本文为您介绍容器安全卫士的产品优势。 容器安全卫士对云原生应用进行多维度检测和防护，产品优势如下： 一键管理便捷 贴合云原生特点，全组件采用容器化部署，实现客户端一键部署、一键卸载。安全能力随业务集群变动自动跟随防御，无需人工干预。 全面完整专业 集成国际、国内、官方等多种漏洞源，基于ClamAV、自研等多种病毒引擎，为您提供专业的安全风险检测。 动静结合智能 采用静态动态双结合的检测方式，自动形成业务行为基线，基于学习引擎，实时发现未知安全风险，实现智能化防护。 全链加密安全 容器安全卫士各个组件交互过程中，全链采用加密传输，敏感数据加密存储，客户端不暴漏任何端口，保护您的同时也注重自身安全。

本小节介绍服务器安全卫士的资产清点查询视图。 资产清点（Asset Inventory），致力于帮助用户从安全角度自动化构建细粒度资产信息，支持对业务层资产精准识别和动态感知，让保护对象清晰可见。使用 AgentServer 架构，提供10余类主机关键资产清点，800余类业务应用自动识别，并拥有良好的扩展能力。 资产清点功能有两种查询视图： 概览视图、分级视图 。 概览视图 概览视图作为“资产清点”功能的首页，主要实现对资产信息的可视化，帮助用户更直观地了解资产总体情况，更有效得出对资产的理解或判断。 概览视图内容，包含如下几部分： 主机统计：展示被托管主机的相关情况，包括：Agent运行状态、安装进展变化、及相关管理属性； 核心资产统计：总览主机中的几大重要资产（账号、端口、进程、软件应用、Web站点、数据库），体现为资产的总量统计、及特殊关注数量； 资产分布情况：展示上述具体资产的分布及统计情况，包括：基础资产、业务相关应用、Web资产等： 资源消耗情况：展示主机资源消耗情况，包括：系统负载、内存使用、磁盘使用。

选择响应处置页签，可对威胁事件配置放行等操作。 配置项 说明 信任名单 信任名单添加文件路径或MD5值，可针对护网高级威胁、病毒防护、病毒扫描、网马扫描、勒索防护放行；信任名单添加IP，可针对防暴力破解、防端口扫描、Web应用防护放行。 流量画像 采集资产流量，绘制全景流量图展示主机之间的通讯关系。 信任名单 功能：信任名单添加文件路径或MD5值，可针对护网高级威胁、病毒防护、病毒扫描、网马扫描、勒索防护放行；信任名单添加IP，可针对防暴力破解、防端口扫描、Web应用防护放行；信任名单添加扩展名可针对入侵检测、病毒防护、病毒扫描、勒索防护放行。 使用场景：适用于需要修改策略模板信任名单场景。 1. 选择信任名单页签。 2. 点击信任名单 后的图标开关置于开启状态，开启信任名单功能。 3. 点击“新增信任名单”。 4. 弹出新增信任名单 对话框，选择类型，输入信任项、备注，点击“确定”即可生成信任名单。 类型的说明如下表： 类型 说明 文件路径 对文件路径或者文件名匹配，可针对护网高级威胁、病毒防护、病毒扫描、网马扫描、勒索防护放行。例如：/etc、init.c。 MD5 对文件MD5值进行匹配，可针对护网高级威胁、病毒防护、病毒扫描、网马扫描、勒索防护放行。 扩展名 添加扩展名，可针对入侵检测、病毒防护、病毒扫描、勒索防护放行。 IP 对IP进行匹配，可针对防暴力破解、防端口扫描、Web防护放行。例如：192.168.1.1、192.168.2.0/24、192.168.3.1192.168.3.100。

本文介绍了如何进行防火墙入侵防御配置。 云防火墙提供“网络攻击防护”，帮助您检测常见的网络攻击。 对业务的影响 调整防护模式时，建议您优先开启“观察模式”，等待业务运行一段时间排查误拦截后，再逐步更换至“拦截模式”。 调整IPS防护模式拦截网络攻击 1. 登录管理控制台。 2. 在左侧导航栏中，单击左上方的，选择“安全> 云防火墙”，进入云防火墙的总览页面。 3. （可选）当前账号下仅存在单个防火墙实例时，自动进入防火墙详情页面，存在多个防火墙实例时，单击防火墙列表“操作”列的“查看”，进入防火墙详情页面。 4. 在左侧导航栏中，选择“攻击防御> 入侵防御”，进入“入侵防御”界面，保持“基础防御”右侧开关开启。 5. 选择合适的防护模式。 观察模式：仅对攻击事件进行检测并记录到“攻击事件日志”中，不做拦截。 拦截模式：在发生明确攻击类型的事件和检测到异常IP访问时，将实施自动拦截操作。 拦截模式宽松：防护粒度较粗。拦截可信度高且威胁程度高的攻击事件。 拦截模式中等：防护粒度中等。满足大多数场景下的防护需求。 拦截模式严格：防护粒度精细，全量拦截攻击请求。 说明 建议您优先开启“观察模式”，等待业务运行一段时间后，再逐步更换至“拦截模式”，查看攻击事件日志，请参见“攻击事件日志”。 如果存在误拦截情况，可对基础防御规则库的单条防御规则进行动作修改。具体操作请参见“IPS规则管理”。

