本文主要介绍分布式消息服务RabbitMQ的产品优势。 天翼云分布式消息服务RabbitMQ完全兼容开源社区版本，旨在为用户提供便捷高效的消息队列。业务无需改动即可快速迁移上云，为您节省维护和使用成本。 一键式部署，免去集群搭建烦恼 专享实例只需要在实例管理界面选好规格配置，提交订单，后台将自动创建部署完成一整套RabbitMQ实例。 兼容开源，业务零改动迁移上云 兼容社区版RabbitMQ的API，具备原生RabbitMQ的所有消息处理特性。 业务系统基于开源的RabbitMQ进行开发，只需加入少量认证安全配置，即可使用天翼云分布式消息服务RabbitMQ，做到无缝迁移。 说明 RabbitMQ实例兼容开源社区RabbitMQ 3.8.35版本。 独占式体验 RabbitMQ实例采用物理隔离的方式部署，租户独占RabbitMQ实例，每个RabbitMQ之间互不影响。 高性能 单队列性能最高可达10万TPS（默认配置），增加队列可获得更高性能。 数据安全 独有的安全加固体系，提供业务操作云端审计，消息存储加密等有效安全措施。 在网络通信方面，除了提供SASL认证，还借助虚拟私有云（VPC）和安全组等加强网络访问控制。 无忧运维 天翼云提供一整套完整的监控告警等运维服务，故障自动发现和告警，避免724小时人工值守。RabbitMQ专享实例自动上报相关监控指标，如分区数、主题数、堆积消息数等，并支持配置监控数据发送规则，您可以在第一时间通过短信、邮件等获得业务消息队列的运行使用和负载状态。

本节介绍了什么是云容器引擎，便于用户对容器产品有个总体认识。 云容器引擎提供高度可扩展的、高性能的Kubernetes集群、一站式容器服务；获得信通院可信云《全栈容器云解决方案》认证，兼容主流国产化服务器和操作系统，取得全栈国产化适配认证证书。其整合了镜像、监控、日志、负载均衡、灰度/蓝绿、多种弹性策略、高效调度、集群插件、模板市场等基础能力，帮助企业快速构建和运行可弹性扩展的应用，实现业务的快速交付与持续创新。 产品形态 云容器引擎包含了专有版集群和托管版集群两种产品形态。 比较项 专有版集群 托管版集群 比较项 专有版集群 单实例 高可用 特点 自行创建控制节点（Master节点）以及工作节点（Worker节点） 只需创建工作节点（Worker节点），控制节点（Master节点）由云容器引擎创建并托管，您无需管理控制节点 计费项 集群管理、控制节点、工作节点以及其他IaaS云资源 集群管理、工作节点以及其他IaaS云资源 应用场景 适用于所有场景，您可以对集群基础设施进行更细粒度的控制，需要自行规划、维护、升级服务器集群 适用于个人学习体验 适用于对性能、可用性和安全性有更高要求的企业级用户 用户画像 有Kubernetes开发运维背景，懂Kubernetes 对控制节点（Master节点）有定制化需求 有明确的集群资源规划，完全自管集群 Kubernetes新手，用于个人学习体验 个人开发与测试 减少对Kubernetes的运维投入以及成本投入 不关心控制节点（Master），只关注业务应用 企业生产系统部署

概述 API分组支持绑定域名。绑定域名后，可通过该域名访问分组下的API，但前提是该域名需指向该云原生网关实例。 操作步骤 1. 登录微服务引擎MSE云原生网关管理控制台，选择资源池。 2. 在左侧导航栏，选择云原生网关 > 网关列表，进入对应网关实例的控制台。 3. 在左侧导航栏，选择API托管 > 分组管理。 绑定域名 点击对应分组右侧省略号中的绑定域名，即可进入绑定域名弹窗。也可以在分组详情页中，点击域名模块的修改按钮进入。 云原生网关的API支持多环境隔离，提供两种路由方式：请求头路由环境和域名路由环境。两种方式可独立配置，也可同时使用。 请求头路由环境 ：启用后，通过在请求头中传入 XCaStagePROD/TEST/DEV，即可将请求路由到相应的环境。 域名路由环境 ：绑定域名到特定环境后，可通过该域名访问API，网关会自动将请求路由至对应的环境。 > 绑定域名也存在一定的约束： > > 基于请求头部区分环境时，每个环境可以不关联域名或者关联相同的域名； > 不基于请求头部区分环境时，每个环境必须关联至少一个域名且域名不能有重复； > 同一个分组最多支持5个域名 > 基于请求头部区分环境时，使用XCaStage请求头确定环境。其中环境名称分别为：生产PROD；测试TEST；开发DEV

以云原生网关为例 1. 进入微服务引擎MSE控制台； 2. 在顶部菜单栏选择资源池； 3. 单击左侧导航栏云原生网关 > 网关列表 ； 4. 在实例列表点击续订； 5. 进入实例续订页，选择续订时长 ，提交订单，完成续费；

