本文简述websocket协议特点和应用场景。 背景介绍 HTTP 协议有一个缺陷：通信只能由客户端发起。这种单向请求的特点，注定了如果服务器有连续的状态变化，客户端要获知就只能使用"轮询"的方案。 轮询是在特定的时间间隔（如每1秒），由浏览器对服务器发出HTTP请求，然后由服务器返回最新的数据给客户端的浏览器。这种传统的模式带来很明显的缺点，即浏览器需要不断的向服务器发出请求，显而易见，轮询不仅效率特别低，且特别浪费带宽资源，因为HTTP请求可能包含较长的头部，其中真正有效的数据可能只是很小的一部分，显然这样会浪费很多带宽资源。 因此，工程师们一直在思考，有没有更好的方法。websocket 就是这样发明的。websocket 协议诞生于2008年，2011年成为国际标准，目前所有浏览器均已支持。它最大的特点全双工通信，浏览器和服务器只需要做一个握手的动作，然后浏览器和服务器之间就形成了一条快速通道，两者之间就可以直接互相传送数据了，如下右图所示。可见，websocket 协议，能更好的节省服务器资源和带宽，并且能够更实时地进行通讯。 websocket的优势： 较少的控制开销：在连接创建后，服务器和客户端之间交换数据时，用于协议控制的数据包头部相对较小。 更强的实时性：由于协议是全双工的，所以服务器可以随时主动给客户端下发数据。相对于HTTP请求需要等待客户端发起请求服务端才能响应，延迟明显更少；即使是和Comet等类似的长轮询比较，其也能在短时间内更多次地传递数据。 保持连接状态：与HTTP不同的是，Websocket需要先创建连接，这就使得其成为一种有状态的协议，之后通信时可以省略部分状态信息。而HTTP请求可能需要在每个请求都携带状态信息（如身份认证等）。 更好的二进制支持：Websocket定义了二进制帧，相对HTTP，可以更轻松地处理二进制内容。 可以支持扩展：Websocket定义了扩展，用户可以扩展协议、实现部分自定义的子协议。 更好的压缩效果：相对于HTTP压缩，Websocket在适当的扩展支持下，可以沿用之前内容的上下文，在传递类似的数据时，可以显著地提高压缩率。 与 HTTP 协议有着良好的兼容性：默认端口也是80和443，并且握手阶段采用 HTTP 协议，因此握手时不容易屏蔽，能通过各种 HTTP 代理服务器。 没有同源限制：客户端可以与任意服务器通信。

本文介绍Web应用防火墙（边缘云版）是否可以和CDN一起接入。 Web应用防火墙（边缘云版）可以和CDN一起接入。 Web应用防火墙（边缘云版）和CDN一起接入，是指CDN融合了Web应用防火墙（边缘云版）能力，在CDN节点上提供Web应用防火墙（边缘云版）防护功能。Web应用防火墙（边缘云版）防护具体功能，请参见Web应用防火墙（边缘云版）功能介绍。 前提条件 已开通天翼云CDN加速计费，且已经将域名添加到CDN加速控制台。 已完成Web应用防火墙（边缘云版）产品开通。 CDN控制台域名的加速范围选择为中国内地。 操作步骤 1. 登录Web应用防火墙（边缘云版） 控制台。 2. 选择域名管理—域名列表，点击【添加域名】。 3. 填写网站域名后，点击【确认】进行产品关联，同步网站通用配置，并单击【下一步】。 4. 根据页面配置指引，完成安全防护配置。

根据客户端不同，可以使用如下方式发现新的LUN： Windows：在服务器管理 >文件和存储服务器 >卷 >磁盘 ，点击刷新即可完成LUN的添加。 Linux：在挂载新建LUN前，需要在Linux客户端执行下列命令： 1. Linux客户端：扫描新卷。 挂载新建LUN前，请根据环境选择执行以下命令之一： plaintext rescanscsibus.sh 使用此命令前，系统需要安装sg3utils 或 plaintext for host in /sys/class/scsihost/host/scan; do echo " " > $host; done 或 plaintext iscsiadm m node T iSCSITARGETIQN p SERVERIP:port rescan 2. 将iSCSI磁盘分区挂载到本地目录，挂载之后可以写入数据。 挂载单机版的卷： plaintext mkfs.ext4 /dev/sdX mount /dev/sdX PATH PATH为磁盘路径 挂载集群版的卷： plaintext mkfs t ext4 /dev/mapper/mpathX 格式化成 ext4 mkdir DIRECTORYNAMEORPATH 创建目录 mount /dev/mapper/mpathX DIRECTORYNAMEORPATH 将mpathX挂载到目录 示例 集群版：卷lun08b已经连客户端，并已经挂载。HBlock端新建与lun08b对应相同target的卷lun08a，并继续连接该客户端。 HBlock端： plaintext [root@hblockserver CTYUNHBlockPlus4.0.0] ./stor lun ls n lun08a LUN Name: lun08a (LUN 0) Storage Mode: Local Capacity: 800 GiB Status: Normal Auto Failback: Enabled iSCSI Target: iqn.201208.cn.ctyunapi.oos:target08.5 (192.168.0.67:3260,Active) iqn.201208.cn.ctyunapi.oos:target08.6 (192.168.0.64:3260,Standby) Create Time: 20260104 16:44:40 Local Storage Class: EC 2+1+16 KiB Minimum Replicas: 2 Redundancy Overlap: 1 Local Sector Size: 4096 Bytes Storage Pool: pool1 Data Health: 100% normal, 0% low redundancy, 0% error High Availability: ActiveStandby Write Policy: WriteBack WWID: 33000000011e926ff UUID: lunuuide4cadb0cb76e476eb212b1f637ae278f Snapshot Count: 0 Snapshot Size: 0 B (Note: Snapshot size may vary due to LUN issues or parent snapshot deletion.) [root@ hblockserver CTYUNHBlockPlus4.0.0x64]

