本节介绍了云容器引擎的应用场景，便于用户选择业务场景使用。 微服务架构 企业应用通过微服务拆分和容器化改造后，推荐使用云容器引擎+容器镜像服务+微服务云应用平台+注册配置中心的产品组合，实现一站式云原生应用托管，加速企业业务迭代。 持续集成交付 提供从开发到上线一致的运行环境，借助第三方工具进行流水线开发测试，自动完成从代码变更到代码构建、测试、镜像构建和应用部署的DevOps完整流程。进行持续交付，替代传统部署方式，提高交付效率。 弹性伸缩 企业应用按业务流量自动扩缩容，不需要人工干预，预防流量激增时导致的业务不可用风险，并且减少对闲置资源的浪费和费用支出。

参数 描述 n POOLNAME 或 name POOLNAME 指定存储池名称。 newname NEWNAME 指定存储池的新名称。 取值：字符串形式，长度范围是1~16，只能由字母、数字、短横线（）、下划线（）组成，字母区分大小写，且仅支持以字母和数字开头。 changedescription 修改存储池描述信息。

参数 描述 n NODENAME 或 name NODENAM E 指定要删除的拓扑节点名称。 取值：字符串形式，长度范围1~63，只能由字母、数字、句点(.)、下划线（）和短横线()组成，字母区分大小写，且仅支持以字母或数字开头。 d 或 deldata 删除拓扑节点，并删除拓扑节点上的HBlock数据。仅删除server类型的节点时支持此参数。 f 或 force 强制删除拓扑节点。仅删除server类型的节点时支持此参数。 注意 强制删除拓扑节点，可能造成数据丢失。

认证鉴权 获取天翼云AK/SK: 1. 点击天翼云门户首页右上角的“登录”，输入登录的用户名和密码。 2. 点击右上角的“我的”， 点击个人中心。 3. 在左侧下拉列表中单击“安全设置”。 4. 在安全设置页面的“用户AccessKey”列，点击“新建”按钮，获取访问密钥（AK/SK）。新建成功后，“新建”按钮变为“查看”，您可以点击并查看并复制AK/SK。 认证鉴权介绍： AK/SK认证：通过AK（Access Key ID）/SK（Secret Access Key）加密调用请求。 AK/SK认证就是使用AK/SK对请求进行签名，在请求时将签名信息添加到消息头，从而通过身份认证。 参数 描述 AK（Access Key ID） 访问密钥ID。与私有访问密钥关联的唯一标识符；访问密钥ID和私有访问密钥一起使用，对请求进行加密签名 SK（Secret Access Key） 私有访问密钥。与访问密钥ID结合使用，对请求进行加密签名，可标识发送方，并防止请求被修改 使用AK/SK认证时，您可以基于签名算法使用AK/SK对请求进行签名，也可以使用专门的签名SDK对请求进行签名。详细的签名方法和SDK使用方法请参见API签名指南。 说明： 签名SDK只提供签名功能，与服务提供的SDK不同，使用时请注意。

枚举参数 无 请求示例 请求url 无 请求头header { "regionid": "100054c0416811e9a6690242ac110002", "urlType": "CTAPI" } 请求体body {} 响应示例 { "statusCode": "800", "message": "成功！", "returnObj": { "saveTypeList": [ { "saveType": "OPERATION", "enable": 0 }, { "saveType": "AC", "enable": 0 }, { "saveType": "FLOW", "enable": 1 }, { "saveType": "IPS", "enable": 1 }, { "saveType": "AV", "enable": 1 } ] } } 状态码 请参考 状态码 错误码 请参考 错误码

约束限制 VPC边界防火墙最多支持10000条访问控制规则。 防护规则统计 对防护规则数量进行统计，包括：黑名单规则数、白名单规则数、内网互访规则数、已占用规格数/总规格。 其中，已占用规格数量黑名单规则数+白名单规则数+内网互访规则数。 规则类型 VPC边界防火墙支持如下防护规则，可以根据您的需要分别进行配置。 黑名单规则 白名单规则 内网互访规则 防护规则优先级 优先级：黑名单规则 > 白名单规则 > 内网互访规则 防护策略优先级判定顺序的设定为：优先过滤黑名单流量，其次为白名单流量，然后为访问控制策略，最后为入侵防御策略。 1. 为当用户设置黑名单后，此时系统认为黑名单流量即为垃圾流量，系统可根据用户设置的黑名单过滤掉恶意流量，以便系统后续处理非垃圾流量，保证系统处理的数据为用户的有效数据。 2. 当流量经过黑名单过滤后，剩余流量为用户可能关注的流量，在此基础上，通过用户设置的白名单规则，系统可以过滤出用户确定关注的白名单流量，以便对有效流量进行处理，过滤出白名单流量后，系统会直接放行白名单流量至入侵防御策略处进行安全检测，不再进行访问控制。 3. 对于非黑非白的流量，系统将对其进行访问控制检测，对于策略允许的流量进行放行，对于策略禁止的流量进行丢弃。放行后的流量依然需要进行安全检测。

ctcfweasta.ctapi.ctyun.cn

本小节介绍云防火墙N100型号计费类常见问题。 N100是否可以按月计费？ N100支持按月/按年计费，最低订购时长为1个月。 云主机和N100计费是否重复？ 云主机订购费用和N100的计费是不同步的，云主机计算属于资源计算，需要按照平台云主机计费标准；N100属于服务计费，会根据使用规格、时长、功能等项目进行计费。 我已经购买了云N100，是否意味着已开启安全防护？ 不是。购买成功后还需要一系列的配置才能开启安全防护，例如准备承载机资源、导入授权、配置引流、开启安全防护策略、设置告警通知等配置。

