本章节为您介绍如何配置云堡垒机（原生版）应用发布服务器。 应用发布服务器的主要作用是将应用程序部署到生产环境，使其能够对外提供服务，同时通过版本管理、自动化测试等功能保障应用稳定运行。 安装服务器 本文以Windows 2016版本为例。 1.使用管理员账号登录服务器。 2.打开“服务器管理器”，选择“仪表板”，进入仪表板界面。 3.单击“添加角色和功能”，打开“添加角色和功能向导”窗口，根据向导指示，逐步单击“下一步”操作。 4.选择基于角色或基于功能的安装。 5.选择服务器池中选择目标服务器。 6.在服务器角色窗口中，勾选“Active Directory域服务” 、“DNS服务器” 、“远程桌面服务”三个角色项。 7.（可选）选择服务器所需要的其它功能，默认下一步跳过。 8.选择“远程桌面服务 > 角色服务”，进入选择远程桌面角色服务窗口，勾选“Remote Desktop Session Host”、“远程桌面连接代理”、“远程桌面授权”、“远程桌面网关”、“远程桌面Web访问”角色服务项。 9.（可选）选择“Web服务器角色（IIS） > 角色服务”，进入选择网络策略和访问角色服务窗口，按默认选项执行。 10.（可选）选择“网络策略和访问服务 ”，进入选择网络策略和访问服务窗口，默认勾选“网络策略服务器”选项。 11.确认配置选择，单击“安装”，请耐心等待安装进度完成。 12.安装进度结束后，单击“关闭”并重启应用发布服务器，即服务器角色安装完成。

本节介绍如何配置API安全的策略，包括自定义业务用途规则、自定义API生命周期判定标准。 配置业务用途 业务用途用于标识API的用途，您可以根据业务需要，创建自定义业务用途，并对策略状态进行管理。 新增业务用途规则 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“API安全 > 策略配置”，进入API策略配置页面。 5. 在“业务用途”模块，单击右下角的“配置”，进入业务用途配置页面。 6. 在业务用途配置页面，单击“新增策略配置”，进入新建业务用途规则页面。 7. 在新建业务用途规则页面，配置业务用途规则参数，配置完成后，单击“确定”。 业务用途规则参数说明如下： 参数 说明 业务用途 自定义业务用途的名称，长度为210字符。名称不允许重复，不允许以“默认”命名。 匹配条件 支持输入匹配条件对特征进行匹配： 匹配字段：支持请求路径、请求参数、请求HOST、请求方法、响应内容类型五个字段。 逻辑符：支持“正则匹配”。 最多支持5个条件，多个条件之间为或关系。 优先级 请输入1~100的整数，数字越大，代表这条规则的优先级越高。若配置的优先级数字相同，则创建时间越晚，优先级越高。

CSRF防护的方式 验证码 CSRF攻击的过程，往往是在用户不知情的情况下构造了网络请求，验证码则强制用户必须与应用进行交互才能完成最终请求。但基于使用体验，网站不会给所有的操作都加上验证码。 验证HTTP Referrer字段 根据 HTTP 协议，HTTP 头部中Referrer字段记录了该 HTTP 请求的来源地址。 比如一个论坛发帖的操作，在正常境况下需要先访问有发帖功能的页面，在提交发帖的表单时，Referrer值必然是发帖表单所在的页面。如果Referrer的值不是这个页面，甚至不是发帖网站的域，则极有可能是CSRF攻击。 请求中添加token并验证 在请求中放入黑客所不能伪造的信息，并且该信息不存在于Cookie 之中。可以在HTTP 请求中以参数的形式加入一个随机产生的token，并在服务器端建立一个拦截器来验证这个token，如果请求中没有token 或者token 内容不正确，则认为可能是CSRF 攻击而拒绝该请求。 前提条件 已经订购边缘安全加速平台安全与加速服务，若未订购，请参见服务开通。 在控制台新增域名，请参见添加服务域名。 开通套餐为高级版及以上版本，支持CSRF防护功能。 操作步骤 1. 登录边缘安全加速平台控制台。 2. 在左侧导航栏中选择【安全能力】，进入【Web应用防火墙】菜单，并在左侧域名列表选择您要防护的域名。 3. 进入防护能力高级安全防护【CSRF防护】详细设置页。

本文介绍应用托管的创建独享资源应用实例功能。 创建自定义应用实例 操作步骤 1. 登录应用托管控制台，在左侧导航栏单击【应用实例】，点击【创建应用实例】按钮。 2. 应用配置：选择自定义应用，输入实例名称。 3. 资源配置：资源类型选择【独享资源】，选择资源组进行应用部署。 4. 参数配置： 参数名称 参数说明 Helm chart地址 指定Helm Chart的存储位置。如果您的Helm Chart存放在私有仓库中，需要进行授权设置 命名空间 制定应用部署的命名空间 chart values 自定义Helm Chart的配置参数，根据实际需求调整各个参数，如镜像版本、副本数量、服务类型等 超时等待时间 定义Helm部署过程中拉取Chart的最大等待时间 5. 完成以上配置，并勾选协议点击【部署应用】后，完成实例的创建。

本章节为您介绍如何配置云堡垒机(原生版)应用发布服务器。 应用发布服务器的主要作用是将应用程序部署到生产环境，使其能够对外提供服务，同时通过版本管理、自动化测试等功能保障应用稳定运行。 安装服务器 本文以Windows 2016版本为例。 1. 使用管理员账号登录服务器。 2. 打开“服务器管理器”，选择“仪表板”，进入仪表板界面。 3. 单击“添加角色和功能”，打开“添加角色和功能向导”窗口，根据向导指示，逐步单击“下一步”操作。 4. 选择“基于角色或基于功能的安装”。 5. 在服务器池中选择目标服务器。 6. 在服务器角色窗口中，勾选“Active Directory域服务” 、“DNS服务器” 、“远程桌面服务”三个角色项。 7. （可选）选择服务器所需要的其它功能，默认下一步跳过。 8. 选择“远程桌面服务 > 角色服务”，进入选择远程桌面角色服务窗口，勾选“Remote Desktop Session Host”、“远程桌面连接代理”、“远程桌面授权”、“远程桌面网关”、“远程桌面Web访问”角色服务项。 9. （可选）选择“Web服务器角色（IIS） > 角色服务”，进入选择网络策略和访问角色服务窗口，按默认选项执行。 10. （可选）选择“网络策略和访问服务 ”，进入选择网络策略和访问服务窗口，默认勾选“网络策略服务器”选项。 11. 确认配置选择，单击“安装”，请耐心等待安装进度完成。 12. 安装进度结束后，单击“关闭”并重启应用发布服务器，即服务器角色安装完成。

