功能 基础版 专业版 高级版 企业版 常见Web漏洞检测 √ √ √ √ 端口扫描 √ √ √ √ CVE漏洞扫描 √ √ √ √ 自定义登录方式 √ √ √ √ Web 2.0高级爬虫 √ √ √ √ 网站指纹识别 √ √ √ √ 扫描任务管理 √ √ √ √ 漏洞查看及管理 √ √ √ √ 弱密码检测 × √ √ √ 网页内容合规检测（文字） × √ √ √ 操作系统漏洞扫描 × √ √ √ 操作系统基线检查 × √ √ √ 中间件基线检查 × √ √ √ 查看漏洞修复建议 × √ √ √ 下载扫描报告 × √ √ √ 安全监测（定时扫描） × √ √ √ 网页内容合规检测（图片） × × × √ 网站挂马检测 × × × √ 链接健康检测（死链、暗链、恶意外链） × × × √ 操作系统等保合规检查 × × × √ 支持手动探索文件导入 × × × √

安全边缘节点 在天翼云所有文档中，边缘节点、CDN节点、Cache节点、缓存节点、加速节点、天翼云节点等都是指天翼云边缘节点。边缘节点是相对于网络的复杂结构而提出的一个概念，指距离最终用户接入具有较少的中间环节的网络节点，对最终接入用户有较好的响应能力和连接速度。其作用是将访问量较大的网页内容和对象保存在服务器前端的专用Cache设备上，以此来提高网站访问的速度和质量。 分布式监测集群 分布式结构就是将一个完整的系统，按照业务功能，拆分成一个个独立的子系统，在分布式结构中，每个子系统就被称为“服务”。这些子系统能够独立运行在web容器中，它们之间通过RPC方式通信。因此按照微服务的思想，网站安全监测产品的功能模块可拆分成多个独立的服务，即：安全事件监测、漏洞监测、可用性监测、DNS监测、内容安全监测。每个服务都是独立的项目，可以独立运行。如果服务之间有依赖关系，那么通过RPC方式调用。单机处理到达瓶颈的时候，就把单机复制几份，这样就构成了一个“集群”。集群中每台服务器就叫做这个集群的一个“节点”，所有节点构成了一个集群。每个节点都提供相同的服务，那么这样系统的处理能力就相当于提升了好几倍（有几个节点就相当于提升了这么多倍）。分布式监测集群可以在实现网站安全监测产品完整、系统化的同时，能够解决访问速度和质量的问题。 网站可用性 网站可用性(web usability)是衡量用户体验的指标, 是对用户使用网站达成目标是否顺利、以及在这个过程中用户是否满意的综合衡量，反应在具体指标上关注的有目标站点的响应速度、可访问性等。 Web漏洞 Web漏洞通常是指网站程序上的漏洞，可能是由于代码编写者在编写代码时考虑不周全等原因而造成的漏洞，常见的Web漏洞有Sql注入、Xss漏洞、上传漏洞等。如果网站存在Web漏洞并被黑客攻击者利用，攻击者可以轻易控制整个网站，并可进一步提权获取网站服务器权限，控制整个服务器。主要有以下几种攻击方法：SQL注入、XSS跨站点脚本、跨目录访问、缓冲区溢出、cookies修改、Http方法篡改、CSRF、CRLF、命令行注入。 DNS DNS即Domain Name System，是域名解析服务的意思。它在互联网的作用是：把域名转换成为网络可以识别的ip地址。人们习惯记忆域名，但机器间互相只认IP地址，域名与IP地址之间是一一对应的，它们之间的转换工作称为域名解析，域名解析需要由专门的域名解析服务器来完成，整个过程是自动进行的。比如：上网时输入的www.baidu.com会自动转换成为220.181.112.143。 Web安全 相关Web应用层面的安全问题与事件,包括各种Web组件、协议、应用等。 网站白名单 通过设置网站白名单，可以让满足条件的请求不经过任何网站安全监测防护模块的检测，直接访问源站服务器。 IP黑名单 支持一键阻断来自指定IP地址、IP地址段以及指定地理区域的IP地址的访问请求。 网页挂马 网页挂马指的是把一个木马程序上传到一个网站里面然后用木马生成器生一个网马，再上到空间里面，而后加代码使得木马在打开网页时运行。 暗链攻击 暗链就是看不见的网站链接，其在网站中做得非常隐蔽，短时间内不易被搜索引擎察觉。暗链攻击，是指黑客通过隐形篡改技术在被攻击网站的网页植入暗链，这些暗链往往被非法链接到色情、诈骗、甚至反动信息。

USB存储设备白名单 说明 开启后，添加至白名单中的设备才能在AI云电脑中重定向使用，不在白名单中的设备不支持在AI云电脑中重定向且插入终端时会弹窗告警提示，便于管控USB存储设备。 1. 适用条件： ① 开启存储设备USB重定向 ② AI云电脑桌面系统为Windows Sever 2008及以上或Windows 7及以上版本 2. 设备ID获取方法： 方法一：插入USB设备，从弹窗告警提示中拷贝设备ID 方法二：下载设备ID获取工具>击运行>插入USB外设>工具会自动自动识别设备ID，拷贝即可。 在新建策略外设中，开启"USB存储设备白名单”，添加至白名单中的USB存储设备才能在云 电脑桌面内重定向使用，否则不支持在AI云电脑桌面内中重定向，且设备插入终端时会在AI云电脑 桌面内弹窗告警提示，便于管控USB存储设备。（适用于Windows桌面） 1.进入“AI云电脑（政企版）”管理控制台； 2.点击“策略管理”，点击"基础策略管理"，进入“基础策略管理”页面； 3.单击“新建策略”，进入新建策略页面； 4.选择“外设”，开启“USB存储设备白名单”； 5.开启后，终端插入USB存储设备会弹出提示，此时该设备在终端不能使用； 需获取设备ID并添加设备ID信息至白名单后可正常使用，获取设备ID方法如下： 方法1：复制第2步提示中设备ID信息至白名单。 方法2：在USB存储设备白名单条目右侧下载设备ID获取工具双击运行插入USB外设工具会自动自动识别设备ID，拷贝至白名单中即可。 6.把设备ID添加至“USB存储设备白名单”； 7.点击“确认提交”，完成自定义电脑策略生成USB存储设备白名单策略。

指纹 描述 端口 展示所有服务器中开放的端口列表，帮助用户及时发现主机中的危险端口。 端口信息包括：服务器、操作系统、端口号、高危端口、网络协议、监听IP、监听进程、进程PID、最后更新时间。 可以按照端口号、是否高危端口、服务器名称、服务器IP进行搜索。 账户 展示所有服务器中的账号信息，帮助用户进行账户安全性管理。 账号信息包括：服务器、操作系统、用户名、设置密码、管理员权限、用户组、到期时间、上次登陆时间、上次登陆IP、用户目录、用户启用Shell、UID/SID、最后更新时间。 可以按照用户名、服务器名称、服务器IP进行搜索。 进程 展示所有服务器中正在运行的进程信息，帮助用户及时发现服务器中异常的进程。 进程信息包括：服务器、操作系统、进程名、进程路径、文件MD 、进程状态、启动参数、运行用户、进程PID、父进程、文件权限、进程启动时间、最后更新时间。 可以按照进程名、服务器名称、服务器IP进行搜索。 软件应用 展示所有服务器中的软件应用信息，帮助用户清点软件资产，识别出服务器中不安全的软件。 软件应用信息包括：服务器、操作系统、软件名称、软件版本、安装时间、最后更新时间。 可以按照软件名称、服务器名称、服务器IP进行搜索。 中间件 展示所有服务器中的软件应用信息，帮助用户清点中间件资产。 中间件信息包括：服务器、中间件名称、类型、运行时环境版本、版本、PID、启动路径、版本验证信息、父进程PID、运行用户、监听IP、监听端口、监听状态、监听端口协议、启动时间、启动命令行、最后更新时间。 可以按照服务器名称/服务器IP、端口、进程PID、版本、运行用户进行搜索。 数据库 展示所有服务器中的数据库信息，帮助用户清点数据库资产。 数据库信息包括：数据库类型、数据库版本、PID、父进程PID、启动路径、版本验证信息、监听端口、监听状态、监听端口配置路径、最后更新时间。 可以按照运行用户、版本、端口、进程PID、服务器名称进行搜索。 计划任务 展示所有服务器中的计划任务信息，帮助用户了解各服务器后续会进行的任务信息。 计划任务信息包括：服务器、执行命令、任务周期、MD5、执行用户、配置文件路径、最后更新时间。 可以按照服务器名称/服务器IP、执行用户进行搜索。 自启动项 展示所有服务器中的自启动项，帮助用户及时发现服务器中异常的自启动项。 自启动项信息包括：自启动项名称、启动项路径、类型、最后更新时间。 可以按照自启动项名称、服务器名称、服务器IP进行搜索。 内核模块 展示所有服务器中的内核模块，帮助用户了解内核模块的具体信息。 内核模块信息包括：服务器、模块名称、模块大小、模块路径、被依赖进程数、被依赖的模块数、最后更新时间。 可以按照服务器名称/服务器IP、模块名称进行搜索。 Web服务 展示所有服务器中的Web服务，帮助用户及时发现服务器中异常的Web服务。 Web服务信息包括：服务器、操作系统、Web服务名、版本、PID、启动路径、监听端口、监听状态、监听端口配置路径、最后更新时间。 可以按照服务器名称/服务器IP、端口、进程PID、版本、运行用户进行搜索。 Web框架 展示所有服务器中的Web框架，帮助用户及时发现服务器中异常的Web框架。 Web框架信息包括：框架名称、框架语言、框架版本、路径、关联进程PID、进程路径、最后更新时间。 可以按照服务器名称/服务器IP、框架名称、框架版本、进程PID进行搜索。 Web站点 展示所有服务器中的Web站点，帮助用户及时发现服务器中异常的Web站点。 Web站点信息包括：服务器、域名、站点类型、端口、Web路径、Web根路径、运行用户、目录权限、监听协议、PID、启动时间、最后更新时间。 可以按照服务器名称/服务器IP、端口、进程PID、运行用户进行搜索。 Web应用 展示所有服务器中的Web应用，帮助用户及时发现服务器中异常的Web应用。 Web应用信息包括：服务器、应用名称、版本号、服务类型、站点域名、Web路径，Web根路径、最后更新时间。 可以按照服务器名称/服务器IP、应用名称、版本进行搜索。