本章节主要介绍如何查看分布式消息服务RabbitMQ实例。 操作场景 本节介绍如何在控制台查看RabbitMQ实例的详细信息。例如，连接RabbitMQ时，需要获取连接IP和端口。 前提条件 已创建RabbitMQ实例。 操作步骤 步骤 1 登录管理控制台。 步骤 2 在管理控制台右上角单击，选择区域。 说明 此处请选择RabbitMQ实例所在的区域。 步骤 3 在管理控制台左上角单击，选择“企业中间件 > 分布式消息服务 > RabbitMQ专享版”，进入分布式消息服务RabbitMQ专享版页面。 步骤 4 RabbitMQ实例支持通过筛选来查询对应的RabbitMQ实例。当前支持的筛选条件为“标签”、“状态”、“名称”、“连接地址”和“ID”。RabbitMQ实例状态请参见表1。 表1 RabbitMQ实例状态说明 状态 说明 创建中 创建RabbitMQ实例后，在RabbitMQ实例状态进入运行中之前的状态。 运行中 RabbitMQ实例正常运行状态。在这个状态的实例可以运行您的业务。 故障 RabbitMQ实例处于故障的状态。 启动中 RabbitMQ实例从已冻结到运行中的中间状态。 重启中 RabbitMQ实例正在进行重启操作。 变更中 RabbitMQ实例正在进行规格变更操作。 变更失败 RabbitMQ实例处于规格变更操作失败的状态。 已冻结 RabbitMQ实例处于已冻结状态。 冻结中 RabbitMQ实例从运行中到已冻结的中间状态。 升级中 RabbitMQ实例正在进行升级操作。 回滚中 RabbitMQ实例正在进行回滚操作。 步骤 4 单击RabbitMQ实例的名称，进入该RabbitMQ实例的基本信息页面，查看RabbitMQ实例的详细信息。 表2为连接实例的相关参数，其他参数，请查看页面显示。 表2 连接参数说明 参数 说明 内网连接地址 未开启公网访问时，连接实例的地址。 Web界面UI地址 未开启公网访问时，访问实例管理工具的地址。 公网访问 是否开启公网访问开关。 公网连接地址 开启公网访问后，连接实例的地址。 公网访问Web界面UI地址 开启公网访问后，访问实例管理工具的地址。

是否可以提供运维服务？ 暂时不提供，安全责任重大，安全运维需客户自己做，我们只包含首次实施。 安全管理中心能否呈现整个态势感知？ 有这个功能，后面会开发补充更多模块，目前可以看到总览，功能包括：资产管理，风险管理，威胁管理，运营管理，组件管理。 资源池没过等保，客户能部署安全专区过等保，拿到测评报告吗？ 云平台的要先过等保才可以，如果云平台没有过等保，客户的系统做安全防护也是拿不到测评报告的。 多个VPC情况下网络，能做到安全防护吗？ 可以，多个VPC通过对等连接互相打通网络，再通过对等连接安全专区进行多个VPC的安全防护。 报价按等保怎么区分? 二级最低选入门版，基础版，三级选高级版或旗舰版；鉴于现在的测评标准更加严格，采用扣分制来计算得分，我们一般给客户推荐套餐首先推高级版或旗舰版，更容易通过测评，如果客户预算原因，也可根据情况酌情降低套餐档次。 客户有额外的SSL VPN的需求，怎么选购？ 客户需要在天翼云平台订购SSL VPN，安全专区的防火墙本身不具备SSL VPN。 云下一代防火墙，双机怎么计费，怎么开通？另外门户上没有双机的可选项。 防火墙双机计费方式：在套餐的单台防火墙的基础上再增加一台防火墙，也就是说费用是两台防火墙之和；目前门户上没有双机的可选项，开发部后面会开发相应的功能。

本节主要介绍弹性文件服务的应用场景。 SFS容量型文件系统为用户提供一个完全托管的共享文件存储，能够弹性伸缩至PB规模，具备高可用性和持久性，为海量数据、高带宽型应用提供有力支持。适用于多种应用场景，包括HPC、媒体处理、文件共享、内容管理和Web服务等。 SFS Turbo文件系统为用户提供一个完全托管的共享文件存储，能够弹性伸缩至320TB规模，具备高可用性和持久性，为海量的小文件、低延迟高IOPS型应用提供有力支持。适用于高性能网站、日志存储、压缩解压、DevOps、企业办公、容器应用等场景。为多个业务节点提供共享的日志输出目录，方便分布式应用的日志收集和管理。

