步骤 说明 创建网格实例 使用应用服务网格CSM的服务治理能力之前首先要创建一个网关实例。 部署应用 部署测试应用到网格实例中。 配置网关访问 通过云原生网关实现外部访问网格内的服务。 体验流量治理能力 使用istio资源体验服务网格的流量治理能力。

本节主要介绍应用组件概述 应用组件是组成应用的某个业务特性实现，以软件包为载体，可独立部署运行。 在ServiceStage上创建应用后，可以在应用中添加组件，目前支持的组件类型有微服务、Web、通用。 您可以通过设置组件类型、框架、运行时及组件来源，先创建静态组件，然后再部署。 在新增组件的操作流程中，支持“使用模板配置”和“自定义配置”两种配置方式： “使用模板配置”为您提供了组件类型、运行时、框架的默认配置，可以帮助您快速创建组件。 “自定义配置”支持灵活选择组件类型、运行时与合适的框架/服务网格。 已有模板信息 组件类型 运行时 框架 ::: ServiceComb MicroService Java8 Java Chassis SpringCloud MicroService Java8 Spring Cloud Web(Tomcat) WebApp Tomcat8 Web 微服务组件说明 支持的运行时 支持的框架/服务网格 支持的软件包 ::: Java8 Java Chassis Jar包 Tomcat8 Java Chassis War包 Docker Java Chassis 不需要设置该参数 Java8 Mesher Jar包 Tomcat8 Mesher War包 Node.js8 Mesher Zip包 Php7 Mesher Zip包 Docker Mesher 不需要设置该参数 Python3 Mesher Zip包 Docker Go Chassis 不需要设置该参数 Java8 Spring Cloud Jar包 Tomcat8 Spring Cloud War包 Docker Spring Cloud 不需要设置该参数 Java8 Dubbo Jar包 Tomcat8 Dubbo War包 Docker Dubbo 不需要设置该参数 Web应用组件说明 支持的运行时 支持的软件包 :: Java8 Jar包 Nodejs8 Zip包 Php7 Zip包 Tomcat8 War包 Docker 不需要设置该参数 Python3 Zip包 通用组件说明 支持的运行时 支持的软件包 :: Java8 Jar包 Tomcat8 War包 Node.js8 Zip包 Php7 Zip包 Docker 不需要设置该参数 Python3 Zip包 组件来源说明 组件来源 说明 :: Jar包 支持以下上传方式： 从OBS对象存储选择对应的软件包。需要提前将软件包上传至OBS桶中，相关操作请参考上传文件“帮助中心 > 对象存储服务 > 用户指南 > 控制台指南 > 入门 > 上传文件”。 War包 支持以下上传方式： 从OBS对象存储选择对应的软件包。需要提前将软件包上传至OBS桶中，相关操作请参考上传文件“帮助中心 > 对象存储服务 > 用户指南 > 控制台指南 > 入门 > 上传文件”。 Zip包 支持以下上传方式： 从OBS对象存储选择对应的软件包。需要提前将软件包上传至OBS桶中，相关操作请参考上传文件“帮助中心 > 对象存储服务 > 用户指南 > 控制台指南 > 入门 > 上传文件”。 镜像包 容器应用需要基于镜像创建，若选择私有镜像，用户首先需要将镜像上传至镜像仓库。选择“软件中心 > 镜像仓库”，参考管理镜像将镜像上传至镜像仓库。

参数 普通IO 高IO 通用型SSD 超高IO 极速型SSD 每GB云硬盘的IOPS 2 6 8 50 50 单个云硬盘的最大IOPS 2200 5000 20000 33000 128000 单个云硬盘的基线IOPS 500 1200 1500 1500 1800 单个云硬盘IOPS上限 min (2200, 500 +2 × 容量) min (5000, 1800 + 8 × 容量) min (20000, 1800 + 12 × 容量) min (33000, 1800 + 50 × 容量) min (128000, 1800 + 50 × 容量) 单个云硬盘的IOPS突发上限 2200 5000 8000 16000 64000 云硬盘吞吐量性能计算公式 50 MB/s min (150, 100 + 0.15 × 容量) MB/s min (250, 100 + 0.5 × 容量) MB/s min (350, 120 + 0.5 × 容量) MB/s min (1000, 120 + 0.5 × 容量) MB/s 最大吞吐量 50 MB/s 150 MB/s 250 MB/s 350 MB/s 1000 MB/s API名称 说明 此处API名称为云硬盘API接口中“volumetype”参数的取值，不代表底层存储设备的硬件类型。 SATA SAS GPSSD SSD ESSD API名称 说明 此处API名称为云硬盘API接口中“volumetype”参数的取值，不代表底层存储设备的硬件类型。 SATA SAS GPSSD SSD ESSD API名称 说明 此处API名称为云硬盘API接口中“volumetype”参数的取值，不代表底层存储设备的硬件类型。 SATA SAS GPSSD SSD ESSD 典型应用场景 适用于大容量、读写速率中等、事务性处理较少的应用场景，例如企业的日常办公应用或者小型测试等。 一般工作负载的应用场景。 普通开发测试 各种主流的高性能、低延迟交互应用场景。 企业办公 大型开发测试 转码类业务 Web服务器日志 容器等高性能系统盘 适用于超高IO，超大带宽的读写密集型应用场景，例如高性能计算应用场景，用来部署分布式文件系统，或者I/O密集型应用场景，用来部署各类NoSQL/关系型数据库。典型的数据库有MongoDB、Oracle、SQL Server、MySQL 和PostgreSQL等。 数据库 Oracle SQL Server ClickHouse AI场景 典型应用场景 如果应用需要更高的IO性能，建议您选择超高IO或高IO云硬盘。 一般工作负载的应用场景。 普通开发测试 各种主流的高性能、低延迟交互应用场景。 企业办公 大型开发测试 转码类业务 Web服务器日志 容器等高性能系统盘 适用于超高IO，超大带宽的读写密集型应用场景，例如高性能计算应用场景，用来部署分布式文件系统，或者I/O密集型应用场景，用来部署各类NoSQL/关系型数据库。典型的数据库有MongoDB、Oracle、SQL Server、MySQL 和PostgreSQL等。 数据库 Oracle SQL Server ClickHouse AI场景 典型应用场景 如果应用需要更高的IO性能，建议您选择超高IO或高IO云硬盘。 一般工作负载的应用场景。 普通开发测试 各种主流的高性能、低延迟交互应用场景。 企业办公 大型开发测试 转码类业务 Web服务器日志 容器等高性能系统盘 适用于超高IO，超大带宽的读写密集型应用场景，例如高性能计算应用场景，用来部署分布式文件系统，或者I/O密集型应用场景，用来部署各类NoSQL/关系型数据库。典型的数据库有MongoDB、Oracle、SQL Server、MySQL 和PostgreSQL等。 数据库 Oracle SQL Server ClickHouse AI场景 典型应用场景 如果应用需要更高的IO性能，建议您选择超高IO或高IO云硬盘。 一般工作负载的应用场景。 普通开发测试 各种主流的高性能、低延迟交互应用场景。 企业办公 大型开发测试 转码类业务 Web服务器日志 容器等高性能系统盘 适用于超高IO，超大带宽的读写密集型应用场景，例如高性能计算应用场景，用来部署分布式文件系统，或者I/O密集型应用场景，用来部署各类NoSQL/关系型数据库。典型的数据库有MongoDB、Oracle、SQL Server、MySQL 和PostgreSQL等。 数据库 Oracle SQL Server ClickHouse AI场景 典型应用场景 如果应用需要更高的IO性能，建议您选择超高IO或高IO云硬盘。 一般工作负载的应用场景。 普通开发测试 各种主流的高性能、低延迟交互应用场景。 企业办公 大型开发测试 转码类业务 Web服务器日志 容器等高性能系统盘 适用于超高IO，超大带宽的读写密集型应用场景，例如高性能计算应用场景，用来部署分布式文件系统，或者I/O密集型应用场景，用来部署各类NoSQL/关系型数据库。典型的数据库有MongoDB、Oracle、SQL Server、MySQL 和PostgreSQL等。 数据库 Oracle SQL Server ClickHouse AI场景 典型应用场景 如果应用需要更高的IO性能，建议您选择超高IO或高IO云硬盘。 一般工作负载的应用场景。 普通开发测试 各种主流的高性能、低延迟交互应用场景。 企业办公 大型开发测试 转码类业务 Web服务器日志 容器等高性能系统盘 适用于超高IO，超大带宽的读写密集型应用场景，例如高性能计算应用场景，用来部署分布式文件系统，或者I/O密集型应用场景，用来部署各类NoSQL/关系型数据库。典型的数据库有MongoDB、Oracle、SQL Server、MySQL 和PostgreSQL等。 数据库 Oracle SQL Server ClickHouse AI场景 单队列访问时延 5 ms ~ 10 ms 1 ms ~ 3 ms 1 ms 1 ms 亚毫秒级