服务阶段 实施任务 服务内容 交付物 购买阶段 选购服务 跟随购买指引，进入MDR购买界面，根据需求选择对应的服务内容并完成支付。服务团队将在24h内与用户进行对接，项目进入启动阶段。 购买指引请参见： 启动阶段 启动会 通过启动会，就项目的交付内容、范围、计划、以及项目预期达成的目标与客户充分完成讲解，并达成一致 1. 充分讲解《项目启动会PPT》，明确服务内容、服务范围、项目成员、《交付计划表》、验收标准、沟通计划、注意事项等，和客户充分的讲解，就客户痛点需求、项目预期目标达成一致。 2. 同客户签署《保密协议》、《风险告知函》，并输出《会议纪要》；并完善《客户信息表》 3. 会议达成一致后输出《项目启动会会议纪要》并邮件发送 4. 建立客户专属服务群，默认为企业微信群，为客户提供专属服务 《项目启动会PPT》 首次接入 资产梳理及确认 1. 针对本次安全托管服务所购买的资产数，对服务资产进行二次确认并录入平台 2. 进行资产指纹梳理，输出资产指纹信息表，在平台完善资产指纹信息录入 首次接入 组件接入 1. 梳理客户侧已有的关键安全设备及版本，配置相关的安全组件连接平台 2. 确认相关安全组件能正常从平台登录，数据能够正常上报平台 首次接入 上线检查 1. 针对本次对接上MDR平台的组件开展策略检查并记录检查结果至上线检查表中，风险策略与客户确认授权后进行策略调优工作 2. 对客户网络环境的拓扑图，组件信息及DNS，其他代理地址进行初步梳理确认 3. 对服务资产进行确认并填写 首次接入 首次威胁分析 1. 安全组件的策略检查结果和结合首次安全组件安全日志接入分析结果输出首次威胁分析报告 《威胁分析报告》 持续运营阶段 资产管理 1. 根据收集的客户资产信息表，将资产信息录入到平台 2. 对客户资产进行管理，包括资产上下线、资产变更、指纹收集等 《资产信息确认表》 持续运营阶段 脆弱性管理 1. 通过现有安全设备采集的日志信息进行漏洞分析，优先级排序，输出漏洞管理目录 2. 负责整理和输出漏洞可落地修复方案及处置建议，并通告给客户进行处置 3. 跟踪客户漏洞处置情况，处置漏洞修复过程中客户出现的问题 《漏洞清单》 持续运营阶段 威胁管理 1. 通过对安全日志的监测分析，识别内外部威胁，对真实威胁制定处置计划，通告给客户处置或由客户授权进行远程处置 2. 根据客户的业务情况进行策略调优和其他加固措施的执行工作 3. 对于公共的威胁情报根据用户业务情况判断是否存在威胁，及时推送给客户，若存在则协助进行处置 4. 对跟踪的内外部威胁持续跟踪直至闭环 《威胁情报》 持续运营阶段 事件管理 1. 对客户反馈和MDR平台生成事件，通告给用户处置或由用户授权进行远程处置 2. 对于无法处理的事件，进行有效上升处置，及时协调资源进行处置 3. 对未解决的事件跟踪直至闭环 《事件处置报告》 《应急响应报告》 持续运营阶段 沟通汇报 1. 每周每月由服务经理针对客户时间段内所存在的安全工作情况形成报告推送给客户 2. 由服务经理梳理客户半年度服务记录，输出服务总结报告，包括半年度汇报安全托管服务的交付进展及问题处置情况进行远程汇报 《安全运营周报》 《安全运营月报》 《半年度总结汇报》 验收阶段 项目验收 1. 输出年度总结汇报PPT并进行汇报 2. 根据前期沟通的项目验收标准，输出《验收报告》，对MDR托管检测与响应服务交付整体验收 《年度总结汇报》 《项目验收报告》

CPU管理 目前支持“共享配额”和“专属限额”两种CPU管理方式： CPU共享配额：在CPU系统繁忙的情况下，不同资源池按照共享配额配置分配CPU资源；在CPU系统空闲的情况下，该配置不生效。 CPU专属限额：限制资源池使用的CPU核数上限，无论CPU系统繁忙或者空闲，该资源池上的作业都无法突破该限额配置。 在资源池页面“资源配置”一栏，您可以修改当前资源池的CPU共享配额和专属限额。 共享配额和专属限额的管理方式各有优劣，共享配额的管理方式可以实现CPU资源的充分利用，但是资源池之间隔离不彻底，可能影响查询性能；专属限额的管理方式可以实现CPU资源的绝对隔离，但是在资源池CPU资源空闲时，会造成资源的浪费。 说明 CPU专属限额仅8.1.3及以上版本支持。 异常规则 异常规则用于异常查询的识别和快速处理，防止“低质量SQL”长时间占用大量资源，导致其他查询阻塞或性能下降。 在资源池页面“关联异常规则”一栏，可浏览当前资源池中已绑定的异常规则，绑定新异常规则，解绑已有异常规则。目前支持的异常处理规则如表 异常规则参数所示。 说明 8.2.1及以上集群版本支持降级异常规则，所有异常规则都支持降级行为，降级后仅网络资源抢占降至低优先级，即在正常查询无网络请求时，才会调度降级查询的网络请求。 关联、解绑异常规则仅8.2.0及以上集群版本支持。 异常规则参数 参数项 描述 取值范围（0表示不约束） 操作 阻塞时间 作业的阻塞时间，包括全局并发排队以及局部并发排队的总时间，单位秒。 例如，如果配置“阻塞时间”为300秒，那么当该资源池中的用户执行的某个作业在阻塞300秒后将被终止。 1~2147483647的整数。0表示不约束。 终止、降级或不约束 执行所消耗时间 已经执行的作业从开始执行到当前所消耗的时间，单位为秒。 例如，如果配置“执行所消耗时间”为100秒，那么当该资源池中的用户执行的某个作业在执行超过100秒后将被终止。 1~2147483647的整数。0表示不约束。 终止、降级或不约束 所有DN上CPU总时间 作业在所有DN上执行时所耗费的CPU总时间，单位为秒。 1~2147483647的整数。0表示不约束。 终止、降级或不约束 检查倾斜率的时间间隔 检查作业执行的CPU倾斜率的间隔时间，单位为秒，需同“所有DN上CPU时间的倾斜率”一起设置。 1~2147483647的整数。0表示不约束。 终止、降级或不约束 所有DN上CPU总时间倾斜率 作业在DN上执行时的CPU时间的倾斜率，依赖于“检查倾斜率的时间间隔”的设置。 1~100的整数。0表示不约束。 终止、降级或不约束 单DN算子下盘大小 作业在单个DN上最大下盘的数据量，单位MB。 说明 该异常规则仅8.2.0及以上集群版本支持。 1~2147483647的整数。0表示不约束。 终止、降级或不约束 DN平均消耗CPU占比 作业在所有DN上执行时的平均CPU使用率，检测周期不强依赖“检查倾斜率的时间间隔”，若配置将使用该检查间隔，否则系统默认30秒间隔。 说明 该异常规则仅8.2.0及以上集群版本支持。 1~100的整数。0表示不约束 终止、降级或不约束 单个DN上最大带宽 作业在单个DN上最大可占用的网络带宽，单位MB。 说明 该异常规则仅8.2.1及以上集群版本支持。 1~2147483647的整数。0表示不约束。 终止、降级或不约束

本文介绍了云防火墙（原生版）产品的应用场景。 外部访问控制 通过云防火墙（原生版）产品，对已开放公网访问的服务资产进行安全盘点，能够自动识别威胁暴露面，可对开放的公网IP一键开启入侵检测与防御，保护公网资产安全。 主动外联管控 对主动外联行为进行分析，评估主机失陷风险状态，并对恶意连接行为进行实时阻断，保护资产安全。 等保合规 云防火墙（原生版）产品能够满足等保2.0二级和三级中针对边界防护、访问控制、入侵防御、安全审计等特定的等保合规检查要求。

Kubernetes版本（CCE增强版） 版本说明 v1.13.10r0 主要特性： 负载均衡支持设置名称 4层负载均衡支持健康检查，7层负载均衡支持健康检查/分配策略/会话保持l CCE集群支持创建物理机节点（容器隧道网络） 支持AI加速型节点（搭载海思Ascend 310 AI处理器），适用于图像识别、视频处理、推理计算以及机器学习等场景 支持配置docker baseSize 支持命名空间亲和调度 支持节点数据盘划分用户空间 支持集群cpu管理策略 支持集群下的节点跨子网（容器隧道网络） v1.13.7r0 主要特性： Kubernetes同步社区1.13.7版本 支持网络平面（NetworkAttachmentDefinition）