本章节主要介绍维护微服务 “服务目录”页面展示如下信息： 应用列表：显示当前微服务引擎的所有应用，支持使用应用名称搜索目标应用，也可以选择环境筛选应用。 微服务列表：显示当前微服务引擎的所有微服务，支持使用微服务名称搜索目标服务，也可以选择环境、应用筛选服务。 实例列表：显示当前微服务引擎的所有实例，支持使用微服务名称搜索目标实例，也可以选择环境、应用筛选实例。 动态配置 步骤 1 登录ServiceStage控制台，选择“微服务引擎 CSE”。 步骤 2 单击微服务引擎的“查看控制台”。 未开启安全认证的微服务引擎专享版或微服务引擎专业版，请执行步骤4。 开启安全认证的微服务引擎专享版，请执行步骤3。 步骤 3 在弹出的“安全认证”对话框输入帐号名及密码，单击“确定”。 说明： 首次进入微服务控制台，请输入root帐号名及创建微服务引擎专享版时输入的密码。 创建帐号请参考新增帐号。 步骤 4 选择“服务目录”。 步骤 5 单击微服务名称。 步骤 6 单击“动态配置”，进入动态配置页签。在“动态配置”页签可进行如下操作： 须知： 配置项使用明文存储，请勿附带敏感数据。 操作 步骤 导出配置 在“所有作用域”下拉列表选择一个作用域，单击“全部导出”，导出当前作用域的json格式配置文件。 作用域的格式如下： 微服务名称@所属应用 微服务名称@所属应用

此章节为您介绍如何配置邮件服务器。 邮件服务器，为系统告警、审计报表等通知提供邮件发送服务。 配置邮件服务器 1. 登录日志审计（原生版）控制台。 2. 在左侧导航栏选择“系统配置 > 邮件服务器”，进入邮件服务器页面。 3. 单击“编辑”按钮，配置相关参数。 参数 参数说明 SMTP邮件服务器地址 填写发送邮件账号所属的SMTP服务器地址，请确认是否填写正确，否则会造成邮件无法发送。 邮件发送账号地址 填写发送系统通知的邮件地址。 邮件发送账号密码 填写发送系统通知的邮件密码。 4. 配置完成后，单击“保存”。 5. 发送测试邮件验证邮件服务器配置是否正确。 1. 单击“发送测试邮件”。 2. 填写“接收邮箱地址”，单击“确定”。 提示：“发送成功：请到接收邮箱查看邮件”表示邮件服务器配置正确。

后端访问签名 使用云原生网关的场景下，后端服务不直接对外暴露服务，而是通过云原生网关将请求转发到后端。从安全角度，配置认证鉴权策略限制只允许云原生网关等作为请求方访问自己。针对这种场景，云原生网关可以配置特定的签名策略，用于后端服务的认证鉴权。当前云原生网关添加服务时可以配置HMAC算法签名策略，如下图所示： 配置选项说明如下： 选项 说明 认证算法 当前仅支持HMAC。 Access Key 后端服务校验签名使用的HMAC access key。 Secret Key 后端服务校验签名使用的HMAC secret key。 加密算法 HMAC加密算法，支持hmacsha1, hmacsha256, hmacsha512。 加密Headers列表 用于计算签名的header列表。 URL参数编码 URL参数是否经过编码之后再计算签名，默认是。 服务版本管理 服务的版本一般是服务迭代过程中的概念，在云原生网关的场景下，服务版本引申为服务的标签概念，一个服务可能有多个版本（标签）；基于服务的版本（标签）可以实现如标签路由、灰度发布、高可用部署等能力；如对于一个服务存在多个版本的场景，基于不同版本的实例上所携带的标签不同，将服务定义为多个不同的版本；根据请求的特征匹配，路由到不同版本的服务中可以实现标签路由；将服务的流量在多个版本之间分配，可以实现金丝雀、蓝绿等灰度功能；根据服务的部署标签定义的版本则可以应用在服务的高可用部署上。 对于容器或者Nacos来源的服务，云原生网关支持根据服务的元数据定义不同的版本，如下图对于容器服务，可以根据pod的标签定义不同的服务版本： 配置说明如下： 配置 说明 版本名称 自定义的版本名称。 标签名 版本对应的标签名，可选值来自当前服务的元数据。 标签值 版本标签名对应的标签值，可选值来自当前服务的元数据。 实例数/比例 所选的标签选择到的实例数/相对于整体实例数的比例。 添加完服务版本则可以看到如下：

本节介绍服务器安全卫士（原生版）与其他云服务关系。 统一身份认证服务 统一身份认证（IAM）服务，是提供用户进行权限管理的基础服务，可以帮助您安全地控制云服务和资源的访问及操作权限。IAM服务申请开通后免费使用，您只需要为您账号中的云服务和资源进行付费。 云审计服务 云审计服务（CTS），为用户提供云服务资源操作记录的收集、存储和查询功能，用于支撑安全分析、合规审计、资源跟踪和问题定位，同时提供事件跟踪功能，将操作日志转储至对象存储实现永久保存。云审计服务申请开通后免费使用，事件文件转储功能会使用对象存储服务，会产生对象存储服务费用。