相关产品 用途 通过智能解析实现用户就近接入，边缘节点智能分离动静态内容，静态内容多级缓存、就近获取，动态内容通过智能路由、协议优化、链路优化、内容优化等多项自研技术实现高质量路径回源，从而解决因网络拥堵、链路抖动、流量突增等因素导致的访问响应慢的问题，显著提升源站性能及用户体验。适用于纯动态加速、动静态一体化的站点加速、上传加速、websocket加速、IPv6升级等场景。 基于天翼云先进的内容接入与分发网络和大规模分布式实时视频处理技术，保证服务的高可用性和传输速度，为用户提供低延迟、高并发、高清流畅的观看体验，适用于网路电视直播、赛事直播、游戏直播、秀场直播、全民直播等音视频直播播放业务场景。 依托全国各地的分布式边缘资源，实现网络底层对性能、安全、算力原子能力编排融入统一网络，实现多终端、多协议（5G/L3/L4/L7等）allinone的网络统一接入，满足不同场景需求的性能及安全智能边缘网络。 媒体存储（CTXStor，原对象存储融合版）是天翼云基于云原生数据存储和视频处理技术，为客户提供的一种针对海量视频、图片及其他非结构化数据存取和处理需求的分布式存储服务，具有弹性灵活、安全可靠、高性价比等优点，支持多种存储协议及提供多档资源类型，深度匹配各类行业场景应用。

本章节介绍云原生网关的全局插件 概述 全局插件可应用于整个网关实例，对所有API路由都生效，目前云原生网关提供了6种全局插件。 查看全局插件配置列表 操作步骤 1. 进入微服务引擎MSE控制台； 2. 在顶部菜单栏选择资源池； 3. 单击左侧导航栏云原生网关 > 网关列表 ； 4. 您可以在网关列表页单击需要查看的网关实例ID或者 实例名称 ，也可以单击操作列中的管理按钮； 5. 单击左侧导航栏 全局插件 ，可查看全部插件和已启用插件配置列表； 查看全局插件详情 操作步骤 1. 全部插件中展示了目前云原生网关所提供的全局插件列表； 2. 点击插件图标进入插件详情页，展示插件的基本信息，使用引导页面上展示详细的配置属性； 编辑全局插件配置 操作步骤 1. 从全部插件页面点击插件图标进入插件详情页； 2. 插件配置页面展示了当前插件的配置模板； 3. 点击编辑按钮，可对该插件的配置进行编辑修改； 4. 编辑完成后，点击保存按钮，即可保存该插件配置； 5. 若要放弃配置更改，可点击取消按钮； 6. 也可进入已开启插件页面，查看目前正在生效的插件配置，对已开启插件配置进行编辑； 启停全局插件配置

前提条件 当前账号下已创建对等连接，详细操作请参见创建对等连接。 仅“企业版”支持开启对等连接防护。 一个对等连接防护将消耗1个“VPC边界防火墙配额数” 配额，在开启防护前，确保有足够的VPC边界防护配额。 开启对等连接防护 1. 登录云防火墙（原生版）控制台。 2. 在左侧导航栏，选择“防火墙开关 > VPC边界防火墙开关”。 3. 在“对等连接”页签，找到需要开启防护的对等连接实例，单击操作列的“开启防护”。 系统会定期自动同步当前账号下的资产到该页面，若有对等连接资产未同步，可以在VPC边界防火墙开关页面右上角单击“同步资产”，手动同步资产。资产同步预计需要1~2分钟。 对等连接列表展示当前账号下所有对等连接。列表包括名称、状态、连接类型、本端VPC、本端VPC网段、对端VPC、对端VPC网段、防护状态。 4. 进入开启对等连接防护页面，完成相应配置。 1. 自动检查：单击“立即扫描”，待扫描完成后，单击“下一步”。 注意 若有未检查通过的项，请根据提示信息完成相应操作后，再执行下一步。 2. 创建终端节点。 配置引流子网后，单击“创建终端节点”。 注意 支持选择已有子网，也可以自定义子网。自定义子网的网段必须属于当前VPC的CIDR；创建后无法更改。 终端节点创建完成后，单击“下一步”。 3. 网络引流配置：目前仅支持手动引流，请根据界面提示的步骤完成引流配置。手动配置完成后，单击“配置完成”。 注意 若VPC下有多个业务子网，每个业务子网须分别进行引流配置。在“本端业务子网”下拉框选择不同业务子网以查看对应配置步骤。 4. 开启防护成功。

本文介绍了产品使用的相关问题。 DDoS高防（边缘云版）的回源IP地址有哪些？ DDoS高防（边缘云版）的回源IP是指流量经过天翼云节点转发到客户源站时，源站服务器看到的源IP。 部分用户因为网络规划等各方面原因，需要获取回源IP，如源站部署了防火墙或第三方的主机安全防护软件，需要将DDoS高防的回源IP网段添加至相应的白名单。 获取DDoS高防（边缘云版）的回源IP，请提交工单。 修改DDoS高防（边缘云版）的源站IP是否有延迟？ 有延迟。修改DDoS高防（边缘云版）的源站IP配置之后，域名会变成“配置中”状态。 配置下发通常在５分钟以内，配置下发成功后，域名会变回“已启用”状态。 如果域名长时间处于“配置中”，可提交工单进行咨询。 DDoS 高防 （边缘云版）域名支持 IPv6 协议吗？ 支持。您可以在DDoS高防（边缘云版）控制台【业务接入】【域名接入】列表中，对需要支持IPv6的域名开启IPv6开关，即可转发来自IPv6客户端的请求，也可支持IPv6协议的安全防护。 DDoS高防（边缘云版）支持的SSL协议有哪些? 支持的SSL协议包括: TLS 1.0、TLS 1.1、TLS 1.2、TLS 1.3。