本节介绍了关系数据库MySQL版如何创建数据库用户账号。 关系数据库MySQL版产品创建数据库用户账号的指引如下： 操作场景 创建天翼云关系数据库MySQL版实例时，系统默认同步创建'root'@'%'用户，您可根据业务需要，通过控制台创建其他权限的用户。 通过客户端创建的账号暂无法在WEB控制台管理。 操作步骤 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 关系数据库MySQL版 ，进入关系数据库MySQL产品页面。然后单击管理控制台 ，进入TeleDB数据库概览页面。 2. 在左侧导航栏，选择MySQL > 实例管理，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，单击目标实例名称，进入实例基本信息页面。 4. 单击账号管理，进入账号管理页面。 5. 单击创建账号。 6. 在创建账号 对话框中，配置账号信息和权限，然后单击确定。 说明 可以指定账号针对库级的相应的读/读写权限，以保证数据库安全。

本章介绍本次性能测试结果情况。 以下结果为测试环境的测试数据，仅供参考，不作为SLA承诺。 表 测试列表 ::::::: 实例类型 Instance class CPU/Core Memory（GB） TPM TPS IOPS HA实例 2008 R2 企业版 2 8 300000 5500 4000 HA实例 2008 R2 企业版 4 16 530000 9700 7000 HA实例 2008 R2 企业版 8 32 930000 17050 15000 HA实例 2008 R2 企业版 16 64 1250000 23000 20000 HA实例 2008 R2 企业版 2 16 290000 5300 4000 HA实例 2008 R2 企业版 4 32 540000 9900 7000 HA实例 2008 R2 企业版 8 64 960000 17600 15000 HA实例 2008 R2 企业版 16 128 1350000 24750 20000 单实例 2014 企业版、2014 标准版 4 16 550000 10083 7000 单实例 2014 企业版、2014 标准版 8 32 1100000 20166 16000 单实例 2014 企业版、2014 标准版 16 64 1500000 27500 22000 HA实例 2014 企业版、2014 标准版 4 32 500000 9000 7000 HA实例 2014 企业版、2014 标准版 8 64 1000000 18333 16000 HA实例 2014 企业版、2014 标准版 16 128 1400000 24000 21000 单实例 2014 WEB 4 16 550000 10000 6000 单实例 2014 WEB 8 32 1100000 20000 12000 单实例 2014 WEB 16 64 1500000 27000 18000 表 测试列表 ::::::: 实例类型 Instance class CPU/Core Memory（GB） TPM TPS IOPS 单实例 2014 企业版、2014 标准版 4 16 550000 10083 7000 单实例 2014 企业版、2014 标准版 8 32 1100000 20166 16000 单实例 2014 企业版、2014 标准版 16 64 1500000 27500 22000 HA实例 2014 企业版、2014 标准版 4 32 500000 9000 7000 HA实例 2014 企业版、2014 标准版 8 64 1000000 18333 16000 HA实例 2014 企业版、2014 标准版 16 128 1400000 24000 21000 单实例 2014 WEB 4 16 550000 10000 6000 单实例 2014 WEB 8 32 1100000 20000 12000 单实例 2014 WEB 16 64 1500000 27000 18000

虚拟私有云产品广泛应用于多种场景,本文带您更快了解虚拟私有云产品经典应用场景。 应用场景一：云上私有网络 场景说明 不同的VPC之间逻辑隔离。您可以将业务系统部署在天翼云上，构建云上的专属私有网络环境。如果您的实际应用中会有Web业务系统、APP业务系统、数据库服务器等各个不同的系统。这些系统之间通常需要做分层隔离，那么可以通过使用多个VPC进行业务隔离。当有互相通信的需求时，可以在两个VPC之间建立对等连接。 搭配使用 弹性云主机、对等连接。 应用场景二：Web应用或网站托管 场景说明 您可以将Web应用或网站等服务托管在 VPC 中的弹性云主机上，并通过弹性IP或NAT网关连接弹性云主机与Internet，运行弹性云主机上部署的Web应用程序。当您有较多服务器来部署复且公网流量较大的业务时，可以使用负载均衡CTELB。负载均衡CTELB可以实现自动分配云中多个弹性云主机实例间应用程序的访问流量，让您实现更高水平的应用程序容错能力。 VPC内的云资源连接公网（Internet），可以通过如下云产品实现。 云产品 应用场景 描述 相关操作 弹性IP 单个ECS连接公网 弹性IP是可以独立申请的公网IP地址，将弹性IP地址和子网中关联的弹性云主机绑定和解绑，可以实现VPC中的弹性云主机通过固定的公网IP地址与互联网互通。 云主机通过弹性IP 访问互联网 NAT网关（NAT Gateway） 多个ECS共享弹性IP连接公网 NAT网关（NAT Gateway）是一种支持 IP 地址转换的网络云服务，能够为虚拟私有云（Virtual Private Cloud，VPC）内的计算实例提供网络地址转换（Network Address Translation），分为SNAT和DNAT两个功能。通过SNAT可使多个弹性云主机共享使用弹性IP访问Internet。通过DNAT可使多个弹性云主机提供互联网服务。NAT网关是 VPC 内的一个公网流量的出入口，保护私有网络信息不直接对公网暴露。 NAT网关操作指南 弹性负载均衡(CTELB, Elastic Load Balancing) 通过将访问流量均衡分发到多个ECS的方式对外提供服务，比如社交媒体等高并发访问场景 弹性负载均衡通过将访问流量自动分发到多台云主机，扩展应用系统对外的服务能力，实现更高水平的应用程序容错性能。 弹性负载均衡快速入门