本小节介绍态势感知计费类常见问题。 态势感知如何计费？ 计费模式 ：态势感知采用包年/包月计费模式，包年/包月是一种预付费方式。 计费周期：最少订购1个月，最多可订购3年。 计费项：版本（基础版/高级版）、待监控IP数量、购买时长。 计费示例：基础版折后单价为198元/月/IP ，购买基础版1年、3个待监控IP，则总价为198 12 3 7128元。 说明 这里的态势感知计费指的是态势感知软件计费，所需弹性云主机资源需另行购买。 态势感知基础版和高级版有什么区别？ 基础版包含资产发现、资产管理、网络威胁检测、脆弱性检测、可视化呈现功能。 高级版包含国家情报数据、国家安全预警、攻击源警告、恶意网站告警、安全态势大屏。 主要区别：高级版增加国家情报和预警能力，同时安全态势大屏只有高级版才有，基础版的可视化呈现主要是指控制台运维页面，下面用两个截图来做对比。 基础版可视化呈现页面截图： 高级版安全态势大屏截图：

任何插件要在网关实例上生效,必须先安装插件、然后配置规则,最后启用插件。本文将介绍如何在API或实例上配置插件规则并启用。 启用插件配置 说明 插件的生效范围： API级插件规则：请求匹配到某个 API 时生效，作用于其下所有路由。 实例级插件规则：启用即生效网关全局，独立执行，且在API 规则前执行。 注意 AI类型插件只能作用于Model API级别 操作步骤1：在插件市场中启用 1. 登录 云原生API网关控制台，并在顶部菜单栏选择地域。 2. 在左侧导航栏，选择 "AI网关插件"。 3. 在插件市场页面的快捷导航栏处，选择插件类型或者搜索插件名称，单击插件卡片上的"配置"。 4. 单击目标网关实例操作列下的"规则配置"，在规则配置页面选择生效范围。 当选择API级（包括Model API/MCP服务/Agent API级别）插件规则时，单击"添加规则"，打开"启用"状态，配置插件规则，单击保存。 当选择实例级插件规则时，打开"启用"状态并配置插件规则，单击保存。 操作步骤2：在实例上启用 1. 登录 云原生API网关控制台，并在顶部菜单栏选择地域。 2. 在左侧导航栏，选择 "AI网关实例"，进入目标实例详情页面。 3. 在左侧导航栏，选择"插件"，单击插件列表操作列中的"规则配置"，为所选插件配置规则并选择生效范围，单击保存。

配置步骤 以先配置DDoS高防（边缘云版），再配置Web应用防火墙（边缘云版）为例。 1. 进入DDoS高防（边缘云版）控制台，在左侧导航中，点击【业务接入】【域名接入】。按照网站域名接入完成DDoS高防（边缘云版）的域名配置。 2. 进入Web应用防火墙（边缘云版）控制台，在左侧导航中，点击【域名管理】【域名列表】，点击右上角新增域名。 3. 填写需要接入的域名后，会弹窗提示"您的域名已经在DDoS高防(边缘云版)产品控制台新增，产品关联后才能同步网站通用配置，请确认是否关联"。 4. 点击确认后，系统会自动获取并完成网站配置，您可以点击【下一步】，进行网站安全配置。 5. 完成网站安全配置后，点击【提交】即可。 注意 DDoS高防（边缘云版）叠加Web应用防火墙（边缘云版）产品后，域名CNAME地址直接使用DDoS高防（边缘云版）提供的CNAME地址即可，无需调整。 您可以在DDoS高防（边缘云版）和Web应用防火墙（边缘云版）任一控制台进行网络配置的变更，配置修改将进行同步。

项目影响 交投集团现已在全市建设“交投能源”充电站数十个，充电车位400多个。市民通过小程序接入充电，平台访问快速，用户感知良好。 项目平台采用云原生架构，使用了天翼云众多高阶产品，包括云容器引擎、消息队列、云数据库等，为新能源充电桩上云场景树立了一个标杆。 云容器引擎整体方案介绍 业务痛点 客户期望使用xc架构主机构建容器集群，基于天翼云海光、鲲鹏主机开通容器。 业务缺乏云原生架构弹性扩展和智能运维能力。 小程序访问具有明显波峰波谷特征，需实现应用弹性扩展，又能节省不必要的成本。 技术方案 云容器引擎产品的架构图如下： 提升业务稳定性：选择天翼云容器引擎部署业务应用，经过电信上云容器大规模场景实践验及证优化，业务无需过多改造，只需注册到容器集群，不仅提升了稳定性，还节省了大量运维人力成本。 快速弹性应对突发流量：容器可以快速弹性扩展，一次性扩容多台云主机，业务负载能水平、定时伸缩。 简化用云体验：容器整合了天翼云IaaS和PaaS多种能力，如集成了应用性能监控、云日志服务，可以快速定位性能问题，更好地保证业务的连续性