本文介绍了云防火墙等保合规能力说明 检查项分类安全控制点风险等级 等保合规检查项 云防火墙CFW提供的对应能力说明 相关功能介绍 安全通信网络网络架构中 应具有根据云服务客户业务需求提供通信传输、边界防护、入侵防范等安全机制的能力。 云防火墙提供访问控制机制和入侵防护能力，开启防护后能够自动阻断互联网与VPC之间的威胁访问，为用户提供自动的边界防护能力。 入侵防护 访问控制 安全区域边界边界防护高 应能够对内部用户非授权连到外部网络的行为进行限制或检查。 云防火墙提供南北向访问控制功能，检查外部网络连接到内部的所有通信和内部用户连接到外部网络的通信，阻断双向非授权访问行为，保证受保护的内部网络与外部网络之间的通信在受控接口内进行通信。 访问控制 安全区域边界边界防护中 应能够对非授权设备私自连到内部网络的行为进行限制或检查。 云防火墙提供南北向访问控制功能，检查外部网络连接到内部的所有通信和内部用户连接到外部网络的通信，阻断双向非授权访问行为，保证受保护的内部网络与外部网络之间的通信在受控接口内进行通信。 访问控制 安全区域边界边界防护中 应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信。 云防火墙提供南北向访问控制功能，检查外部网络连接到内部的所有通信和内部用户连接到外部网络的通信，阻断双向非授权访问行为，保证受保护的内部网络与外部网络之间的通信在受控接口内进行通信。 访问控制 安全区域边界入侵防范高 应在关键网络节点处检测、防止或限制从外部发起的网络攻击行为。 云防火墙实现对互联网上的恶意流量入侵活动和常规攻击行为进行实时阻断和拦截。 入侵防护 安全区域边界入侵防范高 应在关键网络节点处检测、防止或限制从内部发起的网络攻击行为。 云防火墙实现云上资产对外流量的主动外联、失陷感知等出方向流量分析和攻击防护及访问控制。 入侵防护 安全区域边界入侵防范中 当检测到攻击行为时，记录攻击源IP、攻击类型、攻击目的、攻击时间，在发生严重入侵事件时应提供报警。 云防火墙提供对业务流量中的攻击行为的检测和记录，并能根据策略设置提供攻击流量阻断功能，记录风险级别、事件名称、源IP、目的IP、方向、判断来源、发生时间和动作。 入侵防护 安全区域边界访问控制高 应在网络边界或区域之间根据访问控制策略设置访问控制规则，默认情况下受控接口拒绝除允许通信外的所有通信。 云防火墙提供默认拒绝所有通信的访问控制策略，只允许通行策略相关会话通信。 访问控制 安全区域边界访问控制中 应删除多余或无效的访问控制规则，优化访问控制列表，并保证访问控制规则数量最小化。 云防火墙提供流量记录功能，能够记录所有防火墙的通信会话行为，可通过对防火墙网络通信判断访问规则的有效性，从而实现访问控制规则最小化。 访问控制 安全区域边界访问控制高 应对源地址、目的地址、源端口、目的端口和协议等进行检查，以允许或拒绝数据包进出。 云防火墙实现对进出访问控制策略进行严格设置。访问控制策略包括源类型、访问源、目的类型、目的、协议类型、目的端口、应用协议、动作、描述和优先级。 访问控制 安全区域边界访问控制中 应能根据会话状态信息为进出数据流提供明确的允许/拒绝访问的能力，控制粒度为端口级。 支持根据FTP等会话的状态信息设置对会话的允许/拒绝访问能力，控制粒度为端口级。 访问控制 安全区域边界访问控制中 应对进出网络的数据流实现基于应用协议和应用内容的访问控制。 支持DNS等应用协议和下载等应用内容进行访问控制。 访问控制 安全区域边界安全审计高 应在网络边界、重要网络节点进行安全审计，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计。 云防火墙提供日志审计功能，可以记录所有流量日志、访问控制日志、入侵防护日志和操作日志。 日志审计 安全区域边界安全审计中 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。 云防火墙提供日志记录事件功能，包括：时间、告警名称、攻击类型、源/目IP字段、等级等。 日志审计 安全区域边界安全审计中 应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等。 云防火墙提供日志分析功能，默认保存7天的数据，同时还支持修改存储时长至180天。 日志审计 安全区域边界安全审计中 应能对远程访问的用户行为、访问互联网的用户行为等单独进行行为审计和数据分析。 云防火墙提供日志分析功能，记录所有流量访问日志，默认保存7天的数据，同时还支持修改存储时长至180天。 日志审计