添加单个应用服务器 1. 登录云堡垒机系统。 2. 选择“资源 > 应用发布 > 应用服务器”，进入应用服务器列表页面。 3. 单击“新建”，进入应用服务器配置窗口。 应用服务器参数说明 参数 说明 :: 服务器类型 Windows Linux 服务器名称 自定义的访问应用服务器名称，系统内“服务器名称”不能重复。 服务器地址 输入访问应用的服务器IP地址或域名。 类型 选择访问应用的浏览器或客户端工具类型。 “服务器类型”选择“Windows”时： 默认支持14种类型，包括MySQL Tool、Edge、FirefoxWindows、Oracle Tool、Chrome、VNC Client、SQL Server Tool、SecBrowser、VSphere Client、Radmin、dbisql、Navicat for MySQL、Navicat for PgSQL、Other “服务器类型”选择“Linux”时： 仅支持调用Firefox浏览器应用和达梦管理工具V8。 每一类应用类型默认一种应用程序，可在默认“程序启动路径”中获取应用程序名称。 端口 输入访问应用发布服务器的端口，Windows服务器默认为3389，Linux服务器固定为2376。 服务器帐户 “服务器类型”选择“Windows”时，需要配置此参数。 输入访问应用的服务器帐户。 因应用服务器通过AD域安装，“服务器帐号”输入格式为域名 帐户名 ，例如 adadministrator 。 密码 “服务器类型”选择“Windows”时，输入访问应用的服务器帐户的密码。 “服务器类型”选择“Linux”时，密码联系天翼云技术支持获取。 所属部门 选择应用服务器的归属部门。 程序启动路径 “服务器类型”选择“Windows”时，需要配置此参数。 输入限制应用资源访问应用服务器上的具体应用的程序路径。 每种程序类型有一个默认启动路径，也可自定义启动路径。 例如：限制只能访问应用设备的Chrome浏览器，默认启动路径为“C:DevOpsToolsChromechrome.exe”。 选择“Other”类型，必须手动配置相应程序路径。 服务器描述 （可选）对应用服务器的简要描述。 4 单击“确定”，返回应用服务器列表中查看新增的服务器。

GPUStack产品使用手册,含单机版和集群版(Worker、Server) 产品概述 1.1 产品介绍 GPUStack云服务是基于开源GPUStack构建的托管式AI模型部署平台，让您无需管理基础设施，即可在高性能GPU集群上轻松部署和运行各类AI模型，支持单机版和集群版（Worker、Server）。 单机版 集群版 面向用户 个人、中小团队或企业内部 企业研发团队、实验室、AI算力平台 适用场景 1. 个人开发者的大模型微调、推理效果验证 2. 小团队的算法原型开发、单卡模型性能测试 3. 教学科研场景的小规模 AI 实验 4. 临时算力需求（如短期模型 demo 制作) 1. 企业大模型训练 / 推理的规模化算力需求 2. 多团队共享 GPU 算力池的资源管控场景 3. 高并发模型服务（如智能客服等） 4. 异构 GPU 资源混合调度（支持 NVIDIA/昇腾等） 资源配置 单GPU服务器 Server节点：8C/16G 计算型服务器 Worker节点：1~N台GPU服务器（支持英伟达、昇腾等不同厂商GPU卡） 1.2 产品核心能力 资源管理：提供自动化GPU资源调度与集群管理，支持异构GPU设备统一纳管，实现资源利用率最大化与成本最优化； 模型部署：支持主流开源大模型一键部署，兼容Hugging Face、ModelScope等模型源，集成vLLM、SGLang和TensorRTLLM等高性能推理引擎，满足不同场景性能需求； 智能运维：内置自动扩缩容、故障转移与负载均衡机制，提供实时性能监控与告警，确保服务高可用性与稳定性； 安全管控：提供完善的认证授权体系与网络隔离策略，支持私有化部署与数据安全保障，满足企业级安全合规要求。

GPUStack产品使用手册,含单机版和集群版(Worker、Server) 产品概述 1.1 产品介绍 GPUStack云服务是基于开源GPUStack构建的托管式AI模型部署平台，让您无需管理基础设施，即可在高性能GPU集群上轻松部署和运行各类AI模型，支持单机版和集群版（Worker、Server）。 单机版 集群版 面向用户 个人、中小团队或企业内部 企业研发团队、实验室、AI算力平台 适用场景 1. 个人开发者的大模型微调、推理效果验证 2. 小团队的算法原型开发、单卡模型性能测试 3. 教学科研场景的小规模 AI 实验 4. 临时算力需求（如短期模型 demo 制作) 1. 企业大模型训练 / 推理的规模化算力需求 2. 多团队共享 GPU 算力池的资源管控场景 3. 高并发模型服务（如智能客服等） 4. 异构 GPU 资源混合调度（支持 NVIDIA/昇腾等） 资源配置 单GPU服务器 Server节点：8C/16G 计算型服务器 Worker节点：1~N台GPU服务器（支持英伟达、昇腾等不同厂商GPU卡） 1.2 产品核心能力 资源管理：提供自动化GPU资源调度与集群管理，支持异构GPU设备统一纳管，实现资源利用率最大化与成本最优化； 模型部署：支持主流开源大模型一键部署，兼容Hugging Face、ModelScope等模型源，集成vLLM、SGLang和TensorRTLLM等高性能推理引擎，满足不同场景性能需求； 智能运维：内置自动扩缩容、故障转移与负载均衡机制，提供实时性能监控与告警，确保服务高可用性与稳定性； 安全管控：提供完善的认证授权体系与网络隔离策略，支持私有化部署与数据安全保障，满足企业级安全合规要求。