本文介绍边缘安全加速平台名词术语。 CNAME 记录 CNAME ( Canonical Name )，即别名，用于把一个域名解析到另一个域名，当 DNS 系统在查询 CNAME 左面的名称的时候，都会转向 CNAME 右面的名称再进行查询，一直追踪到最后的 PTR 或 A 名称，成功查询后才会做出回应，否则失败。例如，您有一台服务器，使用 ctyun.cn 访问，您又希望通过 ctyun.cn1 也能访问该服务器，那么就需要在您的 DNS 解析服务商添加一条 CNAME 记录，将 ctyun.cn 指向 ctyun.cn1，添加该条 CNAME 记录后，所有访问 ctyun.cn 的请求都会被转到 ctyun.cn1，获得相同的内容。 DNS DNS 即Domain Name System，是域名解析服务的意思。它在互联网的作用是：把域名转换成为网络可以识别的 IP 地址。人们习惯记忆域名，但机器间互相只认 IP 地址，域名与 IP 地址之间是一一对应的，它们之间的转换工作称为域名解析，域名解析需要由专门的域名解析服务器来完成，整个过程是自动进行的。比如：上网时输入的 www.ctyun.cn 会自动转换成为220.181.112.143。 常见的DNS解析服务商有：阿里云解析，万网解析，DNSPod，新网解析，Route53（AWS），Dyn，Cloudflare等。 边缘安全节点 边缘安全节点是相对于网络的复杂结构而提出的一个概念，指距离最终用户接入具有较少的中间环节的网络节点，对最终接入用户有较好的响应能力和连接速度。其作用是将访问量较大的网页内容和对象保存在服务器前端的专用 Cache 设备上，以此来提高网站访问的速度和质量。 回源 HOST 回源 host 决定回源请求访问到源站上的具体某个站点。 例1：源站是域名源站为 www.ctyun.cn，回源 host 为 www.ctyun.cn1，那么实际回源是请求到 www.ctyun.cn 解析到的IP，对应的主机上的站点 www.ctyun.cn1。 例2：源站是 IP 源站为1.1.1.1，回源 host 为www.ctyun.cn1，那么实际回源的是1.1.1.1对应的主机上的站点 www.ctyun.cn1。 协议回源 协议回源指回源时使用的协议和客户端访问资源时的协议保持一致，即如果客户端使用 HTTPS 方式请求资源，当 CDN 节点上未缓存该资源时，节点会使用相同的 HTTPS 方式回源获取资源；同理如果客户端使用 HTTP 协议的请求，CDN 节点回源时也使用 HTTP 协议。 过滤参数 过滤参数是指当URL请求中带“？”并携带参数请求到 CDN 节点的时候，CDN 节点在收到该请求后可根据配置决定是否将该带参数的 URL 请求回源站。当开启过滤参数时，该请求到 CDN 节点后会截取到没有参数的 URL 向源站请求。并且 CDN 节点仅保留一份副本。如果关闭该功能，则每个不同的 URL 都缓存不同的副本在 CDN 的节点上。 Web 安全 相关 Web 应用层面的安全问题与事件,包括各种 Web 组件、协议、应用等。 正则防护 经验规则集，自动为网站防御 SQL 注入、XSS 跨站、Webshell 上传、命令注入、后门隔离、非法文件请求、路径穿越、常见应用漏洞攻击等通用的 Web 攻击。 网站白名单 通过设置网站白名单，可以让满足条件的请求不经过任何 Web 应用防火墙防护模块的检测，直接访问源站服务器。 IP 黑名单 支持一键阻断来自指定 IP 地址、IP 地址段以及指定地理区域的 IP 地址的访问请求。 0Day 漏洞 0Day 是指在系统商在知晓并发布相关补丁前就被掌握或者公开的漏洞信息。 CC 安全防护 根据访问者的 URL，频率、行为等访问特征，智能识别 CC 攻击，迅速识别 CC 攻击并进行拦截，在大规模 CC 攻击时可以避免源站资源耗尽，保证企业网站的正常访问。 防敏感信息泄露 帮助网站过滤服务器返回内容（异常页面或关键字）中的敏感信息（例如身份证号、银行卡号、电话号码和敏感词汇），脱敏展示敏感信息或返回默认异常响应页面。 网络爬虫 又称为网页蜘蛛，网络机器人，是一种按照一定的规则，自动地抓取万维网信息的程序或者脚本。 挖矿 借助大量计算能力来计算产生虚拟货币。 多源评估 通过对多种输入信息源数据动态地进行综合分析与评估的能力。 访问主体 能访问客体的主动实体。 访问客体 能与主体建立访问连接的被动实体。 SSL 证书 SSL 证书（Secure Sockets Layer）指一种安全协议，目的是为互联网通信提供安全及数据完整性保障。SSL 证书遵循 SSL 协议，可安装在服务器上，实现数据传输加密。 云工作负载 指云环境中从应用程序层到管理程序或处理的自包含组件（如堆栈中的虚拟机和容器）的整个应用程序堆栈。 访问控制 确保对资产的访问是基于业务和安全要求进行授权和限制的手段。 零信任 一组围绕资源访问控制的安全策略、技术与过程的统称。从对访问主体的不信任开始，通过持续的身份鉴别和监测评估、最小权限原则等，动态调整访问策略和权限，实施精细化的访问控制和安全防护。 策略引擎 负责最终决定是否授予指定访问主体对资源（访问客体）的访问权限。策略引擎使用企业安全策略以及来自外部源的输入作为“信任算法”的输入，以决定授予或拒绝对该资源的访问。 连接器 放置在业务前端的引流设备，用于打通内外网业务，确保终端用户可以安全访问业务数据。 动态授权 基于零信任对访问主体永不信任的原则，根据用户所处的环境动态调整用户拥有的访问权限。 SDP 即软件定义边界，旨在对于网络安全防护中不信任任何设备、人物、身份、系统等相关，每一个步骤都要有所验证，有所根据，让所有安全防护的相关都变为可信安全。 TCP 协议 TCP 协议指传输控制协议（Transmission Control Protocol），是一种面向连接的、可靠的、基于字节流的传输层通信协议，由 IETF 的 RFC 793 定义。TCP 工作在网络 OSI 的七层模型中的第四层（传输层），连接到不同但互连的计算机通信网络的主计算机中的成对 进程之间依靠 TCP 提供可靠的通信服务。 UDP 协议 Internet 协议集支持一个无连接的传输协议，该协议称为用户数据包协议（UDP，User Datagram Protocol）。UDP 为应用程序提供了一种无需建立连接就可以发送封装的 IP 数据包的方法。RFC 768 描述了 UDP。 Internet 的传输层有两个主要协议，互为补充。无连接的是 UDP，它除了给应用程序发送 数据包功能并允许它们在所需的层次上架构自己的协议之外，几乎没有做什么特别的事情。 面向连接的是 TCP，该协议几乎做了所有的事情。 无服务器 Serverless 无服务器是一种云原生开发模型，可使开发人员专注构建和运行应用，而无需管理服务器。无服务器方案中仍然有服务器，但它们已从应用开发中抽离了出来。云提供商负责置备、维护和扩展服务器基础架构等例行工作。开发人员可以简单地将代码打包到容器中进行部署。部署之后，无服务器应用即可响应需求，并根据需要自动扩容。公共云提供商的无服务器产品通常通过一种事件驱动执行模型来按需计量。因此，当无服务器功能闲置时，不会产生费用。 函数即服务 FaaS 函数即服务（FaaS：Function as a service）是一种事件驱动计算执行模型；开发人员编写代码逻辑，部署到完全由平台管理的函数运行时中，然后按需执行。与 BaaS 不同，FaaS 可让开发人员拥有更大的掌控权力，他们可以创建自定义应用，而不依赖于包含预编写服务的库。 代码则部署到边缘安全加速平台管理的容器运行时中。具体而言，这些函数运行时具有以下特点： 无状态 让数据集成变得更加简单。 运行周期短 可以只运行非常短的时间。 事件触发 可在需要时自动运行。 这样，您只用为所需的计算能力付费，而不必管"闲置"的应用和服务器。 使用 FaaS 时，开发人员可以通过触发器调用无服务器应用。 触发器 用户绑定触发器和对应函数，来实现多种调用效果。目前支持定时触发器以及HTTP触发器。 HTTP 路由 用户绑定 HTTP 触发器和对应函数后，访问安全与加速服务中托管域名的特定路由，即可在边缘节点调用起对应函数计算逻辑。 KV 存储 OmniKV 边缘存储提供了 KeyValue 型边缘存储服务，使开发人员能够构建低时延、频繁读取、不频繁写入的数据驱动的边缘无服务器应用程序。借助 OmniKV，无服务器应用程序可以将数据存放在靠近用户的位置，避免从云端或本地解决方案中检索信息的需要，从而实现快速响应。用户快速可以构建高度动态的 API 和网站服务，部署轻量型的 API 网关、BaaS 服务。 运行时 用于在边缘节点运行用户自定义函数的安全隔离环境。函数运行时所支持的编程语言，目前支持 JavaScript。 开发者工具 开发人员使用命令行工具，在本地完成函数编写，构建，灰度上线。