历史定价 规格 CPU（核） 内存（GB） 标准资费（元/小时） 标准资费（元/月） 基础版8C16G 8 16 3.790000 1820 基础版12C24G 12 24 6.240000 2992 基础版16C32G 16 32 7.500000 3600 中级版24C48G 24 48 12.040000 5775 中级版32C64G 32 64 15.000000 7200 高级版48C96G 48 96 23.830000 11336 高级版64C128G 64 128 31.340000 15041

本页介绍了文档型数据库服务的恢复方案。 目前文档型数据库服务的3种规格都支持备份数据的恢复，您可以根据实际需求进行备份数据的恢复。 实例类型 恢复类型 使用场景 单机版（单节点） 按备份点恢复到本实例 将已有的单机版（单节点）备份数据恢复到本实例 单机版（单节点） 按备份点恢复到其他单机版（单节点）实例 将已有的单机版（单节点）备份数据恢复到其他单机版实例或副本集实例 单机版（单节点） 按备份点跨区域恢复到单机版新实例 将已有的单机版（单节点）备份数据跨区域恢复到单机版新实例 副本集 按备份点恢复到本实例 将已有的副本集备份数据恢复到本实例 副本集 按时间点恢复到本实例 将已有的副本集备份数据按某个指定的时间点还原到本实例 副本集 按备份点恢复到新实例 将已有的副本集备份数据恢复到新实例 副本集 按时间点恢复到新实例 将已有的副本集备份数据按某个指定的时间点还原到新实例 副本集 按备份点恢复到其他副本集实例 将已有的副本集备份数据恢复到其他单机版实例或副本集实例 副本集 按时间点恢复到其他副本集实例 将已有的副本集备份数据按某个指定的时间点还原到其他单机版实例或副本集实例 副本集 按备份点跨区域恢复到副本集新实例 将已有的副本集备份数据跨区域恢复到节点数相同的副本集新实例 集群版 按备份点恢复到本实例 将已有的集群版备份数据恢复到本实例 集群版 按时间点恢复到本实例 将已有的集群版备份数据按某个指定的时间点恢复到本实例 集群版 按备份点恢复到新实例 将已有的集群版备份数据恢复到新实例 集群版 按时间点恢复到新实例 将已有的集群版备份数据按某个指定的时间点恢复到新实例 集群版 按备份点恢复到其他集群版实例 将已有的集群版备份数据恢复到其他相同shard数量的集群版实例 集群版 按时间点恢复到其他集群版实例 将已有的集群版备份数据按某个指定的时间点恢复到其他相同shard数量的集群版实例 集群版 按备份点跨区域恢复到集群版新实例 将已有的集群版备份数据跨区域恢复到shard 数量相同的集群版新实例

产品企业版、护航版、应急响应、安全评估、全流量分析服务到期策略说明。 基础版/企业版 根据订购时长提供服务，服务到期后，立即停止基础版/企业版服务，对使用过程中的安全数据进行清除。 护航版 护航版服务订购的有效期为1年，按照用户购买天数进行交付，交付完成或未交付但购买时长超过一年，则服务到期，到期仍未使用不退款。 应急响应 应急响应服务订购的有效期为1年，交付完或未交付但购买时长超过一年，则应急响应服务到期，到期仍未使用不退款。 安全评估 安全评估服务订购的有效期为1年，交付完或未交付但购买时长超过一年，则安全评估服务到期，到期仍未使用不退款。 全流量分析服务 根据订购时长提供服务，服务到期后，立即停止全流量分析服务。

容器镜像服务(Software Repository for Container,简称SWR)是一种支持镜像全生命周期管理的服务, 提供简单易用、安全可靠的镜像管理功能,帮助您快速部署容器化服务。您可以通过界面、社区CLI和原生API上传、下载和管理容器镜像。

WAF转发和Nginx转发有什么区别？ WAF转发和Nginx转发的主要区别为Nginx是直接转发访问请求到源站服务器，而WAF会先检测并过滤恶意流量，再将过滤后的访问请求转发到源站服务器，详细说明如下： WAF转发：网站接入WAF后，所有访问请求将先经过WAF，WAF通过对HTTP(S)请求进行检测，识别并阻断SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等攻击流量后，将正常流量返回给源站，从而确保Web应用安全、稳定、可用。 Nginx转发：即反向代理（Reverse Proxy）方式转发。反向代理服务器接受客户端访问请求后，直接将访问请求转发给Web服务器，并将从Web服务器上获取的结果返回给客户端。反向代理服务器安装在网站机房，代理Web服务器接收访问请求，并对访问请求进行转发。 反向代理可以防止外网对内网服务器的恶性攻击，缓存以减少内网服务器压力，还可以实现访问安全控制和负载均衡。 Web应用防火墙可以配置会话Cookie吗？ WAF不支持配置会话Cookie。 WAF可以通过配置CC攻击防护规则，限制单个Cookie字段特定路径（URL）的访问频率，精准识别CC攻击以及有效缓解CC攻击。例如，您可以通过配置CC攻击规则，使Cookie标识为name的用户在60秒内访问域名的“/admin”页面超过10次时，封禁该用户访问域名600秒。 什么是Cookie Cookie是网站为了辨别用户身份，进行Session跟踪而储存在用户本地终端上的数据（通常经过加密），Cookie由Web服务器发送到浏览器，可以用来记录用户个人信息。 Cookie由一个名称（Name）、一个值（Value）和其它几个用于控制Cookie有效期、安全性、使用范围的可选属性组成。Cookie分为会话Cookie和持久性Cookie两种类型，详细说明如下： 会话Cookie 临时的Cookie，不包含到期日期，存储在内存中。当浏览器关闭时，Cookie将被删除。 持久性Cookie 包含到期日期，存储在磁盘中，当到达指定的到期日期时，Cookie将从磁盘中被删除。

