本文介绍对网站加速及防护的产品价值。 业务特点 网站承载了企业业务的重要线上流量，官网一般承担着企业品牌宣传的重要作用，但许多网站目前还面临着诸如访问不通、访问慢、内容加载不全、网站入侵、数据信息泄露、至网站开发部署安全规范建设等的业务挑战。 客户痛点 网页访问速度慢：静态内容分发瓶颈、回源请求传输不稳定、HTTPS性能消耗大、业务高峰源站压力大。 业务安全风险：恶意爬虫威胁、Web应用攻击、DDoS流量攻击、劫持问题频发。 运营维护困难：硬件安全设备扩容慢、存在单点故障风险、存在单点故障风险、缺少全面的监测机制。 产品价值 智能加速：通过多级缓存，就近响应用户请求；实时探测，选择最优路径动态回源；IPv6一键开启。 一体化安全+防护：提供安全加速的同时，赋能安全防护能力，对威胁访问实时追踪，及时发现进行拦截，DDoS服务为大流量攻击提供保驾护航。 智能调度，快速扩容：海量资源+智能化调度支撑，724小时一对一运营支撑，提供网站整体业务及安全状况的可视化大屏分析。 企业接入访问基于最小授权原则，规避供应链四方人员导致的安全隐患。

单点执行手动检测 1、登录管理控制台。 2、在页面左上角选择“区域”，单击，选择“安全 > 企业主机安全”，进入企业主机安全页面。 3、在左侧导航栏中，选择“主机管理”，在云服务器列表的“操作”列中，单击“查看详情”，进入指定主机的详情页面。 查看详情 手动收集软件信息 选择“资产管理”页签，在页面下侧“软件信息”中，手动检测主机中的软件信息。 手动执行漏洞检测 选择“漏洞管理”页签，在“Linux软件漏洞管理”和“WebCMS漏洞管理”中，手动检测主机中的软件漏洞和WebCMS漏洞。 说明 软件漏洞检测和软件信息管理任意一个手动检测都会触发收集服务器上的软件信息。 选择“漏洞管理”页签，选择系统软件漏洞，单击“手动检测”，系统将立即执行一次系统软件漏洞检测。 系统软件漏洞检测 选择“漏洞管理”页签，选择WebCMS漏洞，单击“手动检测”，系统将立即执行一次WebCMS漏洞检测。 WebCMS漏洞检测

本文将向您介绍如何通过边缘安全加速平台安全与加速服务提供的访问控制功能设置网站白名单。 功能介绍 若存在您完全信任的请求，支持在边缘安全加速平台控制台配置网站白名单策略，符合条件的请求将不经过安全与加速服务任意的防护策略。 背景信息 您的域名接入边缘安全加速平台安全与加速服务后，配置防护策略将默认作用于所有符合策略的请求，若您希望某类请求不经过某个防护策略，可以分别配置对应的白名单功能。 若您希望请求针对任意防护策略加白，可以配置网站白名单，配置详情可见下文。 若防护规则集中的某条规则出现误报情况，可以配置规则白名单，配置详情可见设置Web规则白名单。 若您希望请求针对Bot防护策略加白，可以配置Bot策略白名单，配置详情可见Bot策略白名单。 前提条件 已经订购边缘安全加速平台安全与加速服务，若未订购，请参见服务开通。 在控制台新增域名，请参见添加服务域名。 开通高级版及以上版本，支持使用访问控制功能。 操作步骤 1. 登录边缘安全加速平台控制台。 2. 在左侧导航栏中选择【安全能力】，进入【访问控制/限流】菜单，并在左侧域名列表选择您要防护的域名。 3. 进入防护能力高级安全防护【访问控制】详细设置。

计费模式支持包年/包月（预付费）计费方式。 云下一代防火墙是镜像类产品，计费模式支持包年/包月（预付费）计费方式。 订购云下一代防火墙系统会自动匹配合适的云主机，用户无需再单独购买云主机，云主机和云下一代防火墙会同步计费，云主机计费模式请参照云主机计费说明。 订购云下一代防火墙需同步提供弹性IP，弹性IP计费模式和带宽请参照弹性IP及带宽的计费说明。 说明 购买本产品会根据不同的选型配置自动配置云主机，并合计计费。 购买即包含基础功能：应用识别、监控统计、应用层访问控制、入侵防御（IPS)、用户认证功能。扩展功能为增值功能，需单独选购。 本产品一经订购不支持退订、降级，也不支持升级版本，请谨慎选择。 本产品需要绑定弹性IP进行管理，成功开通后请勿解绑该IP。

产品架构 分布式缓存服务Redis拥有灵活的实例配置供您选择，灵活的部署架构可以满足不同的业务场景。 架构类型 说明 单机 适用于小规模应用或开发/测试环境的纯缓存场景，其中并发访问量相对较低且对于高可用性要求不高的情况。 主备 包含一个主节点与一个备节点，主备节点的数据通过实时复制保持一致，当主节点故障后，备节点自动升级为主节点，全程自动，对业务无影响，可有效保障服务高可用性。 集群单机 每个分片均为单副本模式，适用于纯缓存或对于数据分片和横向扩展要求较高的情况。Redis集群模式可以水平扩展数据存储和处理能力。 集群主备 每个数据分片都包含一个主节点与一个备节点，均支持主从切换，保障服务高可用，适用于大规模应用，对于数据分片和横向扩展要求较高的情况。Redis集群模式可以水平扩展数据存储和处理能力，同时提供高可用性和负载均衡，可用于处理大量并发请求的高性能应用。 Cluster单机 每个分片均为单副本模式，兼容开源Redis的Cluster，基于去中心化集群部署架构，支持智能客户端JedisCluster的使用方式。 Cluster主备 每个数据分片都包含一个主节点与一个备节点，均支持主从切换，保障服务高可用，兼容开源Redis的Cluster，基于去中心化集群部署架构，支持智能客户端JedisCluster的使用方式。 Proxy集群主备 连接方式与标准主备相同, 由代理服务器自动实现路由转发，将客户端的请求转发到各数据分片。具备良好的灵活性、可用性及高性能。 读写分离 包含一个主节点与多个备节点，主备节点的数据通过实时复制保持一致，当主节点故障后，其中1个备节点自动升级为主节点。开启读写分离功能后，备节点可提供读请求处理服务，从而提升整体读取性能，适用于读取性能较高要求的业务场景。 注意 集群单机和集群主备为经典版提供的实例类型，目前经典版已调整为白名单特性，如需了解该特性，请联系技术支持。