本文为您介绍密钥管理服务KMS(Key Management Service)的服务模式及规格说明。 注意 自2024年9月13日起，KMS全新升级上线包周期版，升级后不再支持按需版本的开通，新用户需购买包周期版KMS（基础版、企业版），原已开通按需版KMS的用户仍可继续使用按需密钥，并依据按需版计费标准计费。 包周期服务 KMS服务提供两种版本，分别为基础版、企业版，您可以根据本章节列出的版本对比信息，选择合适的服务版本，同时，KMS包周期服务提供免费的默认密钥，支持用于云产品加密功能。具体配额数据请参见下方表格。 同一账号支持开通多套KMS服务，服务之间资源隔离。单套KMS服务规模取决于基础实例数量，您可根据业务需求选择开通数量，支持扩容，扩容后可提升服务整体性能及可用性。服务性能（单基础实例）请参见性能数据。 说明 当前仅华南2资源池支持开通多套KMS服务，其他资源池陆续上线，敬请关注。 √表示支持，×表示不支持。 对比项 子项 默认密钥 基础版 企业版 计费模式 免费 包周期 包周期 应用场景 云产品透明加密 √ √ √ 应用场景 用户自建应用加密 √ √ 应用场景 密评合规 × √ 应用场景 证书管理 √ √ 配额 默认计算性能（以对称加密为例） 1000QPS（所有云产品的默认密钥共享加密接口的性能） 单基础实例专享：2000QPS（通过应用接入点在VPC间调用） 共享网关：750QPS（通过openapi调用） 单基础实例专享：2000QPS（通过应用接入点在VPC间调用） 共享网关：750QPS（通过openapi调用） 配额 密钥数量 每个天翼云账号在每个资源池，可为每个云产品创建1个默认密钥 单基础实例：02000个 单基础实例：02000个 配额 证书数量 单基础实例：01000个 单基础实例：01000个 配额 应用接入点 单基础实例：3个 单基础实例：3个 接入网络类型 内部网络 openapi（公网） VPC间调用（私网） openapi（公网） VPC间调用（私网） 密钥管理 密钥规格 AES256 对称密钥：AES256 非对称密钥：RSA2048 对称密钥： AES256 SM4 非对称密钥： RSA2048 SM2 密钥管理 导入外部密钥材料（BYOK） × √ 对称密钥支持 √ 对称密钥支持 密钥管理 密钥自动轮转 × √ 对称密钥支持 √ 对称密钥支持 密钥管理 计划删除密钥 × √ √ 密钥管理 密钥删除保护 × √ √ 密钥管理 密钥别名管理 √（系统默认别名） √ √ 密钥管理 密钥标签管理 √ √ √ 密码运算 数据加解密 √（云产品） √ √ 密码运算 签名验签 × √ √ 密码运算 完整性校验 × √ √ 证书管理 创建证书 × √ √ 证书管理 导入证书 × √ √ 证书管理 吊销证书 × √ √ 证书管理 删除证书 × √ √

本文介绍跨域访问设置的使用场景及方式。 跨域资源共享（CrossOrigin Resource Sharing，CORS）是HTML5提供的标准跨域解决方案。由于同源策略（SameOrigin Policy）的限制，网页浏览器在执行JavaScript时会限制跨域访问。当来自于A网站的页面中的JavaScript代码希望访问B网站的时候，浏览器会拒绝该访问，因为A、B两个网站是属于不同的域，不同域之间的网站脚本和内容是无法进行交互的。通过配置跨域访问设置，可以实现跨域访问。 使用场景 使用JavaScript和HTML5构建Web应用，可以直接访问对象存储（简称ZOS）中的资源，不需要代理服务器中转。 托管在不同域的外部网页、样式表、HTML5应用都可以引用ZOS中存储的Web字体或图片，这些资源可被多个网站共享。 使用方式 使用方式 参考文档 控制台 详情请参见跨域访问设置。 SDK ZOS支持多种SDK，关于SDK的代码示例请参见开发者文档。 API 详情请参见设置跨域访问策略。

关系数据库MySQL版提供多种日志服务和审计服务，您可以根据需要查看或开启相关服务。本文为您详细介绍关系数据库MySQL版的日志与审计。 关系数据库MySQL版提供的日志服务和审计服务如下： 支持通过管理控制台查看数据库错误日志，包括数据库主库和从库运行的错误信息，帮助您分析数据库系统中存在的问题。 错误日志的详细介绍，请参见查看错误日志。 说明 错误日志默认保留7天。 数据库慢日志用来记录执行时间超过当前慢日志阈值“longquerytime”（默认1秒）的语句，通过管理控制台查看慢日志的日志明细、统计分析情况，帮助您找出执行效率低的语句，进行优化。 慢日志的详细介绍，请参见查看慢日志 。 支持开通SQL审计功能，系统会将所有的SQL操作记录下来存入日志文件，以提供针对数据增删改查等操作的审计行为。 SQL审计的详细介绍和开通配置方法，请参见开启SQL审计日志。 关系数据库MySQL版支持设置Binlog日志参数，您可以根据需要修改相关参数。 Binlog日志的参数设置，请参见参数设置。 关系数据库MySQL版支持查看参数应用日志，您可以根据需要查看参数应用的情况。 参数应用日志介绍，请参见查看参数组应用记录。