本节介绍如何解决证书链不完整问题。 如果证书机构提供的证书在用户平台内置信任库中查询不到，且证书链中没有颁发机构，则证明该证书是不完整的证书。使用不完整的证书，当用户访问防护域名对应的浏览器时，因不受信任而不能正常访问防护域名对应的浏览器。 按以下两种方法可解决此问题： 手动构造完整证书链，并上传证书。（WAF自动补全证书链功能正在开发中，敬请期待！） 重新上传正确的证书。 Chrome最新版本一般是支持自动验证信任链，手工构造完整的证书链步骤如下： 步骤1 查看证书 。单击浏览器前的锁，可查看证书状况。 步骤2 查看证书链 。单击“证书”，并选中“证书路径”页签，可单击证书名称查看证书状态。 步骤3 逐一将证书另存到本地 。 选中证书名称，单击“详细信息”页签，如图所示。 单击“复制到文件”，按照界面提示，单击“下一步”。 选择“Base64编码”，单击“下一步”，如图所示。 步骤4 证书全部导出到本地后，用记事本打开证书文件，图重组证书顺序，完成证书重构。

名称 位置 类型 必选 说明 prodInstId query String 是 实例id

参数 是否必填 参数类型 说明 示例 下级对象 vpcId 否 String VPC ID cfcbed30ca9e432daa8b87ef0eb6a9aa

对于有些网站，源IP无法精准获取。例如：存在未在header中插入“XForwardedFor”字段的Proxy或其他原因，建议使用配置Cookie字段实现用户标识并开启“全局计数”。 攻击案例 竞争对手控制数台主机，与大多普通访客一样，共用同一IP，或通过代理频繁更换源IP，持续向网站“www.example.com”发起HTTP Post请求，网站并无较大的负载能力，网站连接数、带宽等资源均被该攻击者大量占用，正常用户无法访问网站，最终竞争力急剧下降。 防护措施 步骤1 根据服务访问请求统计，判断网站是否有大量同一IP请求发生，如果有则说明网站很有可能遭受了CC攻击。 步骤2 登录管理控制台，将您的网站成功接入Web应用防火墙。关于域名接入的具体操作请参见网站接入WAF。 步骤3 在目标域名所在行的“防护策略”栏中，单击“已开启N项防护”，进入“防护策略”页面，确认“CC攻击防护”的“状态”为“开启”。 步骤4 开启WAF的“CC攻击防护”后，添加CC防护规则，配置“用户限速”模式，输入用户标识，即Cookie字段中的变量名。为了更加有效的标识用户，建议使用“sessionid”或“token”这类标识网站后台颁发给用户的唯一标识字段。 说明 “防护模式”选择“阻断”模式，设置“阻断时长”，能够在攻击被拦截后，攻击者需额外等待一段时间， 该设置能进一步对攻击者行为进行限制，建议对安全要求非常高的用户设置。 添加CC防护规则 限速模式：选择“源限速”、“用户限速”，根据Cookie键值区分单个Web访问者。 用户标识：为了更加有效的标识用户，建议使用“sessionid”或“token”这类标识网站后台颁发给用户的唯一标识字段。 限速频率：单个Web访问者在限速周期内可以正常访问的次数，如果超过该访问次数，Web应用防火墙服务将暂停该Web访问者的访问。 防护动作：选择“阻断”模式。该模式可设置“阻断时长”，在攻击被拦截后，攻击者需额外等待一段时间才能访问正常的网页， 该设置能进一步对攻击者行为进行限制，建议对安全要求非常高的用户设置。 人机验证：表示在指定时间内访问超过次数限制后弹出验证码，进行人机验证，完成验证后，请求将不受访问限制。 阻断：表示在指定时间内访问超过次数限制将直接阻断。 仅记录：表示在指定时间内访问超过次数限制将只记录不阻断。 阻断页面：可选择“默认设置”或者“自定义”。

本文介绍如何设置监控告警规则。 通过设置WAF告警规则，用户可自定义监控目标与通知策略，设置告警规则名称、监控对象、监控指标、告警阈值、监控周期和是否发送通知等参数，帮助您及时了解WAF防护状况，从而起到预警作用。 前提条件 防护网站已接入WAF。 操作步骤 1. 登录管理控制台。 2. 单击管理控制台顶部的区域选择框，选择区域。 3. 单击页面左上方的“服务列表”，选择“管理与部署> 云监控服务”。 4. 在左侧导航栏，选择“告警> 告警规则”，进入“告警规则”页面。 5. 在页面右上方，单击“创建告警规则”，进入“创建告警规则”界面。 6. 设置告警规则名称。 7. 在“资源类型”下拉列表框中选择“Web应用防火墙”，选择“维度”、“监控范围”，设置告警模板、是否发送通知。 8. 单击“立即创建”，在弹出的提示框中，单击“确定”，告警规则创建成功。