本文介绍购买容器安全卫士的详细步骤。 容器安全卫士支持包年/包月计费模式，您可以根据业务规模选择容器安全卫士规格。 前提条件 已注册天翼云账号并完成实名认证。 约束限制 同一账号在同一个区域只能开通一个容器安全卫士实例，对应一个服务版本。 说明 原则上，在任何一个区域购买的容器安全卫士实例支持防护所有区域的业务，但为了防护及转发效率，建议在购买容器安全卫士实例时，根据防护业务所在区域就近选择购买容器安全卫士实例区域。 开通容器安全卫士实例，必须购买主套餐，可以在主套餐基础上叠加购买节点。 容器安全卫士实例生效期间，支持升级购买的服务版本以及扩增节点数量，但不支持降级。扩容节点与主套餐绑定，到期时间与主套餐一致，不支持单独续订、退订。 适用场景 用户业务服务器部署在天翼云上、非天翼云或线下，防护对象为节点、容器、镜像。 各服务版本推荐适用的场景说明如下： 标准版：适用云原生应用基本安全防护需求。 高级版：适用云原生应用高级安全防护需求。

制作容器镜像 本节指导您通过Dockerfile定制一个简单的Web应用程序的容器镜像。Dockerfile是一个文本文件，其内包含了若干指令（Instruction），每一条指令构建一层，因此每一条指令的内容，就是描述该层应当如何构建。 使用Nginx镜像创建容器应用，在浏览器访问时则会看到默认的Nginx欢迎页面，本节以Nginx镜像为例，修改Nginx镜像的欢迎页面，定制一个新的镜像，将欢迎页面改为“Hello, SWR!”。 步骤 1 以root用户登录容器引擎所在机器。 步骤 2 创建一个名为Dockerfile的文件。 mkdir mynginx cd mynginx touch Dockerfile 步骤 3 编辑Dockerfile。 vim Dockerfile 增加文件内容如下： FROM nginx RUN echo ' Hello, SWR! ' > /usr/share/nginx/html/index.html Dockerfile指令介绍如下。 FROM语句：表示使用nginx镜像作为基础镜像，一个Dockerfile中FROM是必备的指令，并且必须是第一条指令。 RUN语句：格式为RUN ，表示执行echo命令，在显示器中显示一段“Hello, SWR!”的文字。 按“Esc”，输入 :wq ，保存并退出。 步骤 4 使用docker build [ 选项 ] 构建镜像。 docker build t nginx:v1 . t nginx:v1：指定镜像的名称和版本。 . ：指定Dockerfile所在目录，镜像构建命令将该路径下所有的内容打包给容器引擎帮助构建镜像。 步骤 5 执行以下命令，可查看到已成功部署的nginx镜像，版本为v1。 docker images

本文档指导您如何在Tomcat服务器中安装部署SSL证书。 前提条件 已在当前服务器中安装配置 Tomcat 服务。 已购买证书并且已获取到证书相关文件。 安装前准备文件 在证书管理服务控制台的证书管理页选择您需要安装的证书，选择“证书下载”。 在弹出的 “证书下载” 窗口中，服务器类型选择 Tomcat，单击“下载”并解压缩包至本地，文件内包含下述2个文件： JKS证书：XXXX.cn.jks JKS证书密码：README.txt 操作步骤 1. 将已获取到的“XXX.cn.jks”密钥库文件拷贝至Tomcat安装目录/conf目录下。 2. 编辑/conf目录下的“server.xml”配置。 // keystoreFile指向步骤1保存的的jks文件； keystorePass值为jks证书密码； Port是端口； SSLEnable是开启ssl的意思； 3. 修改完成后，重启Tomcat服务器即可。 （可选）HTTP自动跳转HTTPS的安全配置 1.打开/conf目录下的“web.xml”文件，找到标签，在后面插入如下内容 SSL / CONFIDENTIAL 2.后续打开“server.xml”文件，修改redirectPort端口参数，如下所示：

本小节介绍云堡垒机使用限制。 网络访问限制 系统资源所属安全组必须允许实例私有IP访问，需要在实例的安全组添加“入方向”的访问规则。 注意 云堡垒机Docker0的网卡地址为：172.17.0.1，请勿占用此网桥网卡地址，否则会导致云堡垒机无法正常使用。 支持纳管的服务器限制 支持SSH、TELNET、RDP、VNC、FTP、SFTP协议类型的Windows或Linux主机。 Windows服务器版本：Windows Server 2012、2016。 支持的数据库类型及版本限制 数据库引擎 引擎版本 MySQL 5.5、5.6、5.7、8.0 PostgreSQL 10、11、12、13 Oracle 10g、11g、12c DB2 10.5、11.5、12 达梦 V8 金仓(Kingbase) V8、V9 万里(GreatSQL) 8.4.44 SQL Server 2016企业版 天翼云分布式关系型数据库（DRDS） 1.0 说明 建议关联MySQL5.7和8.0版本。 支持的运维终端操作系统限制 终端类型 系统版本 芯片 Windows Windows7及以上版本 Intel芯片 Mac MacOS 10.15及以上版本 Apple silicon或Intel芯片 支持的运维客户端软件限制 登录方式 支持的客户端 版本 Web浏览器登录 说明 Html5运维方式为临时运维方式，若出现显示异常等问题建议使用MSTSC、VNC等更稳定的运维方式。 Edge 95及以上版本 Web浏览器登录 说明 Html5运维方式为临时运维方式，若出现显示异常等问题建议使用MSTSC、VNC等更稳定的运维方式。 Chrome 91.0及以上版本 Web浏览器登录 说明 Html5运维方式为临时运维方式，若出现显示异常等问题建议使用MSTSC、VNC等更稳定的运维方式。 Safari 13及以上版本 Web浏览器登录 说明 Html5运维方式为临时运维方式，若出现显示异常等问题建议使用MSTSC、VNC等更稳定的运维方式。 Firefox 50.0及以上版本 SSH/Telnet协议运维登录 SecureCRT 8.0及以上版本 SSH/Telnet协议运维登录 Xshell 6及以上版本 SSH/Telnet协议运维登录 Putty 堡垒机客户端自带 SSH/Telnet协议运维登录 Mac Terminal 2.0及以上版本 Sftp/Ftp协议运维登录 说明 Windows上面的FTP服务不支持上传文件。 Winscp 5及以上版本 Sftp/Ftp协议运维登录 说明 Windows上面的FTP服务不支持上传文件。 Filezila 3及以上版本 数据库运维 Navicat 11、12、15、16、17 数据库运维 DBeaver 22、23、24 数据库运维 HeidiSQL 说明 需要自行下载客户端并使用。 10.0及以上版本 数据库运维 PL/SQL Developer 说明 需要自行下载客户端并使用。 14.0.2 图形运维 Vncviewer 堡垒机客户端自带 图形运维 MSTSC 6.0及以上版本 使用Navicat运维达梦数据库时，驱动程序在不同操作系统下的兼容性有所差异，当前支持使用win2016运维达梦数据库，win11系统下Navicat没有可用的驱动，如需使用可切换至DBeaver运维使用。