本章节为您介绍云堡垒机自动运维的相关内容。 云堡垒机具备自动运维功能，允许用户依照既定步骤自行执行命令和运维脚本，对多个目标进行自动化运维管理。除此之外，系统支持设定任务执行的周期和时间，实现自动化定期执行。同时，它还能够并行处理多种类型的任务步骤，大大提高了效率。 约束限制 仅支持对Linux主机（SSH、Telnet协议类型）资源执行自动运维任务。 暂不支持对Windows主机资源、数据库资源和应用资源执行自动运维任务。 管理员和运维角色都支持自动化运维功能 用户自动化运维可执行的命令和脚本受到命令权限的限制 新建自动运维策略 1.使用“管理角色”或“运维角色”账户登录云堡垒机（原生版）控制台。 2.在左侧导航栏选择“自动运维”，进入“自动运维”页面。 3.单击“新增”，开始新增自动运维策略。 4.在弹出的“新增自动运维策略”对话框中填写相关内容。 配置项 说明 任务名称 自定义运维策略名称。 描述 自定义运维策略的描述内容。 资产账号 单击“添加”选择需要自动化运维的设备及账号。 执行策略 选择运维策略 手动执行：保存运维策略后可手动执行该策略。 定期执行：选取执行时间，保存后在对应时间执行该策略。 周期执行：选取首次执行时间和执行周期（天），保存后在对应时间执行该策略。 执行方式 选择自动化运维的执行方式 执行命令：在“执行命令”参数框中填写需要执行的运维的命令。 执行脚本：上传可使用的.sh/.py脚本命令，若有相关脚本参数在“脚本参数”对话框中填写，多个参数使用英文逗号","分隔。 5.单击“确认”，弹出“验证用户身份”窗口。 6.在“验证用户身份”窗口输入资产账号的密码，完成输入后单击“提交”即可完成自动运维策略建立。

前提条件 已开通云点播产品。 至少创建了一个点播实例。 使用云点播原生API/SDK进行开发。 账号属性为主账号。 操作步骤 进入云点播控制台，选择左侧导航栏的【开发配置】–【密钥管理】【原生密钥】。您可以在该页面看到当前原生API的所有密钥清单（如下图所示）。关于使用该AK/SK密钥对生成鉴权代码的相关操作，可以参考签名应用及示例（V2版本）和鉴权签名及示例（V4版本）。 说明 自2024年10月CTIAM割接之后，您需要在CTIAM控制台为主、子用户添加原生密钥，详情可查看 由CTIAM控制台创建的密钥，将可以支持原生API接口形式。您需要在CTIAM控制台完成禁用、删除、添加等操作，云点播控制台仅做密钥展示。当CTIAM控制台删除了密钥，云点播控制台会同步删除对应的密钥信息。 割接前在云点播控制台创建的密钥，可以继续使用。您可以在云点播控制台对这些存量密钥做【禁用】、【删除】等操作。但请注意，一旦密钥删除将不可恢复，请谨慎操作。 子用户需要由主账号提供对应的AK/SK。云点播控制台不再为子用户提供展示入口。 功能 说明 :: Access key 调用云点播原生API时的身份标识。请妥善保管。 Secret access key 用于生成云点播原生API签名和验证用户身份的密钥。请妥善保管。 状态 该AK/SK密钥对的启用状态。 创建时间 该AK/SK密钥对的创建时间。 操作 【禁用】将当前AK/SK密钥对置为不可用状态。【删除】删除当前选择的AK/SK密钥对。仅对云点播产品创建的存量密钥有效。 注意 1. 本页面AK/SK密钥对仅作用于原生API/SDK。 2. 每一组密钥对的权限一致，适用于该账户下开通的所有点播实例。 3. 当您同时启用多个点播实例时，可能会出现偶发性的AK/SK权限异常操作。当遇到此问题时，您可以通过【禁用】该组AK/SK，再重新【启用】即可恢复。

AntiDDoS流量清洗与其他服务的关系。 AntiDDoS可以为弹性云主机、弹性负载均衡、Web应用防火墙、弹性IP等服务的公网IP资源提供防护能力。此外，与其他云服务之间还存在以下关系： 服务名称 与其他服务的关系 主要交互功能 云审计服务 开通云审计服务后，云审计服务会记录AntiDDoS相关的操作事件，方便用户日后的查询、审计和回溯。 查看云审计日志 消息通知服务 消息通知服务（Simple Message Notification，简称SMN）提供消息通知功能。AntiDDoS开启告警通知后，如果IP地址受到DDoS攻击时用户会收到短信或邮件的提醒信息。 开启告警通知 云日志服务 将攻击日志记录到云日志服务（Log Tank Service，简称LTS）中，通过LTS记录AntiDDoS日志，可以高效地进行实时决策分析、设备运维管理以及业务趋势分析。 开启日志记录 云监控服务 云监控服务可以监控AntiDDoS相关的指标，用户可以通过指标及时了解防护状况，并通过这些指标设置防护策略。 设置事件告警通知 统一身份认证服务 统一身份认证服务（Identity and Access Management，简称IAM）为AntiDDoS提供权限管理的功能，拥有对应权限的用户才能使用AntiDDoS服务。

本节介绍了云容器引擎的应用场景,便于用户选择业务场景使用。 微服务架构 企业应用通过微服务拆分和容器化改造后，推荐使用云容器引擎+容器镜像服务+微服务云应用平台+注册配置中心的产品组合，实现一站式云原生应用托管，加速企业业务迭代。 持续集成交付 提供从开发到上线一致的运行环境，借助第三方工具进行流水线开发测试，自动完成从代码变更到代码构建、测试、镜像构建和应用部署的DevOps完整流程。进行持续交付，替代传统部署方式，提高交付效率。 弹性伸缩 企业应用按业务流量自动扩缩容，不需要人工干预，预防流量激增时导致的业务不可用风险，并且减少对闲置资源的浪费和费用支出。