名称 位置 类型 必选 说明 prodInstId body Long 是 实例id retain body Integer 是 备份保留份数，0表示全部清除,最大保留份数为7，即取值范围07 autoBackup body Integer 是 自动备份开关，0表示关闭，1表示打开 weekdays body List 是 自动备份的日期列表 autoBackupTime body String 是 自动备份时间

本节介绍如何解决HTTPS请求在部分手机访问异常。 打开手机浏览器，访问防护域名，如果出现类似如图所示的页面，则表示该手机上HTTPS请求访问异常，该问题是由于上传的证书链不完整，可参照如何解决证书链不完整？解决。

接口描述 查询RDS实例的SQL洞察日志保存时长。 接口约束 实例需要已开启SQL洞察 URI GET /v1/collector/sqlcollectorretention 请求参数 请求体Query参数 参数 是否必填 参数类型 说明 示例 下级对象 prodInstId 是 Long 实例id 10 响应参数 参数 参数类型 说明 示例 下级对象 statusCode Integer 状态码 800 message String 消息提示 SUCCESS returnObj Integer 返回对象 30 请求示例 /v1/collector/sqlcollectorretention?prodInstId10 请求体body 响应示例 { "message": "SUCCESS", "returnObj": 30, "statusCode": 800 } 错误码 访问ErrorCodes说明文档查看更多错误码。

当WAF与访问者之间并无代理设备时，通过源IP来检测攻击行为较为精确，建议直接使用IP限速的方式进行访问频率限制。 攻击案例 竞争对手控制数台主机，持续向网站“www.example.com”发起HTTP Post请求，网站并无较大的负载能力，网站连接数、带宽等资源均被该攻击者大量占用，正常用户无法访问网站，最终竞争力急剧下降。 防护措施 步骤1 根据服务访问请求统计，判断网站是否有大量单IP请求发生，如果有则说明网站很有可能遭受了CC攻击。 步骤2 登录管理控制台，将您的网站成功接入Web应用防火墙。关于域名接入的具体操作请参见网站接入WAF。 步骤3 在目标域名所在行的“防护策略”栏中，单击“已开启N项防护”，进入“防护策略”页面，确认“CC攻击防护”的“状态”为“开启”。 步骤4 开启WAF的“CC攻击防护”后，添加CC防护规则，配置对指定路径下的请求进行基于IP限速的检测，针对业务特性，设置限速频率，并配置人机验证，防止误拦截正常用户，针对网站所有URL进行防护。 限速模式：选择“源限速”、“IP限速”，根据IP区分单个Web访问者。 限速频率：单个Web访问者在限速周期内可以正常访问的次数，如果超过该访问次数，Web应用防火墙服务将暂停该Web访问者的访问。 防护动作：防止误拦截正常用户，选择“人机验证”。 人机验证：表示在指定时间内访问超过次数限制后弹出验证码，进行人机验证，完成验证后，请求将不受访问限制。 阻断：表示在指定时间内访问超过次数限制将直接阻断。 仅记录：表示在指定时间内访问超过次数限制将只记录不阻断。 当用户访问超过限制后需要输入验证码才能继续访问。进入防护事件页面，可以查看攻击事件详情。

Spring是一款主流的Java EE轻量级开源框架，面向服务器端开发设计。近日，Spring框架被曝出可导致RCE远程代码执行的漏洞，该漏洞攻击面较广，潜在危害严重，对JDK 9及以上版本皆有影响。本章节介绍Java Spring框架远程代码执行高危漏洞的最佳防护实践。 漏洞名称 Spring框架RCE 0day安全漏洞 影响范围 JDK 9及以上。 使用了Spring框架或衍生框架。 防护建议 步骤 1 申请WAF独享引擎。 步骤 2 将网站域名添加到WAF中并完成域名接入，详细操作请参见网站接入WAF。 步骤 3 将Web基础防护的状态设置为“拦截”模式，详细操作请参见配置Web基础防护规则。 说明 目前，该漏洞存在两种攻击payload，是否开启“header全检测”根据攻击payload的方式而定： 第一种是通过在参数提交中携带攻击载荷。此时，“header全检测”可以不开启拦截。 第二种是在header自定义字段中携带攻击载荷。此时，“header全检测”必须开启拦截模式，才可以拦截此类攻击。 第二种攻击方式对第一种有依赖，所以是否要开启“header全检测”，您可以根据您的业务需求进行选择。

