名称 类型 描述 autoFailback String 针对卷主备状态，当高优先级的服务器恢复正常后，是否自动进行主备状态切换（仅集群版支持）： Enabled：自动进行主备切换。 Disabled：不自动进行主备切换。 priority Array of string 卷主备分布优先级的服务器ID（仅集群版支持），系统根据指定的服务器ID顺序来选择卷的主备IQN。

对比项 Cluster集群 Proxy集群 原生兼容性 高 中 客户端兼容性 中（需要客户端开启集群模式） 高 性价比 高 中 时延 低时延 中等时延 读写分离 原生支持（客户端SDK配置） Proxy实现 性能 高 中

本文介绍如何在微信小程序引入验证码插件。 前提条件 已经订购边缘安全加速平台安全与加速服务，若未订购，请参见服务开通。 在控制台新增域名，请参见添加服务域名。 开通套餐为高级版及以上版本，支持验证码功能。 需先完成验证码配置。暂时未开放控制台，请通过提交工单给天翼云客服，由其人工操作开启。 目前支持小程序原生语言接入 注意 请勿在“微信开发者工具”的“游客模式”下接入验证码。 接入说明 1、添加插件 用管理员身份登录微信公众平台 ，且需使用接入小程序的相关账号。 选择设置 > 第三方设置 > 添加插件，在搜索框内输入关键字“ AOne 验证码”查找插件，并单击添加。 2、集成插件 引入验证码小程序插件。 使用验证码插件前，需要在 app.json 中声明验证码小程序插件，如下： html { "plugins": { "captchaplugin": { "version": "1.0.4", "provider": "wx10dca5c3b7d08b57" } } } 引入验证码小程序组件。 需要在页面.json 文件中需要引入自定义组件，js 代码如下： html { "usingComponents": { "aonecaptcha": "plugin://captchaplugin/aonecaptcha" } } 3、使用小程序插件 使用原生小程序语言接入时，需要在自定义的.wxml 文件中，使用验证码插件，wxml 代码如下： html 登录 组件参数说明： 字段名 值类型 默认值 说明 httpDomain String 无 验证码拦截的域名 captchaShow Boolean false 控制弹框显示 组件方法说明： 字段名 说明 success 成功回调 (code 状态码 0 成功,ticket 成功标识) close 关闭弹框 成功失败回调字段说明： 字段名 说明 code 状态码 ticket 成功标识 状态码code字段定义说明： 失败的状态页面会直接重新刷新，进行再次验证。 字段名 说明 0 成功，可以获取 ticket 1 验证数据格式有误 2 验证失败 3 验证动作超时 4 验证码版本不对 在自定义的.js 文件中，监听事件，代码如下： 2.1 打开弹框： html // 点击打开弹框 login: function () { this.setData({ captchaShow: true }) }, // 验证码成功回调 captchaSuccess: function (data) { console.log('验证码成功回调token:', data.detail) //获取验证码token，用于后端验证码校验 // code and ticket const detail data.detail this.setData({ ticket: data.detail.ticket, captchaShow: false, }) }, // 验证码关闭回调 captchaClose: function () { this.setData({ captchaShow: false, }) } })

本节介绍如何查看API列表及API详情。 在API列表页面，可查看已添加的API资产。 查看API列表 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“API安全 > API管理”，进入API管理页面。 5. 在页面左侧，展示了所有防护对象信息（不包括泛域名、ELB防护对象），支持选择“所有防护对象”或选择单个域名站点，在右侧API列表中查看对应防护对象的详细数据列表。 选择“所有防护对象”，页面右侧展示所有的API资产。 选择单个域名站点，页面右侧展示选中的域名站点API资产。 6. API列表页面上方展示了所选防护对象的API资产统计信息。 API数：统计已识别的API资产数量。 今日新增：统计自然时间今日新增的API数量。 活跃API：统计活跃API数量。 失活API：统计失活API数量。 7. 搜索目标API资产：可通过最近活跃时间、请求方法、生命周期、来源、业务用途、API路径进行搜索。 最近活跃时间：根据API资产最近活跃时间对API资产进行过滤，支持昨天、今天、近3天、近30天，或自定义时间范围。默认选中今天。 请求方法：支持多选。 生命周期：支持多选。 来源：单选。 业务用途：支持多选。 API路径：支持模糊匹配。 8. 查看API列表，列表中字段说明如下。 参数 说明 API名称 API的自定义名称。单击API名称链接，可[查看API详情](

此小节介绍登录云堡垒机。 开通堡垒机（原生版）后，用户在控制台 “云堡垒机实例”页面，在操作列点击“管理”操作，系统单点登录进入云堡垒机实例，通过控制台登录进入默认管理员用户。 登录的时候可选“外网地址登录”或“内网地址登录”。 说明 内网地址登录需要确保网络环境互通。 外网地址登录需要绑定弹性IP。 首次登录 在未设置初始密码时，需通过云堡垒机控制台单点登入跳转登入堡垒机，并进行初始化管理操作。 操作步骤 1.在“云堡垒机实例”列表条目录中选择要管理的实例，单击“管理”。 2.根据您自身的网络环境选择“内网地址登录”或“外网地址登录”。 3.登入堡垒机后，通过个人信息进行初始密码设置。 非首次登录 非首次登入云堡垒机可通过云堡垒机控制台单点登入跳转登入堡垒机，或通过云堡垒机登录地址登录。以下介绍使用静态认证、短信登录、令牌认证三种方式登录云堡垒机实例。 前置条件 已登录过云堡垒机并完成密码初始化。 静态认证登录操作步骤 1.启动浏览器，在浏览器Web地址栏中输入系统登录地址，进入到系统登录页面。 2.选择认证方式为静态认证。 3.输入系统用户账号和密码，输入图形验证码。 4.单击“登录”，成功登录到堡垒机系统。 注意 云堡垒机实例登录地址为