本小节介绍服务器安全卫士的Agent管理操作方法。 登录天翼云云平台，进入控制中心“服务器安全卫士”界面，点击订单中的“控制台”，进入服务器安全卫士控制台，选择“通用功能 > 服务工具 > Agent管理”，进入Agent管理界面，即可管理Agent运行状态。 在排查问题的过程中，可设置Agent运行级别，下载日志和运行报告。 设置运行级别 正常：Agent拥有完整能力，执行服务器的任务。 降级：是一种保护模式，Agent不再接受服务器下发的任务，直至恢复为非"降级"状态。 停用：停止Agent业务功能，只保留基本通信能力和任务执行能力（如：卸载，恢复在线）。 设置日志级别 下载日志 下载运行报告 下载Agent运行情况的报告。 重启Agent 重新启动Agent，不改变原"主机状态"和"运行级别"。

功能 说明 回源配置模块支持客户自定义源站。支持IP或域名，支持配置多个源站地址，多源站场景下，支持设置源站的主备优先级和权重，实现负载均衡。 回源协议指边缘加速节点回源站请求资源时使用的协议。配置该功能后，边缘加速节点将根据指定的协议回源。边缘加速支持HTTP回源协议、HTTPS回源协议、跟随客户端请求使用的协议回源三种回源协议。 源站端口，是指源站接收用户请求时所用的端口，一般http协议和https协议使用不同的源站端口。 当源站同时服务多个站点，且回源站点与加速域名不同时，您需要配置回源HOST，天翼云边缘加速产品在回源时会根据配置的回源HOST信息去访问对应站点。 如果一个源站IP地址绑定多个域名，且边缘加速使用HTTPS协议回源时，需通过配置回源SNI的方式，在SNI中指定具体的请求域名，此时源站服务器可以返回该域名对应的SSL证书，以达到多个域名共用源站的目的。 回源URI改写可以实现在用户请求回源时对回源URI进行改写，配置回源URI改写功能后，边缘加速节点向源站发起回源请求时将使用改写后的URI。 回源参数改写功能可改写回源请求URL中的查询参数，即问号后的参数值。可支持参数的新增、删除、修改，以及保留或忽略所有参数。 配置301/302跟随回源功能后，边缘加速节点会代替用户去处理源站响应的301/302状态码内容，即边缘加速节点会直接跳转到源站301/302响应中的Location地址请求资源，不会把源站响应的301/302跳转地址直接返回给用户，让用户自己去请求跳转地址的资源。 回源超时时间 回源请求超时时间是指在代理服务器向上游服务器（源服务器）发起请求时，等待接收上游服务器的响应所允许的最长时间，这个超时时间的设置对于应对上游服务器响应慢、连接问题或者其他异常情况至关重要。 加速域名的回源地址可以使用客户自有源站或者天翼云

本页介绍了关系数据库MySQL版实例规格。 CPU类型 关系数据库MySQL版支持不同规格CPU，以满足不同性能需求，您可根据需要选择所需的CPU规格。关系数据库MySQL版支持创建实例后变更CPU规格。 关系数据库MySQL版实例支持的数据库存储引擎和版本，请参见存储引擎和版本 。 关系数据库MySQL版实例的CPU类型支持X86架构和ARM架构，同时部分资源池也支持了国产化架构，所有资源池都支持非国产化架构，具体国产化加载情况见表1。 表1 国产化架构资源池加载情况 架构 加载资源池 X86海光 华南2、西南1、西安7 ARM鲲鹏 华东1、西南1、广州x节点xc可用区、广州4、芜湖4、华北2、西安7、乌鲁木齐7、南昌5 性能类型 国产化架构和非国产化架构都支持如下性能类型：通用型、计算增强型和内存优化型，详见表2。 表2 关系数据库MySQL版支持的云主机对应规格类型 规格 说明 适用场景 通用型 共享宿主机的CPU资源，主要提供基本水平的vCPU性能、平衡的计算、内存和网络资源，具有较高性价比，支持通用的业务运行。 适用于不会经常或始终用尽vCPU性能的场景，如小型网站、轻量级研发测试环境、小型数据库等。 计算增强型 独享宿主机的CPU资源，实例间无CPU争抢，并且没有进行资源超配，同时搭载全新网络加速引擎，实现接近物理服务器的强劲稳定性能，提供更大规格的CPU和内存组合。 适用于计算密集型业务等场景，如大型网站、电商营销等。 内存优化型 独享宿主机的CPU资源，实例间无CPU争抢，并且没有进行资源超配，同时搭载全新网络加速引擎，实现接近物理服务器的强劲稳定性能，CPU和内存配比可达1:8。 适用于高内存计算应用，如大数据分析、核心数据库等。 由于每个资源池销售情况不同，每个资源池可用的主机型号，请在对应资源池订购页确认。

本小节介绍服务器安全卫士的扩容步骤。 扩容步骤 1.登录云平台，进入控制中心“服务器安全卫士”界面，点击需要扩容订单对应的“扩容”按钮，进入扩容页面。 2.选择要增加的授权数量，提交订单。 注意 只能增加授权数量，不能减少数量。 扩容页面

名称 类型 描述 dimension String 监控对象： system：系统。 pool：存储池（仅集群版支持）。 server：服务器。 disk：数据目录所在磁盘分区。 LUN：卷。 instanceId String 监控对象实例： 监控对象为system，显示HBlock名称。 监控对象为pool，显示存储池名称（仅集群版支持）。 监控对象为server，显示为服务器ID。 监控对象为disk，显示为数据目录。 监控对象为LUN，显示为卷名称。 metric String 指标名称。具体详见 avgValueSeries Array of string 监控数据的[时间,数值]序列。 时间为unix时间戳，精确到毫秒。