参数 高IO 通用型SSD 超高IO 单个云硬盘的最大IOPS 5000 20000 35000 单个云硬盘的基线IOPS 1800 1800 1800 单个云硬盘IOPS公式 min (5000, 1800 + 8 × 容量) min(20000, 1800 + 12 × 容量) min (35000, 1800 + 50 × 容量) 最大吞吐量 200MB/s 250MB/s 350MB/s 吞吐量公式 min(200,130+0.1×容量) MB/s min(250, 120 + 0.3 × 容量) MB/s min (350, 120 + 0.5 × 容量) MB/s 最大性能云硬盘大小 max(400, 700) max(683, 433) max(664, 460) 典型应用场景 适用于主流的高性能、高可靠应用场景，例如大型开发测试、Web服务器日志以及企业应用。典型的企业应用有SAP、Microsoft Exchange 和 Microsoft SharePoint等。 各种主流的高性能、低延迟交互应用场景，企业办公，大型开发测试，转码类业务，Web服务器日志，容器等高性能系统盘。 适用于超高IO、超大带宽的读写密集型应用场景，例如高性能计算应用场景、分布式文件系统场景、I/O密集型应用场景、各类 NoSQL和关系型数据库部署等场景。

说明：本章节会介绍如何什么是只读实例 产品简介 目前，云数据库MySQL 5.6/5.7版的实例支持只读实例和开通读写分离功能。 在对数据库有少量写请求，但有大量读请求的应用场景下，单个实例可能无法抵抗读取压力，甚至对主业务产生影响。为了实现读取能力的弹性扩展，分担数据库压力，您可以在某个区域中创建一个或多个只读实例，利用只读实例满足大量的数据库读取需求，以此增加应用的吞吐量。您需要在应用程序中分别配置主实例和每个只读实例的连接地址，才能实现将写请求发往主实例而将读请求发往只读实例。 只读实例为单个物理节点的架构（没有备节点），采用MySQL的原生复制功能，将主实例的更改同步到所有只读实例，而且主实例和只读实例之间的数据同步不受网络延时的影响，只读实例跟主实例在同一区域，但可以在不同的可用区。 功能特点 规格可以与主实例不一致，并可以随时更改规格（没有时间限制），便于弹性升降级。 不需要维护帐号与数据库，全部通过主实例同步。 提供系统性能监控。 关系型数据库服务提供近20个系统性能的监控视图，如磁盘容量、IOPS、连接数、CPU利用率、网络流量等，用户可以轻松查看实例的负载。 功能限制 1个主实例最多可以创建5个只读实例。 备份设置：不支持备份设置以及临时备份。 实例恢复：不支持通过备份文件或任意时间点创建临时实例，不支持通过备份集覆盖实例。 数据迁移：不支持将数据迁移至只读实例。 数据库管理：不支持创建和删除数据库。 帐号管理：只读实例不提供创建帐号权限，如需增加只读实例帐号，请在主实例上操作。

本章节介绍应用容灾多活的计费模式、计费项目与计费规则。 计费说明 应用容灾多活当前处于公测阶段，公测期间暂不收取费用。 注意 本产品计费不包括云原生网关、注册配置中心、数据传输服务等关联产品的费用，您需要为这些产品服务付费。