本节描述了GeminiDB Redis的电商行业、游戏行业、视频直播、在线教育的应用场景。 GeminiDB Redis作为兼容Redis接口的keyvalue数据库，扩展了社区版原生Redis的应用场景，使其不再仅仅运用于缓存，而是可以更好的满足持久化，混合存储等多样化的业务需求。 电商行业 电商应用的商品数据具有较为明显的冷热特征，使用GeminiDB Redis后，热门商品信息作为热数据驻留在内存中，冷门商品信息会置换到共享存储池中，这样既满足了热门商品的快速访问需求，又解决了海量商品数据纯内存存储成本高的问题。 电商应用的海量历史订单数据，可使用GeminiDB Redis进行持久化存储。通过Redis接口完成数据存取，可支持TB级海量数据存储。 电商大促活动会导致短时间出现大量并发访问，可选择GeminiDB Redis作为前端缓存（需要配置大内存），帮助后端数据库抗过业务高峰。GeminiDB Redis可针对计算节点一键式秒级无损扩容的特点，也可以帮助客户更加从容的应对此类计划性的流量突发行为。 游戏行业 游戏业务数据Schema较为简单，可选择GeminiDB Redis作为持久化数据库，通过使用简洁的Redis接口快速完成业务开发上线。例如，可使用Redis的有序集合结构完成游戏排行榜的实时展现。 对于时延非常敏感的游戏场景，也可以使用GeminiDB Redis作为前端缓存（需要配置大内存），加速应用访问。

本文介绍UDFScript支持的lua原生函数。 UDFScript提供如下lua原生函数，由于是lua原生函数，不再详细解释每个函数的使用方法。 函数库 函数名 全局 assert、error、ipairs、next、pairs、pcall、select、tonumber、tostring、type、unpack、xpcall。 math abs、acos、asin、atan、atan2、ceil、cos、cosh、deg、exp、fmod、floor、frexp、huge、ldexp、log、log10、max、min、modf、pi、pow、rad、random、 sin、sinh、sqrt、tan、tanh。 os clock、difftime、time。 string byte、char、find、format、gmatch、gsub、len、lower、match、reverse、sub、upper。 table insert、maxn、remove、sort。 bit arshift、band、bnot、bor、bswap、bxor、lshift、rol、ror、rsh。

本文介绍UDFScript支持的lua原生函数。 UDFScript提供如下lua原生函数，由于是lua原生函数，不再详细解释每个函数的使用方法。 函数库 函数名 全局 assert、error、ipairs、next、pairs、pcall、select、tonumber、tostring、type、unpack、xpcall。 math abs、acos、asin、atan、atan2、ceil、cos、cosh、deg、exp、fmod、floor、frexp、huge、ldexp、log、log10、max、min、modf、pi、pow、rad、random、 sin、sinh、sqrt、tan、tanh。 os clock、difftime、time。 string byte、char、find、format、gmatch、gsub、len、lower、match、reverse、sub、upper。 table insert、maxn、remove、sort。 bit arshift、band、bnot、bor、bswap、bxor、lshift、rol、ror、rsh。

分布式消息服务Kafka版完全兼容开源社区版本，旨在为用户提供便捷高效的消息队列。业务无需改动即可快速迁移上云，为您节省维护和使用成本。 一键式部署，免去集群搭建烦恼 专享实例只需要在实例管理界面选好规格配置，提交订单。后台将自动创建部署完成一整套Kafka实例。 兼容开源，业务零改动迁移上云 兼容社区版Kafka的API，具备原生Kafka的所有消息处理特性。 业务系统基于开源的Kafka进行开发，只需加入少量认证安全配置，即可使用分布式消息服务Kafka，做到无缝迁移。 说明：Kafka专享实例兼容开源社区Kafka 1.1.0和2.3.0版本。在客户端使用上，推荐使用和服务端版本一致的版本。 安全保证 独有的安全加固体系，提供业务操作云端审计，消息存储加密等有效安全措施。 在网络通信方面，除了提供SASL认证，还借助虚拟私有云（VPC）和安全组等加强网络访问控制。 数据高可靠 Kafka专享实例支持消息持久化，多副本存储机制。副本间消息同步、异步复制，数据同步或异步落盘多种方式供您自由选择。 集群架构与跨AZ部署，服务高可用 Kafka后台为多集群部署，支持故障自动迁移和容错，保证业务的可靠运行。 Kafka专享实例支持跨AZ部署，节点部署在不同的AZ，进一步保障服务高可用。 无忧运维 公有云提供一整套完整的监控告警等运维服务，故障自动发现和告警，避免724小时人工值守。Kafka专享实例自动上报相关监控指标，如分区数、主题数、堆积消息数等，并支持配置监控数据发送规则，您可以在第一时间通过短信、邮件等获得业务消息队列的运行使用和负载状态。 海量消息堆积与弹性扩容 内建的分布式集群技术，使得服务具有高度扩展性。分区数可配置多达100个，存储空间弹性扩展，保证在高并发、高性能和大规模场景下的访问能力，轻松实现百亿级消息的堆积和访问能力。 多规格灵活选择 Kafka专享实例的带宽与存储资源可灵活配置，并且自定义Topic的分区数。