本节介绍了容器镜像服务的产品优势。 简单易用 使用控制台对镜像操作，简单易用，支持镜像的全生命周期管理。 安全保障 支持容器镜像安全扫描，识别镜像中所有已知的漏洞信息。 开放兼容 全面支持社区Registry V2协议，支持使用CLI以及原生API方式管理镜像。 无缝集成 与云容器引擎无缝集成，构建云原生一站式解决方案。

AD认证用户导入 说明 需要开启AD认证并使用AD同步配置后才可使用此功能。 1. 使用“管理角色”账号登录云堡垒机。 2. 在左侧导航栏选择“用户管理 > 用户”，进入“用户”模块。 3. 单击“导入”按钮，弹出“用户导入”对话框。 4. 在上方页签选择“AD认证用户导入”。 5. 勾选需要导入的用户信息，并且选择导入策略。 6. 单击“导入”完成AD认证用户导入。 导出用户 云堡垒机（原生版）支持批量导出已在控制台保管的账户信息，同时也支持导出admin账户信息。 说明 若您需要导出admin账户信息，则默认不勾选用户，直接单击“导出”即可。不勾选时，可导出所有用户信息。 1. 使用“管理角色”账号登录云堡垒机。 2. 在左侧导航栏选择“用户管理 > 用户”，进入“用户”模块。 3. 勾选需要导出的用户信息，单击“导出”即可生成用户信息表格导出。 锁定/解锁用户 云堡垒机支持对用户进行加锁操作，在锁定期间该用户无法登录云堡垒机。 1. 使用“管理角色”账号登录云堡垒机。 2. 在左侧导航栏选择“用户管理 > 用户”，进入“用户”模块。 3. 勾选需要加锁/解锁的用户信息，单击“加锁”/“解锁”即可锁定或解锁用户。 删除用户 云堡垒机系统用户支持一键删除和批量删除，用户被删除后，用户账号所有关联的权限将失效。 注意 用户删除后信息无法恢复，请谨慎操作！ 1. 使用“管理角色”账号登录云堡垒机。 2. 在左侧导航栏选择“用户管理 > 用户”，进入“用户”模块。 3. 勾选需要删除的用户信息，单击“删除”。 4. 在弹出的对话框中单击“确定”即可删除用户。

命令组后续操作 修改命令组：选择需要修改的命令组，单击“操作”列中“编辑”，按照需求进行命令组数据的修改，单击“提交”完成命令组数据更新。 删除命令组：选择需要删除的命令组，单击“操作”列中“删除”，在弹出的对话框中单击“确定”即可删除命令组。 注意 删除后的命令组不可恢复。 若命令组已绑定命令授权规则，删除命令组会导致绑定的命令授权规则失效，请谨慎操作。 新增命令授权规则 1. 使用“管理角色”账户登录云堡垒机（原生版）控制台。 2. 在左侧导航栏选择“授权管理 > 字符命令授权”，进入“命令授权”页面。 3. 单击“新增”，开始新增字符命令授权。 参数 参数说明 授权规则名称 自定义资产访问授权的规则名称。 启用状态 选择该授权规则的启用状态，默认启用。 登录名 （可选）选择需要配置访问授权的用户。 用户组 （可选）选择需要配置访问授权的用户组。 若您选择的用户和用户组存在重合，默认取最大的合集。 资产 （可选）选择需要配置访问授权的资产。 资产组 （可选）选择需要配置访问授权的资产组。 若您选择的资产和资产组存在重合，默认取最大的合集。 资产账号 选择命令授权规则生效的资产账号，添加资产账号请参见：资产账号章节。 敏感命令 选择需要进行控制的命令组，并填写优先级，优先级范围：1100，数字越小优先级越高。 授权时间 选择该规则生效的时间段。 说明 配置时至少需要关联至少一个授权对象，否则这条命令策略不起作用，其余未关联的表示对所有生效。 以基础设施访问授权时，账号必须拥有该基础设施访问授权的访问权限策略才会生效。

本节介绍如何开启弹性IP防护。 注意事项 一个弹性IP防护消耗1个“可防护公网IP数” 配额。 开启弹性IP防护 1. 登录云防火墙（原生版）控制台。 2. 在左侧导航栏，选择“防火墙开关 > 互联网边界防火墙开关”。 3. 在“弹性IP”页签，选择IP版本后，找到需要开启防护的弹性IP，单击操作列的“开启防护”。 系统会定期自动同步当前账号下的资产到该页面，若有弹性IP资产未同步，可以在互联网边界防火墙开关页面右上角单击“同步资产”，手动同步资产。资产同步预计需要1~2分钟。 弹性IP列表展示当前账号下所有VPC内的绑定云主机资产的公网IP。列表包括公网IP（实例名称、ID）、私网IP（实例名称、ID）、虚拟私有云（VPC名称、VPC网段）、子网、绑定资产类型、绑定资产（资产名称、ID）、防护状态。 4. 进入开启弹性IP防护页面，完成相应配置。 1. 自动检查：单击“立即扫描”，待扫描完成后，单击“下一步”。 注意 若有未检查通过的项，请根据提示信息完成相应操作后，再执行下一步。 2. 创建终端节点。配置引流子网后，单击“创建终端节点”。 注意 支持选择已有子网，也可以自定义子网。自定义子网的网段必须属于当前VPC的CIDR；创建后无法更改。 终端节点创建完成后，单击“下一步”。 3. 网络引流配置：确认基础信息后，单击“开始引流”。 4. 开启防护成功。