本文主要介绍等保合规能力说明。 查项分类 安全控制点 等保合规检查项 风险等级参考 云防火墙CFW提供的对应能力说明 相关功能介绍 安全通信网络 网络架构 应避免将重要网络区域部署在边界处，重要网络区域与其他网络区域之间应采取可靠的技术隔离手段。 高 将重要网络区域隔离，使用云防火墙CFW实现业务流量的访问控制，并对恶意访问进行识别和拦截。 应用场景 安全通信网络 网络架构 应具有根据云服务客户业务需求提供通信传输、边界防护、入侵防范等安全机制的能力。 中 通过云防火墙自动识别业务在互联网的威胁暴露面，提供云上互联网边界的防护，入侵防御引擎对恶意流量实时检测和拦截。 应用场景 安全区域边界 边界防护 应能够对内部用户非授权连到外部网络的行为进行限制或检查。 高 云防火墙实现南北向访问的网络流量分析、全网流量可视化、对主动外联行为的分析和阻断、开通或变更白名单策略。 功能特性 安全区域边界 边界防护 应能够对非授权设备私自联到内部网络的行为进行限制或检查。 中 云防火墙实现南北向访问的网络流量分析、全网流量可视化、对主动外联行为的分析和阻断、开通或变更白名单策略。 功能特性 安全区域边界 边界防护 应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信。 中 云防火墙实现南北向访问的网络流量分析、全网流量可视化、对主动外联行为的分析和阻断、开通或变更白名单策略。 功能特性 安全区域边界 入侵防范 应在关键网络节点处检测、防止或限制从外部发起的网络攻击行为。 高 云防火墙实现对互联网上的恶意流量入侵活动和常规攻击行为进行实时阻断和拦截。 功能特性 安全区域边界 入侵防范 应在关键网络节点处检测、防止或限制从内部发起的网络攻击行为。 高 云防火墙实现云上资产对外流量的主动外联、失陷感知等出方向流量分析和攻击防护及访问控制。 功能特性 安全区域边界 入侵防范 当检测到攻击行为时，记录攻击源IP、攻击类型、攻击目的、攻击时间，在发生严重入侵事件时应提供报警。 中 云防火墙提供对业务流量中的攻击行为的检测和记录，并能根据策略设置提供攻击流量阻断功能，记录风险级别、事件名称、源IP、目的IP、方向、判断来源、发生时间和动作。 功能特性 安全区域边界 访问控制 应在网络边界或区域之间根据访问控制策略设置访问控制规则，默认情况下受控接口拒绝除允许通信外的所有通信。 高 云防火墙实现统一管理互联网到业务的南北向访问策略和业务，达到协议、端口、应用级访问控制粒度。 管理访问控制策略 安全区域边界 访问控制 应删除多余或无效的访问控制规则，优化访问控制列表，并保证访问控制规则数量最小化。 中 云防火墙提供策略命中计数功能，客户可以根据命中情况，及时调整策略的设置，确保没有冗余的策略。云防火墙访问控制策略可配置优先级，您可以根据业务需求优化访问控制列表。 管理访问控制策略 安全区域边界 访问控制 应对源地址、目的地址、源端口、目的端口和协议等进行检查，以允许或拒绝数据包进出。 高 云防火墙实现对进出访问控制策略进行严格设置。访问控制策略包括源类型、访问源、目的类型、目的、协议类型、目的端口、应用协议、动作、描述和优先级。 管理访问控制策略 安全区域边界 访问控制 应能根据会话状态信息为进出数据流提供明确的允许/拒绝访问的能力，控制粒度为端口级。 中 云防火墙对互联网上的恶意流量入侵活动和常规攻击行为进行实时阻断和拦截。 管理访问控制策略 安全区域边界 访问控制 应对进出网络的数据流实现基于应用协议和应用内容的访问控制。 中 云防火墙实现跨流量的应用协议、内容的访问控制。 管理访问控制策略 安全区域边界 安全审计 应在网络边界、重要网络节点进行安全审计，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计。 高 云防火墙提供日志审计功能，可以记录所有流量日志、事件日志和操作日志。 日志审计 安全区域边界 安全审计 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。 中 云防火墙提供日志记录事件功能，包括：时间、威胁类型、方向、源IP和目的IP、应用类型、严重性等级以及响应动作等信息。 日志审计 安全区域边界 安全审计 应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等。 中 云防火墙提供日志分析功能，对已分析的日志，默认提供存储6个月内的日志数据，并提供实时日志分析能力。 日志审计 安全区域边界 安全审计 应能对远程访问的用户行为、访问互联网的用户行为等单独进行行为审计和数据分析。 中 云防火墙提供日志分析功能，对已分析的日志，默认提供存储6个月内的日志数据，并提供实时日志分析能力。 日志审计

本节指导用户通过密钥管理界面使用在线工具加解密不大于4KB的数据。 前提条件 自定义密钥处于“启用”状态。 约束条件 在线工具不支持通过默认密钥加解密小数据。 用户可使用调用API接口的方式，使用默认密钥加解密小数据。 加密数据时，使用当前指定的密钥加密数据。 解密数据时，在线工具自动识别并使用数据被加密时使用的密钥解密数据，如果加密时使用的密钥已被删除，会导致解密失败。 加密数据 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角，选择区域或项目。 步骤 3 单击“服务列表”，选择“安全> 数据加密服务”，默认进入“密钥管理”界面。 步骤 4 单击目标自定义密钥的别名，进入密钥详细信息在线工具加密数据页面。 步骤 5 在“加密”文本框中输入待加密的数据。 步骤 6 单击“执行”，右侧文本框显示加密后的密文数据。 说明 加密数据时，使用当前指定的密钥加密数据。 用户可单击“清除”，清除已输入的数据。 用户可单击“复制到剪切板”拷贝加密后的密文数据，并保存到本地文件中。 解密数据 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角，选择区域或项目。 步骤 3 单击“服务列表”，选择“安全> 数据加密服务”，默认进入“密钥管理”界面。 步骤 4 解密数据时，可单击任意“启用”状态的非默认密钥别名，进入该密钥的在线工具页面。 步骤 5 单击“解密”，在左侧文本框中数据待解密的密文数据。 说明 在线工具自动识别并使用数据被加密时使用的密钥解密数据。 若该密钥已被删除，会导致解密失败。 步骤 6 单击“执行”，右侧文本框中显示解密后的明文数据。 说明 用户可直接单击“复制到剪切板”拷贝解密后的明文数据，并保存到本地文件中。

类别 说明 告警转事件原因 当告警的严重性达到一定程度，或者持续出现，或者其影响范围广泛时，它可能不再仅仅是一个需要关注的信号，也可能表明系统或网络中存在一个持续性的问题，此时，它已经演变成了一个需要立即处理的事件，这种情况下，可以将告警转化为事件来处理，以便深入调查问题的根源，并采取相应的措施来彻底解决。通常告警转事件的原因有以下几个方面： 信息聚合与分类 告警通常是对某个特定条件或阈值被违反的即时响应。随着时间的推移，大量的告警可能会被触发，如果直接处理这些独立的告警，可能会变得非常混乱和低效。将这些告警聚合成事件，可以帮助相关人员根据告警的类型、来源、影响等维度进行分类，从而更有效地处理它们。 简化工作流程 告警到事件的转换过程，通常伴随着对告警的过滤、去重、聚合等处理。这些处理使得原本可能触发多个相似告警的情况，被整合为一个更具代表性的事件。这样不仅减少了处理单个告警的工作量，也使得处理过程更加条理清晰，便于跟踪和记录。 提升问题解决效率 将告警转换为事件后，由于事件通常提供了比单个告警更全面的上下文信息，因此相关人员可以更容易地识别出问题的根本原因，有助于更快地定位问题，并采取有效的解决措施。 便于历史回顾与趋势分析 事件记录了问题的发生、发展、解决的全过程，这为后续的问题预防、系统优化等提供了宝贵的历史数据。通过对事件进行趋势分析，可以发现系统中潜在的薄弱环节，提前采取措施进行改进。 增强跨部门协作 在大型组织中，不同的部门可能需要共同参与问题的处理。将告警转换为事件后，可以更容易地在不同部门之间共享相关信息，促进跨部门协作，提高问题解决的效率。 总而言之，将告警转换为事件助于简化工作流程、提升问题解决效率、便于历史回顾与趋势分析。 告警关联事件原因 告警关联事件是监控和故障管理中的一个重要环节，它涉及到将多个独立但可能相互关联的事件或告警组合起来，以便更好地理解问题的根源和范围，从而更有效地进行故障排查和响应。通常告警关联事件的原因有以下几个方面： 依赖关系 在复杂的系统中，各个组件之间往往存在复杂的依赖关系。当一个组件出现故障时，可能会影响依赖它的其他组件的正常工作，进而引发一系列告警。例如，在微服务架构中，一个服务的崩溃可能导致调用该服务的其他服务也出现问题。 资源共享 当多个系统或服务共享同一资源（如服务器、数据库、网络设备等）时，该资源的问题可能导致多个系统或服务同时发出告警。例如，共享数据库服务器的性能下降可能会触发多个依赖该数据库的应用程序的性能告警。 连锁反应 某些情况下，一个初始的故障可能触发一系列连锁反应，导致更多的组件或系统受到影响。这种连锁反应可能由于系统设计不当、错误处理机制不完善或资源限制（如内存泄漏导致的性能下降）等原因引起。 配置错误 配置错误或不一致的配置可能导致系统行为异常，进而触发多个看似不相关的告警。例如，错误的路由配置可能导致流量被错误地路由到不稳定的服务器，从而引发多个与性能相关的告警。 软件缺陷 软件中的缺陷（如bug）可能导致程序在特定条件下表现异常，并触发告警。如果这些缺陷影响了多个组件或系统，则可能引发多个关联告警。 外部因素 外部因素如自然灾害（如地震、洪水）、网络攻击、基础设施故障（如电力中断、网络中断）等也可能导致多个系统或组件同时出现问题，并触发大量告警。