本节介绍如何在云审计服务管理控制台查看或导出最近7天的操作记录。 操作场景 用户进入云审计服务创建管理类追踪器后，系统开始记录云服务资源的操作。在创建数据类追踪器后，系统开始记录用户对OBS桶中数据的操作。云审计服务管理控制台会保存最近7天的操作记录。 在事件列表查看审计事件 1. 登录管理控制台。 2. 单击页面左上角的“服务列表”，选择“管理与部署 > 云审计服务”，进入云审计服务页面。 3. 单击左侧导航栏的“事件列表”，进入事件列表信息页面。 4. 事件列表支持通过筛选来查询对应的操作事件。当前事件列表支持四个维度的组合查询，详细信息如下： 事件类型、事件来源、资源类型和筛选类型，在下拉框中选择查询条件。 筛选类型按资源ID筛选时，还需手动输入某个具体的资源ID。 筛选类型按事件名称筛选时，还需选择某个具体的事件名称。 筛选类型按资源名称筛选时，还需选择或手动输入某个具体的资源名称。 操作用户：在下拉框中选择某一具体的操作用户，此操作用户指用户级别，而非租户级别。 事件级别：可选项为“所有事件级别”、“Normal”、“Warning”、“Incident”，只可选择其中一项。 时间范围：可选择查询最近7天内任意时间段的操作事件。 单击“导出”按钮，云审计服务会将查询结果以CSV格式的表格文件导出，该CSV文件包含了本次查询结果的所有事件，且最多导出5000条信息。 5. 选择完查询条件后，单击“查询”。 6. 在事件列表页面，您还可以导出操作记录文件和刷新列表。 单击“导出”按钮，云审计服务会将查询结果以CSV格式的表格文件导出，该CSV文件包含了本次查询结果的所有事件，且最多导出5000条信息。 单击“刷新”按钮，可以获取到事件操作记录的最新信息。 7. 在需要查看的事件左侧，单击“展开”图标，展开该记录的详细信息。 8. 在需要查看的记录右侧，单击“查看事件”，会弹出一个窗口显示该操作事件结构的详细信息。 9. 关于事件结构的关键字段详解，请参见事件结构和事件样例。

接口描述 锁定PostgreSQL实例的账号，被锁定的账号无法登录实例。 请求方法 POST URI /v1/instuser/lock 请求参数 名称 位置 类型 必选 说明 prodInstId body Long 是 实例id username body String 是 用户账号 响应参数 名称 类型 说明 message String 消息提示 statusCode Integer 状态码 returnObj Object 返回结果 示例 请求示例 /v1/instuser/lockUser { "prodInstId": "165776586159600008", "username": "pguser" } 响应示例 { "message": "SUCCESS", "returnObj": {}, "statusCode": 800 } 错误码 访问ErrorCodes说明文档查看更多错误码。

Web应用防火墙对网站业务流量进行多维度检测和防护，降低数据被篡改、失窃的风险。 精准高效的威胁检测 采用规则和AI双引擎架构，默认集成最新的防护规则和优秀实践。 企业级用户策略定制，支持拦截页面自定义、多条件的CC防护策略配置、海量IP黑名单等，使网站防护更精准。 0day漏洞快速修复 专业安全团队724小时运营，实现紧急0day漏洞2小时内修复完成，帮助用户快速抵御最新威胁。 保护用户数据隐私 支持用户对攻击日志中的账号、密码等敏感信息进行脱敏。 支持PCIDSS标准的SSL安全配置。 支持TLS协议版本和加密套件的配置。

本文介绍了 MySQL主备复制延迟场景及解决方案。 场景描述 主库执行了大事务。 原因分析 大事务是指一个事务中包含大量的数据变更操作，例如一个事务包含上万次（insert，update，delete）等操作、一条SQL语句批量更新了上万行数据等，大事务往往本身的执行时间很长（分钟级）。当主实例执行了大事务后，会产生大量的Binlog日志，备机拉取这些Binlog耗时比一般事务长，且至少需要花费与主库相同的时间来回放这些事务的更新，从而导致备机出现复制延迟。 解决方案 为了保证主从数据的一致性，需要等待大事务执行完成，主备复制延迟才能恢复。 业务侧避免此类大事务，可以将大事务拆分为小事务，分批执行。例如，通过where条件或limit语句限制每次要更新的数据量。

本文介绍了访问RDSPostgreSQL实例应该如何配置安全组。 RDSPostgreSQL配置安全组具体步骤如下： 1. 如要连接RDSPostgreSQL实例，则需要配置安全组规则，实例默认绑定默认安全组和规则。 2. 将ECS或本地设备IP地址及目标实例端口加入安全组允许访问范围中。 3. 安全组配置可参考安全组简介。 4. 关于修改实例安全组的方法，详见修改实例安全组。