本文为您介绍半托管迁移模式的使用场景和流程。 什么是半托管模式 对象存储迁移服务（ZMS，全称ZOS Migration Service）支持用户在本地设备上部署代理软件（zmsagent） ，来执行迁移任务。半托管模式具有如下特点和优势： 靠近源端部署 ：可部署在靠近源端的环境中，代理程序通过从源端内网下载数据，通过公网传输至ZOS目的端，减少源端对象存储数据流出费用。 可选分布式部署 ：采用主从架构，可部署多设备，提供分布式迁移能力。 多任务并行迁移 ：支持多个迁移任务同时执行。 控制台管控 ：支持通过天翼云官网迁移服务控制台对迁移任务进行控制。 功能丰富 ：兼容全托管模式迁移的所有功能，包括断点续传。 半托管模式的使用场景 靠近源端迁移 ：通过将代理软件和机器部署在源端内网中，实现从源端内网下载对象，节省对象流出费用。 迁移资源独享 ：相较于全托管模式的资源共享，半托管模式可高效利用部署代理的设备的网络与计算资源，实现资源独享，帮助用户快速进行对象存储数据迁移。 半托管模式的使用流程 使用半托管模式进行迁移需要您在对象存储迁移控制台和您的部署设备上分别进行操作，您可按照如下流程进行操作： 1. 创建代理：在控制台上创建代理。 2. 部署代理：在您的设备上部署代理。 3. 管理代理：在控制台上管理已部署的代理。 4. 创建半托管模式的迁移任务：在控制台上进行半托管模式迁移任务的创建与管理。

以IAM用户的方式访问OOS 一个账户可以建立多个子用户，您可以通过IAM为不同的操作人员创建独立的IAM子用户。根据操作人员的职能范围，授予相应的管理权限。同时建议您也为根用户创建子用户，并授予该子用户管理权限，使用该用户进行日常管理工作，保护账户安全。 创建IAM用户详见IAM用户、或用户管理接口。 创建IAM用户后，您可以根据IAM用户进行分组及附加权限，可以参考用户管理。 对子用户启用多因子认证（MFA） 多因子认证（MultiFactor Authentication，简称MFA）是一种简单安全的二次认证方式，为用户增加了一层安全保护。 启用多因子认证可以参考MFA。 STS临时授权访问OOS STS（Security Token Service）是为云计算用户提供临时访问令牌的Web服务。通过STS，可以为第三方应用或用户颁发一个自定义时效的访问凭证。第三方应用或用户可以使用该访问凭证直接调用OOS API，或者使用OOS提供的SDK来访问OOS API。 OOS可以为用户提供临时访问密钥，详见GetSessionToken。 Bucket Policy Bucket Policy用于定义OOS资源的访问权限。通过Bucket Policy，您可以授权另一个账号访问或管理整个Bucket或Bucket内的部分资源，或者对同账号下的不同IAM用户授予访问或管理Bucket资源的不同权限。 配置Bucket Policy时，建议遵循权限最小化原则，降低数据的安全风险： 避免授权整个Bucket 资源授权过大容易导致用户数据被非法访问，所以请避免授权整个Bucket。 不授权匿名访问 允许匿名访问意味着用户只需要知道Endpoint和Bucket名称就可以访问OOS数据，而Endpoint是可以枚举的，Bucket名称也可以从已授权的访问文件URL中提取。由此可见，授权允许匿名访问会带来极大的安全风险。 设置合理的Action 通过控制台Bucket“属性”>“安全策略”配置Bucket Policy，在Action中授权您业务需求中必须的接口权限，给予授权用户最小的权限。 使用HTTPS访问 使用HTTPS访问可以解决网络中间人攻击以及域名劫持等问题，使访问更加安全。 限定源IP 如果访问OOS资源的IP地址是固定的，强烈建议配置Condition中IP Address的ctyun:SourceIp条件键，设置访问IP的白名单/黑名单。 对Bucket设置防盗链 通过对访问来源设置白名单/黑名单的机制，避免OOS资源被其他人盗用。 防盗链通过请求Header中的Referer地址判断访问来源。当浏览器向Web服务器发送请求的时候，请求Header中将包含Referer，用于告知Web服务器该请求的页面链接来源。OOS根据浏览器附带的Referer与用户配置的Referer规则来判断允许或拒绝此请求，如果Referer一致，则OOS将允许该请求的访问；如果Referer不一致，则OOS将拒绝该请求的访问。 示例1：examplebucket的权限为私有，通过Bucket Policy授予名为username1的IAM用户，仅能使用IP地址192.168.143.0/24、Referer为< { "Version":"20121017", "Id":"http referer policy example", "Statement":[ { "Sid":"", "Effect":"Allow", "Principal":{ "CTYUN":"arn:ctyun:iam::accountId:user/username1"}, "Action":"oos:GetObject", "Resource":"arn:ctyun:oos:::examplebucket/1", "Condition":{ "StringLike":{ "ctyun:Referer":[ " " ] }, "Bool": { "ctyun:SecureTransport": "true" }, "IpAddress" : { "ctyun:SourceIp":"192.168.143.0/24" } } } ] } 示例2：如果examplebucket的权限为公共读写，通过Bucket Policy限制：仅Referer为< { "Version":"20121017", "Id":"", "Statement":[ { "Sid":"", "Effect":"Deny", "Principal":{ "CTYUN": [""] }, "Action":"oos:", "Resource":"arn:ctyun:oos:::examplebucket/", "Condition":{ "StringNotLike":{ "ctyun:Referer":[ " " ] } } } ] }