本文将介绍如何使用边缘安全加速平台安全与加速服务的防护规则引擎功能。 功能介绍 规则防护引擎使用基于正则的规则防护引擎和基于机器学习的 AI 防护引擎，进行 Web 漏洞和未知威胁防护。 目前防护 Web 攻击包括：SQL 注入、XSS 攻击、恶意扫描、命令注入攻击、Web 应用漏洞、WebShell 上传、不合规协议、木马后门等17类通用的 Web 攻击。 支持规则模板配置（安全基础配置—漏洞防护配置），用户可根据实际业务需要选择适合的模板，同时提供基于指定域名 URL 和规则 ID 白名单处置策略，进行误报处理。 背景信息 在控制台添加加速域名时，系统将通过一系列问题确认网站的防护场景，并为您推荐默认生效的防护规则集，支持选择防护动作为告警或拦截。接入边缘安全加速平台安全与加速业务成功后，将默认生效此防护规则集。 规则防护引擎基于各类防护场景，设定了七套防护规则集，能够满足各种网站业务防护需求，帮助网站抵御大量的Web攻击并提供漏洞防护。目前边缘安全加速平台安全团队总共已经维护五百多条防护规则，支持自动更新Web 0day漏洞攻击防护规则。

本文介绍AnyWhere集群。 天翼云CCE Anywhere集群是面向分布式云场景，提供的一种全新本地 Kubernetes 集群部署选项：构建在Kubernetes子项目Cluster API（CAPI）之上，通过申明式API和控制器模式,让您在自己管理的IDC基础设施或边缘设施中，创建、管理和升级基于天翼云CCE Distro发行版的Kubernetes集群；拥有与云上CCE发行版相同可靠性和安全性的同时，通过连接到云上注册集群，可获得标准化集群运维（含日志、监控、巡检、诊断、备份等）、丰富的插件扩展，以及智算套件、集群联邦等高阶扩展能力，实现轻量敏捷、云边一体的分布式容器云服务。 产品优势 公有云标准化交付，相同可靠性与安全性。 丰富扩展能力，将云上现代化操作实践和工具适配本地集群环境。 支持纯离线环境部署交付。 基于云原生开源标准构建。 应用场景 将本地应用从虚拟机迁移到现代化容器。 基于容器构建内部开发平台，以标准化团队资源使用。 将本地基础设施容器化后，与云上资源打通以实现极致弹性能力。 将本地基础设施容器化后，接入CCE One集群联邦以实现分布式智算能力。 施工指南

本章节介绍如何使用云原生网关实现后端双向TLS认证 概述 云原生网关作为代理服务接收下游服务（DownStream）请求，并转发到上游服务（Upstream）；对于上游服务来说，云原生网关收敛了外部的请求，统一经过网关转发到上游。从安全角度考虑，上游服务可以添加认证鉴权规则实现对网关的身份认证和访问鉴权，确保上游服务安全性；其中一种实现方式就是在上游服务配置TLS策略，要求网关转发请求时提供客户端证书，实现对网关的身份认证，具体流程如下： 云原生网关支持配置证书，用于实现请求后端服务时服务端对网关的证书认证，本文说明具体配置流程。 前提条件 1. 部署后端HTTPS服务，并配置要求请求客户端提供证书； 2. 已开通云原生网关实例； 部署后端服务 我们采用云容器引擎部署后端服务，镜像采用我们的demo应用（已配置证书，并要求客户端请求时提供证书），部署完成后在云容器引擎控制台可以看到容器启动： 还需要部署关联到工作负载的Service，用于暴露工作负载，如下：

本章节介绍故障演练服务的产品定义。 产品定义 故障演练服务是云原生混沌工程平台，深度融合云原生应用产品体系，提供标准化引导、正确性约束和自动化运行的实验管理，支持大规模、低成本、影响可控、形式多样的应用故障演练，帮助企业增强应用系统的容错能力和恢复能力，提升客户应用云上运行的稳定性。 为什么需要故障演练 应用高可用建设往往是基于先验设计的具体实施，描绘一幅全面但静态的蓝图。而问题在于，随着部署环境、流量模式和调用依赖的日益复杂，系统运行时的动态变化远超预设，没人能预判所有潜在问题。每一次故障都是独特的，但故障的成因是可枚举的，从基础设施到上层服务，功能趋同形成内聚的节点，这有限的故障归因，是高可用建设的结果能够预期的基础。 每一种容灾手段就像针对某类疾病的靶向药，从实验室开发到药品上市，要经过一期又一期的临床实验，才能勉力对抗人类基因的无限性，确保药品在广泛的病患群体中取得符合预期的疗效。异常是不可避免的，高可用建设不是消灭异常，而是消化异常。故障演练就是应用高可用的临床实验，在生产的可控范围内进行可预期的异常暴露和处理，随着不断迭代改进，演练形成的风险处置预案就像给系统注入的疫苗，随时应对真实的生产故障。

本章节介绍故障演练服务的产品定义。 产品定义 故障演练服务是云原生混沌工程平台，深度融合云原生应用产品体系，提供标准化引导、正确性约束和自动化运行的实验管理，支持大规模、低成本、影响可控、形式多样的应用故障演练，帮助企业增强应用系统的容错能力和恢复能力，提升客户应用云上运行的稳定性。 为什么需要故障演练 应用高可用建设往往是基于先验设计的具体实施，描绘一幅全面但静态的蓝图。而问题在于，随着部署环境、流量模式和调用依赖的日益复杂，系统运行时的动态变化远超预设，没人能预判所有潜在问题。每一次故障都是独特的，但故障的成因是可枚举的，从基础设施到上层服务，功能趋同形成内聚的节点，这有限的故障归因，是高可用建设的结果能够预期的基础。 每一种容灾手段就像针对某类疾病的靶向药，从实验室开发到药品上市，要经过一期又一期的临床实验，才能勉力对抗人类基因的无限性，确保药品在广泛的病患群体中取得符合预期的疗效。异常是不可避免的，高可用建设不是消灭异常，而是消化异常。故障演练就是应用高可用的临床实验，在生产的可控范围内进行可预期的异常暴露和处理，随着不断迭代改进，演练形成的风险处置预案就像给系统注入的疫苗，随时应对真实的生产故障。

本章节主要围绕以自行部署的网关应用为入口，介绍全链路灰度的最佳实践 概述 本文以consumer和provider应用为例，分别发布consumerv1，providerv1和 consumerv2，providerv2两个版本的应用。同时以微服务云应用平台部署的网关作为入口应用，泳道规则设置为参数version2时，请求路由到consumerv2，providerv2。 前提条件 需开通微服务治理中心企业版。 操作流程 创建并发布V1版本应用实例 创建providerv1 和 consumerv1 应用实例，需勾选上接入微服务服务治理中心。 发布网关应用 创建并发布gateway应用实例，需勾选上接入微服务服务治理中心。 通过网关访问consumer和provider 进入gateway应用终端，通过curl命令访问网关，curl podip:27180/nacos/consumer/callProvider。 根据返回信息可以看到providerv1应用pod的IP，到这可以确定 gateway>consuerv1>providerv1 链路是通的。 创建泳道组及泳道 1. 创建泳道组 在左侧导航栏，选择服务治理 > 全链路流量控制，点击创建泳道组及泳道。 入口类型选择：在MSAP部署的应用/网关，入口应用选择：msegateway 2. 创建分流泳道 路由规则选择上面步骤在云原生网关中创建的路由规则，条件列表中，参数类型选择Query，参数填version，条件选择等于，值填写2。 创建完成后，可以看到泳道状态是关闭的。此时规则还未生效。