名称 位置 类型 必选 说明 prodInstId body Long 是 实例id

本章节介绍了分布式消息服务RocketMQ与Kafka和RabbitMQ的差异。 功能项 RocketMQ Kafka RabbitMQ 优先级队列 不支持 不支持 支持。建议优先级大小设置在010之间。 延迟队列 支持 不支持 不支持 死信队列 支持 不支持 支持 消息重试 支持 不支持 不支持 消费模式 支持客户端主动拉取和服务端推送两种方式 客户端主动拉取 支持客户端主动拉取以及服务端推送两种模式 广播消费 支持 支持 支持 消息回溯 支持 支持。Kafka支持按照offset和timestamp两种维度进行消息回溯。 不支持。RabbitMQ中消息一旦被确认消费就会被标记删除。 消息堆积 支持 支持。考虑吞吐因素，Kafka的堆积效率比RabbitMQ总体上要高。 支持 持久化 支持 支持 支持 消息追踪 支持 不支持 支持。RabbitMQ中可以采用Firehose或者rabbitmqtracing插件实现，但开启rabbitmqtracing插件会影响性能，建议只在定位问题过程中开启。 消息过滤 支持 支持 不支持，但可以自行封装。 多租户 支持 不支持 支持 多协议支持 兼容RocketMQ协议 只支持Kafka自定义协议。 RabbitMQ基于AMQP协议实现，同时支持MQTT、STOMP等协议。 跨语言支持 支持多语言的客户端 采用Scala和Java编写，支持多种语言的客户端。 采用Erlang编写，支持多种语言的客户端。 流量控制 待规划 支持client和user级别，通过主动设置可将流控作用于生产者或消费者。 RabbitMQ的流控基于CreditBased算法，是内部被动触发的保护机制，作用于生产者层面。 消息顺序性 单队列（queue）内有序 支持单分区（partition）级别的顺序性。 不支持。需要单线程发送、单线程消费并且不采用延迟队列、优先级队列等一些高级功能整体配合，才能实现消息有序。 安全机制 支持SSL认证 支持SSL、SASL身份认证和读写权限控制。 与Kafka相似 事务性消息 支持 支持 支持

与弹性负载均衡的关系 Web应用防火墙通过绑定弹性负载均衡（Elastic Load Balance ，以下简称ELB），使流量通过ELB后先发送给WAF检测，再发送给应用端，以提升防护性能和确保业务稳定运行。

此小节介绍Web应用防火墙的用户权限。 系统默认提供两种权限策略：系统策略和自定义策略。系统策略是IAM预置的策略，用户只能使用不能修改。若系统策略不满足授权要求，用户可以创建自定义策略，自由搭配需要授予的权限集。 用户组配置权限策略后，将用户加入用户组中，可以使该用户获得权限策略中定义的操作权限。

本页介绍如何理解MySQL表的自动新增AUTOINCREMENT的值和步长。 表的新增AUTOINCREMENT的值和步长 背景描述： AUTOINCREMENT的初值与步长由"autoincrementincrement" 和"autoincrementoffset"两个参数决定。 1.autoincrementoffset：AUTOINCREMENT值的初值。 2.autoincrementincrement：AUTOINCREMENT值每次增长的步长。 3.当 autoincrementoffset > autoincrementincrement 时，实际使用时初值会变为为autoincrementincrement。 4.当 autoincrementoffset show variables like 'autoinc%'; ++ Variablename Value ++ autoincrementincrement 1 autoincrementoffset 1 ++ 2 rows in set (0.00 sec) mysql> create table tiayiyuntest(uid int NOT NULL AUTOINCREMENT, PRIMARY KEY (uid)); Query OK, 0 rows affected (0.01 sec) mysql> show create table tiayiyuntest; ++ Table Create Table ++ tiayiyuntest CREATE TABLE tiayiyuntest ( uid int(11) NOT NULL AUTOINCREMENT, PRIMARY KEY (uid) ) ENGINEInnoDB DEFAULT CHARSETutf8mb4 COLLATEutf8mb4bin ++ 1 row in set (0.00 sec) mysql> insert into tiayiyuntest values(0), (0), (0); Query OK, 3 rows affected (0.00 sec) Records: 3 Duplicates: 0 Warnings: 0 mysql> select from tiayiyuntest; + uid + 1 2 3 + 3 rows in set (0.00 sec) mysql> show create table tiayiyuntest; ++ Table Create Table ++ tiayiyuntest CREATE TABLE tiayiyuntest ( uid int(11) NOT NULL AUTOINCREMENT, PRIMARY KEY (uid) ) ENGINEInnoDB AUTOINCREMENT4 DEFAULT CHARSETutf8mb4 COLLATEutf8mb4bin ++ 1 row in set (0.00 sec) 2.修改autoincrementincrement2，步长变为2。 