本节介绍云等保专区产品的定义及架构。 云等保专区是满足等保合规2.0云原生安全合规平台。云等保专区提供安全统一管理、传输安全、计算环境安全等安全合规能力，实现统一管理、统一运营，整体上降低等保建设难度和日常管理运营复杂度。 本产品为满足等保合规，提供一揽子安全原子能力，包括云安全中心、主机安全、Web应用防火墙、下一代防火墙、堡垒机、漏洞扫描、日志审计、数据库审计、数据分类分级、数据脱敏与水印，实现安全原子能力统一管理、统一运营，为用户侧等保合规需求提供便捷下单、自动化部署的能力。 产品架构 如下图所示，云等保专区产品基于天翼云基础设施资源，利用云原生安全技术，融合了堡垒机、Web应用防火墙（WAF）、日志审计、数据库审计、漏洞扫描、防火墙、主机安全、云安全中心，为用户提供一站式等保防护能力。 对于云上租户来说，每个用户的安全能力都是部署在独立的用户VPC中，这样将原子能力最小化的架构能够最大限度地保障用户的数据安全，同时也能满足不同用户的安全防护诉求，用户可基于自己的安全诉求，进行不同安全策略的设置。

海光计算增强型 海光计算增强型hc1搭载Hygon C86处理器，云主机实例独享CPU，提供更稳定的CPU性能以及更优秀的网络性能，对业务稳定性提供更好支持。为保证云主机的最佳性能，目前采用CPU亲和策略，宿主机中部分CPU与内存可能会存在碎片化情况。为保证资源更充分利用，可开通规格推荐搭配请咨询客户经理。 海光计算增强型hc1适用于对计算与网络有更高性能要求的Web应用、电商平台、短视频平台、在线游戏、保险金融等各类应用。 宿主机规格： 宿主机规格 超配比 CPU信息 虚拟CPU核数（vCPUs） 内存（GB） 海光计算增强型hc1 不可配置，仅支持1:1 Hygon 7285，2.0GHz Hygon 7380，2.2GHz 104 651 海光计算增强型hc1 不可配置，仅支持1:1 Hygon 7285，2.0GHz Hygon 7380，2.2GHz 104 399 说明 计算专属云规格中的vCPUs计算公式：vCPUs槽位数 CPU核数 单核线程数 CPU开销。 由于实际部署的主机网络功能的软件版本差异，宿主机可用量可能存在少量误差。 支持的弹性云主机规格： 规格名称 vCPU 内存（GB） 最大带宽/基准带宽（Gbps） 最大收发包能力（万PPS） 网卡多队列数 hc1.large.2 2 4 2/0.5 20 1 hc1.large.4 2 8 3/0.8 30 2 hc1.xlarge.2 4 8 5/1.5 50 2 hc1.xlarge.4 4 16 7/3 80 4 hc1.2xlarge.2 8 16 9/4.5 110 4 hc1.2xlarge.4 8 32 12/6 140 4 hc1.4xlarge.2 16 32 15/8.5 200 8 hc1.4xlarge.4 16 64 18/10 260 8 hc1.8xlarge.2 32 64 25/16 350 16 hc1.8xlarge.4 32 128 30/20 400 16

Spring是一款主流的Java EE轻量级开源框架，面向服务器端开发设计。近日，Spring框架被曝出可导致RCE远程代码执行的漏洞，该漏洞攻击面较广，潜在危害严重，对JDK 9及以上版本皆有影响。本章节介绍Java Spring框架远程代码执行高危漏洞的最佳防护实践。 漏洞名称 Spring框架RCE 0day安全漏洞 影响范围 JDK 9及以上。 使用了Spring框架或衍生框架。 防护建议 步骤 1 申请WAF独享引擎。 步骤 2 将网站域名添加到WAF中并完成域名接入，详细操作请参见网站接入WAF。 步骤 3 将Web基础防护的状态设置为“拦截”模式，详细操作请参见配置Web基础防护规则。 说明 目前，该漏洞存在两种攻击payload，是否开启“header全检测”根据攻击payload的方式而定： 第一种是通过在参数提交中携带攻击载荷。此时，“header全检测”可以不开启拦截。 第二种是在header自定义字段中携带攻击载荷。此时，“header全检测”必须开启拦截模式，才可以拦截此类攻击。 第二种攻击方式对第一种有依赖，所以是否要开启“header全检测”，您可以根据您的业务需求进行选择。

网络 分类 服务 命名空间 维度 监控指标参考文档 ::::: 网络 弹性公网IP和带宽 SYS.VPC · Key：publicipid Value：弹性公网IP ID · Key：bandwidthid Value：带宽ID 弹性公网IP和带宽的监控指标说明 网络 弹性负载均衡 SYS.ELB · Key：lbaaspoolid Value：后端主机组的ID · Key：lbaasinstanceid Value：独享/共享型负载均衡器的ID · Key：lbaaslistenerid Value：独享/共享型负载均衡监听器的ID 弹性负载均衡的监控指标说明 网络 NAT网关 SYS.NAT · Key：natgatewayid Value：NAT网关实例标识 · Key：vpcnatgatewayid Value：私网NAT实例标识 NAT网关的监控指标说明 企业中间件 分类 服务 命名空间 维度 监控指标参考文档 ::::: 企业中间件 分布式消息服务 SYS.DMS 请参考右侧相关文档链接页面。 分布式消息服务Kafka版的监控指标 分布式消息服务RoabbitMQ版的监控指标 分布式消息服务RocketMQ版的监控指标

Web防护支持的QPS上限是多少？ 边缘安全加速平台提供的Web防护基于边缘节点，并且结合智能调度，支持动态调整边缘节点，无缝扩展QPS 防护能力，可达亿级别规模。 并依托天翼云的云安全节点形成云安全网络，结合云端大数据分析平台，为用户提供应对 Web 攻击、入侵、漏洞利用、挂马、篡改、后门、爬虫、域名劫持等网站及 Web 业务安全防护问题，从而保障网站安全。区别于传统WAF需要在源站前端部署，Web应用防火墙把安全能力赋能在所有边缘节点。 利用分布式节点部署使计算能力更强，有效降低源站计算压力，提升了用户访问质量的同时保护了源站数据的安全。 CC防护支持的QPS上限是多少？ 边缘安全加速平台提供的CC防护能力不限制QPS上限。

比较项 Redis 5.0 （基础版） Redis 6.0 Redis 7.0 Redis 2.8 / 4.0 / 5.0 (经典版) 兼容开源版本 Redis 5.0 兼容开源5.0.5版本 Redis 6.0兼容开源6.2.12版本 Redis 7.0兼容开源7.0.14版本 Redis 5.0 兼容开源5.0.5版本 实例类型 单机、主备 Cluster单机、Cluster主备 单机、主备 Cluster单机、Cluster主备读写分离 单机、主备 Cluster单机、Cluster主备 读写分离 单机、主备 集群单机、集群主备 版本类型 基础版 基础版、增强版 基础版、增强版 经典版 实例部署模式 云主机 云主机 云主机 云主机 QPS 单节点约10万QPS 基础版单节点约10万QPS 增强版单节点约22万~30万QPS 基础版单节点约10万QPS 增强版单节点约22万~30万QPS 单节点约10万QPS 公网访问 支持 支持 支持 支持 域名连接 支持 支持 支持 支持 可视化数据管理 提供Web CLI访问Redis，管理数据 提供Web CLI访问Redis，管理数据 提供Web CLI访问Redis，管理数据 提供Web CLI访问Redis，管理数据 离线全量key分析 支持 支持 不支持 支持 账号管理 不支持 支持 支持 仅集群支持 SSL管理 不支持 仅基础版支持 仅基础版支持 不支持 扩容/缩容 支持 支持 支持 支持 实例数据迁移 支持 支持 支持 支持 支持多数据库（DB） Cluster集群仅支持1 其他256 Cluster集群仅支持1 其他256 Cluster集群仅支持1 其他256 支持256 备份恢复 支持 支持 支持 支持