本节主要介绍产品规格差异 微服务引擎服务数限制说明 微服务引擎专业版：专业版引擎Cloud Service Engine是ServiceStage提供的免费体验引擎。专业版引擎可以体验ServiceStage的所有产品能力，比如服务治理、配置管理等。引擎资源为所有租户共享，性能可能会受其他租户影响；专业版引擎不支持升级到专享版。 微服务引擎专享版：专享版引擎，是可支持大规模微服务应用管理的商用引擎。您可根据业务需要选择不同规格，不支持规格变更；专享版引擎资源独享，性能不受其他租户影响。 微服务引擎支持最大服务数说明如下。 表 微服务引擎最大服务限制说明 引擎类型 规格（微服务实例数） :: 微服务引擎专业版 20 微服务引擎专享版 100 微服务引擎专享版 200 微服务引擎专享版 500 微服务引擎专享版 2000

本章节主要介绍媒体存储对象基础操作的操作方式。 列举对象 通过列举对象，用户可以查看某个桶内已存储的对象列表。 使用方式 操作途径 使用方式 控制台 登录控制台后，进入【对象存储Bucket列表】菜单页，在左侧导航栏单击选择指定区域下的桶，即可查看该桶内所有对象。 SDK 媒体存储支持多种语言SDK，请从SDK概览页面选择进入对应的开发指南查阅。 原生接口 可参考：获取对象列表。 XstorBrowser 登录XstorBrowser后，在左侧导航栏单击某个桶，即可查看该桶内所有对象。 查看对象基础信息 完成上传对象操作后，用户可根据需求查看某个对象的基础信息。 使用方式 操作途径 使用方式 控制台 可参考：管理对象。 SDK 媒体存储支持多种语言SDK，请从SDK概览页面选择进入对应的开发指南查阅。 原生接口 可参考：获取对象元数据。 XstorBrowser 登录XstorBrowser后，找到对应的对象，点击【…】按钮，选择【属性】，即可查看对象的基础信息。

部署rook operator Rook是一个开源的云原生存储编排工具，提供平台、框架和对各种存储解决方案的支持，以和云原生环境进行本地集成。 Rook 利用扩展功能将其深度地集成到云原生环境中，并为调度、生命周期管理、资源管理、安全性、监控等提供了无缝的体验。Rook 目前支持 Ceph、NFS、Minio Object Store 和 CockroachDB。 plaintext 部署rook operator cd rook/deploy/charts/rookceph/ helm install createnamespace namespace rookceph rookceph . 创建rook ceph集群 plaintext 创建rook ceph集群 cd rook/deploy/examples kubectl apply f cluster.yaml 镜像列表 registry.k8s.io/sigstorage/csiattacher:v4.8.1 registry.k8s.io/sigstorage/csinodedriverregistrar:v2.13.0 registry.k8s.io/sigstorage/csiprovisioner:v5.2.0 registry.k8s.io/sigstorage/csiresizer:v1.13.2 registry.k8s.io/sigstorage/csisnapshotter:v8.2.1 quay.io/ceph/ceph:v19.2.2 quay.io/cephcsi/cephcsi:v3.14.0 rook/ceph:v1.17.2 kubectl get cephcluster A NAMESPACE NAME DATADIRHOSTPATH MONCOUNT AGE PHASE MESSAGE HEALTH EXTERNAL FSID rookceph rookceph /var/lib/rook 3 136m Ready Cluster created successfully HEALTHWARN 40a66dd669ed4401b97fef1edaae17b2 部署rook ceph工具 plaintext cd rook/deploy/examples kubectl apply f toolbox.yaml 通过cephtool工具查看ceph集群状态，正常需要3个OSD（准备三个节点，每个节点至少有一块盘） kubectl exec it kubectl get pods n rookcephgrep rookcephtoolsawk '{print $1}' n rookceph bash bash5.1$ ceph s cluster: id: e7abf175ad9c420a92051328f8097a75 health: HEALTHWARN mon b is low on available space services: mon: 3 daemons, quorum a,b,c (age 12h) mgr: a(active, since 12h), standbys: b mds: 1/1 daemons up, 1 hot standby osd: 3 osds: 3 up (since 12h), 3 in (since 13h) data: volumes: 1/1 healthy pools: 4 pools, 81 pgs objects: 34 objects, 639 KiB usage: 203 MiB used, 120 GiB / 120 GiB avail pgs: 81 active+clean io: client: 1.2 KiB/s rd, 2 op/s rd, 0 op/s wr OSD 可用存储设备满足条件： 设备必须没有分区。 设备不得具有任何 LVM 状态。 不得安装设备。 该设备不得包含文件系统。 该设备不得包含 Ceph BlueStore OSD。 设备必须大于 5 GB。 使用Ceph