本文为您介绍如何查看Web核心防护中包含的内置规则详情。 您可以在全局Web核心防护的防护规则页面，查询规则防护引擎中目前包含的所有防护规则。 操作步骤 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“防护配置 > 对象防护配置”，进入防护配置页面。 5. 在“防护配置”页面上方的“防护对象选择”下拉框，切换到要设置的域名。 6. 在“安全防护”页签定位到“Web核心防护”模块，在防护规则组后方点击“前去配置”。 7. 进入“规则组”页面，在页面上方选择“规则库”可以看到当前的规则引擎包含的规则列表。 规则列表中包含的参数如下： 配置项 说明 危险等级 防护规则防护漏洞的危险等级，包括： 高危 中危 低危 灰度状态 规则的状态说明。 规则ID WAF防护引擎中可唯一标识该规则的ID。 规则引擎类型 描述WAF防护规则的引擎类型 规则名称 防护规则的描述信息。 防护类型 表示规则防御的Web攻击类型。 包括SQL注入、XSS、目录穿越、Java代码执行、PHP代码执行、ASP代码执行、通用代码执行、Java反序列化、PHP反序列化、本地文件包含、远程文件包含、文件上传、CSRF、SSRF、命令注入、信息泄露、模板注入、XML实体注入、Xpath注入、LDAP注入、自定义精准攻击、未知攻击。 CVE编号 防护规则对应的CVE（Common Vulnerabilities & Exposures，通用漏洞披露）编号。对于非CVE漏洞，显示为空。 关联规则组数 显示对应规则所绑定的规则组数量。

命令组后续操作 修改命令组：选择需要修改的命令组，单击“操作”列中“编辑”，按照需求进行命令组数据的修改，单击“提交”完成命令组数据更新。 删除命令组：选择需要删除的命令组，单击“操作”列中“删除”，在弹出的对话框中单击“确定”即可删除命令组。 注意 删除后的命令组不可恢复，并且若命令组已绑定命令授权规则会导致该命令规则失效，请谨慎操作。 新增命令授权规则 1.使用“管理角色”账户登录云堡垒机（原生版）控制台。 2.在左侧导航栏选择“授权管理 > 字符命令授权”，进入“命令授权”页面。 3.单击“新增”，开始新增字符命令授权。 参数 参数说明 取值样例 授权规则名称 自定义资产访问授权的规则名称。 Test 启用状态 选择该授权规则的启用状态，默认启用。 用户 （可选）选择需要配置访问授权的用户。 用户组 （可选）选择需要配置访问授权的用户组。 若您选择的用户和用户组存在重合，默认取最大的合集。 资产 （可选）选择需要配置访问授权的资产。 资产组 （可选）选择需要配置访问授权的资产组。 若您选择的资产和资产组存在重合，默认取最大的合集。 资产账号 选择命令授权规则生效的资产账号，添加资产账号请参见：资产账号章节。 敏感命令 选择需要进行控制的命令组，并填写优先级，优先级范围：1100，数字越小优先级越高。 授权时间 选择该规则生效的时间段。 说明 配置时至少需要关联至少一个授权对象，否则这条命令策略不起作用，其余未关联的表示对所有生效； 以基础设施访问授权时，账号必须拥有该基础设施访问授权的访问权限策略才会生效。

本文介绍如何使用日志服务器。 功能介绍 使用日志服务器功能，将攻击日志、告警日志投递至syslog日志服务器。 前提条件 已经订购边缘安全加速平台安全与加速服务，若未订购，请参见服务开通。 开通套餐为免费版及以上版本。 新建syslog日志服务器 1. 登录边缘安全加速平台控制台。 2. 在左侧导航栏中选择【日志服务日志服务器】菜单，点击新增。 3. 配置说明如下： 配置说明 配置项 说明 服务器名称 日志服务器的名称 状态 启用时直接开始外发日志；禁用时只是添加记录，不会立即外发日志 协议 默认UDP，下拉支持选择TCP 服务器地址 syslog服务器地址 端口 syslog服务器端口 描述 非必填 日志类型 攻击日志：当前客户的攻击日志 管理日志服务器 新建完日志服务器后，可以进行禁用/启用日志服务器、编辑、删除等管理操作。

Redis Cluster集群实例，为直连集群版，兼容开源Redis的Cluster，基于去中心化集群部署架构，Cluster中每一个节点存储一部分数据。 Redis Cluster集群实例的特点如下： 支持智能客户端JedisCluster的使用方式。 对比单机规格，整体性能与Redis分片数近乎线性增长。 架构示意图 Cluster集群的去中心化架构中，数据存储和处理负载不再由单一中心节点来管理，而是由多个节点共同参与。这种架构设计旨在提高系统的可伸缩性、可用性和容错性。 数据分布在多个节点上，从而实现更好的性能和可靠性。 数据分片 在Cluster集群中，数据分片是指将整个数据集划分为多个片段，并分别存储在不同的节点上。这种分片机制带来了一系列好处，包括横向扩展性、负载均衡和提高系统性能。Cluster会预先分配16384个slot，每个Redis的server存储所有slot与redis server的映射关系。 适用场景 数据量较大 可以支持单个Redis分片规格164G自由选择，Redis分片数量从364G可选，最大可支持4TB规格，可有效满足业务扩展要求。 QPS压力较大的场景 采用多节点部署，突破Redis单线程的性能瓶颈，可较好支撑QPS较大的场景。 吞吐密集型应用场景 提供高性能、高可用性和横向扩展性，适用于需要处理大量读写请求的需求场景。 对Redis协议兼容性要求较高的场景 兼容Redis社区原生Cluster集群，各业务可实现平滑迁移。 缓存数据无高可用场景 由于Cluster单机实例采用单副本集群部署架构，不具备高可用性与服务连续性，若使用请务必确认风险。