产品价值 1. 守护电脑安全：在实时防护、病毒查杀、漏洞修复等多重机制护航下，阻止外部非法入侵与内部外设数据泄露，全方位守护员工电脑安全，让电脑使用更安心。 2. 用户体验良好：终端安全能力开箱即用，无需繁琐的部署方案，丰富的终端安全能力融合在一个轻量客户端中，员工办公体验好。 3. 终端高效管理：终端接入企业后，管控策略持续生效，让电脑持久安全；基于身份、设备双重监管、深度溯源风险行为；精准盘点终端资产，追踪资产状态与位置。 4. AI应用检测：实时监测新安装 AI 应用，自动识别应用风险等级，阻断高危、不合规AI 应用的网络链接，形成“发现 定位 处置”管控闭环。

一站式智算服务平台支持包周期和卡时/Token按需计费三种计费模式。本节为您详细介绍Token按需计费模式。 Token 概念 在模型服务中，一个核心概念是“token”。当您调用模型进行推理服务时，输入内容会首先经过分词处理，转换成模型能够识别的token形式。随后，这些token经过模型的处理，再以token的形式输出，并最终转化为您所需的文本。 模型服务费用 token 使用数量 token 单价 说明 不同的模型可能采用不同的分词策略，同一段文本在不同模型上的 tokens 计量会存在差异。 产品价格 按 token 使用量付费 出账时间：每小时出账。 付款类型：按量后付费。 免费额度：使用模型时，将优先消耗免费额度，免费额度耗尽后，调用将会失败；如需继续使用，需要手动开通对应的模型付费服务。 模型单价（刊例价）：如下表，实际购买价格以下单页面为准。 模型名称 服务类型 计费单位 (元/百万tokens) 免费额度（tokens） DeepSeek系列 DeepSeekR1 输入 4 每个模型可免费使用2500万tokens，从第一次使用开始限期两周。免费额度用完或到期后，可以付费开通服务。 DeepSeek系列 DeepSeekR1 输出 16 每个模型可免费使用2500万tokens，从第一次使用开始限期两周。免费额度用完或到期后，可以付费开通服务。 DeepSeek系列 DeepSeekV3 输入 2 每个模型可免费使用2500万tokens，从第一次使用开始限期两周。免费额度用完或到期后，可以付费开通服务。 DeepSeek系列 DeepSeekV3 输出 8 每个模型可免费使用2500万tokens，从第一次使用开始限期两周。免费额度用完或到期后，可以付费开通服务。 DeepSeek系列 DeepSeekR1DistillLlama70B 输入 4.1 每个模型可免费使用2500万tokens，从第一次使用开始限期两周。免费额度用完或到期后，可以付费开通服务。 DeepSeek系列 DeepSeekR1DistillLlama70B 输出 4.1 每个模型可免费使用2500万tokens，从第一次使用开始限期两周。免费额度用完或到期后，可以付费开通服务。 DeepSeek系列 DeepSeekR1DistillQwen32B 输入 1.3 每个模型可免费使用2500万tokens，从第一次使用开始限期两周。免费额度用完或到期后，可以付费开通服务。 DeepSeek系列 DeepSeekR1DistillQwen32B 输出 1.3 每个模型可免费使用2500万tokens，从第一次使用开始限期两周。免费额度用完或到期后，可以付费开通服务。 Qwen系列 Qwen2.572Binstruct 输入 4.13 每个模型可免费使用100万tokens，从第一次使用开始限期两周。免费额度用完或到期后，可以付费开通服务。 Qwen系列 Qwen2.572Binstruct 输出 4.13 每个模型可免费使用100万tokens，从第一次使用开始限期两周。免费额度用完或到期后，可以付费开通服务。 Qwen系列 QwenVLChat 输入 0.8 每个模型可免费使用100万tokens，从第一次使用开始限期两周。免费额度用完或到期后，可以付费开通服务。 Qwen系列 QwenVLChat 输出 1.6 每个模型可免费使用100万tokens，从第一次使用开始限期两周。免费额度用完或到期后，可以付费开通服务。 Qwen系列 Qwen2.5VL72BInstruct 输入 4.13 每个模型可免费使用100万tokens，从第一次使用开始限期两周。免费额度用完或到期后，可以付费开通服务。 Qwen系列 Qwen2.5VL72BInstruct 输出 4.13 每个模型可免费使用100万tokens，从第一次使用开始限期两周。免费额度用完或到期后，可以付费开通服务。 Qwen系列 Qwen314B 输入 0.8 每个模型可免费使用100万tokens，从第一次使用开始限期两周。免费额度用完或到期后，可以付费开通服务。 Qwen系列 Qwen314B 输出 1.6 每个模型可免费使用100万tokens，从第一次使用开始限期两周。免费额度用完或到期后，可以付费开通服务。 其他系列 每个模型可免费使用100万tokens，用尽后不支持tokens计费模式，可以通过按卡时计费模式下单。

扩展服务 标准资费（月） 包年折扣 主套餐服务区域 适用版本 功能描述 域名扩展包 1000元/域名（一个一级域名） 按年购买，可享受1年8.5折、2年7.5折、3年6折、5年4.5折折扣 不涉及 基础版、高级版、企业版、旗舰版、定制版 支持一个主域名 DDoS防护带宽 详见《DDoS防护带宽服务资费》 按年购买，可享受1年8.5折、2年7.5折、3年6折、5年4.5折折扣 中国内地、全球 基础版、高级版、企业版、旗舰版、定制版 若客户遭受DDoS攻击的风险大，频率高建议订购DDoS防护带宽扩展服务。 当攻击峰值在防护带宽以内，则在中国内地服务区域提供不限次数的防护，并且不会扣除套餐中的防护次数。 DDoS弹性防护 详见《DDoS弹性防护服务资费》 按需计费方式不支持包年折扣 中国内地、全球 基础版、高级版、企业版、旗舰版、定制版 若客户已订购DDoS防护带宽，在中国内地服务区域，仍有遭遇超过DDoS防护带宽的攻击风险，则建议开启DDoS弹性防护。 弹性峰值（即攻击峰值DDoS防护带宽），将按阶梯计费。 若未触发弹性防护，则不收取任何费用。 DDoS防护IP 10000元/月 按年购买，可享受1年8.5折、2年7.5折、3年6折、5年4.5折折扣 全球（非中国内地）、全球 基础版、高级版、企业版、旗舰版、定制版 在全球（非中国内地）服务区域，提供一个独享的全球Anycast广播的高防IP，支持订购多个 内容审核 1.3元/千张/日 按需计费方式不支持包年折扣 不涉及 基础版、高级版、企业版、旗舰版、定制版 对加速内容进行快速智能检测 Bot管理 3500元/月 按年购买，可享受1年8.5折、2年7.5折、3年6折、5年4.5折折扣 不涉及 基础版、高级版、企业版、旗舰版、定制版 支持通过人机挑战、爬虫阈值限制、爬虫陷阱等防爬策略，精准命中爬虫流量，拦截各类恶意爬虫； 通过分析海量访问数据，利用内置的分析算法，识别智能爬虫； API安全 4500元/月 按年购买，可享受1年8.5折、2年7.5折、3年6折、5年4.5折折扣 不涉及 基础版、高级版、企业版、旗舰版、定制版 提供API资产高可见性和持续安全检测 态势感知大屏 1500元/月 按年购买，可享受1年8.5折、2年7.5折、3年6折、5年4.5折折扣 不涉及 基础版、高级版、企业版、旗舰版、定制版 提供网站整体业务及安全状况的可视化大屏分析 专家指导服务 100元/次/月 按年购买，可享受1年8.5折、2年7.5折、3年6折、5年4.5折折扣 不涉及 基础版、高级版、企业版、旗舰版、定制版 提供域名接入配置、安全配置指导服务 专家服务 10000元/月 按年购买，可享受1年8.5折、2年7.5折、3年6折、5年4.5折折扣 不涉及 基础版、高级版、企业版、旗舰版、定制版 724小时远程指导服务（配置指导、防护策略定制、监控和预警） Web防护 免费版：0元/月 基础版：800元/月 高级版：2500元/月 企业版：7600元/月 旗舰版：18000元/月 按年购买，可享受1年8.5折、2年7.5折、3年6折、5年4.5折折扣 不涉及 定制版 为用户提供应对Web 攻击、入侵、漏洞利用、挂马、篡改、后门、爬虫、域名劫持等网站及 Web 业务安全防护问题，从而保障网站安全。 IPv6改造 600元/月 按年购买，可享受1年8.5折、2年7.5折、3年6折、5年4.5折折扣 不涉及 定制版 为用户给解决网站外链不支持IPv6访问的问题，并解决“天窗问题”。 Websockets 500元/月 按年购买，可享受1年8.5折、2年7.5折、3年6折、5年4.5折折扣 定制版 定制版 支持WebSockets协议