步骤二 ：访问应用，触发自适应配置推送优化 1. 部署bookinfo相关应用。部署后可以在网格优化中心 > Sidecar资源中看到这些应用已经默认生成了Sidecar资源，并且仅下发istiosystem和meshoperator的配置。 2. 通过云原生网关发起请求到productpage。具体步骤可以参考通过云原生网关访问bookinfo应用，或者通过ingressgateway访问，或者在集群内执行curl 访问productpage。 3. 首次访问成功后，在网格优化中心 > Sidecar资源中查看productpage已经追加reviews，details等服务的配置。无需您手工配置。 相关操作 关闭自适应配置推送优化功能 1. 登录应用服务网格控制台，在首页网格列表中选中目标实例。 2. 在网格管理页面左侧导航栏，选择 网格优化中心 > 自适应配置下发。 3. 在自适应配置下发页面，点击关闭 自适应配置下发。 4. 切换到网格优化中心 > Sidecar资源页面查看Sidecar资源列表。 5. 您可以看到创建来源为“系统”的Sidecar资源已被删除。

本章节介绍应用容灾多活的使用限制。您需要提前了解使用限制,例如组件类型和框架版本等,以便容灾服务能正常接入,以及应用程序不出现异常。 Java SDK 分类 组件 版本 微服务 org.springframework.cloud:springclouddependencies 2021.0.8 微服务 org.springframework.boot:springbootstarterweb 2.7.12 微服务 org.springframework.cloud:springcloudstarteropenfeign 3.1.8 微服务 org.apache.dubbo:dubbo 2.7.13 负载均衡 org.springframework.cloud:springcloudloadbalancer 3.1.7 微服务注册中心 com.alibaba.cloud:springcloudstarteralibabanacosdiscovery 2021.1 消息队列 org.apache.rocketmq:rocketmqclient 4.8.0 数据库 mysql:mysqlconnectorjava 5.1.40及以上版本 8.0.15及以上版本 数据库 org.postgresql:postgresql 42.5.0及以上版本 管控通道 应用容灾多活 使用注册配置中心 作为控制面与数据面分离的管控通道，您需要提前开通微服务引擎注册配置中心Nacos引擎实例，确保与应用节点网络连通，并在多活产品控制台进行集成管理。 流量网关 应用容灾多活 通过集成云原生网关 产品能力，支持多活应用流量识别、分发与纠错。您需要根据业务流量规划提前开通微服务引擎云原生网关实例，并在多活产品控制台进行集成管理。

本节介绍云等保专区产品的定义及架构。 云等保专区是满足等保合规2.0云原生安全合规平台。云等保专区提供安全统一管理、传输安全、计算环境安全等安全合规能力，实现统一管理、统一运营，整体上降低等保建设难度和日常管理运营复杂度。 本产品为满足等保合规，提供一揽子安全原子能力，包括云安全中心、主机安全、Web应用防火墙、下一代防火墙、堡垒机、漏洞扫描、日志审计、数据库审计、数据分类分级、数据脱敏与水印，实现安全原子能力统一管理、统一运营，为用户侧等保合规需求提供便捷下单、自动化部署的能力。 产品架构 如下图所示，云等保专区产品基于天翼云基础设施资源，利用云原生安全技术，融合了堡垒机、Web应用防火墙（WAF）、日志审计、数据库审计、漏洞扫描、防火墙、主机安全、云安全中心，为用户提供一站式等保防护能力。 对于云上租户来说，每个用户的安全能力都是部署在独立的用户VPC中，这样将原子能力最小化的架构能够最大限度地保障用户的数据安全，同时也能满足不同用户的安全防护诉求，用户可基于自己的安全诉求，进行不同安全策略的设置。

持久化存储卷 云容器引擎除支持本地磁盘存储外，还支持将工作负载数据存储在云存储上，当前支持的云存储包括：云硬盘存储卷、文件存储卷（SFS）、对象存储卷（OBS）和极速文件存储卷（SFS Turbo）。 插件扩展 CCE提供了多种类型的系统插件，用于管理集群的扩展功能，以支持选择性扩展满足特性需求的功能。 支持开源生态 提供OpenAPI和社区原生API。 提供Kubectl插件和社区原生Kubectl工具。 模板工具 云容器引擎集成了Helm标准模板。CCE基于Kubernetes Helm标准的模板提供统一的资源管理与调度，高效地实现了模板的快速部署与后期管理，大幅简化了Kubernetes资源的安装管理过程。 弹性伸缩 CCE支持集群节点、工作负载的弹性伸缩，支持手动伸缩和自动弹性伸缩，并可以自由组合多种弹性策略以应对业务高峰期的突发流量浪涌。 权限管理 云容器引擎的权限管理是在统一身份认证服务（IAM）与Kubernetes的角色访问控制（RBAC）的能力基础上，打造的细粒度权限管理功能，支持基于IAM的细粒度权限控制，支持集群级别、命名空间级别的权限控制，帮助用户便捷灵活的对租户下的IAM用户、用户组设定不同的操作权限。

本章节主要介绍媒体存储存储桶基础操作的操作方式。 列举存储桶 通过列举桶方式，用户可查看某个存储区域已创建的桶列表。 使用方式 操作途径 使用方式 控制台 登录控制台后，进入【对象存储Bucket列表】菜单页，点击对应的存储区域获取存储桶列表。 SDK 媒体存储支持多种语言SDK，请从SDK概览页面选择进入对应的开发指南查阅。 原生接口 可参考：列举桶列表。 XstorBrowser 通过使用Endpoint、AccessKey、SecretAccessKey登录后即会展示该账户下所有的桶。 查看存储桶基础信息 通过查看存储桶基础信息，用户可以获取到已创建桶的基础信息，如访问域名，存储桶ACL等基础信息。 使用方式 操作途径 使用方式 控制台 可参考：基础信息查看。 SDK 媒体存储支持多种语言SDK，请从SDK概览页面选择进入对应的开发指南查阅。 原生接口 可参考：获取桶信息。 XstorBrowser 可参考：查看桶的基本信息。 删除存储桶 通过删除桶方法，用户可选择删除不需要的桶。