本节主要介绍如何使用API查询HBlock信息。 此操作用来查询HBlock信息，包括HBlock ID、HBlock名称、HBlock序列号、服务器数量、故障域（集群版）、初始化时间、试用期信息及HBlock的管理员用户名。 请求语法 plaintext GET /rest/v1/system/info HTTP/1.1 Date: date Host: ip:port Authorization: authorization 响应结果 名称 类型 描述 storId String HBlock ID。 storName String HBlock的名称。 serialId String HBlock序列号。 serverNumbers Integer HBlock服务器数量。 basePoolName String 基础存储池的名字（仅集群版）。 faultDomain String 故障域类型（仅集群版）： rack：机架级别的故障域。 room：机房级别的故障域。 server：服务器级别的故障域。 path：数据目录级别的故障域。 setupTime Long 系统初始化时间。unix时间戳（UTC），精确到毫秒。 trialStatus String 试用期标识： 对于商业版 Trial：处于试用期内，未导入软件许可证。 TrialExpired：试用期已过，未导入软件许可证。 NonTrialVersion：非试用版本，已导入软件许可证。 对于免费版： FreeEdition：未导入软件许可证，未开启高级功能试用。 ProTrialEnabled：未导入软件许可证，开启了高级功能试用。 ProTrialExpired：未导入软件许可证，高级功能试用已经过期。 trialExpireTime Long 试用期到期时间（商业版）。unix时间戳（UTC），精确到毫秒。 userName String HBlock的管理员用户名。 licenseId String 最后一次成功导入的软件许可证ID（商业版）。 type String 软件许可证订购类型（商业版）： Subscription：订阅模式。 Perpetual：永久许可模式。 status String 软件许可证状态（商业版）： Effective：软件许可证已生效。 Expired：软件许可证已过期。 Invalid：软件许可证无效。 maintenanceExpireTime Long 对于永久许可模式软件许可证，软件许可证维保过期时间。unix时间戳（UTC），精确到毫秒。 subscribeExpireTime Long 对于订阅模式软件许可证，软件许可证过期时间。unix时间戳（UTC），精确到毫秒。 proTrialStartTime Long 免费版的高级功能试用开启时间，unix时间戳（UTC），精确到毫秒。高级功能试用开启之后才返回，不开启不返回。 proTrialExpireTime Long 免费版的高级功能试用结束时间，unix时间戳（UTC），精确到毫秒。高级功能试用开启之后才返回，不开启不返回。 freeUpgradeExpireTime Long 免费版的升级功能过期时间，unix时间戳（UTC），精确到毫秒。

名称 类型 描述 system.status String HBlock服务状态： Upgrading：升级中。 Uninstalling：卸载中。 Working：运行中。 system.licenseStatus String 软件许可证状态： Expired：软件许可证已过期。 Effective：软件许可证已生效。 Invalid：软件许可证无效。 None：还未加载软件许可证。 server.status Object 服务器的状态，详见“ 表1 响应参数server.status说明 ”。 disk.status Object 磁盘的状态（仅单机版支持），详见“ 表2 响应参数disk.status说明（仅单机版支持） ”。 disk.usage Object HBlock数据目录使用情况，详见“ 表3 响应参数disk.usage说明（仅单机版支持） ”。 lun.status Object 卷状态，详见“ 表4 响应参数lun.status说明 ”。 lun.data Object 卷数据信息，详见“ 表5 响应参数lun.data说明 ”。 storagePool.number Integer 存储池个数（仅集群版支持）。 storagePool.basePool Sring 基础存储池名称（仅集群版支持）。 storagePool.basePoolDetail Object 基础存储池详情（仅集群版支持），详见“ 表6 响应参数storagePool.basePoolDetail说明（仅集群版支持） ”。

本章节介绍API网关的消费者(应用)管理功能 应用列表 操作步骤 1. 进入微服务引擎MSE控制台； 2. 在顶部菜单栏选择资源池； 3. 单击左侧导航栏云原生网关 > 应用列表 ； 创建应用 操作步骤 1. 进入微服务引擎MSE控制台； 2. 在顶部菜单栏选择资源池； 3. 单击左侧导航栏云原生网关 > 应用列表 ； 4. 点击创建应用按钮，填写应用名称、AppKey、AppSecret、AppCode、描述等信息；AppKey、AppSecret、AppCode为空时，将自动生成； 编辑应用 操作步骤 1. 进入微服务引擎MSE控制台； 2. 在顶部菜单栏选择资源池； 3. 单击左侧导航栏云原生网关 > 应用列表 ； 4. 选择某个应用，点击应用的编辑按钮 ，可修改应用的名称和描述信息；确定后完成编辑； 查询应用信息 操作步骤 1. 进入微服务引擎MSE控制台； 2. 在顶部菜单栏选择资源池； 3. 单击左侧导航栏云原生网关 > 应用列表 ； 4. 点击应用名称，进入应用详情页，可以查看当前应用有哪些授权的路由、API，查看应用的AppKey、AppSecret，支持重置AppSecret、AppCode； 添加应用授权 应用授权需要在路由或者API的视角下完成，且只有路由、API的认证方式为APP时才允许进行授权操作。 注意 ：Mock路由中对应用设置过期时间的使用限制参见云原生网关常见问题说明