本文主要介绍Helm v2与Helm v3的差异及适配方案。 随着Helm v2 发布最终版本Helm 2.17.0，Helm v3 现在已是 Helm 开发者社区支持的唯一标准。为便于管理，建议用户尽快将模板切换至Helm v3格式。 当前社区从Helm v2演进到Helm v3，主要有以下变化： 1. 移除tiller Helm v3 使用更加简单和灵活的架构，移除了 tiller，直接通过kubeconfig连接apiserver，简化安全模块，降低了用户的使用壁垒。 2. 改进了升级策略，采用三路策略合并补丁 Helm v2 使用双路策略合并补丁。在升级过程中，会对比最近一次发布的chart manifest和本次发布的chart manifest的差异，来决定哪些更改会应用到Kubernetes资源中。如果更改是集群外带的（比如通过kubectl edit），则修改不会被Helm识别和考虑。结果就是资源不会回滚到之前的状态。 Helm v3 使用三路策略来合并补丁，Helm在生成一个补丁时，会考虑之前老的manifest的活动状态。因此，Helm在使用老的chart manifest生成新补丁时会考虑当前活动状态，并将其与之前老的 manifest 进行比对，并再比对新的 manifest 是否有改动，并进行自动补全，以此来生成最终的更新补丁。 详情及示例请见Helm官方文档： 3. 默认存储驱动程序更改为secrets Helm v2 默认情况下使用 ConfigMaps 存储发行信息，而在 Helm v3 中默认使用 Secrets。 4. 发布名称限制在namespace范围内 Helm v2 只使用tiller 的namespace 作为release信息的存储，这样全集群的release名字都不能重复。Helm v3只会在release安装的所在namespace记录对应的信息，这样release名称可在不同命名空间重用。应用和release命名空间一致。 5. 校验方式改变 Helm v3 对模板格式的校验更加严格，如Helm v3 将chart.yaml的apiVersion从v1切换到v2，针对Helm v2的chart.yaml，强要求指定apiVersion为v1。可安装Helm v3客户端后，通过执行helm lint命令校验模板格式是否符合v3规范。 适配方案 ：根据Helm官方文档 v3模板，apiVersion字段必填。 6. 废弃crdinstall Helm v3删除了crdinstall hook， 并用chart中的crds目录替换。需要注意的是，crds目录中的资源只有在release安装时会部署，升级时不会更新，删除时不会卸载crds目录中的资源。若crd已存在，则重复安装不会报错。 适配方案 ：根据Helm官方文档 当前可使用crds目录或者将crd定义单独放入chart。考虑到目前不支持使用Helm升级或删除CRD，推荐分隔chart，将CRD定义放入chart中，然后将所有使用该CRD的资源放到另一个 chart中进行管理。 7. 未通过helm创建的资源不强制update，releaes默认不强制升级 Helm v3强制升级逻辑变化，不再是升级失败后走删除重建，而是直接走put更新逻辑。因此当前CCE release升级默认使用非强制更新逻辑，无法通过Patch更新的资源将导致release升级失败。若环境存在同名资源且无Helm V3的归属标记app.kubernetes.io/managedby: Helm，则会提示资源冲突。 适配方案 ：删除相关资源，并通过Helm创建。 8. Release history数量限制更新 为避免release 历史版本无限增加，当前release升级默认只保留最近10个历史版本。 更多变化和详细说明请参见Helm官方文档 Helm v2与Helm v3的区别： Helm v2如何迁移到Helm v3：

本小节介绍安全专区产品优势。 快速合规方案 产品套餐依据等级保护要求针对云上各种应用场景进行合规设计，产品自动交付，一次购买可满足云用户多个系统的等保合规技术要求，快速解决云上合规整改问题。 平台紧密集成 自动识别所有云资产，关联安全组件能力自动评估云用户资产安全态势，用户使用云平台账号即可登录安全专区实施所有安全管理工作。 网端管三层防护 提供覆盖网络安全、终端安全、应用安全、数据安全各层面的安全能力，网端管联动分析，为云上应用系统安全运行提供全面保障。 集中管理全管控 集中管理用户云上资产安全，集中管理云上安全设备，集中管理云网边界、虚机系统、业务系统的漏洞、告警、用户行为等安全运行数据，提供全覆盖的安全态势管理能力。

本文介绍全站加速是否支持websocket加速。 全站加速支持websocket加速。天翼云全站加速产品支持对websocket协议和http/https协议同时加速，即同一个域名可以既有http/https协议，又有websocket协议，您无需拆分域名，使用全站加速产品就可以实现对域名下http/https协议的应用和websocket协议的应用同时加速。 全站加速节点会自动识别客户端与全站加速边缘节点通信使用的协议，自动切换协议。通常情况下，websocket协议的应用多为动态业务，对实时性要求很高，全站加速的动态探测选路能力可以为websocket应用选择最快的回源路径，提升websocket业务的访问效果。 需要使用websocket加速的域名在控制台添加域名时，域名类型请选择“全站加速websocket加速”，即可享受websocket加速服务。详见：websocket加速。

防护模块配置 WAF支持多种威胁防护模块，防护模块概述如下： 防护模块 说明 默认规则 配置建议 Web应用基础防护 覆盖OWASP中的常见的攻击类型，通过内置规则库进行安全防护。 用户可选择系统默认规格的规则库，也可自定义防护规则库，实现针对性防护。 可开启/关闭，默认处于开启状态。 包括系统默认规则组（正常/宽松/严格）以及用户自定义规则组。默认选择正常规则组。 可根据不同的防护需求选择不同的防护等级： 正常规则组为考虑漏保和误报均衡结果的规则组，一般业务防护建议选择正常规则组。 宽松规则组提供精准的攻击检测策略，仅会对较为明确的攻击进行防护。 严格规则组提供全面的安全演策，会阻断所有可能为攻击的行为。 CC攻击防护 CC攻击（Challenge Collapsar）是DDoS的一种，攻击者通过代理服务器向受害主机不停发送大量数据包，造成Web业务服务器的资源耗尽，从而无法响应其他正常访问请求的一种攻击行为。CC攻击防护可以通过对Web业务请求的安全验证，防护网络攻击者对业务服务器发起的CC攻击。 可开启/关闭，默认处于关闭状态。 系统提供两种默认防护级别，无需用户设置防护规则实现快速配置。为了避免误杀，用户也可自定义CC防护规则，限制单个访问者对命中特定匹配条件的访问频率，WAF会根据配置的规则，精准识别CC攻击，并做出拦截、人机验证等动作处理。 当网站服务器资源有限，且存在被CC攻击的情况下建议开启。 开启后可能会影响业务的正常访问流程，建议选择人机验证，从而保证业务的可用性。 精准访问控制 用户可根据客户端IP、请求URL、以及常见的请求头字段定义访问请求的精确匹配条件，以进行过滤，并对命中条件的请求设置放行、拦截、观察或人机验证等操作。 可开启/关闭，默认处于关闭状态。 当业务出现明确需要保护的地址，例如用户名或密码保存的文件路径、以及管理员访问路径，可进行精准访问控制。 IP黑白名单设置 自定义添加IP黑白名单规则，阻断、放行指定IP的访问请求。 白名单优先级高于黑名单优先级，即当会话命中白名单后会被直接放行，不再进行后续的安全检测。 可开启/关闭，默认处于关闭状态。 黑白名单通常与其他防护模块并行使用，通过设置黑白名单，放行安全的访问请求，阻断恶意的访问请求。 BOT防护 WAF提供若干个已知的公开BOT类型，用户可分别设置相应的防护动作。 支持公开类型和自定义会话策略两大类防护策略。同时，用户可自定义防护策略，根据协议特征或者其他会话特征设置判定维度，对命中的请求进行相应的处理。 可开启/关闭，默认处于关闭状态。 BOT防护主要用于防止其他网站对业务网站信息的爬取，当有相关需要时，可以开启该模块。 地域访问控制 通过配置地域访问控制规则，可针对指定国家、地区的来源IP自定义访问控制。 可开启/关闭，默认处于关闭状态。 地域访问控制可以通过拒绝部分地域的访问，例如境外地址的访问，从而阻断掉可能来源于境外的攻击。 防敏感信息泄露 支持对网站返回的内容进行过滤（拦截、脱敏展示），过滤内容包括敏感信息、关键字和响应码。 可开启/关闭，默认处于关闭状态。 当网站返回信息中包括敏感信息时，通过设置防敏感信息泄露规则，可以过滤网站返回内容中的敏感信息（比如身份证号、电话号码等），对敏感信息进行脱敏展示，可以有效防止敏感泄露。 网页防篡改 通过缓存页面和锁定访问请求，可避免页面被恶意篡改而带来的负面影响，对重点静态页面进行保护。 可开启/关闭，默认处于关闭状态。 网页防篡改主要用于防护一些重点的静态页面。 Cookie防篡改 通过对Cookie中的字段增加完整性校验保护，WAF会新增一个Cookie字段用于篡改校验。 可开启/关闭，默认处于关闭状态。 Cookie防篡改主要用于防护Cookie变化较少、对安全性要求较高的网页。 隐私屏蔽 通过设置隐私屏蔽规则，可屏蔽用户隐私信息，避免用户隐私信息出现在系统记录的日志中。 可开启/关闭，默认处于关闭状态。 隐私屏蔽规则主要是屏蔽WAF系统日志中的用户隐私信息，可以从安全运维侧规避用户的隐私泄露风险。