本节介绍了为业务同时部署DDoS高防（边缘云版）和Web应用防火墙（边缘云版）的操作步骤。 使用场景 如果您的网站既需要进行流量型DDoS攻击的防护，同时也需要对精巧的Web应用层攻击时进行防御。使用单一的防护产品可能无法起到全面的防护效果，您可以在DDoS高防（边缘云版）的基础上，叠加Web应用防火墙（边缘云版）进行联合防御。 Web应用防火墙（边缘云版）依托天翼云的云安全节点形成云安全网络，结合云端大数据分析平台，为用户提供应对Web 攻击、入侵、漏洞利用、挂马、篡改、后门、爬虫等防护。 配置前提 已分别开通DDoS高防（边缘云版）及Web应用防火墙（边缘云版）。 网站域名需完成ICP备案，并需要持续维护其有效性。 说明 若您抗DDoS攻击的重要性显著高于加速需求，请先在DDoS高防（边缘云版）控制台新增域名，再到Web应用防火墙（边缘云版）新增域名，该添加顺序会优先使用天翼云高防DDoS节点进行域名防护。 业务流程 由于DDoS高防（边缘云版）及Web应用防火墙（边缘云版）采用统一的边缘云网络架构和底座，无需重复进行网站接入配置，并且也无需考虑不同产品串联时网络层转发的顺序问题，需注意防护配置的生效顺序：DDoS高防（边缘云版）优先于Web应用防火墙（边缘云版）。 （非统一架构的产品叠加，需确定不同产品之间网络层转发顺序，如先经过DDoS高防再经过Web应用防火墙，那么DDoS的高防的回源地址需与Web应用防火墙的接入地址相匹配，而不能直接配置为源站地址。非统一架构的产品叠加会增加网络配置复杂度。）

总结 开源 RabbitMQ 不提供原生延时语义 可通过两种方式实现延时消息能力： 死信队列 + TTL：通用、稳定，但灵活性有限 延时消息插件：精度高、使用简单，但依赖部署环境 实际选型需综合考虑： 延迟精度要求 运维复杂度 消息规模与资源成本

通过在服务器端安装轻量级的Agent进行安全监测和防护,监测数据由天翼云专业安全团队以报告的形式定期发送给客户,并对入侵等高危情况进行实时邮件通知,从而客户可以及时全面的了解服务器的安全状态,将安全从传统的安全事件防护变成一项持续安全响应和处理过程。功能涵盖弱口令检测、软件漏洞检测、防暴力破解、web后门、shell检测等多个维度,实现服务器安全的持续纵深保护。

限制功能 说明 IP黑白名单 当前基于请求云原生网关的网络层IP进行黑白名单管控，对于使用ELB的场景，网关看到的网络层IP是ELB的出口IP。后续会优化该功能，支持基于XForwardedFor中的IP进行管控的能力。