前提条件 已开通云点播产品。 至少创建了一个点播实例。 使用云点播原生API/SDK进行开发。 账号属性为主账号。 操作步骤 进入云点播控制台，选择左侧导航栏的【开发配置】–【密钥管理】【原生密钥】。您可以在该页面看到当前原生API的所有密钥清单（如下图所示）。关于使用该AK/SK密钥对生成鉴权代码的相关操作，可以参考签名应用及示例（V2版本）和鉴权签名及示例（V4版本）。 说明 自2024年10月CTIAM割接之后，您需要在CTIAM控制台为主、子用户添加原生密钥，详情可查看 由CTIAM控制台创建的密钥，将可以支持原生API接口形式。您需要在CTIAM控制台完成禁用、删除、添加等操作，云点播控制台仅做密钥展示。当CTIAM控制台删除了密钥，云点播控制台会同步删除对应的密钥信息。 割接前在云点播控制台创建的密钥，可以继续使用。您可以在云点播控制台对这些存量密钥做【禁用】、【删除】等操作。但请注意，一旦密钥删除将不可恢复，请谨慎操作。 子用户需要由主账号提供对应的AK/SK。云点播控制台不再为子用户提供展示入口。 功能 说明 :: Access key 调用云点播原生API时的身份标识。请妥善保管。 Secret access key 用于生成云点播原生API签名和验证用户身份的密钥。请妥善保管。 状态 该AK/SK密钥对的启用状态。 创建时间 该AK/SK密钥对的创建时间。 操作 【禁用】将当前AK/SK密钥对置为不可用状态。【删除】删除当前选择的AK/SK密钥对。仅对云点播产品创建的存量密钥有效。 注意 1. 本页面AK/SK密钥对仅作用于原生API/SDK。 2. 每一组密钥对的权限一致，适用于该账户下开通的所有点播实例。 3. 当您同时启用多个点播实例时，可能会出现偶发性的AK/SK权限异常操作。当遇到此问题时，您可以通过【禁用】该组AK/SK，再重新【启用】即可恢复。

本小节介绍日志审计(原生版)告警结果用户指南。 告警结果页面是展示日志审计服务对接的所有资产产生告警的统计页面。 前提条件 资产已经成功纳管并完成采集配置。 查看告警结果 1. 登录日志审计系统。 2. 在左侧导航栏选择“风险分析 > 告警结果”，进入“告警结果”页面。 3. 查看告警结果。 说明 “告警结果”页默认展示最近24小时的告警内容，若您想查看另外时间段的告警信息，可在页面右上角的时间框中选择需要查看的时间段。 编辑告警结果 1. 登录日志审计系统。 2. 在左侧导航栏选择“风险分析 > 告警结果”，进入“告警结果”页面。 3. 在页面下面找到需要编辑的告警，单击“操作”列的“编辑”按钮，进入“告警详情”页面。 4. 可以修改“处置状态”、“威胁状态”和“紧急性”。 告警结果处置 1. 登录日志审计系统。 2. 在左侧导航栏选择“风险分析 > 告警结果”，进入“告警结果”页面。 3. 在页面下面找到需要处置的告警，单击“操作”列的“处置”按钮，进入“处置”页面。 4. 填写告警的处理方式。 参数 参数说明 处理结果 根据实际情况选择“已处理”、“已删除”、“已忽略（误报）”。 整改建议 （选填）填写告警的整改建议。 处理说明 填写告警的处理说明。 注意 已清除的告警再次触发后，不再变更处理状态，其处理状态变更为待处理，需要重新处置。

查看出云流量分析 1. 登录云防火墙（原生版）控制台。 2. 在左侧导航栏，选择“流量分析> 互联网边界流量分析”，进入互联网边界流量分析页面。 3. 选择“出云分析（主动外联）”，查看云上资源访问互联网时经过云防火墙的流量统计信息。 流量看板：支持查看近1小时、近1天、近7天的数据。统计云上资源访问互联网的数据统计以及最大流量信息，包括目的IP、源IP、目的端口、协议。 出云访问TOP统计：查看所选时间段内出云流量中目的IP、源IP、目的端口的TOP排行。支持按次数、流量进行查看。 出云访问带宽统计：出云峰值带宽、出云累计带宽，以及出云请求流量和响应流量数据。 出云访问分布统计：查看所选时间段内出云访问协议、出云访问应用、出云访问目的端口分布情况。支持按次数、流量进行查看。 主动外联源IP分析：展示出云流量中源IP的流量详细信息。 主动外联源IP支持添加黑/白名单，一键封禁/放行源IP。添加黑/白名单后，可通过配置黑白名单规则对规则进行管理。 主动外联目的IP分析：展示出云流量中目的IP的流量详细信息。

本节介绍了什么是云数据库TaurusDB。 产品定义 云数据库TaurusDB是最新一代企业级高扩展海量存储分布式数据库，完全兼容MySQL。采用计算存储分离架构，128TB的海量存储，故障秒级切换，既拥有商业数据库的高可用和性能，又具备开源低成本效益。 TaurusDB支持的版本请参见数据库引擎和版本。 产品架构 云数据库TaurusDB整体架构自下向上分为三层。 1. 存储层：基于DFV存储，提供分布式、强一致和高性能的存储能力，此层来保障数据的可靠性以及横向扩展能力，保证数据的可靠性不低于99.999999999%。DFV (Data Functions Virtualization)是提供的一套通过存储和计算分离的方式，构建以数据为中心的全栈数据服务架构的解决方案。 2. 存储抽象层（Storage Abstraction Layer）：将原始数据库基于表文件的操作抽象为对应分布式存储，向下对接DFV，向上提供高效调度的数据库存储语义，是数据库高性能的核心。 3. SQL解析层：与MySQL 8.0开源版100%兼容，客户业务从MySQL生态可以平滑迁移， 从其他数据库迁移也能使用MySQL生态的语法、工具，降低开发、学习成本。基于原生MySQL，在100%兼容的前提下进行大量内核优化，以及开源加固，开源生态，商用能力。 图 架构图