配置说明 该功能暂不支持客户自助配置，如需使用，请通过提交工单给天翼云客服，由其人工操作开启。 提交工单时，请您提供如下信息： 参数名 说明 默认值 示例 告警名称 告警名称用于区分不同的告警任务，当客户收到告警信息时，将主要从告警名称来做区分和识别不同的告警。 无。 边缘带宽突增告警。 监控范围 告警规则作用的业务范围：全量域名或部分域名。 1.全量域名：您账号下的所有CDN加速域名。 2.部分域名：仅针对具体域名进行监控，支持目标域名（白名单）或者例外的域名（黑名单）。 全量域名。 全量域名。 监控指标 具体的告警规则，当监控数据满足告警条件时，触发告警。 1.监控时段：“00:00 到 24:00”期间满足“任意”或“所有”条件时触发告警。支持多个时段多个监控指标，不同监控指标间的关系可选择，例如：任意或所有。“任意”指多个指标只要有一个指标达到告警阈值即告警；“所有”指多个指标需要同时达到告警阈值才告警。 2.监控指标：详情请见下表：监控指标说明。 “00:00 到 24:00”期间满足 “任意” 条件。 实例1：监控时段1：18:00到22:00满足“任意” 条件时触发告警。 1.域名边缘带宽增长率（%）＞50。 2.域名5xx占比（%）≥2。 实例2：监控时段2：00:00到 24:00满足“所有”条件时触发告警。 1.域名边缘带宽增长率（%）＞100。 2.域名5xx占比（%）≥5。 触发条件 为规避偶发网络波动等因素引起的误告（无需处理的告警），而干扰告警的有效性。监控平台支持设置以下两个参数： 1.持续时间：表示异常持续一段时间才触发告警，支持300秒、1500秒两个选项。 2.连续触发次数：持续时间段内，连续满足告警条件指定次数，才会触发告警。 1.持续时间：默认5分钟。 2.连续触发次数：默认3次。 1.持续时间：10分钟。 2.连续触发次数：5次。 告警沉默周期 告警发生后未恢复正常，间隔多久重复发送一次告警通知，单位为分钟。某监控指标达到告警阈值时发送告警，如果监控指标在沉默周期内持续超过告警阈值，在沉默周期内不会重复发送告警通知；如果监控指标在沉默周期后仍未恢复正常，则监控再次发送告警通知。 例如：当告警沉默周期设置60分钟时，如果告警未恢复正常，则间隔60分钟后，监控会再次发送告警通知。 5分钟。 沉默周期：10分钟。 告警渠道 告警触发时的通知渠道。支持语音服务、手机短信、电子邮件、企业微信（或企业微信机器人）、钉钉机器人。 无。 手机短信。 告警联系人组 发送告警的联系人组。告警联系人组是一组告警联系人，可以包含一个或多个告警联系人。 无。 例如：张三 手机号1。李四 手机号2。 告警内容 若无特殊需求，可忽略此项。系统会按特定指标对应的模板自动生成告警信息。 详见下文示例。 详见下文示例。 监控指标说明： 指标类别 指标名称 指标说明 示例 带宽/流量 域名边缘带宽（Mbps） 支持设定“>、>、 1000 带宽/流量 域名流量（一段时间内）（GB） 支持设定“>、>、 500 带宽/流量 域名边缘带宽增长率相比10min前（%） 支持设定“>、>、 20 带宽/流量 域名边缘带宽增长率（%） 支持设定“>、>、 50 带宽/流量 域名边缘带宽下降率相比10min前（%） 支持设定“>、>、 20 带宽/流量 域名边缘带宽下降率（%） 支持设定“>、>、 20 请求数 域名请求数量（次） 支持设定“>、>、 1000000 请求数 域名请求增长率相比10min前（%） 支持设定“>、>、 20 请求数 域名qps增长率（%） 支持设定“>、>、 30 请求数 域名请求下降率相比10min前（%） 支持设定“>、>、 20 请求数 域名全网qps下降率（%） 支持设定“>、>、 30 状态码 域名5xx占比（%） 支持设定“>、>、 1 状态码 域名5xx数量（次） 支持设定“>、>、 1000 状态码 域名4xx占比（%） 支持设定“>、>、 1 状态码 域名4xx数量（次） 支持设定“>、>、 1000 状态码 域名边缘4xx占比增长（%） 支持设定“>、>、 20

图VXLAN配置状态 up表示隧道状态正常。 操作步骤（H3C S6520交换机） 远端隧道网关的配置方法：在VXLAN交换机和企业交换机之间建立VXLAN隧道，并将VXLAN隧道与VXLAN关联，以便将虚拟机发送的二层报文封装为IP报文后发到企业交换机。VXLAN交换机的下行端口上配置以太网服务实例和相应的匹配规则，用来识别用户网络中的报文所属的VXLAN。 1. 配置交换机工作在VXLAN模式，保存配置并重启交换机（若已开启则跳过）。 配置示例： systemview [SwitchA] switchmode 1 shell Reboot device to make the configuration take effect. [SwitchA] quit reboot shell Start to check configuration with next startup configuration file, please wait.. .......DONE! Current configuration may be lost after the reboot, save current configuration? [Y/N]:y This command will reboot the device. Continue? [Y/N]:y 2. 创建隧道口并配置接口IP地址。 根据组网图规划，创建loopback接口并配置接口IP地址，作为隧道的远端地址。 配置示例： [SwitchA] interface loopback 0 [SwitchALoopBack0] ip address 2.2.2.2 32 注意 对于新规划的远端地址，即VXLAN交换机的接口IP地址（包括Loopback接口IP地址），要确认下其到企业交换机隧道子网路由是否可达，如果不通，需要在VXLAN交换机上配置路由。此处VXLAN交换机可以是汇聚交换机或者核心交换机，请根据网络实际规划选择。 3. 创建VXLAN。 1. 开启L2VPN能力。 配置示例： systemview [SwitchA] l2vpn enable 2. 配置VXLAN隧道工作在二层转发模式。 配置示例： [SwitchA] undo vxlan ipforwarding 3. 创建VSI实例vpna和VXLAN 5010。 配置示例： [SwitchA] vsi vpna [SwitchAvsivpna] vxlan 5010 [SwitchAvsivpnavxlan5010] quit [SwitchAvsivpna] quit 注意 这里VXLAN ID必须和表1创建二层连接时，远端接入信息的隧道号保持一致。 4. 创建VXLAN隧道 创建到达企业交换机的VXLAN隧道Tunnel1。 配置示例： [SwitchA] interface tunnel 1 mode vxlan [SwitchATunnel1] source 2.2.2.2 [SwitchATunnel1]destination 10.0.6.3 [SwitchATunnel1] quit 5. 关联VXLAN和VXLAN隧道。 在VXLAN交换机上将VXLAN隧道Tunnel1与VXLAN 5010关联。 配置示例： [SwitchA] vsi vpna [SwitchAvsivpna] vxlan 5010 [SwitchAvsivpnavxlan5010] tunnel 1 [SwitchAvsivpnavxlan5010] quit [SwitchAvsivpna] quit 注意 同一企业交换机上创建多个(最多6个)二层连接场景，需和此企业交换机建多条VXLAN，可以创建多个VXLAN和同一个VXLAN隧道关联。如：Tunnel1。 同一VXLAN交换机和多个企业交换机连接场景（此场景很少用），可以创建多个VXLAN隧道和同一个VXLAN关联。如：Tunnel1、Tunnel2。 6. 配置以太网服务实例匹配用户报文，并将其与VSI关联。 在VXLAN交换机接口BridgeAggregation1上创建以太网服务实例1000，该实例用来匹配VLAN 100的数据帧，将该服务实例与vpna（VXLAN 5010）关联。 配置示例： [SwitchA] BridgeAggregation 1 [SwitchABridgeAggregation1] port linktype trunk [SwitchABridgeAggregation1] serviceinstance 1000 [SwitchABridgeAggregation1srv1000] encapsulation svid 100 [SwitchABridgeAggregation1srv1000] xconnect vsi vpna [SwitchABridgeAggregation1srv1000] quit [SwitchABridgeAggregation1] quit 注意 在交换机物理以太接口上也可以创建以太网服务实例，方法类似。 7. 查看验证隧道状态。 查看Tunnel接口信息，可以看到VXLAN模式的Tunnel接口处于up状态。 配置示例： [SwitchA]display interface Tunnel 1 shell Tunnel1 Current state: UP Line protocol state: UP Description: Tunnel1 Interface Bandwidth: 64 kbps Maximum transmission unit: 1464 Internet protocol processing: Disabled Last clearing of counters: 17:19:44 Fri 01/18/2013 Tunnel source 2.2.2.2, destination 10.0.6.3 Tunnel protocol/transport UDPVXLAN/IP Last 300 seconds input rate: 0 bytes/sec, 0 bits/sec, 0 packets/sec Last 300 seconds output rate: 0 bytes/sec, 0 bits/sec, 0 packets/sec Input: 0 packets, 0 bytes, 4 drops Output: 0 packets, 0 bytes, 0 drops 查看VSI信息，可以看到与VXLAN关联的VXLAN隧道、与VSI关联的以太网服务实例均处于up状态。 配置示例： [SwitchA]display l2vpn vsi verbose shell VSI Name: vnpa VSI Index : 1 VSI State : Up MTU : 1500 Bandwidth : Broadcast Restrain : Multicast Restrain : Unknown Unicast Restrain: MAC Learning : Enabled MAC Table Limit : MAC Learning rate : Drop Unknown : Flooding : Enabled Statistics : Disabled VXLAN ID : 5010 Tunnels: Tunnel Name Link ID State Type Flood proxy Tunnel1 0x5000001 UP Manual Disabled ACs: AC Link ID State Type BAGG1 srv1000 0 Up Manual