本文将从CC攻击的含义以及Web应用防火墙（边缘云版）提供的防护能力来介绍CC安全防护功能。 功能介绍 CC防护根据访问者的URL，频率、行为等访问特征，智能识别CC攻击，迅速识别CC攻击并进行拦截，在大规模CC攻击时可以避免源站资源耗尽，保证企业网站的正常访问。 什么是CC攻击？ CC攻击是一种恶意网络攻击，旨在通过向目标服务器发送大量的请求，超过其处理能力，从而使其无法正常工作或服务受到严重影响。 前提条件 已开通Web应用防火墙（边缘云版）。 已新增域名并成功接入WAF，具体操作请见WAF接入。 开通套餐为标准版及以上版本，支持使用CC防护功能。 操作步骤 1. 登录Web应用防火墙（边缘云版）控制台。 2. 在左侧导航栏中选择【域名管理】—【域名列表】，单击域名列表操作【安全防护】进入安全配置页面。 3. 进入“CC配置”页面，可以配置CC防护策略。 配置说明 配置项 说明 CC防护 CC防护的功能开关 CC防护模式 1、【CC防护模式】设置为阈值，则域名访问达到防护条件时进行防护 2、【CC防护模式】设置为长久，则域名的每次访问都进行防护校验 阈值 即厨房防护动作的阈值，当统计频率内达到设定的阈值，将触发防护 统计频率 即设定时长内达到防护阈值，将触发防护。满足防护时长后，将重新开始计算统计频率 防护时长 即触发防护后的持续防护时间 在【统计周期】内达到【阈值】则接下来【防护时长】内符合条件的请求均进行防护校验。

本小节介绍查看容器防护配额列表。 节点列表展示了云容器引擎服务（CCE）中集群节点的防护状态、节点状态和Agent状态，帮助您实时了解节点的安全状态。 约束限制 仅支持Linux系统。 未开启企业版、旗舰版、网页防篡改版、容器版防护不支持容器相关操作。 查看节点列表 1、登录管理控制台。 2、在弹窗界面单击“体验新版”，切换至企业主机安全页面。 注意 切换至新版后，在总览页左上角单击“返回旧版”，可切换至企业主机安全（旧版）。 3、在左侧导航栏中，选择“资产管理 > 容器管理”，单击“容器节点管理”。 4、选择“节点列表”页签，查看节点防护状态。节点列表参数说明如表所示。 节点列表参数 参数名称 说明 服务器名称 目标服务器名称。 容器防护状态 节点的防护状态，包括： 未防护 防护中 服务器状态 运行中 不可用 正常 Agent状态 在线 离线 未安装 查看防护配额 在“容器节点管理”界面，选择“防护配额”页签，查看防护配额详细信息。 配额信息 参数名称 参数说明 配额版本 容器安全企业版。 配额状态 正常：配额状态。 已过期：配额已到期，在此期间您仍然可以正常使用配额。 已冻结：冻结期间，HSS将不再防护您的容器；冻结期满，该配额将被彻底删除。 使用状态 使用中：该配额已被使用，下方显示“使用该配额的服务器名称”。 空闲：该配额未被使用。

本文介绍容器安全卫士管理类常见问题。 容器安全卫士有哪些注意事项？ 安全探针仅支持三种容器运行时，包括：docker、containerd、crio。 安全探针在运行时会挂载k8s node宿主机的 /data（非crio）和 /root（crio）目录，请确保目录的权限正常。 安全探针需要跟中心通信，请确保您的k8s集群允许出网策略TCP端口：31080、30432、32345。 接入容器安全卫士对现有业务和服务器运行有影响吗？ 接入容器安全卫士不需要中断现有业务，不会影响服务器的运行状态，即不需要对其进行任何操作（例如关机或重启）。 防护探针本身需要占用宿主机一定资源，可能会对宿主机产生一定影响。不过请放心，容器安全卫士对防护探针做了资源监控和降级处置，来保障业务稳定、安全。

本章节进行Ingress相关概述介绍 概述 K8s Ingress用于暴露集群内部的服务给给外部访问，作为流量入口承载所有外部进入集群内部的流量；通过K8s Ingress资源可以配置外部流量访问集群内部服务的各种规则，实现流量路由、负载均衡等丰富的流量治理策略。除了路由策略配置，还需要数据面实际承载流量，执行Ingress中指定的路由策略，这里的数据面对应K8s Ingress controller，整体架构如下： MSE云原生网关支持标准K8s Ingress，当前MSE云原生网关为虚机部署模式，通过在云容器引擎集群中部署mse ingress controller把Ingress资源转成网关配置资源并下发，整体架构如下： 组件功能说明 1. mse ingress controller：K8s controller，监听K8s Ingress及apisix Ingress资源，转成数据面配置并下发到数据面。 2. mse云原生网关：承载业务流量的数据面，接收控制台及mse ingress controller下发的配置指令。 注意 通过Ingress生成的配置不可以通过控制台修改

本节为您介绍智算安全专区的计费相关信息。 计费模式 智算安全专区大模型安全卫士仅支持包周期计费。 产品价格 产品 规格 说明 标准价格（元/月） 标准价格（元/年） 大模型安全卫士 标准版 关键词拦截 语义拦截 支持私有语料库敏感信息识别及分类分级（规则匹配方式） RAG代理网关（输入阻断） 可配置模型代理数量 x 1 大模型安全管理平台 支持同时对大模型发起20个请求 7000 70000 大模型安全卫士 性能扩展包（标准版） 1个扩展包可以增加对大模型发起10个请求 5500 55000