参数 参数 描述 n LUNNAME 或name LUNNAME 指定克隆卷名称。 取值：字符串形式，长度范围是1~16，只能由字母、数字和短横线（）组成，字母区分大小写，且仅支持以字母或数字开头。 s SNAPSHOTNAME 或snapshot SNAPSHOTNAME 指定克隆卷关联的快照名称。 取值：字符串形式，长度范围是1~256，只能由字母、数字、短横线( )、下划线( )组成，字母区分大小写，且仅支持以字母或数字开头。 t TARGETNAME 或 target TARGETNAME 指定克隆卷关联的iSCSI target名称，可以跟源卷的iSCSI target不同。 取值：字符串形式，长度范围1~16，只能由小写字母、数字、句点(.)和短横线()组成，且仅支持以字母或数字开头。 说明 创建卷时，如果指定的iSCSI target名称不存在，那么同时创建iSCSI target，新创建iSCSI target的回收策略默认为Delete。 p CAPACITY 或 capacity CAPACITY 指定克隆卷的容量。 取值：整数形式，数字后面可以输入单位简写G/g、T/t或P/p，分别代表GiB、TiB、PiB，如果不输入，默认为GiB。 如果单位是GiB，取值为[1, 1048576]。 如果单位是TiB，取值为[1, 1024]。 如果单位是PiB，取值为1。 默认为快照时刻的源卷容量，如果重新设置，则必须大于等于快照时刻的源卷的容量。 priority SERVERID & 指定克隆卷主备分布优先级的服务器ID（仅集群版支持），系统会根据指定的服务器ID顺序来选择卷的主备IQN。可以指定一个或者多个服务器ID，以英文逗号分开。 前置条件：iSCSI target名称已经存在，且指定的服务器必须是iSCSI target所在的服务器。 autofailback AUTOFAILBACK 是否根据指定的克隆卷主备分布优先级自动进行主备切换（仅集群版支持），即针对克隆卷主备状态，当高优先级的服务器恢复正常后，是否自动进行主备状态切换。 取值： Enabled：自动进行主备切换。 Disabled：不自动进行主备切换。 默认值为Enabled。 pool POOL 指定存储池（仅集群版支持）。默认值与源卷的配置一致。 注意 POOL 与CACHEPOOL不能设置为同一个存储池。 当克隆卷的POOL 与CACHEPOOL 配置与源卷一致，无需额外设置。若单独设置了克隆卷的POOL 或CACHEPOOL ，则不再沿用源卷的POOL 和CACHEPOOL ，而是采用所设参数值。例如，源卷同时有CACHEPOOL 和POOL ，若克隆卷仅重新设置了POOL 而未设置CACHEPOOL ，则克隆卷仅使用新设置的POOL ，无CACHEPOOL ；反之，若克隆卷设置了CACHEPOOL ，则必须同时设置POOL ，或者让POOL使用基础存储池。 cachepool CACHEPOOL 指定缓存存储池（仅集群版支持）。默认值与源卷的配置一致。 注意 POOL 与CACHEPOOL不能设置为同一个存储池。 当克隆卷的POOL 与CACHEPOOL 配置与源卷一致，无需额外设置。若单独设置了克隆卷的POOL 或CACHEPOOL ，则不再沿用源卷的POOL 和CACHEPOOL ，而是采用所设参数值。例如，源卷同时有CACHEPOOL 和POOL ，若克隆卷仅重新设置了POOL 而未设置CACHEPOOL ，则克隆卷仅使用新设置的POOL ，无CACHEPOOL ；反之，若克隆卷设置了CACHEPOOL ，则必须同时设置POOL ，或者让POOL使用基础存储池。 a HIGHAVAILABILITY或 ha HIGHAVAILABILITY 指定克隆卷的高可用类型（仅集群版支持）： 取值： ActiveStandby（as）：启用主备，该卷关联对应target下的所有IQN。 Disabled（off）：不启用主备，该卷关联对应target下的1个IQN。客户端连接该类型的卷的方法可以参见Windows 客户端–单机版、Linux 客户端 – 单机版。 默认值为源卷的高可用类型。 c LOCALSTORAGECLASS 或 localstorageclass LOCALSTORAGECLASS 指定克隆卷的冗余模式（仅集群版支持）。 注意 如果设置了克隆卷的minreplica MINREPLICA 或redundancyoverlap REDUNDANCYOVERLAP，则必须同时指定该参数。 取值： singlecopy：单副本。 2copy：两副本。 3copy：三副本。 EC N +M：纠删码模式。其中N、M为正整数，N≥M，且N+M≤128。表示将数据分割成N个片段，并生成M个校验数据。 默认值为源卷的卷冗余模式。 说明 以下场景均为集群可用的前提下： 创建EC N+M的卷后： 卷所在存储池可用故障域数量大于等于卷的最小副本数时，可以向卷中写数据。卷所在存储池可用故障域数量小于最小副本数时，不能向卷写数据，且系统会产生告警。 卷所在存储池可用故障域数量大于等于N+M，卷数据正常，不会产生降级。卷所在存储池可用故障域数量处于[N, N+M），卷数据将处于降级状态，建议尽快添加或修复故障域。卷所在存储池可用故障域数量小于N时，已写入的数据发生损毁。 创建副本模式的卷后： 卷所在存储池可用故障域数量大于等于卷的最小副本数时，可以向卷中写数据。卷所在存储池可用故障域数量小于最小副本数时，不能向卷写数据，且系统会产生告警。 卷所在存储池可用故障域数量大于等于副本数，卷数据正常，不会产生降级。对于两副本、三副本卷，卷存储池所在故障域大于等于1，但小于副本数时，卷数据将处于降级状态，建议尽快添加或修复存储池故障域。卷所在存储池无可用故障域时，已写入的数据发生损毁。 minreplica MINREPLICA 指定克隆卷的最小副本数（仅集群版支持）。 对于副本模式的卷，假设卷副本数为X，最小副本数为Y（Y必须≤X），该卷每次写入时，至少Y份数据写入成功，才视为本次写入成功。对于EC N+M模式的卷，假设该卷最小副本数设置为Y（必须满足N≤Y≤N+M），必须满足总和至少为Y的数据块和校验块写入成功，才视为本次写入成功。 注意 如果指定该参数，则必须指定克隆卷的localstorageclass LOCALSTORAGECLASS。 取值： 如果没有指定克隆卷的localstorageclass LOCALSTORAGECLASS：默认值为源卷的最小副本数。 如果指定了克隆卷的localstorageclass LOCALSTORAGECLASS：对于副本卷，取值范围是[1, N]，N为副本模式卷的副本数，默认值为1；对于EC卷，取值范围是[N, N+M]，默认值为N。 redundancyoverlap REDUNDANCYOVERLAP 指定克隆卷的折叠副本数（仅集群版支持）。在数据冗余模式下，同一份数据的不同副本/分片默认分布在不同的故障域，当故障域损坏时，允许根据卷的冗余折叠原则，将多份数据副本放在同一个故障域中，但是分布在不同的path上。 注意 如果存储池故障域级别为path，此参数不生效。如果指定该参数，则必须指定克隆卷的localstorageclass LOCALSTORAGECLASS。 取值： 如果没有指定克隆卷的localstorageclass LOCALSTORAGECLASS：默认值为源卷的折叠副本数。 如果指定了克隆卷的localstorageclass LOCALSTORAGECLASS：对副本模式，取值范围是[1，副本数]；对于EC卷，取值范围是[1, N+M]。默认值为1。 ecfragmentsize ECFRAGEMENTSIZE 指定克隆卷的纠删码模式分片大小。卷冗余模式为EC模式时，此设置才生效，否则忽略。 取值：1、2、4、8、16、32、64、128、256、512、1024、2048、4096，单位是KiB。默认值为源卷的纠删码模式分片大小。 o SECTORSIZE 或 sectorsize SECTORSIZE 指定克隆卷的扇区大小。 取值：512、4096，单位是bytes。默认值为源卷的扇区大小。 说明 扇区大小的选取：根据自身业务场景，一般情况下，单次I/O操作的数据大小大于或接近4 KiB，则推荐选择4096；单次I/O操作的数据大小接近512 bytes，则推荐选择512。如果对接VMware等虚拟化平台，则推荐选择512 bytes。 w WRITEPOLICY 或 writepolicy WRITEPOLICY 克隆卷的写策略： WriteBack（wb）：回写，指数据写入到内存后即返回客户端成功，之后再异步写入磁盘。适用于对性能要求较高，稳定性要求不高的场景。 WriteThrough（wt）：透写，指数据同时写入内存和磁盘，并在都写成功后再返回客户端成功。适用于稳定性要求较高，写性能要求不高，且最近写入的数据会较快被读取的场景。 WriteAround（wa）：绕写，指数据直接写到磁盘，不写入内存。适用于稳定性要求较高，性能要求不高，且写多读少的场景。 默认为源卷的写策略。 P PATH 或 path PATH 指定存储克隆卷数据的数据目录（仅单机版支持）。 取值：只能包含字母、数字、汉字和特殊字符(~ ! @ $ ( ) + ; . :)。 如果创建克隆卷时不指定数据目录，默认与源卷配置保持一致。