mysql> set session autoincrementoffset2; Query OK, 0 rows affected (0.00 sec) mysql> show variables like 'autoinc%'; ++ Variablename Value ++ autoincrementincrement 1 autoincrementoffset 2 ++ 2 rows in set (0.00 sec) mysql> insert into tiayiyuntest values(0), (0), (0); Query OK, 3 rows affected (0.01 sec) Records: 3 Duplicates: 0 Warnings: 0 mysql> select from tiayiyuntest; + uid + 1 2 3 4 5 6 + 6 rows in set (0.00 sec) mysql> show create table tiayiyuntest; ++ Table Create Table ++ tiayiyuntest CREATE TABLE tiayiyuntest ( uid int(11) NOT NULL AUTOINCREMENT, PRIMARY KEY (uid) ) ENGINEInnoDB AUTOINCREMENT7 DEFAULT CHARSETutf8mb4 COLLATEutf8mb4bin ++ 1 row in set (0.00 sec) 3.autoincrementoffset10，autoincrementincrement2，初值为2（因为autoincrementoffset > autoincrementincrement），步长为2。 mysql> set session autoincrementoffset10; Query OK, 0 rows affected (0.00 sec) mysql> set session autoincrementincrement2; Query OK, 0 rows affected (0.00 sec) mysql> show variables like 'autoinc%'; ++ Variablename Value ++ autoincrementincrement 2 autoincrementoffset 10 ++ 2 rows in set (0.00 sec) mysql> create table tianyiyuntest(uid int NOT NULL AUTOINCREMENT, PRIMARY KEY (uid)); Query OK, 0 rows affected (0.01 sec) mysql> show create table tianyiyuntest; ++ Table Create Table ++ tianyiyuntest CREATE TABLE tianyiyuntest ( uid int(11) NOT NULL AUTOINCREMENT, PRIMARY KEY (uid) ) ENGINEInnoDB DEFAULT CHARSETutf8mb4 COLLATEutf8mb4bin ++ 1 row in set (0.00 sec) mysql> insert into tianyiyuntest values(0), (0), (0); Query OK, 3 rows affected (0.00 sec) Records: 3 Duplicates: 0 Warnings: 0 mysql> select from tianyiyuntest; + uid + 2 4 6 + 3 rows in set (0.00 sec) mysql> show create table tianyiyuntest; ++ Table Create Table ++ tianyiyuntest CREATE TABLE tianyiyuntest ( uid int(11) NOT NULL AUTOINCREMENT, PRIMARY KEY (uid) ) ENGINEInnoDB AUTOINCREMENT8 DEFAULT CHARSETutf8mb4 COLLATEutf8mb4bin ++ 1 row in set (0.00 sec) 4.autoincrementoffset5，autoincrementincrement10，初值为5，步长为10。 mysql> set session autoincrementoffset5; Query OK, 0 rows affected (0.00 sec) mysql> set session autoincrementincrement10; Query OK, 0 rows affected (0.00 sec) mysql> show variables like 'autoinc%'; ++ Variablename Value ++ autoincrementincrement 10 autoincrementoffset 5 ++ 2 rows in set (0.00 sec) mysql> create table tianyiy(uid int NOT NULL AUTOINCREMENT, PRIMARY KEY (uid)); Query OK, 0 rows affected (0.01 sec) mysql> insert into tianyiy values(0), (0), (0); Query OK, 3 rows affected (0.00 sec) Records: 3 Duplicates: 0 Warnings: 0 mysql> select from tianyiy; + uid + 5 15 25 + 3 rows in set (0.00 sec) mysql> show create table tianyiy; ++ Table Create Table ++ tianyiy CREATE TABLE tianyiy ( uid int(11) NOT NULL AUTOINCREMENT, PRIMARY KEY (uid) ) ENGINEInnoDB AUTOINCREMENT35 DEFAULT CHARSETutf8mb4 COLLATEutf8mb4bin ++ 1 row in set (0.00 sec)