本文主要介绍如何手工搭建LNMP环境(Ubuntu 20.04)。 简介 本文主要介绍了在天翼云上如何使用弹性云主机的Linux实例手工搭建LNMP平台的Web环境。本文档以Ubuntu 20.04 64位操作系统为例。 前提条件 1、弹性云主机已绑定弹性公网IP。 2、弹性云主机所在安全组添加了如下表所示的安全组规则。 方向 协议/应用 端口/范围 源地址 入方向 HTTP(80) 80 0.0.0.0/0 资源规划 本次实践所用的资源配置及软件版本如下表中所示。当您使用不同的硬件规格或软件版本时，本指导中的命令及参数可能会发生改变，需要您根据实际情况进行调整。 资源 资源说明 成本说明 弹性云主机 计费模式：按需计费 规格：s6.large.2 镜像：Ubuntu 20.04 64bit 系统盘：40G 弹性公网IP：自动分配 公网带宽：按流量计费 带宽大小：5 Mbit/s ECS涉及以下几项费用： 云主机 云硬盘 弹性公网IP Nginx 是一个高性能的HTTP和反向代理web服务器。 免费 MySQL 是一款开源的关系数据库软件。 免费 PHP 是一款开源软件，用于Web开发。 免费

本小节介绍Web应用防火墙续订、升级、退订。 续订/升级 续订说明 续订限制说明： 只有通过实名认证的客户，才可以执行续订操作。 按需资源、包年/包月转按需（已完成转按需或正在进行转按需）的资源不可续订。 未完成订单中的资源不允许续订，如开通中的资源、规格变更中的资源、退订中的资源。 已退订或释放的资源不可续费。 若资源到期后续费，续费周期自资源续订解冻开始，计算新的服务有效期，按照新的服务有效期计算费用。例如，客户资源2020年9月30号到期，10月11号续订1个月，那么资源新的服务开始时间为10月11号，到期时间为11月10号。相关费用自10月11号开始计算。 续订步骤 1. 在产品实例列表点击“续订”进入续订页面，页面显示当前服务规格和购买时长。 2. 选择“续费时长”，点击“立即购买”。 退订 退订说明 天翼云目前支持7天无理由全额退订和非七天无理由退订以及其他退订，详细规则请参考 退订规则说明 。 退订步骤 退订需要人工审核，点击“退订”，提交退订理由。等待人工审核，审核完成后停止业务并退款。

本章节介绍云原生网关的全局插件 概述 全局插件可应用于整个网关实例，对所有API路由都生效，目前云原生网关提供了6种全局插件。 查看全局插件配置列表 操作步骤 1. 进入微服务引擎MSE控制台； 2. 在顶部菜单栏选择资源池； 3. 单击左侧导航栏云原生网关 > 网关列表 ； 4. 您可以在网关列表页单击需要查看的网关实例ID或者 实例名称 ，也可以单击操作列中的管理按钮； 5. 单击左侧导航栏 全局插件 ，可查看全部插件和已启用插件配置列表； 查看全局插件详情 操作步骤 1. 全部插件中展示了目前云原生网关所提供的全局插件列表； 2. 点击插件图标进入插件详情页，展示插件的基本信息，使用引导页面上展示详细的配置属性； 编辑全局插件配置 操作步骤 1. 从全部插件页面点击插件图标进入插件详情页； 2. 插件配置页面展示了当前插件的配置模板； 3. 点击编辑按钮，可对该插件的配置进行编辑修改； 4. 编辑完成后，点击保存按钮，即可保存该插件配置； 5. 若要放弃配置更改，可点击取消按钮； 6. 也可进入已开启插件页面，查看目前正在生效的插件配置，对已开启插件配置进行编辑； 启停全局插件配置

网络分布 您可以查看不同网络的 API 请求数和耗时分布图表。 终端分布 您可以查看不同终端的 API 请求数和耗时分布图表，Web 应用包括「浏览器」和「操作系统」分布；小程序应用包括「操作系统」和「机型」分布。 平台分布 您可以查看不同平台的 API 请求数和耗时分布图表，具体包括「小程序平台」和「基础库版本」分布。注意，目前只有小程序应用有「平台分布」模块。

存储类型 使用场景 高IO 适用于主流的高性能、高可靠应用场景，例如大型开发测试、Web服务器日志以及企业应用。典型的企业应用有SAP、Microsoft Exchange和Microsoft SharePoint等。 超高IO 适用于超高IOPS、超大带宽需求的读写密集型应用场景，例如高性能计算， NoSQL/关系型数据库。 极速型SSD 适用于需要极低的延迟和高的I/O性能的应用场景，大型OLTP（Online Transaction Processing）数据库等。（极速型SSD云硬盘仅支持挂载至vCPU数量至少为16且为6代以上的计算增强型和内存优化型云主机）