设置降级 步骤 1 登录ServiceStage控制台，选择“微服务引擎 CSE”。 步骤 2 单击微服务引擎的“查看控制台”。 未开启安全认证的微服务引擎专享版或微服务引擎专业版，请执行步骤4。 开启安全认证的微服务引擎专享版，请执行步骤3。 步骤 3 在弹出的“安全认证”对话框输入帐号名及密码，单击“确定”。 说明： 首次进入微服务控制台，请输入root帐号名及创建微服务引擎专享版时输入的密码。 创建帐号请参考新增帐号。 步骤 4 选择“服务治理”。 步骤 5 单击需要治理的微服务。 步骤 6 单击“降级”。 步骤 7 单击“新增”。选择合理的策略，降级策略配置项如下表所示。 配置项 配置项说明 降级对象 选择需要降级的微服务与降级方法。 降级策略 l开启：开启降级。 l关闭：关闭降级。 步骤 8 单击“确定”，保存配置。 设置容错 步骤 1 登录ServiceStage控制台，选择“微服务引擎 CSE”。 步骤 2 单击微服务引擎的“查看控制台”。 未开启安全认证的微服务引擎专享版或微服务引擎专业版，请执行步骤4。 开启安全认证的微服务引擎专享版，请执行步骤3。 步骤 3 在弹出的“安全认证”对话框输入帐号名及密码，单击“确定”。 说明： 首次进入微服务控制台，请输入root帐号名及创建微服务引擎专享版时输入的密码。 创建帐号请参考新增帐号。 步骤 4 选择“服务治理”。 步骤 5 单击需要治理的微服务。 步骤 6 单击“容错”。 步骤 7 单击“新增”。选择合理的策略，容错策略配置项如下表所示。 配置项 配置项说明 容错对象 该应用依赖的应用或方法，下拉菜单可直接选择。 是否开启容错 开启：向容错对象发起请求时发生错误的处理策略，开启后，会根据选择的处理策略处理请求。 关闭：关闭容错策略，即使请求失败也会等到超时后，再返回失败结果。 容错策略 说明 当“是否开启容错”配置项设置为“开启”时配置。 lFailover 在不同服务器上重新尝试建立连接。 lFailfast 不再重新尝试建立连接，即请求失败时会立即返回失败结果。 lFailback 在同一个服务器上重新尝试建立连接。 lcustom − 尝试同一个服务器次数：尝试与同一个服务器重新建立连接的次数。 − 尝试新的服务器次数：尝试与新的服务器建立连接的次数。 步骤 8 单击“确定”，保存配置。

本节介绍了DDoS高防（边缘云版）接入配置最佳实践。 网站类业务购买DDoS高防（边缘云版）产品后需要通过CNAME解析方式接入，将攻击流量引流到DDoS高防（边缘云版），可以达到隐藏源站目的，在遭受大流量DDoS攻击时保障源站服务器的稳定可靠。您可以参考本文中的接入配置和防护策略最佳实践，使用DDoS高防（边缘云版）更好地保护您的业务。 接入配置流程概述 正常情况下业务接入需要参照以下三个步骤进行配置。若业务遭受攻击时紧急接入，在接入配置前建议联系天翼云安全专家进行评估后协助接入，联系方式详见服务保障。 步骤1：自身业务梳理 首先，建议您在接入DDoS高防（边缘云版）前对待接入的业务进行全面梳理，在了解当前业务状况和具体数据的基础上，能更好地使用DDoS高防（边缘云版）提供的各类防护策略进行业务防护。 梳理项 说明 操作建议 网站和业务信息 网站或应用业务每天的流量带宽峰值情况，包括Mbps 根据日常业务高峰判定风险时间段 若有接入CDN可从CDN流量分析统计获取相应业务数据，作为DDoS高防（边缘云版）的业务带宽评估和购买套餐的选择依据。 业务的主要受众群体（如访问用户的主要地理区域信息） 判断非法攻击来源。 方便根据地理区域信息配置防护策略。 源站是否部署在非中国内地地域 判断业务实例是否符合最佳网络架构。 可在后续选择资源池防护时提供指导依据。 请求协议（如HTTPS） 无 若业务使用HTTPS协议需要上传证书。 业务端口 判断源站使用的端口是否在DDoS支持的范围内 无。 业务是否需要支持IPv6协议 根据源站服务器网络架构及业务开通情况判断是否需要支持IPv6 如果您的业务需要支持IPv6协议，可在域名接入配置中选择开启IPv6支持。 源站服务器的操作系统及所使用的Web服务中间件（Nginx、IIS等） 判断源站服务器是否存在防火墙ACL访问控制策略，避免源站误拦截DDoS高防（边缘云版）回源IP转发的流量。 如果有，需要在源站上设置放行DDoS高防（边缘云版）的回源IP。 业务是否存在空连接 例如，服务器主动发送数据包防止会话中断这类情况接入DDoS高防（边缘云版）后可能影响正常业务。 无。 业务交互过程 了解业务交互过程及其处理逻辑，以便后续配置针对性防护策略。 无。 业务及攻击情况 业务类型及业务特征（例如，游戏、棋牌、网站、App等业务） 便于在后续攻防过程中分析攻击特征。 无。 业务流量（入方向） 帮助后续判断是否包含恶意流量。 无。 业务流量（出方向） 帮助后续判断是否遭受攻击，并且作为是否需要额外业务带宽扩展的参考依据。 无。 单IP的入方向流量范围和连接情况 帮助后续判断是否可针对单个IP制定限速策略。 业务是否遭受过大流量攻击及攻击类型 根据历史遭受的攻击类型，设置针对性的DDoS防护策略。 无。 业务遭受过最大的攻击流量峰值 根据攻击流量峰值判断DDoS高防（边缘云版）功能规格的选择。 无。 业务是否遭受过CC攻击及最大攻击峰值 通过分析历史攻击特征，配置CC防御策略。 更多信息可参见CC防护最佳实践。 业务是否提供API接口服务 无。 提供信息为配置访问策略作为指导依据。 业务是否已完成压力测试 评估源站服务器的请求处理性能，作为后续业务异常判断条件之一。 无。