关系数据库MySQL版主备实例规格及价格对应。 说明 天翼云关系数据库MySQL版对Ⅰ类型资源池和Ⅱ类型资源池的价格有所区分。 本次价格调整及包年折扣变更主要针对Ⅱ类型资源池的主机资源，将分为通用型和独享型两种类型，两种类型价格不同，独享型包含计算增强型和内存优化型。 存储、备份资源价格及优惠维持不变。 Ⅰ类型资源池价格及优惠维持不变，不区分类型。 部分Ⅱ类型资源池已加载国产化处理器，相关价格见下方说明。 具体资源池类型请见 Ⅱ类型资源池 天翼云提供了多种规格的MySQL主备实例，区分通用型和独享型（独享型包含计算增强型和内存优化型）。 通用型价格 CPU（核） 内存（GB） 按需标准价格(元/小时) 包月标准价格(元/月) 2 4 0.83 406 2 8 1.07 520 4 8 1.65 805 4 16 2.05 1000 8 16 3.24 1575 8 32 4.11 2000 16 32 5.95 2897 16 64 7.74 3768 32 64 11.68 5684 32 128 15.95 7761 包年预付费优惠政策：1年65折，2年55折，3年45折，4年35折，5年3折。

本章节介绍如何部署C100版本云防火墙（原生版）。 本最佳实践基于天翼云云防火墙C100 典型部署方案，旨在通过标准化的规划、部署、管控及运维流程，确保云防火墙高效落地，实现对互联网入访、内网出访、VPC 间互访、VPC 与云专线互访的全流量安全防护，同时规避网络架构冲突、流量绕开防护等风险，保障业务稳定运行。 前期规划 前期规划重点明确VPC架构与子网划分，避免后续部署冲突。 VPC 规划 规划原则：按功能隔离，减少干扰。 某场景下，网络部门根据业务属性与防护需求，划分独立VPC，各VPC功能如下，避免跨功能混用： VPC 名称 核心功能 关联组件 vpc1/vpc2 业务承载 业务子网、私网ELB、后端 ECS（无EIP，通过 NAT出访） vpccfw 仅用于云间高速流量的引流，不是防火墙所在VPC GWLBE子网、IPv4网关（仅部署防火墙相关引流与转发组件，不承载业务） （可选）vpcnat NAT网关专属 NAT网关子网（若需进一步隔离NAT功能，可单独创建，小型场景可复用vpc1/vpc2） （可选）vpcsec 安全产品专属 云等保专区、WAF等安全组件（安全产品独立VPC更易管控）

版本 域名/IP个数 扫描次数 单个任务时长 任务优先级 单用户并发扫描数 基础版 Web漏扫：包含5个二级域名或IP:端口。 Web漏扫：5个域名每日总共可以扫描5次。 2小时 低 默认Web漏扫最大并发为1个域名。 专业版 Web漏扫：包含1个二级域名或IP:端口。 主机漏扫：包含20个IP地址。 无限制 高 默认Web漏扫最大并发为3个域名。 默认主机漏扫最大并发为5个IP。 高级版 Web漏扫：默认包含1个一级域名（不限制下属二级域名个数）/IP（不限制端口个数）。 主机漏扫：不限制IP地址个数。 无限制 高 默认Web漏扫最大并发为5个域名。 默认主机漏扫最大并发为10个IP。

本节主要介绍怎么进入初始化页面。 1. 使用WEB浏览器访问： :PORT。 参数 描述 SERVERIP 安装HBlock的服务器IP。 确保该服务器能够被您访问到，只有WEB客户端和被访问服务器在同一局域网内，SERVERIP才能使用服务器的内网IP。 PORT 安装时配置的WEB端口号，如果未配置，默认为2443。 2. 选择HBlock的部署方式：单机版、集群版。 单机版 ：单机版只需要一台服务器即可完成HBlock的部署。 集群版：集群版需要至少三台服务器，才能完成HBlock的部署。如您选择集群版部署，请确认集群内的服务器都已完成了HBlock的安装，并且可以相互访问。