本节介绍如何开启云间高速防护。 前提条件 当前账号下已创建云间高速实例，详细操作请参见创建并配置云间高速实例。 仅“企业版”支持开启云间高速防护。 一个云间高速防护将消耗1个“VPC边界防火墙配额”，在开启防护前，需确保有足够的VPC边界防护配额。 开启云间高速防护 1. 登录云防火墙（原生版）控制台。 2. 在左侧导航栏，选择“防火墙开关 > VPC边界防火墙开关”。 3. 在“云间高速”页签，找到需要开启防护的VPC，单击操作列的“开启防护”。 系统会定期自动同步当前账号下的资产到该页面，若有资产未同步，可以在VPC边界防火墙开关页面右上角单击“同步资产”，手动同步资产。资产同步预计需要1~2分钟。 云间高速列表展示当前账号下所有已创建的云间高速实例。列表包括VPC名称、VPC ID、状态、子网网段 IPV4、云网关ID、云间高速名称、云间高速ID、防护状态。 4. 进入开启云间高速防护页面，完成相应配置。 1. 自动检查：单击“立即扫描”，待扫描完成后，单击“下一步”。 注意 若有未检查通过的项，请根据提示信息完成相应操作后，再执行下一步。 2. 创建终端节点。 配置引流子网后，单击“创建终端节点”。 注意 支持选择已有子网，也可以自定义子网。自定义子网的网段必须属于当前VPC的CIDR；创建后无法更改。 终端节点创建完成后，单击“下一步”。 3. 网络引流配置：目前仅支持手动引流，请根据界面提示的步骤完成引流配置。手动配置完成后，单击“配置完成”。 注意 若VPC下有多个业务子网，每个业务子网须分别进行引流配置。在“本端业务子网”下拉框选择不同业务子网以查看对应配置步骤。 4. 开启防护成功。

本小节介绍堡垒机收敛资产运维暴露面最佳实践。 背景 企业在经营过程中，随着业务的发展，资产规模也越来越大，各式各样的应用服务资源分布在不同的资产中，所有资源和应用都需要开放端口以提供不同的功能服务，随着时间的推移，资产的运维工作将变得越来越繁重，且难以梳理管控。近年来，网络攻击手段层出不穷，企业资产时刻面临各种网络攻击威胁，在这种安全形势下，收敛企业资产暴露面，从源头掐断各类探测连接的可能性，成为企业防护资产安全的有效手段之一。 天翼云支持纳管各种类型资产，如WindowsLinux等类型主机服务器、DB协议类型数据库、安全设备、网络设备以及WEB应用类等资产。企业将各服务类型资产纳管至堡垒机，仅提供堡垒机访问入口，资产本身暴露面可实现隐藏，各类资产访问统一通过堡垒机进行单点登录，既实现将受攻击的范围从面缩小到点，也可实现资产及资产账户的统一管控，降低企业在资产运维管理工作中所需支付的成本。 解决方案 为解决企业资产暴露面过多的问题，堡垒机提供全网资产纳管能力，用户入网统一通过堡垒机入口，经过严密的身份认证以及权限验证后才允许用户进一步访问资产。在此基础上，为了解决用户登录资产问题，堡垒机提供资产账户密码托管能力，可实现资源的快捷单点登录。 说明 企业将资产纳入堡垒机进行管理维护； 根据运维场景需求，企业可选择性的将资产账户托管至堡垒机，堡垒机提供定期修改资产账户密码功能，并在修改后发送相关消息告知管理员； 已纳入堡垒机的资产，企业陆续关闭其互联网访问入口，视情况关闭内网直连入口。

本章节介绍故障演练服务的应用场景。 故障演练服务适用于多种复杂的业务和技术场景，旨在帮助用户从被动响应故障转变为主动发现和规避风险，全面提升系统的稳定性和韧性。 1. 验证高可用（HA）与容灾（DR）预案 这是故障演练的核心应用场景之一。通过模拟关键组件的失效，可以验证系统的自动切换、故障转移和恢复能力是否符合预期。 场景示例： 数据层 ：通过模拟分布式缓存服务Redis版的主备切换、节点宕机等场景，验证组件能否无感切换，量化对上层业务的影响，评估高可用架构的实际效果。 中间件 ：通过模拟分布式消息服务Kafka的Broker节点宕机等场景，检验消息中间件的高可用特性，评估业务数据的可靠性和业务消息生产/消费的合理性。 应用层 ：通过模拟承载关键业务的云主机宕机等场景，验证应用健康检查与流量转移的及时性和有效性，评估业务连续性是否符合架构设计要求。 2. 评估系统性能水位 在业务大促、秒杀等高并发场景来临前，通过主动对系统资源施加压力，可以提前发现性能瓶颈，为容量规划和扩容决策提供数据支持。 场景示例： 计算资源压测 ：通过模拟云主机CPU/内存高负载场景，监测应用服务的响应延迟与错误率变化，评估应用系统在资源瓶颈下的稳定性表现。 存储性能压测 ：通过模拟云主机磁盘I/O高负载场景，监测数据库事务处理、日志写入等关键操作在压力下的吞吐量、延迟及错误率表现，评估存储系统的性能瓶颈。