名称 类型 描述 autoFailback String 针对卷主备状态，当高优先级的服务器恢复正常后，是否自动进行主备状态切换（仅集群版支持）： Enabled：自动进行主备切换。 Disabled：不自动进行主备切换。 priority Array of string 卷主备分布优先级的服务器ID（仅集群版支持），系统根据指定的服务器ID顺序来选择卷的主备IQN。

本节介绍如何配置全局精准访问控制规则。 防护对象接入Web应用防火墙后，您可以选择开启全局精准访问控制功能，并配置精准访问控制规则。 全局精准访问控制支持对全局域名或单个域名生效。 全局精准访问控制允许自定义访问控制规则，通过对请求路径、请求URI、Cookie、请求参数、Header、referer、UserAgent等多个特征进行条件组合，对访问请求进行特征匹配实现管控，有针对性地阻断各类攻击行为。 前提条件 已购买WAF云SaaS型实例，且实例版本为标准版及以上版本。 网站已通过“域名接入”方式接入WAF进行防护。 操作步骤 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“防护配置 > 全局防护配置”，进入全局防护配置页面。 5. 定位到“精准访问控制”模块，可以选择开启/关闭防护。 6. 点击防护规则右侧的“前去配置”，进入全局精准访问控制页面。 7. 单击“新建防护规则”，配置全局精准访问控制规则。 参数说明如下： 配置项 说明 规则名称 设置规则的名称。 规则名称用于标识当前防护规则，建议您使用有明确含义的名称。 企业项目 选择需要配置全局精准访问控制规则对象所在的企业项目。 接入对象 设置精准访问控制规则的作用对象，支持选择“全部防护对象”或选择“特定防护对象”。 说明 全局精准访问控制不支持独享版和监听器防护对象。 匹配条件 设置访问请求需要匹配的条件（即特征）。单击“新增条件”可以设置最多30个条件。存在多个条件时，多个条件必须同时满足才算命中。 关于匹配条件的配置描述，请参见匹配条件字段说明。 处置动作 定义触发规则后执行的动作，可选值： 观察 拦截 放行 验证码 JS验证 重定向 过期时间 规则配置后，规则状态开启即生效。可通过设置过期时间，为该规则定义生效时间段。过期时间可选： 永久生效 限定日期：自定义设置失效日期 优先级 代表该规则在精准访问控制模块中执行的优先级。 可输入1～100的整数，数字越大，代表这条规则的优先级越高。相同的优先级下，创建/更新时间越晚，优先级越高。 8. 单击“保存”，规则创建成功，成功后规则默认启用。您可以在规则列表中查看该规则。

本章节说明OpenAPI接入节点。 媒体存储提供原生接口以及OpenAPI两种接入方式，两者接入点以及服务区域有所不同，请参考一下信息接入。 说明 建议优先采用原生接口的方式接入。 接入方式 接入点 适用服务区域 原生接口 用户开通媒体存储服务以及资源池后，可通过资源池与区域节点 获取对应的区域节点信息。 全局 OpenAPI 西藏资源池1区

本节介绍漏洞扫描的功能特性。 漏洞扫描服务可以帮助您快速检测出您的网站、主机存在的漏洞，提供详细的漏洞分析报告，并针对不同类型的漏洞提供专业可靠的修复建议。 网站漏洞扫描 具有OWASP TOP10和WASC的漏洞检测能力，支持扫描22种类型以上的漏洞。 扫描规则云端自动更新，全网生效，及时涵盖最新爆发的漏洞。 支持HTTPS扫描。 一站式漏洞管理 提供漏洞修复建议。如果您需要查看修复建议，请购买专业版、高级版或者企业版。 支持下载扫描报告，用户可以离线查看漏洞信息。如果您需要下载扫描报告，请购买专业版、高级版或者企业版。 支持重新扫描。 支持弱密码扫描 多场景可用：支持操作系统(RDP协议、SSH协议)、数据库（如Mysql、Redis）等常见中间件弱口令检测。 丰富的弱密码库：丰富的弱密码匹配库，模拟黑客对各场景进行弱口令探测。 支持端口扫描 扫描服务器端口的开放状态，检测出容易被黑客发现的“入侵通道”。 自定义扫描 支持任务定时扫描。 支持基于用户名密码登录、基于自定义Cookie登录。 支持Web 2.0高级爬虫扫描。 支持自定义Header扫描。 支持手动导入探索文件来进行被动扫描。

本文介绍分布式缓存服务Redis版控制台操作常见问题 实例的连接地址是什么？ 实例的连接地址为统一的虚拟vip+固定端口，实例经过扩容等变更后，虚IP会自动漂移到新的虚机上，对应用保持地址不变，无需修改应用代码配置。 实例的公网IP如何开通？ 当用户需要从公网访问redis的场景时，可以打开实例详情，点击绑定公网IP按钮进行公网IP的绑定与开通。 注意 通过公网连接首先需要申请弹性IP，具体操作请参见 若实例为原生集群架构直连模式，则不支持申请公网连接，无法通过公网连接Redis实例，请通过专有网络连接实例。 实例的到期时间怎么理解？ 包周期的实例到期时间为自然月的整数，按需的实例无具体到期时间。 实例的维护时间是什么？ 实例的维护时间，您可以根据业务规律，将可维护时间段设置在业务低峰期，以免维护过程中可能对业务造成的影响。 分布式缓存Redis缓存实例创建后，若需要修改实例维护时间窗，可进入管理控制台的实例详情页面进行修改。在该时间窗内服务运维人员可对实例进行维护操作。

参数 描述 是否必须 AWSAccessKeyId 用户的AccessKeyID信息，可以登录到可以登录到对象存储（经典版）I型控制中心，点击“访问控制”>“安全凭证”>“密钥”查看；或者调用ListAccessKey查看。 类型：字符串。 是 Expires 签名过期时间，按照秒来计算的。服务器端超过这个时间的请求将被拒绝。 类型：字符串。 是 Signature URL是按照HMACSHA1的StringToSign的Base64编码方式编码。 类型：字符串。 是