科研文件规格 可用区 适用 指标 性能 科研文件专业入门版 厦门4、北碚1、哈密1 冷数据、应用和环境、模型文件等 IOPS 无最低性能保证 科研文件专业入门版 厦门4、北碚1、哈密1 冷数据、应用和环境、模型文件等 吞吐量 无最低性能保证 科研文件专业性能版 北京11 模型训练数据集 IOPS 每GB 2.6 IOPS，1300 IOPS 起 科研文件专业性能版 北京11 模型训练数据集 吞吐量 每GB 0.2 MB/s， 100 MB/s 起 科研文件企业版 福州6、扬州7、中卫4、厦门6、贵阳2 模型训练数据集 IOPS 每GB 50 IOPS + 1800 IOPS 基准，最大35000 IOPS 科研文件企业版 福州6、扬州7、中卫4、厦门6、贵阳2 模型训练数据集 吞吐量 每GB 0.5 MB/s + 120 MB/s 基准，最大350 MB/s

计费区域 天翼云边缘接入服务的计费区域分为：中国内地、全球（不含中国内地）、全球。其中，DDoS防护暂不支持全球（不含中国内地）及全球，仅支持中国内地。 计费示例 定价示例1：办公类应用。 您日常使用OA、邮箱、Salesforce等办公应用，但时常遇到加载慢、卡顿等现象，需要对办公应用进行提速。 假设您每月使用的办公应用域名为2个，端口数为6个，流量为2T，且您的终端用户都在中国内地，有可能遭受DDoS攻击。 推荐订阅边缘接入服务基础版套餐、1个域名扩展包和1个端口数扩展包，其中，基础版套餐包含1个域名、5个端口、1TB流量以及防护带宽峰值40Gbps的DDoS防护1次。按照您的使用量，流量将会超出1T，超出套餐的流量会自动按照按需计费。 计费项目 用量 费用计算 每月总费用（元） 边缘接入基础版套餐 基础版套餐内包含： 加速域名：1个 端口数：5个 流量：1TB DDoS防护：40Gbps/月（1次）。 2000 2000 域名扩展包 1 1000 1000 端口数扩展包 1 50 50 流量超量按需 211 1.7610001760 1760 总计 4810

云下一代防火墙可以进行日志查询,日志启用需登录云下一代防火墙web界面进行配置。 本页面仅列出常规使用配置，其他配置请参考运维人员操作指南下载查询。 操作方法 1.打开菜单栏，【监控→日志→日志管理】，开启对应功能日志记录功能。 2.可进行对应日志查询。

本小节介绍云堡垒机变更实例规格。 当云堡垒机的资产规格不能满足需求时，可对云堡垒机实例进行资产规格升级，扩大纳管的资产数上限、增加数据盘容量（即版本、资产规格、存储扩容）。 支持跨版本变更实例的资产规格。例如，由标准版10资产升级到企业版20资产。 系统影响 变更规格过程大约需要10分钟，变更规格期间云堡垒机系统不可用，业务中断，但不影响主机资源运行。建议用户不要登录云堡垒机系统进行操作，以免重要数据丢失影响使用。 约束限制 只有2.0及以上版本的堡垒机支持提升规格。 仅支持云堡垒机升级，暂不支持降级。 不支持升级实例类型（不支持由单机版升级到主备版）。若需要升级实例类型，请先备份相关数据，退订单机版后重新订购主备版。 前提条件 已获取管理控制台的登录账号与密码。 实例已绑定EIP，且EIP可用。 实例的状态为“已关机”时支持变更规格。 计费样例 计费场景： 某用户于2025/01/01购买了一个云堡垒机实例，购买时长1年（在包月总价基础上享受85折优惠），规格如下： 实例类型：单机版 版本：标准版 资产规格：10资产 使用一段时间后，用户发现当前规格无法满足业务需要，于2025/10/01进行升级（还剩3个月到期），需要升级的规格如下： 实例类型：单机版 版本：企业版 资产规格：20资产 计费分析： 新配置价格高于老配置价格，执行升级操作时，您需要支付新老配置的差价。 计算公式：升级费用（新配置价格旧配置价格）剩余周期优惠折扣 本示例中，相关参数如下： 旧配置价格：10资产标准版，标准资费650元/个/月 新配置价格：20资产企业版，标准资费1280元/个/月 剩余周期：3个月 优惠折扣：享受85折优惠 说明 若实例升级时仍在原包年周期内，则升级差价可继续享受原有的包年折扣。 代入公式可得，执行升级时需要支付的费用为：（1280650）×3×0.851606.5元 注意 本样例仅供参考，实际需支付的费用请以云堡垒机（原生版）控制台展示为准。

本文介绍如何分析实时日志。 Web应用攻击日志 网站风险日志 远程零信任防护日志

本文介绍应用托管的功能特性。 应用全生命周期管理 提供从构建、交付、管理到运维的全生命周期应用管理能力，支持多种方式灵活构建应用、通过模板标准化交付、一站式管理应用访问与资源，提供持续运维能力。 丰富的应用套餐 提供7天体验版、Lite 基础版、Pro 高级版应用套餐，套餐包括应用实例、存储、网络和Token，提供不同的模型、Token 额度和资费梯度，覆盖新用户体验、基础任务到高阶业务的全场景 AI 需求。 高效便捷的应用市场和MCP市场 提供丰富多样的应用资源库，涵盖开源工具、模型算法、AI应用、MCP服务等多种类型，已上架OpenClaw、短剧制作等多款热门应用，满足不同业务场景下的功能扩展与集成需求。支持一键部署，简化传统应用安装与配置的复杂流程，显著提升部署效率。 持久化应用存储 为应用提供持久化存储，支持多种存储类型和性能规格，提供多途径文件接入方式。 全面的网络能力 提供了全面、灵活且安全的网络能力，兼容HTTPS、HTTP及WebSocket协议，支持专属IP和平台访问域名，支持内网互访、提供IP白名单访问控制等为您的应用稳定运行和对外服务提供坚实保障。 灵活资源分配与团队协作 支持完善的项目空间管理能力，实现多项目、多团队的高效协作与资源隔离，灵活配置人员、角色与权限体系，实现对成员访问范围与操作权限的精细化控制。