本文为您介绍如何将网站域名接入Web应用防火墙（原生版）实例。 使用CNAME接入方式接入云WAF前，先要添加需要防护的域名。本文介绍如何将要防护的域名添加到云WAF。 前提条件 已购买WAF云SaaS型实例，且当前实例支持接入的域名数量未超过限制。 您必须先为域名完成ICP备案，才可以将网站接入WAF进行防护。如何备案请参见新增备案。 说明 根据《非经营性互联网信息服务备案管理办法》第五条规定：在中华人民共和国境内提供非经营性互联网信息服务，应当依法履行备案手续。未经备案，不得在中华人民共和国境内从事非经营性互联网信息服务。本办法所称在中华人民共和国境内提供非经营性互联网信息服务，是指在中华人民共和国境内的组织或个人利用通过互联网域名访问的网站或者利用仅能通过互联网IP地址访问的网站，提供非经营性互联网信息服务。第十九条规定：互联网接入服务提供者应当记录其接入的非经营性互联网信息服务提供者的备案信息。 操作步骤 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 进入到云WAF控制台，在左侧导航栏选择“接入管理”，默认进入“域名接入”页签。 5. 点击“添加防护对象”进入防护对象信息配置页，依次配置“防护对象”、“服务器配置”、“代理情况”、“负载均衡策略”等信息。 配置项说明如下： 配置项 说明 防护对象 填写网站域名，可添加精确域名和泛域名： 精确域名：支持多级别精确域名，例如主域名ctyun.cn、子域名www.ctyun.cn等。 泛域名：支持使用泛域名格式，例如.ctyun.cn可以匹配www.ctyun.cn、test.ctyun.cn。 说明 使用泛域名后，WAF将自动匹配该泛域名对应的所有子域名，例如，.ctyun.cn能够匹配www.ctyun.cn、test.ctyun.cn等。 泛域名不支持匹配对应的主域名，例如.ctyun.cn不能匹配ctyun.cn。 如果同时存在精确域名和泛域名，则精确域名的转发规则和防护策略优先生效。 添加的域名必须通过工信部ICP备案，若未备案则无法添加。 防护对象名称 自定义防护网站的显示名称。 服务器配置 单击“添加一个服务器端口组”，弹出新增服务器端口组窗口。 选择网站使用的协议类型以及对应的转发服务端口： 协议类型：HTTP/HTTPS。 端口：选中协议后，系统会对应设置默认端口，HTTP协议默认为80端口，HTTPS协议默认为443端口。 用户也可自定义选择其他端口，可选类型： 标准端口：80、8080；443、8443。 非标端口：除以上标准端口以外的端口。 说明 如果防护域名使用非标准端口，请查看WAF支持的端口。 WAF通过此处添加的端口为网站提供流量的接入与转发服务，网站域名的业务流量只通过已添加的服务端口进行转发。对于未添加的端口，WAF不会转发任何该端口的访问请求流量到源站服务器，因此这些端口的启用不会对源站服务器造成任何安全威胁。 源站地址：设置网站的源站服务器地址，支持IP地址格式和域名（如CNAME）格式。完成接入后，WAF将过滤后的访问请求转发到此处设置的服务器地址。设置说明如下： IP地址格式：填写源站的公网IP地址。需要为公网可达的IP地址。 最多支持添加40个源站IP或服务器域名。 支持同时配置IPv4和IPv6地址。 域名格式：一般对应该域名在DNS服务商处配置的CNAME。使用域名格式时， WAF会将客户端请求转发到回源域名解析出来的IP地址。 权重：当负载均衡算法为“加权轮询”时生效，所有请求将此处配置的权重轮流分配给源站服务器，权重越大，回源到该源站的几率越高。 不输入则视同为最低权重1。 当输入值为0时，业务不会回源到该站点。 取值范围：0~100的正整数。 说明 当健康检查发现站点出现问题时，剩余站点将按照剩余配置权重进行动态比例变化后的结果进行回源转发，节点回源请求比例节点权重/所有权重之和。 若设置多个权重为0的节点，仅会回源至列表上第一个权重为0的节点。 所有站点全部健康检查失败，会强制回配置列表第一个节点。 合规认证 选择是否开启PCI DSS和PCI 3DS合规认证。 PCI DSS合规认证说明如下：开启PCI DSS合规认证后，您将不能修改 TLS 最低版本和加密套件，最低 TLS 版本将设置为“TLS v1.2及以上”，加密套件设置为指定范围。如果您需要修改 TLS 最低版本和加密套件，请关闭该认证。 PCI 3DS合规认证说明如下：开启 PCI 3DS 合规认证后，您将不能修改 TLS 最低版本，且最低 TLS 版本将设置为“TLS v1.2及以上”，并且您将不能关闭该认证，请根据业务实际需求进行操作。开启该认证后，该域名将不支持添加 HTTP 协议的协议端口接入。 说明 当“服务器配置协议端口”配置仅为“HTTPS”时，才支持配置 PCI DSS/3DS 合规。 证书配置 若选择HTTPS协议，还需要上传证书，且证书必须正确、有效，才能保证WAF正常防护网站的HTTPS协议访问请求。 1. 点击“上传证书”，进入服务器端证书配置页面。 2. 选择证书类型，支持“通用证书”和“国密证书”。 3. 配置证书。支持证书选择、手动填写、文件上传方式： 证书选择：如您使用了证书管理服务，可通过下拉框选择已有证书。 手动填写：填写证书名称，并将与域名关联的证书文件和私钥文件的文本内容的PEM编码分别复制粘贴到证书文件和证书私钥中。 文件上传：填写证书名称，点击“上传”，将与域名关联的证书文件和私钥文件上传至平台中。 说明 手动填写需要将证书和私钥的PEM编码内容填入。 上传证书时，如果证书是.PEM/.CER/.CRT的后缀，可以直接上传；私钥文件若为.KEY/.PEM的后缀，请确保内容格式为PME编码，即可上传。 高级设置 > HTTP强制跳转 选择HTTPS后，还支持启用HTTP强制跳转功能。 HTTPS强制跳转表示将客户端的HTTP请求强制转换为HTTPS请求，默认跳转到443端口。 如果您需要强制客户端使用HTTPS请求访问网站以提高安全性，则开启该设置。 说明 只有在未选中HTTP协议时，支持开启该设置。 请确保网站支持HTTPS业务再开启该设置。开启该设置后，部分浏览器将被强制设置为使用HTTPS请求访问网站。 高级设置 > TLS协议版本和加密套件 选择证书后，需要配置TLS协议版本和加密套件。WAF默认配置的TLS协议版本为“TLS1.0及以上版本”，加密套件为“全部加密套件”。 TLS协议版本 配置说明如下，为了确保网站安全，请根据业务实际需求进行配置： 支持TLS1.0及以上版本：所有的TLS协议都可以访问网站，兼容性最高，适用于网站无安全性要求的场景。 支持TLS1.1及以上版本：WAF将自动拦截TLS1.0协议的访问请求，适用于网站安全性能要求一般的场景。 支持TLS1.2及以上版本：WAF将自动拦截TLS1.0和TLS1.1协议的访问请求，适用于网站安全性能要求很高的场景。 自定义加密协议：WAF只允许所选TLS协议访问网站。 加密套件 配置说明： 全部加密套件：兼容性较高，安全性较低。 协议版本的自定义加密套件：请谨慎选择，避免影响业务。 WAF支持的加密套件及TLS协议版本详细信息请参见WAF支持的加密套件。 高级设置 > SSL解析方式 选择HTTPS后，支持配置SSL解析方式。支持“单向认证”和“双向认证”。 说明 国密证书暂不支持双向认证。 健康检查 开启健康检查将自动移除对失效源站的转发策略，当失效源站恢复健康后将重新加入转发列表。 开启后，还需配置健康检查策略。 说明 当针对源站健康检查失败时，WAF会主动将失效的源站剔除回源列表，并将请求按照剩余站点权重比例/轮询转发至剩余健康站点，直至该源站恢复健康。 若回源列表中所有源站健康检查均失败了，为保障业务默认通路WAF将会强制回源至回源列表中顺序为第一个的站点。 源站响应超时切换时间公式：（检查间隔 + 响应超时时间） × 请求失败失效阈值。 源站恢复切换时间公式：（检查间隔 + 响应超时时间） × 失效后恢复健康阈值。 IPv6 WAF默认只处理IPv4请求流量。如果需要支持IPv6请求，请开启该功能。 ：开启IPv6功能，支持将IPv6请求流量接入WAF进行防护。 注意 功能开启并完成域名接入后无法修改，如需关闭IPv6请求防护，需要重新接入域名。 ：不开启IPv6功能，仅防护IPv4请求流量。 代理情况 选择网站业务在接入WAF前是否开启了其他代理服务（例如DDoS高防、CDN等），按实际情况选择： 否：表示WAF收到的业务请求来自发起请求的客户端。WAF直接获取与WAF建立连接的IP作为客户端IP。 是：表示WAF收到的业务请求来自其他代理服务转发，而非直接来自发起请求的客户端。 为了保证WAF可以获取真实的客户端IP进行安全分析，需要进一步设置源IP获取方式。 源IP获取方式：系统默认设置为“从Socket连接中获取”，您也可按实际情况，创建一个有序的判定列表，系统将从列表的第一项开始查找，若不存在或者是非法的IP格式，则尝试下一条。 其中检测末项固定为“从Socket连接中获取”。获取方式列表最多可添加5条规则，可选项如下： 从Socket连接中获取 从XFowardedFor连接中获取倒数第x层代理 从HTTP头“XClientIP”中获取 负载均衡策略 当设置了多个源站服务器地址时，需设置多源站服务器间的负载均衡算法。可选项如下： 轮询：将所有请求轮流分配给不同的源站服务器。 IP Hash：将来自同一个IP的请求定向分配给同一个源站服务器。 加权轮询：根据同一组回源地址内配置的权重进行加权回源，权重越大，回源到该源站的几率越高。 设置生效后，WAF将根据设置的负载均衡算法向多个源站地址分发回源请求，实现负载均衡。 流量标记 开启流量标记功能，WAF在转发客户端请求到源站服务器时，通过在回源请求头部添加标记字段，标记该请求经过WAF转发，可以帮助源站判断请求来源。 如果请求中存在指定标记字段，则为WAF检测后的正常请求，放行该请求；如果请求中不存在指定标记字段，则为攻击者请求，拦截该请求。 单击“添加一个标记”，添加流量标记。最多支持添加5个标记字段。 支持如下标记类型： 自定义请求Header，配置自定义Header名、Header值。 自定义响应Header，配置自定义Header名、Header值。 客户端真实IP，配置客户端真实IP所在的HTTP Header名。 客户端真实源端口，配置客户端真实源端口所在的HTTP Header名。 注意 请勿填写标准的HTTP头部字段，否则会导致标准头部字段内容被自定义的字段值覆盖。 回源长连接 功能开启后，支持回源长连接功能。 开启“回源长连接”后，还需配置“空闲连接超时时间”，默认值为10秒，最多支持60秒。 说明 标准版最多支持1000个回源长连接，企业版、旗舰版最多支持6000个回源长连接。 功能关闭后，将不支持WebSocket。 超时配置 开启超时配置，可以配置如下超时时间： 连接超时时间：WAF转发客户端请求时，与源站建立连接的超时时间。 读连接超时时间：WAF等待源站响应的超时时间。 写连接超时时间：WAF向源站发送请求的超时时间。 以上默认值均为60秒，最短支持10秒，最长支持1200秒。 6. 本地验证。 根据页面提示，在本地电脑上搭建简易的模拟环境，验证网站流量转发设置已经生效，避免转发设置未生效时修改域名的DNS解析设置，导致业务访问异常。更多信息，请参见本地验证。 7. 修改DNS解析。 根据页面提示修改域名的DNS解析，将网站域名解析到WAF进行防护，完成后单击“下一步”。更多信息，请参见修改域名DNS。 8. 添加完成。 根据页面提示设置放行WAF回源IP段，完成后单击“完成，返回防护对象列表”，返回域名接入页面。更多信息，请参见放行WAF回源IP段。 9. 域名添加完成后，该域名WAF防护开关默认开启。