本章节介绍故障演练服务的应用场景。 故障演练服务适用于多种复杂的业务和技术场景，旨在帮助用户从被动响应故障转变为主动发现和规避风险，全面提升系统的稳定性和韧性。 1. 验证高可用（HA）与容灾（DR）预案 这是故障演练的核心应用场景之一。通过模拟关键组件的失效，可以验证系统的自动切换、故障转移和恢复能力是否符合预期。 场景示例： 数据层 ：通过模拟分布式缓存服务Redis版的主备切换、节点宕机等场景，验证组件能否无感切换，量化对上层业务的影响，评估高可用架构的实际效果。 中间件 ：通过模拟分布式消息服务Kafka的Broker节点宕机等场景，检验消息中间件的高可用特性，评估业务数据的可靠性和业务消息生产/消费的合理性。 应用层 ：通过模拟承载关键业务的云主机宕机等场景，验证应用健康检查与流量转移的及时性和有效性，评估业务连续性是否符合架构设计要求。 2. 评估系统性能水位 在业务大促、秒杀等高并发场景来临前，通过主动对系统资源施加压力，可以提前发现性能瓶颈，为容量规划和扩容决策提供数据支持。 场景示例： 计算资源压测 ：通过模拟云主机CPU/内存高负载场景，监测应用服务的响应延迟与错误率变化，评估应用系统在资源瓶颈下的稳定性表现。 存储性能压测 ：通过模拟云主机磁盘I/O高负载场景，监测数据库事务处理、日志写入等关键操作在压力下的吞吐量、延迟及错误率表现，评估存储系统的性能瓶颈。

本节主要介绍开通专属云容器引擎 专属云容器引擎服务的开通方法及流程： 1、开通专属云容器引擎服务需首先开通专属云服务，请确保您已开通天翼云的专属云服务； 2、天翼云网门户首页上部，在“天翼云官网首页，“产品 > 专属云”中，单击“专属云（计算独享型）”； 3、在产品详情页面中，单击“申请开通”，在申请页面查看申请流程。请与您的专属客户经理确定您的开通需求，如果没有专属客户经理，可拨打天翼云客服电话4008109889咨询。

本节介绍分布式缓存增强版的产品规格 本节介绍分布式缓存增强版的产品规格，包括内存规格、实例可使用内存、连接数上限、最大带宽/基准带宽（Gbps）、DB数等。 内存：您可以通过在控制台节点管理列表查看各节点剩余内存，具体操作请参考查看Redis集群信息。 连接数上限：连接并发数，表示允许客户端同时连接的个数。您可在控制台中查看具体实例的连接数，具体操作请参考基本指标。连接数上限可在实例创建后支持在控制台中修改，具体操作请参考接入机配置。 QPS：即Query Per Second，表示Redis实例每秒执行的命令数。 带宽限制：表中的带宽值是Redis实例单分片的带宽，Redis实例的网络传输能力的上限带宽分别应用于上行带宽和下行带宽，如果某规格的带宽为0.8Gbps，则该规格实例的上下行带宽都是0.8Gbps。 表中的带宽为内网带宽。外网带宽取决于内网带宽，同时受到Redis实例与客户端之间的网络带宽限制，建议使用内网连接方式，排除外网影响，发挥最大的带宽性能。 DB数：Redis可提供的数据库最大数量。 说明 分布式缓存Redis增强版适合并发量大、高吞吐、低延时，对性能要求超过基础版实例的场景。相比基础版，重点增强多线程性能，提高底层资源利用率。

参数 参数类型 说明 示例 下级对象 ruleName String 规则名称 test firewallId String 防火墙id dca4f9ffaca2447aa24310c1e62c4690 ipProto String IP协议，可能值 v4,v6。 v4 direction String 方向，可能值 in,out。 in action String 动作，可能值 drop,pass。 pass dstIp String 目的IP，防火墙类型isNfw1用,分割 1.1.1.0 dstIpMask Integer 目的IP子网掩码 防火墙类型isNfw0有返回 24 srcIp String 源IP，防火墙类型isNfw1用,分割 2.2.2.0 srcIpMask Integer 源IP子网掩码 防火墙类型isNfw0有返回 24 service String 服务类型，可能值 any,icmp,tcp,udp。 tcp dstPort String 目的端口，防火墙类型isNfw1用,分割 8080 srcPort String 源端口，防火墙类型isNfw1用,分割 8182 app String 应用ID 20 status String 规则开关，可能值 disable,enable。 disable policy Integer 优先级 1 policyDesc String 防护规则描述 防护规则描述 srcIpGroupId String 源ip组id，防火墙类型isNfw1用,分割 dstIpGroupId String 目的ip组id，防火墙类型isNfw1用,分割 srcPortGroupId String 源端口组id，防火墙类型isNfw1用,分割 dstPortGroupId String 目的端口组id，防火墙类型isNfw1用,分割 srcIpGroupName String 源地址组名称，防火墙类型isNfw1用,分割 dstIpGroupName String 目的地址组名称，防火墙类型isNfw1用,分割 srcPortGroupName String 源端口组名称，防火墙类型isNfw1用,分割 dstPortGroupName String 目的端口组名称，防火墙类型isNfw1用,分割

本文介绍DRDS性能优化建议。 默认开通的DRDS及MySQL实例的相关配置并不一定适合所有业务场景，当出现某些性能瓶颈时，可以针对以下方面进行优化。 应用优化 建议应用侧使用连接池连接DRDS实例，可以避免大量短连接，提升应用效率。 SQL优化 建议应用侧经常关注TOP语句包括广播语句、慢SQL等，及时优化SQL语句。SQL语句尽量携带分片键，SQL尽量简单并且使用索引。尽量控制事务边界，减少分布式事务。 DRDS优化 建议用户控制好应用程序到DRDS的前端连接数量，连接数是保证系统稳定运行的一个关键因素，用户可根据实际需要调整DRDS前端连接数。DRDS到MySQL提供可配置的连接池，用户可根据实际需要调整DRDS后端连接池配置，以发挥MySQL的性能。 注意 由于DRDS有多个节点，每个节点都有到MySQL的后端连接池，因此DRDS后端连接总数不能超过RDS的最大连接数。比如MySQL最大连接数是3000，以中级版3节点的DRDS为例，则DRDS后端连接配置最大连接数不能超过1000。 MySQL优化 建议用户从内存（bufferpool等）、线程数、连接数、IO等方面优化MySQL参数配置。 规格扩容 必要情况下考虑扩容MySQL规格及磁盘、扩容DRDS的规格、增加MySQL实例数量。