本节主要介绍Glance使用HBlock卷的方法。 1. 修改Glance的配置文件/etc/glance/glanceapi.conf，修改enabledbackends，支持使用Cinder作为Glance的后端存储，同时通过cindervolumetype来指定卷类型。 plaintext [DEFAULT] showimagedirecturl True enabledbackends"file:file,cindera:cinder,cinderb:cinder" [glancestore] storesfile,cindera,cinderb defaultbackendfile [file] filesystemstoredatadir /opt/stack/data/glance/images/ [osglancetasksstore] filesystemstoredatadir /opt/stack/data/glance/tasksworkdir [osglancestagingstore] filesystemstoredatadir /opt/stack/data/glance/staging [cindera] cinderosregionnameRegionOne cinderstoreauthaddress cinderstoreusernamecinder cinderstorepasswordnomoresecret cinderstoreprojectnameservice cindervolumetypehblocka cinderenforcemultipathTrue cinderusemultipathTrue rootwrapconfig /etc/cinder/rootwrap.conf [cinderb] cinderosregionnameRegionOne cinderstoreauthaddress cinderstoreusernamecinder cinderstorepasswordnomoresecret cinderstoreprojectnameservice cindervolumetypehblockb cinderenforcemultipathTrue cinderusemultipathTrue rootwrapconfig /etc/cinder/rootwrap.conf 部分参数描述，具体详细参数请参考OpenStack官网。 参数 描述 showimagedirecturl 是否允许通过直接url的方式表示镜像。 取值： True。 False。 说明 在使用Stor Cinder进行镜像创建卷的场景下，支持采用克隆方式进行底层处理。如果使用克隆进行底层处理，必须配置此项，且该项取值为True。 enabledbackends 存储标识符和存储类型。配置形式为key :value 。value的合法值为file、rbd、http、swift、cinder。key为defaultbackend的值。 说明 可以一次配置多个key :value ，以英文逗号隔开，如key1 :value1 ,key1 :value2 。enabledbackends中的每一个key 都需要有一个单独的一个配置组[key]，配置组中需要配置该配置的所有详细配置项。 defaultbackend 必须为enabledbackends中的key。 cinderosregionname 从服务目录中查找cinder服务的区域名称。 cinderstoreauthaddress Openstack实际的identity服务url，对应的账户密码需找管理员获取。在PackStack部署模式下，此值为类似的地址： cinderstoreusername OpenStack鉴权账户名。 cinderstorepassword OpenStack鉴权密码。 cinderstoreprojectname 镜像卷存储在Cinder中的项目名称。 cindervolumetype 在Cinder中创建卷的卷类型。 cinderenforcemultipath 如果它被设置为True，则当Multipathd未运行时，镜像传输的卷附加将中止。 取值： True。 False。 说明 如果HBlock集群版，需要配置为True，如果HBlock单机版，配置为False。仅在cinderusemultipath设置为True时，才将此字段设置为True。 cinderusemultipath 在部署中支持用于识别Mutipath的标记。 如果不支持多路径，则将其设置为False。 True：Cinder使用多路径。 False：Cinder不使用多路径。 说明 如果HBlock集群版，需要配置为True，如果HBlock单机版，配置为False。 rootwrapconfig 用于以root用户身份运行命令的rootwrap配置文件的路径。 Cinder存储需要root特权才能运行镜像卷（用于连接到 iSCSI/FC 卷以及读/写卷数据等）。配置文件应允许cinder store和osbrick库所需的命令。 注意 注意：以下仅为示例，请按照实际的OpenStack环境信息进行填写。 plaintext [DEFAULT] showimagedirecturl True enabledbackends"file:file,cinder:cinder,cinderstor8:cinder" [glancestore] storesfile,cinder defaultbackendfile [file] filesystemstoredatadir /opt/stack/data/glance/images/ [osglancetasksstore] filesystemstoredatadir /opt/stack/data/glance/tasksworkdir [osglancestagingstore] filesystemstoredatadir /opt/stack/data/glance/staging [cinder] cinderosregionnameRegionOne cinderstoreauthaddress

本文帮助您快速熟悉负载均衡服务HTTP监听器的添加。 添加HTTP监听器 操作场景 HTTP协议适用于需要对数据内容进行识别的应用，如Web应用、门户网站等。 前提条件 您已经创建了弹性负载均衡实例。具体操作详见创建弹性负载均衡器。 操作步骤 步骤一：创建监听器 1. 登录弹性负载均衡弹性负载均衡控制台； 2. 在顶部右侧选择弹性负载均衡所属区域，本文选择华东华东1； 3. 选择以下一种方法打开监听器配置向导。 在负载均衡器列表页面页面，找到目标实例，在操作列单击“监听器配置向导”。 在ip类型/监听器端口/健康检查/服务器组列下方单击“开始配置”。 在负载均衡器列表页面，找到目标实例，单击“实例名称”进入实例详情页，单击添加“监听器”。 4. 在协议&监听配置向导依据HTTP监听器配置说明完成以下配置，然后点击下一步。 HTTP监听器配置说明 监听配置 说明 名称 设置监听器的名称，名称应为232位，英文开头，支持大小写英文和数字。 负载均衡器协议/端口 下拉列表选择HTTP协议，输入监听端口，取值范围1~65535。 描述 可选，填写监听器描述。 高级配置 监听器的特定参数配置：重定向 重定向 仅集群模式资源池支持开启重定向，将把此HTTP监听器的访问请求重定向至选定的HTTPS监听器。主备、集群模式资源池列表见产品简介​>产品类型和规格​>按资源池区分, 实际情况以控制台展现为准。此功能方便业务从HTTP迁移至HTTPS的场景，可将习惯性访问HTTP的客户端平滑迁移到HTTPS。前置条件：需要预先配置好HTTPS监听器。开启重定向后，下方出现重定向至选项，从下拉列表框选择目标HTTPS监听器。注意：只能重定向至HTTPS监听器，并且每个监听器只能重定向一次。开启重定向功能后，如需获取源IP能力，请在重定向后监听器开启。 NAT64 支持将v6地址的请求转发到v4后端主机。集群模式支持，主备、集群模式资源池列表见产品简介​>产品类型和规格​>按资源池区分, 实际情况以控制台展现为准。 请求超时时间 输入范围1~300s, 缺省60s。集群模式资源池支持设置HTTP请求超时时间，在请求超时时间内接收请求的后端主机无响应，负载均衡会向所有其它后端主机重试请求。主备、集群模式资源池列表见产品简介​>产品类型和规格​>按资源池区分, 实际情况以控制台展现为准。如果重试所有后端主机一直没有响应，则负载均衡会给客户端返回HTTP 504错误码。 空闲超时时间 输入范围1~300s, 缺省15s。集群模式资源池支持设置HTTP连接的空闲超时时间。在空闲超时时间后仍没有访问请求，负载均衡会中断当前连接。主备、集群模式资源池列表见产品简介​>产品类型和规格​>按资源池区分, 实际情况以控制台展现为准。 附加HTTP头字段 通过XForwardedFor获取客户端IP：开启获取客户端IP，将通过XForwardedFor头字段携带客户端源真实IP。 通过XForwardedProto获取监听协议：集群模式资源池支持XForwardedProto来获取客户端与负载均衡监听连接时所用的协议（HTTP/HTTPS）。 通过XForwardedPort获取监听端口：支持XForwardedPort获取客户端与负载均衡监听连接时所用的端口。 主备、集群模式资源池列表见产品简介​>产品类型和规格​>按资源池区分, 实际情况以控制台展现为准。 QPS限速 开启每秒查询次数QPS限速，可设置此监听服务的QPS上限，减轻高访问量服务切换过程中后端服务器压力。输入范围1~200000，单位qps(query per second)，缺省 10000。集群模式资源池支持设置QPS，主备、集群模式资源池列表见产品简介​>产品类型和规格​>按资源池区分, 实际情况以控制台展现为准。 访问控制 选择是否开启访问控制。开启访问控制后，选择一种访问控制方式：黑名单、白名单。并设置访问策略组作为该监听器的白名单或黑名单。白名单：允许特定IP访问负载均衡，仅转发来自所选访问策略组中设置的IP地址或地址段的请求，白名单适用于只允许特定IP访问的场景。黑名单：禁止特定IP访问负载均衡，不转发来自所选访问策略组中的IP或地址段，黑名单适用于只限制特定IP访问的场景。

类别 类型 简要释义 Hive DWS Oracle 字符串数据类型 char 定长字符串，会用空格填充来达到最大长度。 CHAR CHAR CHAR nchar 包含unicode格式数据的定长字符串。 CHAR CHAR CHAR varchar 可变长度的字符串是以长度为1到255之间字符数(高版本的MySQL超过255);例如：VARCHAR(25)；创建VARCHAR类型字段时，必须定义长度。 VARCHAR VARCHAR VARCHAR nvarchar 与varchar类似，存储可变长度Unicode字符数据。 VARCHAR VARCHAR VARCHAR 数值数据类型 int int存储在4个字节中,其中一个二进制位表示符号位，其它31个二进制位表示长度和大小，可以表示2的31次方~2的31次方1范围内的所有整数。 INT INTEGER INT bigint bigint存储在8个字节中，其中一个二进制位表示符号位，其它63个二进制位表示长度和大小，可以表示2的63次方~2的63次方1范围内的所有整数。 BIGINT BIGINT NUMBER smallint smallint类型的数据占用了两个字节的存储空间，其中一个二进制位表示整数值的正负号，其它15个二进制位表示长度和大小，可以表示2的15次方~2的15次方1范围内的所有整数。 SMALLINT SMALLINT NUMBER tinyint tinyint类型的数据占用了一个字节的存储空间，可以表示0~255范围内的所有整数。 TINYINT TINYINT NUMBER real 可以存储正的或者负的十进制数值。 DOUBLE FLOAT4 NUMBER float 其中为用于存储float数值尾数的位数（以科学计数法表示），因此可以确定精度和存储大小。 FLOAT FLOAT8 binaryfloat decimal 带固定精度和小数位数的数值数据类型。 DECIMAL NUMERIC NUMBER numeric 用于存储零、正负定点数 DECIMAL NUMERIC NUMBER 日期时间数据类型 date 存储用字符串表示的日期数据。 DATE TIMESTAMP DATE time 以字符串形式记录一天的某个时间。 不支持（String） TIME 不支持 datetime 用于存储时间和日期数据。 TIMESTAMP TIMESTAMP 不支持 datetime2 datetime的扩展类型，其数据范围更大，默认的最小精度最高，并具有可选的用户定义的精度。 TIMESTAMP TIMESTAMP 不支持 smalldatetime smalldatetime类型与datetime类型相似，只是其存储范围是从1900年1月1日到2079年6月6日，当日期时间精度较小时，可以使用smalldatetime,该类型数据占用4个字节的存储空间。 TIMESTAMP TIMESTAMP 不支持 timestamp 时间戳数据类型 TIMESTAMP TIMESTAMP TIMESTAMP datetimeoffset 用于定义一个采用24小时制与日期相组合并可识别时区的时间。 不支持（String） TIMESTAMP 不支持 多媒体数据类型 （二进制） text 用于存储文本数据。 不支持（String） 不支持（String） 不支持 netxt 与text类型作用相同，为长度可变的非Unicode数据。 不支持（String） 不支持（String） 不支持 image 长度可变的二进制数据，用于存储照片、目录图片或者图画。 不支持（String） 不支持（String） 不支持 binary 长度为n个字节的固定长度二进制数据，其中n是从1~8000的值。 不支持（String） 不支持（String） 不支持 varbinary 可变长度二进制数据。 不支持（String） 不支持（String） 不支持 货币数据类型 money 用于存储货币值 不支持（String） 不支持（String） 不支持 smallmoney 与money类型相似，输入数据时在前面加上一个货币符号，如人民币为￥或其它定义的货币符号。 不支持（String） 不支持（String） 不支持 位数据类型 bit 位数据类型，只取0或1为值，长度1字节。bit值经常当作逻辑值用于判断true(1)或false(0),输入非0值时系统将其替换为1。 不支持 不支持 不支持 其他数据类型 rowversion 每个数据都有一个计数器，当对数据库中包含rowversion列的表执行插入或者更新操作时，该计数器数值就会增加。 不支持 不支持 不支持 uniqueidentifier 16字节的GUID(Globally Unique Identifier,全球唯一标识符)，是Sql Server根据网络适配器地址和主机CPU时钟产生的唯一号码，其中，每个为都是0~~9或a~~f范围内的十六进制数字。 不支持 不支持 不支持 cursor 游标数据类型。 不支持 不支持 不支持 sqlvariant 用于存储除文本，图形数据和timestamp数据外的其它任何合法的Sql Server数据，可以方便Sql Server的开发工作。 不支持 不支持 不支持 table 用于存储对表或视图处理后的结果集。 不支持 不支持 不支持 xml 存储xml数据的数据类型。可以在列中或者xml类型的变量中存储xml实例。存储的xml数据类型表示实例大小不能超过2GB。 不支持 不支持 不支持