本文介绍云容器引擎的功能特性。 集群管理 支持1.15/1.18版本的Kubernetes 。 支持设置Master节点数量1个（基础版）或3个（高级版）。 支持50个Worker节点的集群规模。 支持绑定弹性IP，使用云主机、云硬盘、VPC作为集群的基础计算、存储、网络资源。 支持通过不同企业项目纳管集群。 支持挂载普通IO、高IO类型数据盘。 支持通过前端web界面及后台kubectl操控集群。 支持管理命名空间，可创建/删除命名空间。 节点管理 支持查看节点基本信息，节点事件记录，并进行节点重启等基本操作。 支持查看节点资源的使用情况，包括CPU、内存、网络速率、硬盘使用量等指标。 工作负载管理 支持创建与管理无状态应用（Deployment）、有状态应用（StatefulSet）。 支持最大100个实例数，支持同时多容器创建，支持用户自定义容器规格、容器镜像、环境变量等，支持容器生命周期处理，支持用户进行健康检查、本地存储卷HostPath，LocalVolume的容器数据存储挂载、容器日志挂载等设置。支持与节点、应用的亲和性、反亲和性调度策略。支持手动与自动触发应用伸缩，支持Pod级别的水平伸缩告警策略，可设置CPU使用率及物理内存使用率两种指标。支持迁移时间窗设置，支持通过YAML文件进行直接编辑应用。 支持负载应用的升级、版本回退功能。 支持查看应用资源的使用情况，包括CPU、内存、网络速率等指标，支持进行事件查看。 支持管理应用标签及注解，可自定义标签的key与value。 支持容器组管理，可查看容器组详细信息，并提供容器终端可实现对容器内部进行操控。

规格与存储 参数 描述 :: 规格类型 x86 CPU架构下，针对不同的应用场景，可以选择不同的规格类型。 通用型（s6）。通用型的规格实例，适合平时不会持续高压力使用CPU，但偶尔需要提高计算性能完成工作负载的场景，包括但不限于：轻量级的Web服务器、开发、测试环境以及中低性能数据库等。 增强型（c3）。搭配高性能网络，综合性能及稳定性全面提升，满足对业务稳定性及计算性能要求较高的企业级应用诉求。 增强Ⅱ型（c6）。多项技术优化，计算性能强劲稳定，配套25GE智能高速网卡，提供超高网络带宽和PPS收发包能力。是高负载场景首选，对于计算与网络有更高性能要求的网站和Web应用、通用数据库及缓存服务器，中重载企业应用等更加适用。 性能规格 实例的CPU和内存规格，请参见数据库实例规格。创建成功后，可进行规格变更。 存储空间 存储空间最小10GB，最大2000GB，用户选择大小必须为10的整数倍。 网络 参数 描述 :: 虚拟私有云 文档数据库实例所在的虚拟专用网络，可对不同业务进行网络隔离，方便地管理、配置内部网络，进行安全、快捷的网络变更。您需要创建或选择所需的虚拟私有云。 子网 通过子网提供与其他网络隔离的、可以独享的网络资源，以提高网络安全。 实例创建成功后，可以修改子网分配的内网地址，具体请参见修改实例内网地址。 安全组 安全组限制安全访问规则，加强文档数据库服务与其它服务间的安全访问。 说明 请确保所选取的安全组允许客户端访问数据库实例（如协议选择为TCP，方向选择为入方向，端口设置为8635，源地址设置为实例所属子网或所属安全组）。 跨网段访问配置 现在设置 配置源端对应的网段，确保在源端ECS网络与实例节点网络连通的前提下， 可以在ECS端连接实例。 说明 源端ECS连接实例的前提是与实例节点网络通信正常，如果网络不通，可以参考《虚拟私有云用户指南》中“对等连接”进行相关配置。 跨网段访问配置当前只支持新增，不支持修改和删除。 跨网段访问配置当前最多支可持配置9个网段， 源端网段之间不能重复。 创建后设置 暂不配置源端对应网段。实例创建成功后，如需配置，请参见跨网段访问配置章节。