SFTP/FTP传输文件 运维员adminA登录云堡垒机，通过HOSTB资源传输文件。 1 选择“运维 > 主机运维”。 2 单击主机HOSTB对应的“登录”。 3 打开本地FTP/SFTP客户端，参考弹出窗口填写登录信息。 4 成功登录主机 HOSTB ，即可进行文件传输。 通过Web浏览器运维，如何上传/下载文件？ 通过Web运维支持“文件传输”功能，在Web浏览器会话窗口上传/下载文件。不仅可实现本地与主机之间文件的传输，同时可实现不同主机资源之间文件的相互传输。CBH系统详细记录传输文件的全过程，可实现对文件上传/下载的审计。 “主机网盘”是为CBH用户定义的系统个人网盘，可作为不同主机资源间文件的“中转站”，暂存用户上传/下载的文件，且个人网盘中文件内容对其他用户不可见。 “主机网盘”与系统用户直接匹配，删除用户后，个人网盘中文件将被清空，个人网盘空间将被释放。 约束限制 目前仅SSH、RDP协议主机，支持通过Web运维上传/下载文件。 Web运维不能通过执行 rz /sz命令等方式上传/下载文件，仅能通过“文件传输”操作上传/下载文件。 Linux主机资源支持在客户端执行命令方式传输文件，例如在SSH客户端执行 rz /sz命令上传/下载文件。但该方式不能被CBH系统记录上传/下载的具体文件，不能达到对全程安全审计的目的。 注意 支持下载一个或多个文件，不支持下载文件夹； 不支持断点续传，文件上传或下载过程请勿终止或暂停； 不支持传输超大文件，建议分批次上传/下载文件，传输的文件大小不超过1G。

本节介绍应用市场的产品简介以及下载方式，以便您了解应用市场。 应用市场客户端 应用市场，是一项对云电脑内的应用进行统一下载和管理的服务，为了向天翼云电脑（公众版）用户提供安全、方便的应用获取渠道，我们提供天翼云电脑应用市场（公众版）客户端 用户可通过应用市场客户端安装、升级、卸载平台提供的各类应用。目前云电脑中已预装此客户端，如未预装，可通过云电脑工具栏的快捷入口触发安装，或前往客户端下载页面进行下载。 天翼云电脑应用市场用户协议生效，详情请参见这里。 天翼云电脑应用市场隐私政策生效，详情请参见这里。

验证CNAME配置 通过nslookup命令，如果被转向以下任一域名，则表示CNAME配置生效。 bucketname.oss.ctyunxs.cn bucketname.ossweb.ctyunxs.cn bucketname.ossweb.xstore.ctyun.cn bucketname.oss.xstore.ctyun.cn

本节描述了弹性云主机使用场景须知、使用限制、Windows操作系统使用须知、Linux操作系统使用须知。 弹性云主机使用场景须知 禁止使用ECS搭建赌博、私服、跨境VPN等违法违规业务。 禁止使用ECS对电商网站开展刷单、刷广告等虚假交易操作。 禁止利用ECS对外部系统发起网络攻击，例如：DDoS攻击、CC攻击，Web攻击，暴力破解，传播病毒、木马等。 禁止使用ECS提供流量穿透服务。 禁止利用ECS搭建爬虫环境，对外部系统发起爬虫搜索。 未经外部系统主体授权，禁止利用ECS对外部系统发起扫描、渗透等探测行为。 禁止在ECS上部署任何违法违规网站和应用。 使用限制 请勿卸载云主机硬件的驱动程序。 弹性云主机不支持加载外接硬件设备，例如：硬件加密狗、U盘等。 请勿修改网卡的MAC地址。 弹性云主机不支持二次虚拟化。 物理机支持虚拟化软件安装和二次虚拟化，兼容VMware、Citrix XenServer、HyperV、Xen、KVM等多种Hypervisor。 部分软件的鉴权模式可能会导致license与物理机的硬件信息绑定，云主机的迁移、规格变更操作可能会引起物理信息变更进而导致license失效。 由于物理机故障导致云主机发生迁移，迁移时可能会出现重启或关机现象，建议您在系统业务进程配置自动拉起和开机自启动，或者通过业务集群部署、主备部署等方式实现业务的高可用。 建议您为部署核心关键业务的云主机做好数据备份。 建议您为云主机上的应用业务指标做好监控配置。 不建议您修改默认的DNS，如您有公网DNS配置需求，可以在云主机上配置公网DNS和内网DNS。

Prometheus监控提供了多场景的指标数据查询方式，以下将介绍通过控制台查询数据的场景。 前提条件 已通过Prometheus接入组件。具体操作，请参见接入组件管理。 通过控制台查询数据 1. 登录应用性能监控APM控制台，点击左侧菜单栏Prometheus监控。 2. 在Prometheus监控菜单下，单击接入管理。 3. 在已接入环境页签下，点击目标环境名称，进入环境详情页面。 4. 在环境详情页面，点击上方的指标探索页签，进入环境级别的指标探索页面。 5. 在Explore区域中，输入Metric名称并在Labels文本框添加键值对，然后单击页面右上角运行按钮进行查询。 说明 1. 在区域可以选择查询的时间范围，默认查询一小时内的数据。 2. 单击+ Operations，可以添加PromQL内置函数，例如sum()、irate()、absent()等。使用方法，请参见开源版Prometheus官方文档。 3. 单击Code可以切换至PromQL语句输入模式，PromQL语法请参见开源版Prometheus官方文档。