此章节为您介绍日志审计(原生版)操作日志的相关内容 选择“系统配置 > 操作日志”，可查看系统内所有用户的操作情况包括访问的模块和操作的内容。 用户名称：进行此操作的用户。 登录IP：进行操作用户登录的IP地址。 访问模块：用户进行操作的模块。 操作内容：用户进行的动作。 详细内容：用户进行具体操作的详细数据内容。 发生时间：此操作发生的时间。 是否成功：操作是否成功进行。

本节介绍服务器安全卫士（原生版）产品使用限制。 支持的服务器 天翼云弹性云主机 天翼云GPU云主机 天翼云物理机 支持的操作系统 天翼云服务器安全卫士（原生版）产品支持对如下操作系统的服务器进行防护： 类型 架构 芯片 操作系统 系统版本 Windows x86 Intel Windows Server Windows Server 2012 R2 标准版（简体中文）64位 Windows x86 Intel Windows Server Windows Server 2012 R2 数据中心版（简体中文）64位 Windows x86 Intel Windows Server Windows Server 2016 标准版（简体中文）64位 Windows x86 Intel Windows Server Windows Server 2016 数据中心版（简体中文）64位 Windows x86 Intel Windows Server Windows Server 2019 数据中心版（简体中文）64位 Windows x86 Intel Windows Server Windows Server 2022 数据中心版（简体中文）64位 Linux x86 Intel Anolis Anolis 7.9 64位 Linux x86 Intel Anolis AnolisOS 8.9 64位 Linux x86 Intel Anolis Anolis 8.6 QU1 64位 Linux x86 Intel Anolis AnolisOS 8.6 64位 ANCK Linux x86 Intel Anolis AnolisOS 7.9 64位 RHCK Linux x86 Intel Anolis Anolis 8.4 64位 Linux x86 Intel Debian Debian 9.0 64位 Linux x86 Intel Debian Debian 11.1 64位 Linux x86 Intel Debian Debian 12.7 64位 Linux x86 Intel Debian Debian 12.8 64位 Linux x86 Intel AlmaLinux AlmaLinux OS 8.1 64位 Linux x86 Intel AlmaLinux AlmaLinux OS 9.4 64位 Linux x86 Intel AlmaLinux AlmaLinux OS 9.5 64位 Linux x86 Intel CTyunOS CTyunOS 2.0.1 64位 Linux x86 Intel CTyunOS CTyunOS 23.01 64位 Linux x86 Intel Ubuntu Ubuntu16.04 64位 Linux x86 Intel Ubuntu Ubuntu 18.04 64位 Linux x86 Intel Ubuntu Ubuntu 20.04 64位 Linux x86 Intel Ubuntu Ubuntu 22.04 64位 Linux x86 Intel Ubuntu Ubuntu 24.04 64位 Linux x86 Intel CentOS CentOS 8.0 64位 Linux x86 Intel CentOS CentOS 7.9 64位 Linux x86 Intel CentOS CentOS 7.6 64位 Linux x86 Intel openEuler openEuler 20.03 SP4 64位 Linux x86 Intel openEuler openEuler 22.03 SP2 64位 Linux x86 Intel openSUSE openSUSE Leap 15.6 64位 Linux x86 Intel KylinOS KylinOS V10 SP1 64位 Linux x86 Intel KylinOS KylinOS V10 SP2 64位 Linux x86 Intel KylinOS KylinOS V10 SP3 64位 Linux x86 Intel Rocky Linux Rocky Linux 8.10 64位 Linux x86 Intel Rocky Linux Rocky Linux 9.0 64位 Linux x86 Intel Rocky Linux Rocky Linux 9.4 64位 Linux x86 Intel Rocky Linux Rocky Linux 9.5 64位 Linux x86 海光 KylinOS KylinOS V10 SP1 64位 Linux x86 海光 KylinOS KylinOS V10 SP2 64位 Linux x86 海光 KylinOS KylinOS V10 SP3 64位 Linux x86 海光 UOS UOS V20 64位 Linux x86 海光 CTyunOS CTyunOS 2.0.1 64位 Linux x86 海光 CTyunOS CTyunOS 23.01 64位 Linux x86 海光 CTyunOS CTyunOS 22.06 64位 Linux Arm 鲲鹏 KylinOS KylinOS V10 SP1 64位 Linux Arm 鲲鹏 KylinOS KylinOS V10 SP2 64位 Linux Arm 鲲鹏 KylinOS KylinOS V10 SP3 64位 Linux Arm 鲲鹏 CTyunOS CTyunOS 2.0.1 64位 Linux Arm 鲲鹏 CTyunOS CTyunOS 22.06 64位 Linux Arm 鲲鹏 CTyunOS CTyunOS 23.01 64位 Linux Arm 鲲鹏 UOS UOS V20 64位 Linux Arm 鲲鹏 openEuler openEuler 22.03 64位

步骤二 ：访问应用，触发自适应配置推送优化 1. 部署bookinfo相关应用。部署后可以在网格优化中心 > Sidecar资源中看到这些应用已经默认生成了Sidecar资源，并且仅下发istiosystem和meshoperator的配置。 2. 通过云原生网关发起请求到productpage。具体步骤可以参考通过云原生网关访问bookinfo应用，或者通过ingressgateway访问，或者在集群内执行curl 访问productpage。 3. 首次访问成功后，在网格优化中心 > Sidecar资源中查看productpage已经追加reviews，details等服务的配置。无需您手工配置。 相关操作 关闭自适应配置推送优化功能 1. 登录应用服务网格控制台，在首页网格列表中选中目标实例。 2. 在网格管理页面左侧导航栏，选择 网格优化中心 > 自适应配置下发。 3. 在自适应配置下发页面，点击关闭 自适应配置下发。 4. 切换到网格优化中心 > Sidecar资源页面查看Sidecar资源列表。 5. 您可以看到创建来源为“系统”的Sidecar资源已被删除。

前端监控专注于Web及小程序场景的监控，可采集用户访问、页面性能（首屏/白屏时间）、JS错误、API请求等核心指标。通过轻量SDK快速接入，支持主流框架及小程序平台，实时追踪页面加载性能、异常详情及接口成功率/延迟。提供多维数据分析与可视化错误堆栈，分钟级定位前端故障，助力优化用户体验与业务稳定性。 注意 目前前端监控为免费试用中，仅华东1资源池开放。 产品优势 轻量化接入 接入流程轻便灵活，支持 NPM、CDN 方式快速接入，仅需对业务代码做极少量修改；SDK体积较小，不会对应用性能造成影响。 多平台支持 支持Web应用以及微信、支付宝及字节等小程序，集成多维数据统计与性能瓶颈定位能力，降低多终端运维成本。 低成本 支持 Web 和多平台小程序的前端真实体验监控服务，学习成本较低，只要您掌握基础的前端知识即可放心使用。 全场景数据可视化洞察 实时统计首屏时间、API 成功率等核心指标，多维数据采集、关联，用户体验可视化，量化页面性能表现，快速定位业务转化瓶颈。