参数项 说明 增量包类型 选择数据服务专享集群增量包。 工作空间 选择需要使用数据服务专享集群增量包的工作空间。例如需要在DataArts Studio实例的工作空间A中使用数据服务专享版，则此处工作空间应选择为A。集群创建成功后，即可通过在工作空间A查看到创建好的数据服务专享集群。 可用区 第一次创建DataArts Studio实例或批增量包时，可用区无要求。 再次创建DataArts Studio实例或增量包时，是否将资源放在同一可用区内，主要取决于您对容灾能力和网络时延的要求。 如果您的应用需要较高的容灾能力，建议您将资源部署在同一区域的不同可用区内。 如果您的应用要求实例之间的网络延时较低，则建议您将资源创建在同一可用区内。 集群名称 集群描述 可以自定义对当前数据服务专享版集群的描述。 版本 当前数据服务专享版的集群版本。 集群规格 不同实例规格，对API请求的并发支持能力不同。 公网入口 开启“公网入口”，即允许外部服务通过公网地址，调用专享版实例创建的API。 带宽大小 可配置公网带宽范围。 虚拟私有云 VPC即虚拟私有云，是通过逻辑方式进行网络隔离，提供安全、隔离的网络环境。 在相同虚拟私有云中的云服务资源（如ECS），可以使用数据服务专享版实例的私有地址调用API。 建议将专享版实例和您的其他关联业务配置一个相同的虚拟私有云，确保网络安全的同时，方便网络配置。 说明 目前DLM实例创建完成后不支持切换虚拟私有云，请谨慎选择所属虚拟私有云。 子网 通过子网提供与其他网络隔离的、可以独享的网络资源，以提高网络安全。 建议将专享版实例和您的其他关联业务配置相同的虚拟私有云下相同的子网，确保网络安全的同时，方便网络配置。 说明 目前DLM实例创建完成后不支持切换子网，请谨慎选择所属子网。 安全组 安全组用于设置端口访问规则，定义哪些端口允许被外部访问，以及允许访问外部哪些地址与端口。 例如，后端服务部署在外部网络，则需要设置相应的安全组规则，允许访问后端服务的地址及其监听端口。 说明 1. 如果开启公网入口，安全组入方向需要放开80（HTTP）和443（HTTPS）端口的访问权限。 2. 目前DLM实例创建完成后不支持切换安全组，请谨慎选择所属安全组。 企业项目 DataArts Studio专享版集群关联的企业项目。企业项目管理是一种按企业项目管理云资源的方式，具体请参见

本文介绍了RDSPostgreSQL的只读实例资费信息。 说明 天翼云关系数据库PostgreSQL版因不同地域成本有所区别，因此对Ⅰ类型资源池和Ⅱ类型资源池的价格有所区分。 本次价格调整及包年折扣变更主要针对Ⅱ类型资源池，将分为通用型和独享型两种类型，两种类型价格不同，独享型包含计算增强型和内存优化型。 Ⅰ类型资源池价格及优惠维持不变，不区分主机类型。 具体资源池类型请见 Ⅱ类型资源池资费 天翼云提供了多种规格的PostgreSQL只读实例，区分通用型和独享型（独享型包含计算增强型和内存优化型）。 通用型 CPU（核） 内存（GB） 按需标准价格(元/小时) 2 4 0.31 2 8 0.38 4 8 0.74 4 16 0.99 8 16 1.50 8 32 1.97 16 32 3.33 16 64 4.34 32 64 7.98 32 128 10.15 独享型（包含计算增强型和内存优化型） CPU（核） 内存（GB） 按需标准价格(元/小时) 2 4 0.57 2 8 0.72 2 16 0.88 4 8 1.11 4 16 1.43 4 32 1.77 8 16 2.22 8 32 2.77 8 64 3.53 16 32 4.44 16 64 5.45 16 128 7.07 32 64 8.88 32 128 10.79 32 256 14.14 64 128 17.75 64 256 21.58 64 512 27.74 96 192 24.75 96 384 32.36 96 768 42.41 128 256 34.74 128 512 43.15 128 1024 55.48 192 384 49.49 192 768 65.24 192 1536 98

本小节介绍云堡垒机产品优势。 运维高效快捷 云堡垒机（原生版）支持多种运维访问协议，满足用户统一对数据库、服务器、web应用等系统或设备的日常运维需求。 字符协议：SSH、TELNET 图形协议：RDP、VNC 文件传输协议：FTP、SFTP 数据库协议：MySQL、Oracle、DB2、PostgreSQL等 WEB访问协议：HTTP/HTTPS 灵活的授权模型 以4A为核心实现对用户进行功能授权、资产授权、操作授权，最小化用户运维授权管理，降低越权操作风险。 管控方式严格 对于高危命令实现实时告警或阻断，对于特别重要的命令实现多人审核，避免用户进行不安全的运维操作。 支持运维账号登录IP地址绑定，限制登录地址，避免非授权用户登录进行重要运维操作。 快速开通使用 用户根据自身业务需求，选择对应规格一键开通堡垒机实例，方便快捷。 安全合规 对所有运维操作集中记录，支持审计、录像及回放，满足等保测评要求，助力企业安全合规建设。

本节介绍如何查看API列表及API详情。 在API列表页面，可查看已添加的API资产。 查看API列表 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“API安全 > API管理”，进入API管理页面。 5. 在页面左侧，展示了所有防护对象信息（不包括泛域名、ELB防护对象），支持选择“所有防护对象”或选择单个域名站点，在右侧API列表中查看对应防护对象的详细数据列表。 选择“所有防护对象”，页面右侧展示所有的API资产。 选择单个域名站点，页面右侧展示选中的域名站点API资产。 6. API列表页面上方展示了所选防护对象的API资产统计信息。 API数：统计已识别的API资产数量。 今日新增：统计自然时间今日新增的API数量。 活跃API：统计活跃API数量。 失活API：统计失活API数量。 7. 搜索目标API资产：可通过最近活跃时间、请求方法、生命周期、来源、业务用途、API路径进行搜索。 最近活跃时间：根据API资产最近活跃时间对API资产进行过滤，支持昨天、今天、近3天、近30天，或自定义时间范围。默认选中今天。 请求方法：支持多选。 生命周期：支持多选。 来源：单选。 业务用途：支持多选。 API路径：支持模糊匹配。 8. 查看API列表，列表中字段说明如下。 参数 说明 API名称 API的自定义名称。单击API名称链接，可[查看API详情](

本文介绍云防火墙CFW服务在使用过程中的约束和限制。 CFW使用限制 仅支持对部署在云平台内的业务提供防护，不支持跨云使用。 支持弹性公网IP EIP的流量防护，不支持全域公网带宽GEIP、API网关APIG绑定的EIP的流量防护。 VPC边界流量防护功能依赖企业路由器ER服务引流，使用该功能时，需确保账号下至少有一个企业路由器。 云防火墙不支持防护中文域名。 防护策略配额限制 防护规则 一个防火墙实例最多添加20000条防护规则。 黑白名单 一个防火墙实例最多添加2000条黑名单。 一个防火墙实例最多添加2000条白名单。 成员组 IP地址组 每个防火墙实例下最多添加3800个IP地址组。 每个IP地址组中最多添加640个IP地址成员。 每个防火墙实例下最多添加30000个IP地址。 服务组 每个防火墙实例下最多添加900个服务成员。 每个防火墙实例下最多添加512个服务组。 每个服务组中最多添加64个服务成员。 域名组 域名组中所有域名被“防护规则”引用最多40000次，泛域名（例如：.example.com）被“防护规则”引用最多2000次。 应用域名组（七层协议解析） 每个防火墙实例下最多添加500个域名组。 每个防火墙实例下最多添加2500个域名成员。 每个应用域名组中最多添加1500个域名成员。 网络域名组（四层协议解析） 每个防火墙实例下最多添加1000个域名成员。 每个网络域名组中最多添加15个域名成员。 每个域名组最多支持解析1500条IP地址。 每个域名最多支持解析1000条IP地址。