本文针对AUTOINCREMENT超过表中该字段的最大值时产生的问题及应对方案进行了说明。 表的自动新增AUTOINCREMENT超过数据中该字段的最大值 在数据表中会发现AUTOINCREMENT的值不等于表中字段最大值+1，可能原因有以下几种： 1.步长不为1，则AUTOINCREMENT最大值+步长。 mysql> show variables like 'autoinc%'; ++ Variablename Value ++ autoincrementincrement 10 autoincrementoffset 5 ++ 2 rows in set (0.00 sec) mysql> select from tianyiy; + uid + 5 15 25 + 3 rows in set (0.00 sec) mysql> show create table tianyiy; ++ Table Create Table ++ tianyiy CREATE TABLE tianyiy ( uid int(11) NOT NULL AUTOINCREMENT, PRIMARY KEY (uid) ) ENGINEInnoDB AUTOINCREMENT35 DEFAULT CHARSETutf8mb4 COLLATEutf8mb4bin ++ 1 row in set (0.00 sec) 2.直接修改表的AUTOINCREMENT，会导致AUTOINCREMENT变化。 mysql> select from tianyiyun; ++ uid user ++ 30 k 1 a 2 b 3 c 4 d 5 e 6 f 7 g 8 h 30 j 99 i ++ 11 rows in set (0.00 sec) mysql> show create table tianyiyun; ++ Table Create Table ++ tianyiyun CREATE TABLE tianyiyun ( uid mediumint(9) NOT NULL AUTOINCREMENT, user char(10) COLLATE utf8mb4bin NOT NULL, PRIMARY KEY (uid) ) ENGINEInnoDB AUTOINCREMENT100 DEFAULT CHARSETutf8mb4 COLLATEutf8mb4bin ++ 1 row in set (0.00 sec) mysql> alter table tianyiyun AUTOINCREMENT99; Query OK, 0 rows affected (0.00 sec) Records: 0 Duplicates: 0 Warnings: 0 mysql> show create table tianyiyun; ++ Table Create Table ++ tianyiyun CREATE TABLE tianyiyun ( uid mediumint(9) NOT NULL AUTOINCREMENT, user char(10) COLLATE utf8mb4bin NOT NULL, PRIMARY KEY (uid) ) ENGINEInnoDB AUTOINCREMENT100 DEFAULT CHARSETutf8mb4 COLLATEutf8mb4bin ++ 1 row in set (0.00 sec) 3.未提交的事务或回滚的事务，会导致AUTOINCREMENT增长，但回滚后不会下降。 mysql> show create table tiayiyuntest; ++ Table Create Table ++ tiayiyuntest CREATE TABLE tiayiyuntest ( uid int(11) NOT NULL AUTOINCREMENT, PRIMARY KEY (uid) ) ENGINEInnoDB AUTOINCREMENT7 DEFAULT CHARSETutf8mb4 COLLATEutf8mb4bin ++ 1 row in set (0.00 sec) mysql> select from tiayiyuntest; + uid + 1 2 3 4 5 6 + 6 rows in set (0.00 sec) mysql> begin; Query OK, 0 rows affected (0.00 sec) mysql> insert into tiayiyuntest values (0),(0),(0); Query OK, 3 rows affected (0.00 sec) Records: 3 Duplicates: 0 Warnings: 0 mysql> select from tiayiyuntest; + uid + 1 2 3 4 5 6 15 25 35 + 9 rows in set (0.00 sec) mysql> show create table tiayiyuntest; ++ Table Create Table ++ tiayiyuntest CREATE TABLE tiayiyuntest ( uid int(11) NOT NULL AUTOINCREMENT, PRIMARY KEY (uid) ) ENGINEInnoDB AUTOINCREMENT45 DEFAULT CHARSETutf8mb4 COLLATEutf8mb4bin ++ 1 row in set (0.00 sec) mysql> rollback; Query OK, 0 rows affected (0.01 sec) mysql> select from tiayiyuntest; + uid + 1 2 3 4 5 6 + 6 rows in set (0.00 sec) mysql> show create table tiayiyuntest; ++ Table Create Table ++ tiayiyuntest CREATE TABLE tiayiyuntest ( uid int(11) NOT NULL AUTOINCREMENT, PRIMARY KEY (uid) ) ENGINEInnoDB AUTOINCREMENT45 DEFAULT CHARSETutf8mb4 COLLATEutf8mb4bin ++ 1 row in set (0.00 sec) 4.数据插入后，AUTOINCREMENT变化，然后删除对应的数据行，AUTOINCREMENT不会下降。 mysql> show create table tiayiyuntest; ++ Table Create Table ++ tiayiyuntest CREATE TABLE tiayiyuntest ( uid int(11) NOT NULL AUTOINCREMENT, PRIMARY KEY (uid) ) ENGINEInnoDB AUTOINCREMENT45 DEFAULT CHARSETutf8mb4 COLLATEutf8mb4bin ++ 1 row in set (0.00 sec) mysql> select from tiayiyuntest; + uid + 1 2 3 4 5 6 + 6 rows in set (0.00 sec) mysql> insert into tiayiyuntest values (0),(0),(0); Query OK, 3 rows affected (0.00 sec) Records: 3 Duplicates: 0 Warnings: 0 mysql> select from tiayiyuntest; + uid + 1 2 3 4 5 6 45 55 65 + 9 rows in set (0.00 sec) mysql> show create table tiayiyuntest; ++ Table Create Table ++ tiayiyuntest CREATE TABLE tiayiyuntest ( uid int(11) NOT NULL AUTOINCREMENT, PRIMARY KEY (uid) ) ENGINEInnoDB AUTOINCREMENT75 DEFAULT CHARSETutf8mb4 COLLATEutf8mb4bin ++ 1 row in set (0.00 sec) mysql> delete from tiayiyuntest where uid>3; Query OK, 6 rows affected (0.00 sec) mysql> select from tiayiyuntest; + uid + 1 2 3 + 3 rows in set (0.00 sec) mysql> show create table tiayiyuntest; ++ Table Create Table ++ tiayiyuntest CREATE TABLE tiayiyuntest ( uid int(11) NOT NULL AUTOINCREMENT, PRIMARY KEY (uid) ) ENGINEInnoDB AUTOINCREMENT75 DEFAULT CHARSETutf8mb4 COLLATEutf8mb4bin ++ 1 row in set (0.00 sec)

防护对象 WAF支持的防护对象：域名或IP，云上或云下的Web业务。

本文介绍MySQL建立连接慢导致客户端超时的处理办法。 场景描述 业务在高峰期时，客户端经常出现向MySQL建立连接超时，导致系统登录需要十几秒。 原因分析 查看MySQL的错误日志，观察是否有如下信息：connection xxx is established slowly。 有上述日志，说明存在某些连接超过一定时间仍未被MySQL处理，客户端的超时时间大于该时间，就会报错。线程池处理连接等待与该参数threadpooloversubscribe相关。 解决方案 对于存在大量新建连接，建议调大threadpooloversubscribe增加线程总数。减少线程重复创建与销毁部分的开销，提高性能，同时它也限制了MySQL的running线程数，关键时刻可以保护系统，防止雪崩。 正常情况下，线程池适用于大量短连接的场景，如果客户是长连接，并且连接数量不多（客户端使用了连接池等情况），线程池的影响也不会很大。