表达式”。 若选择“关键字”，还需填写关键字，多个关键字用英文字符的逗号隔开。 若选择“正则表达式”，还需填写正则表达式。 注意 关键字和正则表达式任意填写一个，采集到的日志将符合填写的关键字内容或者正则表达式，归纳到该分类分组中。 规则所属设备 必选 在下拉框中选择此事件分类规则所属的设备。 例如：根结点 / 主机 / 服务器/Windows系列 / 服务器/Windows系列/Windows 8 规则描述 可选 填写此事件分类规则的描述。 建议措施 可选 填写此事件分类规则的建议处理措施。 5. 配置完成后，单击“提交”，完成事件分类配置。

规格限制 VPC边界防护和NAT流量防护，需满足专业版防火墙且“开启VPC边界流量防护防护”。 配置阻断策略时注意事项 配置阻断IP的防护规则或黑名单时需注意以下几点： 1. 建议优先配置精准的IP（如192.168.10.5），减少网段配置，避免误拦截。 2. 对于反向代理IP（如Web应用防火墙（WAF）的回源IP），请谨慎配置阻断策略，建议配置放行的防护规则或白名单。 3. 对于正向代理IP（如公司出口IP），影响范围较大，请谨慎配置阻断策略。 4. 配置“地域”防护时，需考虑公网IP可能更换地址的情况。 通配符规则 参数名称 输入示例 说明 源/目的 0.0.0.0/0 所有IP。 域名 www.example.com 对www.example.com域名生效。 域名 .example.com 所有以example.com为后缀的域名，例如：test.example.com。 服务源端口/目的端口 165535 所有端口生效。 服务源端口/目的端口 80443 对80到443之间的所有端口生效。 服务源端口/目的端口 80 443 对80和443端口生效。 相关文档 添加单个规则实现流量防护，请参见“通过添加防护规则拦截/放行流量”，添加单个黑/白名单实现流量防护请参见“通过添加黑白名单拦截/放行流量”。 批量添加防护策略，请参见“导入/导出防护策略”。 添加策略之后的后续操作： 策略的命中情况，整体防护概况请参见“通过策略助手查看防护信息”，详细日志请参见“访问控制日志”。 流量趋势和统计结果，整体防护概况请参见“查看流量数据”，详细流量记录请参见“流量日志”。 如果您的业务可能被防护策略误拦截，排查方式请参见“配置CFW防护策略后，业务无法访问怎么办？”。