本文主要介绍快速体验微服务引擎 概述 微服务引擎(CSE)是一个应用托管和微服务管理平台，依托微服务云应用平台(ServiceStage)服务，可以帮助企业简化部署、监控、运维和治理等应用生命周期管理工作。面向企业提供微服务、移动和Web类应用开发的全栈解决方案。 应用是一个功能相对完备的业务系统，由一个或多个特性相关的组件组成。应用组件是组成应用的某个业务特性的实现，以代码或者软件包为载体，可独立部署运行。 针对应用的组件提供启停、升级、回退、伸缩、查看日志、查看事件、设置访问方式、设置阈值告警等运维操作。 本例将基于ServiceComb(SpringMVC)框架，快速创建微服务应用，供您体验微服务引擎CSE的各项基础功能。 前提条件 注册天翼云帐号，并登录成功。 获取AK/SK，请参考AK/SK获取方法。 说明 如果使用微服务引擎专业版，需要配置AK/SK。 如果使用微服务引擎专享版，不需要配置AK/SK。 创建一个虚拟私有网络VPC，请参考创建虚拟私有云和子网。 创建一个CCE集群，集群中至少包含一个ECS节点(为方便后续步骤的操作，节点 规格最好选择4vCPUs、8GB内存)并且绑定弹性IP。集群绑定弹性IP，请参考云容器引擎 > 购买容器集群。 本例将绑定GitHub源码仓库，实现源码构建、归档、应用创建， 需要先到GitHub官网注册帐号。 在ServiceStage创建仓库授权，授权访问GitHub仓库，请参考微服务云应用平台 > 仓库授权。

本章节为您介绍堡垒机应用资产相关内容。 用户获取应用资产访问权限后，通过应用发布服务器访问Web应用，并以视频方式全程记录用户运维操作，实现对远程应用账户的安全管理和用户远程访问应用的操作审计。 约束限制 仅企业版支持使用应用运维功能。 添加的主机和应用资源数量总和不能超过资产数。 前提条件 添加应用资产前，需已添加应用服务器，具体操作请参见应用服务器。 新增资产组 您可以通过应用资产组来管理多个应用资产，方便您在授权的时候可以一键选择。 1. 使用“管理角色”账户登录云堡垒机（原生版）控制台。 2. 在左侧导航栏选择“资产管理 > 应用资产”，进入应用资产页面。 3. 在应用资产列表左侧资产树中，单击资产组右侧的更多图标，选择“新增子节点”或“复制”。 支持创建多级资产组，最多支持创建10级。 4. 在弹出的“新增资产组”或“资产组复制”对话框中，填写资产组信息。 参数 参数名称 资产组名称 自定义资产组的名称。 资产 在下拉框中选择需要添加至该资产组中的资产。 描述 自定义资产组的描述。 5. 填写完成后，单击“提交”完成资产组的创建。 创建完成后，您也可以根据需要对资产组进行修改或删除： 编辑资产组：选择需要修改的资产组，单击资产组右侧的更多图标，选择“编辑”，按照需求对资产组进行修改，单击“确定”完成修改操作。 删除资产组：选择需要删除的资产组，单击资产组右侧的更多图标，选择“删除”，在弹出的对话框中单击“确定”完成删除操作。

本章节主要向您介绍企业版VPN与经典版VPN的区别。 表企业版VPN与经典版VPN的区别 类别 对比项 企业版VPN 经典版VPN 租户隔离 租户独享网关 支持 不支持 功能&特性 策略模式 支持 支持 功能&特性 路由模式 静态路由/BGP路由 不支持 功能&特性 VPNHub 支持 不支持 功能&特性 企业路由器 支持 不支持 功能&特性 网络类型 公网/私网 公网 容量&性能 子网数量 路由模式：50 策略模式：5 策略模式：5 容量&性能 更多信息，请参见企业版VPN产品规格。 可靠性 网关保护方式 主备/双活 可靠性 网关跨AZ部署 支持 不支持 可靠性 双线路双活 支持 不支持 可靠性 与专线互备 支持 不支持

云下一代防火墙安全产品如何创建管理员用户？ 要创建管理员用户，请登录云下一代防火墙的web管理页面，导航到系统设备管理选项，然后选择管理员管理。在此处，您可以新建管理员用户，分配唯一用户名和强密码，以及为其分配适当的角色和权限。 注意 创建管理员用户涉及系统权限，因此确保定期审计管理员用户，启用多因素身份验证，并使用最小权限原则来降低管理上的风险。 云下一代防火墙安全产品是否满足三权分离？ 三权分离用于确保权力不会集中在一个单一的实体或个人手中，以防止滥用权力、促进监督和平衡，从而维护公共机构的透明性和效力。在信息安全领域，三权分离原则通常应用于管理系统和数据的访问和操作，以保护网络安全和防止内部滥用权力。 云下一代防火墙安全产品提供内置的管理员、操作员和审计员权限，允许实现三权分离。您可以登录云下一代防火墙的web管理页面，导航到系统设备管理选项，然后选择管理员管理并分配相应权限，以确保合适的角色和职责，但需要定期审计和管理用户权限，以最大程度地减少潜在的管理上风险。