入云流量页面展示当前防火墙实例防护的互联网访问云上EIP的流量数据，数据基于会话统计，在连接期间，数据不会上报，连接结束后才会上报。 前提条件 开启弹性公网IP（EIP）防护且已有流量经过EIP，开启EIP防护的操作步骤请参见“开启互联网边界流量防护”。 查看入云流量 1. 登录管理控制台。 2. 在左侧导航栏中，单击左上方的，选择“安全> 云防火墙”，进入云防火墙的总览页面。 3. （可选）当前账号下仅存在单个防火墙实例时，自动进入防火墙详情页面，存在多个防火墙实例时，单击防火墙列表“操作”列的“查看”，进入防火墙详情页面。 4. 在左侧导航栏中，选择“流量分析> 入云流量”，进入“入云流量”页面。 5. 查看经过防火墙的流量统计信息，支持5分钟~7天的数据。 流量看板：互联网访问内部服务器时最大流量的相关信息。 入云流量：入方向请求流量和响应流量数据，最多支持同时查询30个EIP的流量数据。 取值说明： 时间段 取值说明 近1小时 取1分钟内的平均值 近24小时 取5分钟内的平均值 近7天 取1小时内的平均值 自定义 5分钟~6小时：取1分钟内的平均值 6小时（含）~3天：取5分钟内的平均值 3天（含）~7天（含）：取30分钟内的平均值 可视化统计：查看指定时间段内入方向流量中指定参数的TOP 5 排行，参数说明请参见表350。单击单条数据查看流量详情，每个详情支持查看50条数据。 入云流量可视化统计参数说明： 参数名称 参数说明 TOP访问源IP 入方向流量的源IP地址。 TOP访问来源地区 入方向流量的源IP所属的地理位置， TOP访问目的IP 入方向流量的目的IP地址。 TOP开放端口 入方向流量的目的端口。 应用分布 入方向流量的应用信息。 IP分析：查看指定时间段内 TOP 50 的流量信息。 公开IP分析：目的IP的流量信息。 访问源IP分析：源IP的流量信息。

本小节介绍堡垒机收敛资产运维暴露面最佳实践。 背景 企业在经营过程中，随着业务的发展，资产规模也越来越大，各式各样的应用服务资源分布在不同的资产中，所有资源和应用都需要开放端口以提供不同的功能服务，随着时间的推移，资产的运维工作将变得越来越繁重，且难以梳理管控。近年来，网络攻击手段层出不穷，企业资产时刻面临各种网络攻击威胁，在这种安全形势下，收敛企业资产暴露面，从源头掐断各类探测连接的可能性，成为企业防护资产安全的有效手段之一。 天翼云支持纳管各种类型资产，如WindowsLinux等类型主机服务器、DB协议类型数据库、安全设备、网络设备以及WEB应用类等资产。企业将各服务类型资产纳管至堡垒机，仅提供堡垒机访问入口，资产本身暴露面可实现隐藏，各类资产访问统一通过堡垒机进行单点登录，既实现将受攻击的范围从面缩小到点，也可实现资产及资产账户的统一管控，降低企业在资产运维管理工作中所需支付的成本。 解决方案 为解决企业资产暴露面过多的问题，堡垒机提供全网资产纳管能力，用户入网统一通过堡垒机入口，经过严密的身份认证以及权限验证后才允许用户进一步访问资产。在此基础上，为了解决用户登录资产问题，堡垒机提供资产账户密码托管能力，可实现资源的快捷单点登录。 说明 企业将资产纳入堡垒机进行管理维护； 根据运维场景需求，企业可选择性的将资产账户托管至堡垒机，堡垒机提供定期修改资产账户密码功能，并在修改后发送相关消息告知管理员； 已纳入堡垒机的资产，企业陆续关闭其互联网访问入口，视情况关闭内网直连入口。

本文介绍了如何在科研助手中使用Qwen3模型服务。 概述 阿里巴巴开源新一代通义千问模型Qwen3，参数量仅为DeepSeekR1的1/3，成本大幅下降，性能全面超越R1、OpenAIo1等全球顶尖模型，登顶全球最强开源模型。Qwen3是国内首个“混合推理模型”，“快思考”与“慢思考”集成进同一个模型，对简单需求可低算力“秒回”答案，对复杂问题可多步骤“深度思考”，大大节省算力消耗。 当前在科研助手的社区镜像中，我们已经为您提前部署好了完整的服务，模型参数覆盖8b、14b、32b、235b，方便您即刻体验，开箱即用。 前置说明 1. 该文档为在科研助手中使用Qwen3模型服务。 2. 本产品中的模型由第三方主体提供，尽管天翼云公司已尽最大努力进行识别和维护，但仍无法保证模型的可用性。请客户按照该产品的服务协议使用该产品，做好甄别并对自行选择的服务负责. 环境准备 步骤1：进入科研助手控制台，点击左上角，切换“科研版”； 步骤2：点击当前科研版"概览"页，点击快捷入口【找应用】，进入应用商城； 步骤3：在“应用商城”中，找到名为“Qwen3全参数模型”的镜像，点击【使用此镜像】，进入开发机购买界面； 步骤4：在购买页面中，【基础信息】【主机规格】一栏，用户可以按照如下配置选择： 说明 目前镜像支持的可用区有：福州6、贵阳2、中卫4； 中卫4支持运行235b，其余可用区可以运行8b、14b、32b。 配置 算力型号 可用区 说明 ::: 最低配置 NVIDIA A10 福州6 推荐配置 GPU.gn4.2xl1 贵阳2 最高配置 NVIDIA A100 40G 中卫4 可运行235b 这里以可用区贵阳2的GPU.gn4.2xl为例，可以看到，【镜像框架】中框架版本已默认选好【社区镜像】的“openwebuiqwen3pubdataset”，其余【计费模式】、【可用区】等可按照实际需要选择。 步骤5：点击【确认订单】，完成开发机创建并启动。