在网关场景中默认在应答头部添加OWASP（Open Web Application Security Project）推荐的一组头部，用于提升Web应用安全性；您也可以添加自定义的头部。 注意 本插件只能用于网关场景 配置说明 字段 类型 是否必填 默认值 说明 headers map[string]string 否 要添加的头部信息

本文介绍创建告警规则的步骤。 云监控支持灵活的创建告警规则。您既可以根据实际需要对某个监控指标设置自定义告警规则，同时也能够使用告警模板为多个资源或者云服务批量创建告警规则。 说明 目前仅支持监控“一类节点”区域的实例。 云堡垒机（原生版）支持的区域请参见支持的区域。 操作步骤 1. 登录天翼云控制中心。 2. 在产品服务列表中“管理与部署 > 云监控服务”，进入云监控服务主页面。 3. 在左侧导航栏，选择“云服务监控”，单击“云堡垒机”产品。 4. 在云堡垒机监控列表中选择目标的实例，单击操作列的“创建告警规则”。 5. 在“创建告警规则”页面，根据界面提示配置参数。 配置参数及相关含义说明如下： 模块 参数 参数说明 配置示例 选择监控对象 规则类型 选择规则的类型，主要包括指标监控、事件监控、站点监控、自定义监控、自定义事件五种。 指标监控 选择监控对象 服务 配置告警规则监控的云服务资源类型。 云堡垒机（原生版） 选择监控对象 维度 用于指定告警规则对应指标的维度名称。 云堡垒机实例 选择监控对象 监控对象类型 具体实例/资源分组/全部资源 具体实例 选择监控对象 监控对象 用来配置该告警规则针对的具体资源，可以是一个或多个。 实例名称 定义告警策略 选择类型 支持自定义创建 、从模板导入。 自定义创建 定义告警策略 策略 支持选择满足全部 或任意策略。 策略信息包括： 监控指标，支持的监控指标请参见[实例支持的监控指标](/document/10261769/11086138

本节主要介绍创建Web应用组件 本节介绍基于ServiceStage创建Web静态应用组件，部署组件的操作请参考部署组件。 前提条件 1.只能在应用下新增组件，请先创建应用，请参考创建应用。 2.如果您基于软件包创建微服务组件，那么您首先需要将软件包上传至OBS对象存储中。 操作步骤 1、登录ServiceStage控制台，选择“应用管理 > 应用列表”。 2、选择已经创建的应用，单击“操作”栏的“新增组件”。 3、“配置方式”选择“自定义配置”，组件类型选择“Web”，单击“下一步”。 4、选择运行时，单击“下一步”。 不同框架支持运行时有所不同，请参考微服务组件说明。 5、是否将以上配置保存为模板？ 是，勾选“将以上3步的配置保存为模版，以便下次使用相同的配置”，输入模板名称。执行步骤6。 否，执行步骤6。 6、步骤4选择的运行时是否为“Docker”？ 是，单击“下一步”，执行步骤7。 否，单击“下一步”，执行步骤8。 7、 创建Docker组件： 输入“组件名称”。 创建组件： 单击“立即创建”，创建静态组件。 单击“创建并部署”，进入到部署界面，详细操作请参考部署组件。 操作结束。 组件创建完成后，在应用“概览”页的“组件列表”可查看组件状态。 8、参照下表设置组件信息，参数前面带号的是必须设置的参数。 表 组件基本信息 参数 参数说明 组件名称 组件对应的名称 开启微服务CSE名称匹配 创建微服务组件时，为了统一应用和微服务引擎（CSE）内对于服务名的命名，在微服务引擎（CSE）内默认是从环境变量或者microservice.yaml/application.yaml配置文件读取微服务信息，这样就可能造成两个地方名称不统一，开启这个选项后，会把应用的信息设置成微服务引擎的环境变量，覆盖配置文件配置的信息，使得两者模型完全统一。 说明 如果是第一次在应用下创建微服务组件，本参数可配置，配置后将无法更改。 软件包 1. 选择“War包”、“Zip包” 说明 运行时为“Tomcat8”时，选择“War包”。 运行时为“Nodejs8”、“Php7”或者“Python3”时，选择“Zip包”。 选择“上传方式”：将软件包上传至OBS对象存储中 （可选）设置“开启构建”参数，用于应用组件构建。 2. 设置“上传方式”：将软件包上传至OBS对象存储中 3. （可选）设置“开启构建”参数，用于应用组件构建。根据业务需要选择“组织”和“选择集群”参数。也可选择“过滤节点标签”，可以通过节点标签将构建任务下发到固定节点上。新增过滤标签请参考“帮助中心 > 云容器引擎 > 用户指南 > 节点管理”。 9、创建组件： 单击“立即创建”，创建静态组件。 单击“创建并部署”，进入到部署界面，详细操作请参考部署组件。 组件创建完成后，在应用“概览”页的“组件列表”可查看组件状态。

QUIC QUIC全称：Quick UDP Internet Connections，是一种实验性传输层网络协议，提供与TLS/SSL相当的安全性，同时具有更低的连接和传输延迟。QUIC目前主要应用于http协议，基于QUIC的HTTP/3协议（RFC9114），除了拥有HTTP/2的各项优点，同时由于QUIC的特性，在弱网环境下拥有更强大的性能优势。QUIC由Google自研，2012年部署上线，2013年提交IETF，2021年5月，IETF推出标准版RFC9000。功能介绍，详情请见：HTTP3.0(QUIC)协议。 缓存命中率 缓存命中率包括流量命中率和请求命中率。CDN缓存命中率低，会导致源站压力大，静态内容访问效率低。 统计方式： 流量命中率 1 回源流量/流量（5分钟粒度）。 请求命中率 1 回源请求数/请求数（5分钟粒度）。 目前天翼云CDN支持流量命中率、请求命中率的统计与查询。功能介绍，详情请见：用量分析。 DNS解析时间 通过域名解析服务（DNS），将指定的域名解析成IP地址的消耗时间。 TCP建连时间 浏览器或客户端和WEB服务器建立TCP/IP连接的消耗时间。 SSL握手时间 浏览器或客户端和WEB服务器建立安全套接层（SSL）连接的消耗时间。 首包时间 浏览器或客户端发送HTTP请求结束开始，到收到WEB服务器返回的第一个数据包的消耗时间。

是否支持使用Kubectl CLI对集群联邦实例内资源进行操作？ 可以使用Kubectl CLI下发资源进行操作。 集群联邦完全兼容Kubernetes API Server，支持原生Kubernetes资源的下发；您也可以使用Helm打包应用并使用Helm CLI下发应用到集群联邦实例。