本文介绍了RDSPostgreSQL的实例规格详情。 RDSPostgreSQL支持不同规格CPU，以满足不同性能需求，您可根据需要选择所需的CPU规格。RDSPostgreSQL支持创建实例后变更CPU、内存规格。 实例引擎版本 RDSPostgreSQL实例支持的数据库版本请参见关系数据库PostgreSQL版产品介绍实例说明数据库版本。 实例规格类型 RDSPostgreSQL实例规格CPU架构为X86或ARM架构，均有通用型、计算增强型和内存优化型。详见下表。 表1 RDSPostgreSQL支持的云主机对应规格类型 规格 说明 适用场景 通用型 共享宿主机的CPU资源，主要提供基本水平的vCPU性能、平衡的计算、内存和网络资源，具有较高性价比，支持通用的业务运行。 适用于不会经常或始终用尽vCPU性能的场景，如小型网站、轻量级研发测试环境、小型数据库等。 计算增强型 独享宿主机的CPU资源，实例间无CPU争抢，并且没有进行资源超配，同时搭载全新网络加速引擎，实现接近物理服务器的强劲稳定性能，提供更大规格的CPU和内存组合。 适用于计算密集型业务等场景，如大型网站、电商营销等。 内存优化型 独享宿主机的CPU资源，实例间无CPU争抢，并且没有进行资源超配，同时搭载全新网络加速引擎，实现接近物理服务器的强劲稳定性能，CPU和内存配比可达1:8。 适用于高内存计算应用，如大数据分析、核心数据库等。 云主机规格详情，请您参考弹性云主机产品概述产品规格。 实例详细规格 RDSPostgreSQL目前共有4种系列，分别是单机实例、主备实例、一主两备、只读实例，其系列规格明细见下表。 表2 RDSPostgreSQL实例规格 规格 vCPU(个) 内存(GB) 单机版、主备版、一主两备版、只读实例 2 4 单机版、主备版、一主两备版、只读实例 2 8 单机版、主备版、一主两备版、只读实例 2 16 单机版、主备版、一主两备版、只读实例 4 8 单机版、主备版、一主两备版、只读实例 4 16 单机版、主备版、一主两备版、只读实例 4 32 单机版、主备版、一主两备版、只读实例 8 16 单机版、主备版、一主两备版、只读实例 8 32 单机版、主备版、一主两备版、只读实例 8 64 单机版、主备版、一主两备版、只读实例 16 32 单机版、主备版、一主两备版、只读实例 16 64 单机版、主备版、一主两备版、只读实例 16 128 单机版、主备版、一主两备版、只读实例 32 64 单机版、主备版、一主两备版、只读实例 32 128 单机版、主备版、一主两备版、只读实例 32 256 单机版、主备版、一主两备版、只读实例 64 128 单机版、主备版、一主两备版、只读实例 64 256 单机版、主备版、一主两备版、只读实例 64 512 单机版、主备版、一主两备版、只读实例 96 192 单机版、主备版、一主两备版、只读实例 96 384 单机版、主备版、一主两备版、只读实例 96 768 单机版、主备版、一主两备版、只读实例 128 256 单机版、主备版、一主两备版、只读实例 128 512 单机版、主备版、一主两备版、只读实例 128 1024 单机版、主备版、一主两备版、只读实例 192 384 单机版、主备版、一主两备版、只读实例 192 768 单机版、主备版、一主两备版、只读实例 192 1536 注意 由于每个资源池销售情况不同，每个资源池可用的主机型号，请在对应资源池订购页确认。 不同资源池因IaaS资源能力等原因，支持的数据库版本有所差异，详见 使用场景推荐 不同的系列规格，适用于不同的使用场景。使用场景主要分为开发测试场景和线上生产场景。开发测试场景提供小规格数据库实例，仅用于个人学习或者非生产环境下的功能验证使用。如果在小规格场景下运行大量生产业务数据，可能会导致实例异常等问题；线上生产场景则提供多种规格实例，以满足不同大小的生产业务正常运行；所以推荐用户按场景按需选取对应的实例系列规格。不同场景下的一些常用的实例系列规格推荐见下表。 推荐使用场景 实例系列 vCPU（核） 内存（GB） 开发测试 单机 2 4 开发测试 主备 2 4 开发测试 只读 2 4 线上生产 主备 8 32 线上生产 主备 16 64 线上生产 一主两备 8 32 线上生产 一主两备 16 64 线上生产 只读 8 32 线上生产 只读 16 64

场景描述 科学计算属于大规模并行计算场景，需要计算资源完全独享且具备灵活的管理配置能力，避免受到其他用户的影响。同时科学计算的数据也属于企业政务的涉密数据，需要物理独享环境，确保数据安全。 产品优势 资源安全隔离—专属云资源物理隔离，企业重要应用与其他系统物理隔离，确保数据高保密要求 多种类型服务器—专属云提供通用型、通用计算增强型、内存增强型等多种类型服务器，可自由组合搭配，同时还支持物理机服务，满足大规模计算的灵活需求 专属云分布式存储搭配专属云（存储独享型）产品，提供专属分布式存储服务，满足高性能需求 场景四 对资源使用灵活性要求高的行业 场景描述 对于需要灵活使用资源的业务场景，例如互联网行业。用户可通过管理控制台随时创建、删除资源，还可利用镜像服务及备份服务快速创建还原环境，同时，通过资源浏览功能，用户能够一目了然资源使用情况。 产品优势 资源灵活组合—根据行业特点和业务要求灵活定制所需专属行业云 物理资源独享—独享物理机的所有资源，包括CPU、内存，保证性能的绝对稳定，保证实例间互访的稳定性

本小节介绍微隔离防火墙应用场景。 数据中心内部隔离及访问控制解决方案 容器网络隔离与控制解决方案应用 数据中心东西向流量监测与分析解决方案应用 护网及重保内网加固解决方案应用 等级保护2.0 基本要求应对方案

本章节为您介绍如何配置日志存储时长。 针对多元化的业务场景与技术需求，企业对日志保留期限存在差异化要求。通过弹性配置WAF日志存储时长，可助力企业实现资源优化、系统性能强化与合规保障的多重目标： 提升系统效能：海量历史日志累积将显著降低检索分析效率。动态缩短非活跃日志存续期，可降低系统处理负载，使实时查询响应速度提升200%（数据依据具体场景浮动）。 满足合规基线：鉴于各行业监管政策（如GDPR、PCI DSS）及地域性法规对日志存留期存在强制性要求，弹性存储机制可确保持续满足最新合规框架，规避监管处罚风险。 保障审计完整性：周期性安全审计需依赖可回溯的日志证据链。通过设定覆盖审计窗口的存储周期（通常≥180天），确保证据完整性符合ISO 27001等审计标准要求。 适配业务演进：数字化转型进程中，日志分析需求呈现动态演进特征。支持按业务阶段灵活配置存储策略，实现安全资源与业务目标的精准对齐。 存储时长管理 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“防护事件 > 日志分析”，进入日志分析页面。 5. 在右上方选择“存储时长管理”按钮，跳转至云日志服务控制台。 6. 跳转后，在单元管理模块，选择要编辑的日志单元，单击“编辑”按钮。 7. 按需选择日志保存时间，完成后单击“保存”即可。

本章节为您介绍如何配置日志存储时长。 针对多元化的业务场景与技术需求，企业对日志保留期限存在差异化要求。通过弹性配置WAF日志存储时长，可助力企业实现资源优化、系统性能强化与合规保障的多重目标： 提升系统效能：海量历史日志累积将显著降低检索分析效率。动态缩短非活跃日志存续期，可降低系统处理负载，使实时查询响应速度提升200%（数据依据具体场景浮动）。 满足合规基线：鉴于各行业监管政策（如GDPR、PCI DSS）及地域性法规对日志存留期存在强制性要求，弹性存储机制可确保持续满足最新合规框架，规避监管处罚风险。 保障审计完整性：周期性安全审计需依赖可回溯的日志证据链。通过设定覆盖审计窗口的存储周期（通常≥180天），确保证据完整性符合ISO 27001等审计标准要求。 适配业务演进：数字化转型进程中，日志分析需求呈现动态演进特征。支持按业务阶段灵活配置存储策略，实现安全资源与业务目标的精准对齐。 存储时长管理 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“防护事件 > 日志服务”，进入日志服务页面。 5. 在右上方选择“存储时长管理”按钮，跳转至云日志服务控制台。 6. 跳转后，在单元管理模块，选择要编辑的日志单元，单击“编辑”按钮。 7. 按需选择日志保存时间，完成后单击“保存”即可。