解绑ELB 1. 进入微服务引擎MSE控制台； 2. 在顶部菜单栏选择资源池； 3. 单击左侧导航栏云原生网关 > 网关列表 ； 4. 您可以在网关列表页单击需要查看的网关实例ID或者 实例名称 ，也可以单击操作列中的管理按钮； 5. 在网关详情页下方网关入口ELB列表区域，您可以单击操作列 解绑ELB ；

专属的云容器引擎服务，用户独享容器资源，提供高可靠高性能的企业级容器应用管理服务，支持Kubernetes社区原生应用和工具，简化云上自动化容器运行环境搭建。 请联系专属客户经理提交开通申请，或拨打天翼云客服电话4008109889

四、云主机错误状态解决方案 1. 网络错误的解决方案 对于网络错误，可以通过以下步骤来解决：首先检查网络设备是否正常工作；其次检查网络连接是否正常；最后检查网络配置是否正确。如果以上步骤都无法解决问题，可以考虑联系网络管理员或运营商寻求帮助。 2. 服务器错误的解决方案 对于服务器错误，可以通过以下步骤来解决：首先检查服务器硬件设备是否正常工作；其次检查服务器软件是否正常工作；最后检查服务器资源是否充足。如果以上步骤都无法解决问题，可以考虑联系服务商或技术支持团队寻求帮助。 3. 应用程序错误的解决方案 对于应用程序错误，可以通过以下步骤来解决：首先检查应用程序是否存在代码错误；其次检查应用程序的配置是否正确；最后检查应用程序是否与操作系统或其他软件兼容。如果以上步骤都无法解决问题，可以考虑联系应用程序开发者或技术支持团队寻求帮助。

使用方式 支持的使用方式 参考文档 控制台 可参考：生命周期。 SDK 媒体存储支持多种语言SDK，请从SDK概览页面选择进入对应的开发指南查阅。 原生接口 可参考：生命周期。

测试规格 并发数 TPS QPS 基础版12C24G 64 2239 44798 基础版12C24G 1024 3289 65785 中级版24C48G 64 2754 55093 中级版24C48G 1024 3438 68762 高级版48C96G 64 3186 63739 高级版48C96G 1024 4615 92318

本小节介绍管理告警白名单。 白名单管理提供告警白名单的展示与删除功能，用户可以通过配置告警白名单避免大量告警误报的发生，提升安全事件告警质量。 告警白名单用于忽略告警，把当前告警事件加入告警白名单后，当再次发生相同的告警时不再进行告警。 在“安全告警事件”页面处理告警事件时，如果告警为误报，您可以将告警加入告警白名单。告警加入白名单后，后续主机安全平台不会再对该事件进行告警和统计。 约束限制 需开启旗舰版、网页防篡改版、容器版任一防护版本。 添加告警白名单 添加方式 说明 加入告警白名单 处理告警事件时，将告警事件加入到告警白名单。 以下类型的告警事件加入“告警白名单”： 反弹Shell 勒索软件 恶意程序 Webshell 进程异常行为 进程提权 文件提权 高危命令执行 恶意软件 关键文件变更 文件/目录变更 异常Shell Crontab可疑任务 非法系统帐号 一般漏洞利用 查看告警白名单 加入告警白名单后，您可以查看已添加的告警白名单，操作步骤如下所示。 1、登录管理控制台。 2、在页面左上角单击 ，选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、在左侧导航树中，选择“入侵检测 > 白名单管理”，进入“白名单管理”页面。 4、选择“告警白名单”页签，查看已添加的告警白名单列表，参数说明如表79所示。 告警白名单列表参数说明 参数名称 参数说明 告警类型 白名单的告警类型名称。 SHA256 目标文件哈希。 路径 服务器文件路径。 数据来源 目标白名单的来源方式。

本章节介绍应用容灾多活的计费模式、计费项目与计费规则。 计费说明 应用容灾多活当前处于公测阶段，公测期间暂不收取费用。 注意 本产品计费不包括云原生网关、注册配置中心、数据传输服务等关联产品的费用，您需要为这些产品服务付费。