概述 后端服务是云原生网关处理外部请求的实际业务处理模块。支持多环境管理，不同环境可以绑定不同的服务，甚至是来自不同来源的服务，确保在多环境下灵活应对各种业务需求。 操作步骤 1. 登录微服务引擎MSE 云原生网关管理控制台，选择资源池。 2. 在左侧导航栏，选择云原生网关 > 网关列表，进入对应网关实例的控制台。 3. 在左侧导航栏，选择API托管 > 后端服务，可创建新的后端服务，也可以点击要管理的后端服务。 创建后端服务 后端服务的流程为：创建服务来源>创建服务>创建后端服务>后端服务绑定服务

本文介绍分布式缓存服务Redis集群主备 分布式缓存Redis集群版主备在集群版单机的基础上，对每个数据分片节点采用主备的部署架构，在满足大容量、高性能的业务需求的同时，也可支持数据高可靠性。同样采用代理（proxy）集群模式，通过一个统一的连接地址（域名）访问Redis集群，客户端的请求通过Proxy代理服务器转发到各Redis数据分片。 注意 集群单机和集群主备为经典版提供的实例类型，目前经典版已调整为白名单特性，如需了解该特性，请联系技术支持。 架构示意图 说明 负载均衡器：采用主备高可用方式，用于接收客户端请求，Redis集群实例提供访问的IP地址和域名，即为负载均衡器地址。 Proxy：Redis集群代理服务器，可根据各个Redis节点的负载情况，将客户端请求均匀地分配给可用的节点，实现负载均衡，同时监测Redis节点的健康状态，在某个节点出现故障时自动将请求转发到其他可用的节点上，实现故障转移，降低单点故障的影响。 Redis数据分片：每个数据分片均为主备双节点架构，当主节点发生故障不可用，系统将自动进行秒级切换至备节点，以保证服务的连续性。 特点 数据同步 通过增量数据同步的方式，保证缓存实例每个数据分片的主备节点的数据一致性。当节点出现故障，主备实例会在故障恢复后进行一次全量同步，保持数据一致性。 主备秒级自动切换 当主节点出现故障不可用，系统会自动在30秒内切换至备节点，备节点升级为主节点，恢复正常数据访问，无需用户操作，从而保证服务连续性。 多可用区部署 开通实例时支持多可用区部署，主备节点可部署在不同的AZ内，节点间电力与网络均物理隔离，当一个可用区不可用时，其他可用区中的节点可以继续提供服务，避免单点故障，进一步提高数据可靠性。

本文介绍了：云容器引擎发布Kubernetes 1.27版本说明。 社区 Kubernetes 版本主要变更 Kubernetes 1.27 Changelog 1. Pod 拓扑分布中的最小域数，计算 podTopologySpread 偏差时考虑污点/容忍度、滚动升级后关注 Pod 拓扑分布等特性升级至 Beta。 2. ReadWriteOncePod 功能升级为 Beta版。 3. 支持使用 Kubelet API 查询节点日志，可以查看节点上运行的服务的日志。 4. 服务器端字段校验和 OpenAPI V3 升级到 GA版，服务器端提供了 kubectl 校验的所有功能，OpenAPI v3提供了插件类型和 CRD 等方面的增强。 5. StatefulSet PVC 自动删除升级到 Beta版，该保留策略允许用户指定删除 StatefulSet 或缩减 StatefulSet的副本时，自动删除或保留从 StatefulSet规约模板生成的 PVC。 6. 加速 Pod启动，该版本通过并行拉取镜像、提高 Kubelet默认API每秒查询限值的方式提高 Pod的启动速度。 更多信息请参考：Kubernetes 1.27 Changelog Kubernetes 1.26 Changelog 1. iptables模式的kubeproxy后端可在大集群中更有效地处理 Service和 Endpoint的变更。 2. CSIMigrationvSphere 提到到 GA并锁定为开启，如果您需要 Windows、XFS或原始块支持，请不要升级到 Kubernetes 1.26版本，直到vSphere CSI 驱动支持当前版本。 3. CPU Manager 正式 GA，该特性支持容器独占 CPU。 4. Device Manager 正式 GA，设备插件框架允许在不修改 Kubernetes的情况下，实现对外部设备的发现、公布和分配。 5. 流量优化，优化内部节点本地流程和EndpointSlice 正式 GA，ProxyTerminateEndpoints 升级到 Beta。 6. Pod 引入 schedulingGates 特性优化 Pod 调度，通过该特性让调度器感知何时可以进行 Pod调度。 7. 支持挂载时将 Pod fsGroup 传递给 CSI驱动程序正式 GA。 8. 节点非体面关闭进入 Beta 阶段，该特性允许 kubelet 检测节点关闭事件，并在关闭之前终止该节点上的 Pod并释放资源。 更多信息请参考：Kubernetes 1.26 Changelog