本章介绍天翼云关系型数据库的产品类型分类。 目前，云数据库RDS的实例分为如下几个类型： 单机实例 主备实例 集群版实例 不同系列支持的引擎类型和实例规格不同，请以实际界面为准。 实例类型简介 实例类型 简介 使用说明 适用场景 :::: 单机实例 采用单个数据库节点部署架构。与主流的主备实例相比，它只包含一个节点，但具有高性价比。 单机版出现故障后，无法保障及时恢复。 个人学习。 微型网站。 中小企业的开发测试环境。 主备实例 采用一主一备的经典高可用架构，支持跨AZ高可用，选择主可用区和备可用区不在同一个可用区（AZ）。主实例和备实例共用一个IP地址。 备机提高了实例的可靠性，创建主机的过程中，会同步创建备机，备机创建成功后，用户不可见。 当主节点故障后，会发生主备切换，数据库客户端会发生短暂中断，数据库客户端需要支持重新连接。 大中型企业的生产数据库。 覆盖互联网、物联网、零售电商、物流、游戏等行业的应用。 集群版实例 采用微软AlwaysOn高可用架构，支持1主1备5只读集群模式，拥有更高可用性，可靠性，可拓展能力。 仅限RDS for SQL Server使用。 金融行业。 互联网行业。 酒店行业。 在线教育。

密评服务 产品名称 规格/版本 说明 密评咨询服务 标准版 为应用设计密码应用方案，协助密评机构开展密评，单个应用配置1套。 密评测评服务 标准版 支持1个应用密码应用安全性评估。 密评测评服务 企业版 支持1个应用密码应用安全性评估。 密评改造服务 项目特殊需求定制服务，下单前请提前和产品经理沟通并评估工作量，根据工作量确定下单数量。

本节介绍云等保专区产品的主机安全。 主机安全v1.0（简称“EDR”）是一款集成了丰富的系统防护与加固、网络防护与加固等功能的主机安全产品。EDR通过自主研发的文件诱饵引擎，有着业界领先的勒索专防专杀能力；能通过内核级东西向流量隔离技术，实现网络隔离与防护；并拥有补丁修复、外设管控、文件审计、违规外联检测与阻断等主机安全能力。 功能介绍 EDR具有以下功能模块： 防御已知和未知类型勒索病毒 EDR不仅可以阻止已知勒索病毒的执行，而且面对传统杀毒软件束手无策的未知类型勒索病毒时，EDR采用诱饵引擎，在未知类型勒索病毒试图加密时发现并阻断加密行为，有效守护主机安全。 防御高级威胁全流程攻击 EDR根据ATT&CK理论，对攻防对抗的各个阶段进行防护，包括单机扩展、隧道搭建、内网探测、远控持久化、痕迹清除。不仅可以做到威胁攻击审计，而且还可以防止黑客进行渗透攻击，实现攻防对抗360度防御。 管控全局终端安全态势 服务器、PC和虚拟机等终端安装了客户端软件后，上传资产指纹、病毒木马、高危漏洞、违规外联、安全配置等威胁信息到管理控制中心。用户在管理控制中心可以看到所有安装了客户端软件的主机及安全态势，并进行统一任务下发，策略配置。 全方位的主机防护体系 EDR不仅包含传统杀毒软件的病毒查杀、漏洞管理、性能监控功能，在系统防护方面还可做到主动防御、系统登录防护、系统进程防护、文件监控，还支持网络防护、Web应用防护、勒索挖矿防御、外设管理等多个功能点。 流量可视化，安全可见 EDR通过流量画像的流量全景图，展示内网所有流量和主机间通信关系，梳理通信逻辑，以全局视角对策略进行规划，便于用户第一时间发现威胁，一键清除威胁。 简单配置，离线升级，补丁管理 EDR支持用户自主进行安全配置，能够明确、有效的进行主机防护。主程序、病毒库、漏洞库、补丁库、Web后门库、违规外联黑名单库全部支持离线导入升级包、一键自动升级，可在专网使用。

RDA工具的日志如何采集？ 登陆RDA管理界面，进入资源发现资源发现与评估菜单项下，点击右上角一键导出按钮。 如下图所示，勾选导出日志，点击确定下载即可。 RDA使用中常用的日志目录有哪些？ 主机迁移源端agent日志目录： Windows：C:SMSAgentPy3Logs或C:SMSAgentPy2Logs Linux：../SMSAgent/agent/Logs RDA主机：RDA安装目录 对象存储迁移agent日志目录：/opt/cloud/logs/OMSAgent/ Windows Server 2008以及 Windows Server 2008 R2操作系统安装Agent失败，如何处理？ 问题描述： Windows Server 2008以及Windows Server 2008 R2版本的操作系统，因上传Agent安装包失败，导致Agent安装失败。 解决方法： 步骤1 在安装RDA的主机，找到{RDA安装目录}:RDAtoolsSecAs1.2.29webmanagementappsrdaserver0.0.1WEBINFclassespluginsRdaServerMigratePluginagent目录下的SMSAgentDeploy{envName}.exe应用程序，将该应用程序复制到源端主机的C:盘目录下，并重命名为：“SMSAgentDeploy.exe”。 例如：RDA默认安装在C盘时，将C:RDAtoolsSecAs1.2.29webmanagementappsrdaserver0.0.1WEBINFclassespluginsRdaServerMigratePluginagent目录下的SMSAgentDeployULANQABCLOUD.exe应用程序复制到源端主机C:盘目录下，并重命名为：SMSAgentDeploy.exe。 图SMSAgentDeployULANQABCLOUD.exe应用程序 图源端主机C盘目录 步骤2 返回RDA控制台，单击“重试”，继续安装Agent。 安装成功，如下图所示。

3.前端项目接入应用 部署客户端 Demo 说明 云渲染提供了接入测试Demo，用户下载Demo后，只需修改配置文件中的appId、sa、sas，即可将查看应用接入JSSDK后的效果。 由于小程序不支持webRTC，若想在小程序引入应用，可以通过webview嵌入Html地址，加载应用渲染画面。 下载Demo，本地解压文件，替换Demo中index文件里的部分参数，打开index.html，浏览器查看应用渲染效果。