本章主要介绍产品优势 一站式软件开发生产线 软件开发全流程覆盖：支持需求管理、代码托管、流水线、代码检查、编译构建、部署、测试计划、制品仓库等全生命周期软件开发服务。 开箱即用，云上开发，全流程规范可视，高效异地协作。 研发安全BuiltIn 在应用设计、开发、测试、运行等全流程提供安全规范及防护能力，支撑应用研发供应链安全有效落地。 提供针对于代码质量安全、Web漏洞、主机漏洞、开源漏洞及合规、移动应用安全等多种安全合规检查能力。 高质高效敏捷交付 支持代码检查、构建、测试、部署任务自定义和全面自动化并提供可视化编排的持续交付流水线，一键应用部署，上线发布零等待。 需求管理、代码检查、测试计划、流水线门禁等内置经验规范，有效提升应用研发质量，问题早发现。

本章节内容主要介绍常见问题中网络安全 文档数据库服务有哪些安全保障措施 文档数据库服务可设置所属虚拟私有云，从而确保实例与其它业务实现网络安全隔离。另外，通过统一身份认证服务，可以实现对文档数据库服务资源的访问权限控制。 为什么在虚拟私有云中使用文档数据库 虚拟私有云允许您在私有、隔离的网络创建虚拟网络环境，从中可以对私有IP地址范围、子网、路由表和网络网关等方面进行控制。借助虚拟私有云，您可以定义虚拟网络拓扑和网络配置，使其非常类似于您在自己的数据中心所操作的传统IP网络。 在下面的情况下您可能想在虚拟私有云中使用文档数据库服务： 您希望运行面向公众的Web应用程序，同时保留公众不可访问的后端服务器。您可以在一个虚拟私有云内同时创建一个文档数据库实例和弹性云主机实例，同时为弹性云主机实例分配公网IP，将Web服务器部署在弹性云主机实例。 如何确保在虚拟私有云中运行的文档数据库的安全 虚拟私有云安全组可用来帮助确保虚拟私有云内文档数据库实例的安全。 此外，通过网络访问控制列表（ACL），可以允许或拒绝进入和退出各个子网的网络流量。内部安全基础设施（包括网络防火墙、入侵检测和防护系统）可以监视通过IPsec虚拟专用网络连接进入或退出虚拟私有云的所有网络流量。

对于 Web 应用，在“访问速度”页面中有一些性能指标及区间段耗时；对于小程序应用，在“页面性能”页面中也有一些性能指标，本文将逐一介绍。 Web 性能模型基于 W3C 标准中的 PerformanceNavigationTiming： 关键性能指标 上报字段 描述 计算方式 备注 fmp (First Meaningful Paint) 首屏时间 取 DOM 节点数变化最多的时间点与 fetchStart 间的时长 无 fpt (First Paint Time) 首次渲染时间 responseEnd fetchStart 从请求开始到浏览器开始解析第一批HTML文档字节的时间差。 tti (Time to Interact) 首次可交互时间 domInteractive fetchStart 浏览器完成所有HTML解析并且完成DOM构建，此时浏览器开始加载资源。 ready HTML加载完成时间， 即DOM Ready时间。 domContentLoadEventEnd fetchStart 如果页面有同步执行的JS，则同步JS执行时间ReadyTTI。 load 页面完全加载时间 loadEventStart fetchStart Load首次渲染时间+DOM解析耗时+同步JS执行+资源加载耗时。 firstbyte 首包时间 responseStart domainLookupStart 第一个数据包接受的时间。 区间段耗时指标 上报字段 描述 计算方式 备注 dns DNS查询耗时 domainLookupEnd domainLookupStart 无 tcp TCP连接耗时 connectEnd connectStart 无 ttfb (Time to First Byte) 请求响应耗时 responseStart requestStart 无 trans 内容传输耗时 responseEnd responseStart 无 dom DOM解析耗时 responseEnd responseStart 无 res 资源加载耗时 loadEventStart domContentLoadedEventEnd 表示页面中的同步加载资源。 ssl SSL安全连接耗时 connectEnd secureConnectionStart 只在HTTPS下有效。 小程序关键性能指标 相关指标由 getPerformance 方法返回，取其中的 duration 字段。 上报字段 描述 备注 load 程序启动 appLaunch，包含 程序启动耗时 + JS注入时间 res JS 注入时间 evaluateScript fpt 页面首次渲染 firstRender ready 路由切换 route dom setData 耗时 字段复用，与 Web 指标中的 dom 无关