本节主要介绍服务器监控信息。 在“监控”页面点击“服务器”，可以查看服务器上HBlock指定时间内的监控信息：数据目录使用率、容量配额使用率、CPU使用率、内存使用量、内存总量、数据目录使用量、数据目录总容量、配额使用量、配额、读带宽、写带宽、总带宽、读IOPS、写IOPS、总IOPS、读时延、写时延、总时延、上云上传带宽、上云下载带宽、上云总带宽。 图1 服务器监控（单机版） 项目 描述 时间范围 可以选择相对时间： 近2小时 近6小时 近1天 近7天 近1年 自定义时间段，选择开始日期和结束日期，精确到天。 注意 起始时间必须早于结束时间，且起始时间不能早于服务器当前时间一年。 数据目录使用率 所有数据目录所在磁盘使用率的平均值。 容量配额使用率 HBlock所有数据目录容量配额使用率的平均值。 HBlock服务器 HBlock服务器的性能。 CPU使用率 服务器CPU使用率。 内存使用量 服务器内存使用量。 内存总量 服务器内存总量。 数据目录使用量 数据目录所在磁盘使用量的总和。 数据目录总容量 数据目录所在磁盘容量的总和。 配额使用量 HBlock已使用容量配额。 配额 HBlock容量配额总和。 客户端 HBlock 当前服务器上，客户端与HBlock之间的数据传输情况。 读带宽 客户端从HBlock服务器读取数据的带宽。 写带宽 客户端向HBlock服务器写入数据的带宽。 总带宽 客户端与HBlock服务器之间的总带宽。 读IOPS 客户端从HBlock服务器读取数据的IOPS。 写IOPS 客户端向HBlock服务器写入数据的IOPS。 总IOPS 客户端与HBlock服务器之间的总IOPS。 读时延 客户端从HBlock服务器读取数据的时延。采集周期内，服务器关联卷的读时延平均值。 写时延 客户端向HBlock服务器写入数据的时延。采集周期内，服务器关联卷的写时延平均值。 总时延 客户端与HBlock服务器之间的总时延。采集周期内，服务器关联卷的读写时延平均值。 HBlock Cloud 当前服务器上，HBlock与云之间的数据传输情况。 上云上传带宽 HBlock服务器器向云上传数据的带宽。 上云下载带宽 HBlock服务器从云下载数据的带宽。 上云总带宽 HBlock服务器与云之间的总带宽。

本小节介绍服务器安全卫士报表系统。 报表系统帮助用户进行各类数据的报表导出，对报表文件进行管理。 目前有： 安全巡检报表word 版 安全巡检报表Html 合规基线报表 各类报表操作类似，下面以安全巡检报表word 为例进行介绍。 1.创建报表 单击“创建报表”按钮，进入创建报表页面。 1）选择报表模板 鼠标悬停在模板上，出现“查看”按钮，点击查看可以查看该模板的简介和预览图。 2）选择报表范围 不同报表模板对应的报表范围的条件不一样，根据具体的模板选定报表范围。 3）填写报表信息 填写报表的名称，描述，以及设定定时执行表达式。其中由于报表文件名在本地的限制，故报表名称不支持特殊字符。 4）创建成功 报表创建成功后，可返回首页的报表列表，也可以执行刚刚创建的报表作业。 2.执行报表 在报表列表页面，选择某一个报表作业，点击后边的“执行”按钮后，开始执行该报表作业。 3.下载报表 执行报表作业后，点击操作的“下载报表”按钮，可以下载最近一次生成的报表。

本节主要介绍Pika到GeminiDB Redis的迁移方案。 Pika是一个可持久化的大容量Redis存储服务，解决了Redis由于存储数据量巨大而导致内存不够用的容量瓶颈。但其集群管理功能较为薄弱，需要使用twemproxy或者codis实现静态数据分片。同时由于数据全部存储在磁盘中，相比于社区版Redis，性能明显下降。 GeminiDB Redis是一款兼容Redis生态的云原生NoSQL数据库，基于共享存储池的多副本强一致机制，保证数据的安全可靠。GeminiDB Redis实现了冷热分离，解决了缓存（cache）与数据库（Data Base，DB）之间交互访问的问题，提高了程序可读性与程序运行效率。同时对RocksDB进行深度定制，实现秒级分裂弹性扩容，扩缩容无需搬迁数据，快速而平滑。通过proxy代理，使上层业务可以不感知内核处理扩缩容过程中的数据迁移。 迁移原理 pikaport伪装成Pika的从节点运行，通过主从复制的方式进行数据迁移。Pika主节点通过比较pikaport和自己的binlog偏移量判断做全量迁移还是增量迁移。如果需要做全量迁移，Pika主节点会将全量数据快照发送给pikaport，pikaport将解析后的快照数据发送给GeminiDB Redis。全量迁移结束后进入增量迁移，pikaport将增量数据解析后以redis命令的形式发送给GeminiDB Redis。 图 迁移原理

如何压缩Windows系统源端服务器的磁盘分区？ 问题描述 使用主机迁移服务迁移Windows系统的源端服务器时，要求目的端服务器的磁盘大小不小于“源端管理”中相对应的源端服务器“推荐规格”大小，否则迁移可能失败。若您已创建Windows系统的目的端服务器，且目的端服务器的磁盘大小小于推荐规格，您可以参见本章，将源端服务器的推荐规格调至小于或者等于目的端服务器的磁盘大小。 问题分析 对于Windows系统的源端服务器，主机迁移服务“源端管理”中的“推荐规格”是磁盘中所有被分区的空间大小之和。例如一块40GB的磁盘上有35GB被分区，那么推荐规格应该是36GB。因此只要压缩源端服务器中的磁盘分区，再重启Agent，将源端服务器信息重新上报至主机迁移服务，令“源端管理”中的推荐规格小于或者等于目的端服务器的磁盘大小就可以迁移了。 操作步骤 1. 打开“开始”菜单，输入“diskmgmt.msc”。进入“磁盘管理”界面。 2. 右键选中待压缩磁盘的最后一个分区，单击“压缩卷”。进入“压缩”界面。 3. 在“输入压缩空间量(MB)(E)”中输入需要压缩的大小。 4. 单击“压缩”。待压缩的磁盘会出现相应大小的未分配区。 5. 登录目的端管理控制台。 6. 单击“服务列表”，选择“迁移 > 主机迁移服务”。进入“主机迁移服务”页面。 7. 在左侧导航树中，选择“迁移服务器”。进入服务器列表页面。 8. 在服务器列表页面选择需要删除服务器，单击“操作”列下“更多 > 删除”。或勾选需要删除的服务器，单击服务器列表上方的“更多 > 删除”。 9. 在弹出的“删除”页面，单击“是”。 10. 将源端服务器信息重新上报至主机迁移服务。 1. 若您已将源端服务器中的迁移Agent卸载，请您参见安装Windows版的SMSAgent重新安装迁移Agent。 2. 若您的源端服务器中已安装迁移Agent，请您重新启动迁移Agent，启动成功后，迁移Agent会给主机迁移服务上传源端服务器信息。