本页介绍了文档数据库服务在以下场景中的应用介绍。 文档数据库服务在以下场景中应用 Web应用程序：Web应用程序通常需要处理大量的半结构化数据，包括用户信息、日志、评论、商品信息等。文档数据库服务可以提供快速的读写性能和灵活的数据结构，可以满足Web应用程序的存储和查询需求。 移动应用程序：移动应用程序通常需要存储和处理用户的个人信息、位置信息、设备信息等。文档数据库服务可以提供快速的响应时间和低延迟的数据访问，可以满足移动应用程序的高并发和低时延的需求。 企业应用程序：企业应用程序需要存储和处理各种类型的半结构化数据，包括员工信息、客户信息、订单信息等。文档数据库服务可以提供高可用性、可扩展性和灵活的数据结构，可以满足企业应用程序的高性能和高可靠性的需求。 IoT应用程序：IoT应用程序需要处理海量的半结构化数据，包括传感器数据、设备数据等。文档数据库服务可以提供高吞吐量和低延迟的数据访问，可以满足IoT应用程序的高并发和高可靠性的需求。 游戏应用程序：游戏应用程序需要处理玩家的游戏数据，包括游戏记录、道具信息、成就信息等。文档数据库服务可以提供灵活的数据结构和快速的数据查询，可以满足游戏应用程序的高性能和高并发的需求。 内容管理系统：内容管理系统需要存储和管理各种类型的内容，包括文章、图片、视频等。文档数据库服务可以提供多样化的数据结构和丰富的查询功能，可以满足内容管理系统的灵活性和可扩展性的需求。

全托管 业务系统基于现有的开源 Apache Kafka 生态的代码，兼容社区版Kafka的API，具备原生Kafka的所有消息处理特性。无需任何改造，即可迁移上云，不再需要专门部署、运维，只需专注业务本身。 一键式部署 只需要在实例管理界面选好规格配置，提交订单。后台将自动创建部署完成一整套Kafka实例。 运维高效 提供多维度指标监控（队列级别）；支持消息查询、消息回溯以及消息数据过期自动删除。

本小节介绍日志审计(原生版)配置检索告警。 查看告警结果 在“风险分析 > 告警结果”页面中，查看告警结果，默认展示当天告警。展示模块分为告警等级统计数量模块、告警趋势图、告警出现次数、告警类型分布以及告警列表展示。 处置告警 点击告警列表操作列的“处置”按钮，可对该告警进行处理，处理方式为已处理、已清除、已忽略（误报）。 注意 已清除的告警再次触发后，不再变更处理状态，其他处理方式变更为待处理，需要重新处置。

边缘安全加速平台—安全与加速服务提供一站式安全与加速服务，支持DDoS防护、WAF、Bot防护、访问控制/限流等。 防护能力概览 下表将为您描述目前边缘安全加速平台安全与加速服务具备的防护能力以及应用场景： 功能模块 功能说明 详情链接 DDoS防护 依托于边缘清洗节点，能够承载T级以上DDoS攻击，百G抗D节点地市级覆盖，全网总防护能力可达10Tbps。 DDoS防护 Web防护 实时检测恶意请求并及时处理，帮助用户提供应对 Web 攻击、入侵、漏洞利用、挂马、篡改、后门、爬虫、域名劫持等网站及 Web 业务安全防护问题，从而保障网站安全。 Web防护 Bot防护 通过cookie挑战、跳转挑战、人机挑战、爬虫阈值限制、爬虫陷阱等防爬策略，精准命中爬虫流量，拦截各类恶意爬虫。 Bot防护 访问控制/限流 []( 访问控制/限流 API安全 支持管理和识别API资产、帮助用户实时查看API的业务运行情况，同时帮助用户发现和分析业务异常。 API安全 漏洞扫描 []( [](

本节介绍智算容器产品定义。 产品定义 云容器引擎（智算版）是利用云原生架构和技术，在云容器引擎上快速定制化构建AI生产系统，提供智算场景下的调度策略（共享GPU调度、批作业调度、拓扑感知调度）、GPU/RDMA异构资源管理和GPU资源监控基础能力，为用户提供AI数据集管理，AI模型开发、训练、评测，以及模型推理等服务。 产品架构 智算版作为云容器引擎的新规格和增值服务，基于云容器引擎提供管理和运行AI任务的能力，功能结构如下： 智算容器对底层IaaS各类异构资源做统一管理，通过拓扑感知，智能调度算法，实现AI任务调度、AI任务流编排，支持AI模型开发、训练、推理等，可快速构建AI生产环境，降低AI使用门槛。

监听协议 说明 使用场景 TCP 面向连接的协议，在发送数据之前需要经过三次握手建立可靠的连接；基于源地址的会话保持；数据传输快。 适用于注重可靠性、对数据准确性要求高，如邮件服务、文件传输服务；无特殊要求的Web应用。 UDP 无连接协议，发送数据前不需要建立连接，直接发送数据，不提供差错恢复和数据重传；可靠性相对较低，需要上层协议做可靠性措施；数据传输快。 适用于对实时性要求较高，对可靠性要求相对不高的业务，如语音、视频、证券行情实时推送等。 HTTP 应用层协议，基于TCP协议，B/S架构，浏览器请求数据，服务端响应数据；基于Cookie做会话保持；使用XForwardedFor头字段获取客户端真实IP地址。 需要对数据内容进行识别的应用，如Web应用、门户网站等。 HTTPS 加密的HTTP传输协议，可阻止未经授权的访问；统一的证书管理服务，可将证书传至负载均衡，由负载均衡终结处理客户的HTTPS请求。 对安全性要求较高的HTTP应用；需要加密传输的应用。

本小节介绍云堡垒机实例购买。 云堡垒机每一个实例对应一个独立运行的云堡垒机运维管理系统环境。 用户首先需要购买一个云堡垒机实例，购买后，系统默认创建一个云堡垒机管理员账号（默认管理员用户admin），可通过该账号单点登录云堡垒机系统；登录实例后，根据提示配置运维管理环境，实现云堡垒机实时远程高效运维管理。 如何选择实例类型 云堡垒机（原生版）支持“单机版”和“主备版”，可根据实际情况进行选择。 实例类型 单机版 主备版 节点数量 购买后只创建一台堡垒机。 购买后会创建两台堡垒机，形成主备关系。 可用区选择 您可以根据业务部署需要，为这台堡垒机选择任意一个可用区。 需要分别选择主节点可用区和备节点可用区，可根据容灾或网络时延需求进行选择。 场景一：如果有容灾能力的需求，建议主备节点部署在不同的可用区，实现跨可用区容灾。 场景二：如果对网络时延有较高要求，建议主备节点部署在同一可用区，优先保证网络性能。 适用场景 适用于无需高可用性的业务场景。 适用于对服务高可用性和业务连续性有要求的场景。 优势 成本低 可靠性高