本章节介绍云原生网关管理类常见问题 云原生网关支持哪些服务来源？ 云原生网关当前支持从天翼云Nacos注册中心或者云容器引擎集群发现服务；添加完服务来源之后，可以从Nacos或者云容器引擎指定命名空间中发现服务，配置为网关代理转发的目标服务；网关通过监听指定namespace下的服务，实时动态感知服务节点列表变化，实现网关的动态路由转发能力。 为什么添加服务来源的时候只能看到部分Nacos或者云容器引擎实例？ 云原生网关属于某一个指定的vpc网络，选择Nacos或者云容器引擎作为服务来源时会过滤集群列表，只能选择和当前网关同一vpc下的集群作为服务发现来源。 云原生网关如何支持https访问？ 通过域名管理功能可以配置访问域名，对于有https访问需求的场景，可以配置域名的https证书；通过网关节点的27154端口或者外部ELB的https端口（需要配置转发规则转发到网关的27154端口）访问，实现https加密通信。 路由配置支持哪些匹配规则？ 当前路由支持根据请求的域名、路径、HTTP方法、header、query匹配；路径匹配支持精确匹配和前缀匹配，对于前缀匹配/abc可以匹配请求/abc，/abcd/ef，/abc/def/cc。 一个请求同时匹配到多个路由时，最终会使用哪条路由规则？ uri精确匹配优先级最高；对于多个uri前缀匹配同时命中的情况，匹配深度较高的优先；相同uri的路由，如果存在其他匹配条件，则优先按其他条件匹配；其他条件也都同时匹配的情况下，优先级数字较大的路由优先匹配。

云堡垒开通配置时要求开放承载云堡垒的弹性云主机的后台端口及相应的一些端口信息，在收到云堡垒开通完成的邮件时，请您及时将该主机的后台端口关闭。本小节介绍云堡垒机端口配置。 开通堡垒机（原生版）后，用户在控制台 “云堡垒机实例”页面，在操作列点击“管理”操作，系统单点登录进入云堡垒机实例，通过控制台登录进入默认管理员用户。 首次登录 在未设置初始密码时，需通过云堡垒机控制台单点登入跳转登入堡垒机，并进行初始化管理操作。 操作步骤 1. 在“云堡垒实例"列表条目录中选择要管理的实例，单击“管理”。 2. 登入堡垒机后，通过个人信息进行初始密码设置。 非首次登录 非首次登入云堡垒机可通过云堡垒机控制台单点登入跳转登入堡垒机，或通过云堡垒机登录地址使用静态认证或令牌认证等方式登录。以下介绍使用静态认证、短信登录、令牌认证三种方式登录云堡垒机实例。 前置条件 已登录过云堡垒机并完成密码初始化。 静态认证登录操作步骤 1. 启动浏览器，在浏览器Web地址栏中输入系统登录地址，进入到系统登录页面。 2. 选择认证方式为静态认证。 3. 输入系统用户账号和密码，输入图形验证码。 4. 单击“登录”，成功登录到堡垒机系统。 注意 云堡垒机实例登录地址为

本小节介绍态势感知规格，分为基础版和高级版，在功能和承载云主机上有差别。 态势感知产品根据提供的功能不同分为两个版本：基础版、高级版。 基础版和高级版功能 功能 基础版 高级版 安全可视化 ✓ ✓ 资产发现 ✓ ✓ 资产管理 ✓ ✓ 脆弱性检测 ✓ ✓ 网络威胁检测 ✓ ✓ 国家情报数据 × ✓ 国家安全预警 × ✓ 攻击源警告 × ✓ 恶意网站告警 × ✓ 安全态势大屏 × ✓ 云主机规格 弹性云主机（Linux） 服务器配置 弹性IP数量 带宽 设备性能 扩展性 作用 备注 一台双网卡弹性云主机 8核CPU/64G内存/100G系统盘/1T数据盘 1 5M 此配置可处理800M以下流量 提高硬件配置，可提高处理性能 态势感知控制器，通过资产、脆弱性、威胁多维度动态评估风险可视化 用于安装态势感知控制器 一台双网卡弹性云主机 4核CPU/8G内存/50G系统盘 1 5M 此配置可处理1000M以下流量 不涉及 虚拟网关系统，将访问业务系统的所有流量镜像给态势感知控制器分析 用于安装态势感知虚拟网关

本文为您介绍开启事件定时器的具体操作。 注意 仅西南1、华东1等II类型资源池，并且于2025年1月17日及以后创建的新实例才支持该功能，存量实例需要升级内核小版本至5.7.X.244/8.0.X.244以上才可支持，I类型资源池不支持该功能，具体支持情况以控制台页面展示为准。更多资源池信息，请参见功能概览。 背景信息 事件定时器是事件（event）调度任务的总开关。由于原生事件定时器不能保证主、备库的event状态一致，一旦进行主备切换会导致event调度失败。关系数据库MySQL版提供了event状态同步功能，确保相关的event正常调度。该功能依赖在控制台上开启、关闭事件定时器来实现。 约束限制 创建实例时，事件定时器默认不开启。 主、备实例切换后，事件状态同步是否开启保持不变，依然保持主库“eventscheduler”为“on”，备库为“off”。 恢复到新实例时，需要用户自行前往控制台开启事件定时器。 实例进行升级操作，或迁移可用区操作时，事件定时器状态不会改变。 只读实例与主实例的事件定时器开闭状态一致，只读实例不支持单独开闭。 2025年1月17日及以后创建的新实例才支持该功能，存量实例需要升级内核小版本至5.7.X.244/8.0.X.244以上才可支持（建议升级至最新版本）。