EXTXKEY标签，增加加密算法、秘钥URI地址以及鉴权参数信息。客户端播放器收到被改写的M3U8文件后，基于 EXTXKEY标签识别到对应TS文件为加密文件，此时会携带鉴权参数向秘钥URI地址发起请求，获取到秘钥内容后，基于加密算法和获取的秘钥解密TS数据内容并实现视频播放，最终通过HLS加密实现内容版权保护。 HLS标准加密改写 上传加速 天翼云全站加速提供的上传加速服务，提供了一种针对用户上行传输全程加速的整体加速方案。使用本方案后，用户上传的内容将自动适配到最近的节点，节点接收到终端数据后，天翼云全站加速通过自研技术将用户上传的内容快速上传到源站。 []( websocket加速 天翼云全站加速产品支持对websocket协议和http/https协议同时加速，即同一个域名可以既有http/https协议，又有websocket加速，您无需拆分域名，使用全站加速产品就可以实现对域名下http/https协议的应用和websocket协议的应用同时加速。全站加速节点会自动识别客户端与全站加速边缘节点通信使用的协议，自动切换协议。通常情况下，websocket协议的应用多为动态业务，对实时性要求很高，全站加速的动态探测选路能力可以为websocket应用选择最快的回源路径，提升websocket业务的访问效果。 []( QUIC协议 天翼云全站加速产品开放使用的是七层协议的QUIC，主要应用在客户端与全站加速平台边缘节点的交互，主要适用于弱网环境下的传输优化。 []( 云备源 云备源服务可帮助客户实现定期将网站内容从主源自动同步至备源，如主源发生宕机，则全站加速可无缝切换至云备源，实现网站业务高可用。 []( 高性能网络 高性能网络是全站加速产品的一项跨境能力进阶型增值服务，当普通国际网无法满足客户跨境传输需求时，通过开通高性能网络，利用其单独直连性、轻负载、高稳定性的特性，能帮助客户实现全链路低延时，低丢包率，高稳定性的跨境加速效果。 高性能网络 业务告警 天翼云全站加速平台支持自动化业务指标监控和告警功能，客户可以依据实际业务监控/告警需要，设置相关的监控与告警规则。 []( 防攻击处理预案说明 天翼云全站加速默认不提供防攻击服务。当某个客户的域名遭受攻击（例如CC攻击），而出现带宽或QPS异常大幅上涨触发平台稳定性红线时，全站系统有权将对应客户的域名切入专用隔离资源池以隔离异常业务，避免影响其他正常用户的加速服务。在攻击较严重的情况下，同账户下的其他域名也会切入隔离资源池。 []( 数据分析 用量分析 全站加速控制台的【数据分析】【用量分析】模块可以展示客户的带宽流量、回源统计、请求数、命中率、状态码、PV/UV、地区运营商等指标。 []( 数据分析 热门分析 全站加速控制台的【数据分析】【热门分析】支持三个月内、最长时间跨度为一个月的热门数据统计，包括TOP 100 URL、TOP 100 回源URL、热门Referer、热门域名、TOP客户端IP统计，可根据访问次数优先和流量优先两种维度的排列。并支持数据下载导出，表格内容与页面一致。 []( 数据分析 用户分析 全站加速控制台的【数据分析】【用户分析】可展示用户的区域分布、运营商分布情况。并展示每个区域/运营商的带宽、流量、访问次数。 []( 刷新预取 刷新 刷新功能是指提交URL刷新、目录刷新、正则刷新请求后，全站加速节点的缓存内容将会被强制置过期，当您向全站加速节点请求资源时，全站加速会直接回源站获取对应的资源返回给您，并将其缓存。刷新功能会降低缓存命中率。 []( 刷新预取 预取 预取功能是指提交URL预取请求后，源站将会主动将对应的资源缓存到全站加速节点，当您首次请求时，就能直接从全站加速节点缓存中获取到最新的资源，全站加速节点无需再回源站获取。预取功能会提高缓存命中率。 []( 日志下载 全站加速控制台的日志下载模块提供六个月内的日志下载。 []( 诊断工具 通过诊断工具可查询指定IP是否为天翼云CDN节点IP以及对应归属地。 诊断工具 计费详情 客户已完成订购的全站加速服务包括按量计费和资源包两种方式，资源使用情况、有效期及状态等信息均可在客户控制台的【计费详情】页面进行统一汇总与展示。同时，该页面支持完成服务订购、退订、计费方式变更、加速区域变更、资源增配或减配等一站式操作。 计费详情 用户自定义脚本UDFScript 客户不仅可通过自助控制台实现域名标准化配置，还可结合用户自定义脚本实现更为灵活的CDN可编程化，快速实现标准化配置无法满足的个性化需求。 []( BosonFaaS边缘函数 边缘函数可以让企业研发人员将自定义的JavaScript代码秒级一键部署到天翼云边缘节点上，就近生成千人千面的个性化响应结果。研发人员只需要关注业务逻辑，剩下机器资源的扩容、运维、调度，都由边缘函数自动完成。 []( 权限管理 介绍天翼云全站加速的权限管理配置平台及具体操作方法。 []( API文档 全站加速控制台的API文档可供用户查看API的功能及详细的入参、回参。 API

错误码 错误信息 HTTP状态码 语义 解决方案 APIG.0101 The API does not exist or has not been published in the environment. 404 API不存在或未发布到环境 检查调用API所使用的域名、请求方法、路径和注册的API是否一致；检查API是否发布，如果发布到非生产环境，检查请求XStage头是否为发布的环境名；检查调用API使用的域名是否已经绑定到API所在的分组。 APIG.0101 The API does not exist. 404 API请求方法不存在 检查API请求方法是否与API定义的方法相同 APIG.0103 The backend does not exist. 500 无法找到后端 联系技术支持 APIG.0104 The plugins do not exist. 500 无法找到插件配置 联系技术支持 APIG.0105 The backend configurations do not exist. 500 无法找到后端配置 联系技术支持 APIG.0106 Orchestration error. 400 编排错误 检查API配置的前后端参数是否合理 APIG.0201 API request error. 400 请求格式不合法 使用合法的请求 APIG.0201 Request entity too large. 413 请求body过大（大于12M） 减小请求body大小 APIG.0201 Request URI too large. 414 请求URI过大（大于32K） 减小请求URI大小 APIG.0201 Request headers too large. 494 请求头过大（单个请求头大于32K或所有请求头总长度大于128K） 减小请求头大小 APIG.0201 Backend unavailable. 502 后端不可用 检查API配置的后端地址是否可用 APIG.0201 Backend timeout. 504 后端超时 增大超时时间或缩小后端的处理时间 APIG.0201 An unexpected error occurred 500 内部错误 联系技术支持 APIG.0204 SSL protocol is not supported: TLSv1.1 400 SSL协议版本不支持 使用支持的SSL协议版本 APIG.0301 Incorrect IAM authentication information. 401 IAM认证信息错误 检查token是否正确 APIG.0302 The IAM user is not authorized to access the API. 403 IAM用户不允许访问API 检查用户是否被黑白名单限制 APIG.0303 Incorrect app authentication information. 401 APP认证信息错误 检查请求的方法、路径、查询参数、请求体和签名使用的方法、路径、查询参数、请求体是否一致；检查客户端机器时间是否正确。 APIG.0304 The app is not authorized to access the API. 403 APP不允许访问API 检查APP是否授权访问API APIG.0305 Incorrect authentication information. 401 认证信息错误 检查认证信息是否正确 APIG.0306 API access denied. 403 不允许访问API 检查是否授权访问API APIG.0307 The token must be updated. 401 token需要更新 重新从IAM获取token APIG.0308 The throttling threshold has been reached. 429 超出流控值限制 等待流控刷新后访问。如果触发子域名的单日请求数上限，请绑定独立域名。 APIG.0310 The project is unavailable. 403 project不可使用 使用其他project访问 APIG.0311 Incorrect debugging authentication information. 401 调试认证信息错误 联系技术支持 APIG.0401 Unknown client IP address. 403 无法识别客户端IP地址 联系技术支持 APIG.0402 The IP address is not authorized to access the API. 403 IP地址不允许访问 检查IP地址是否被黑白名单限制 APIG.0404 Access to the backend IP address has been denied. 403 后端IP不允许访问 后端IP地址或后端域名对应的IP地址不允许访问 APIG.0502 The app has been frozen. 405 APP被冻结 余额不足 APIG.0601 Internal server error. 500 内部错误 联系技术支持 APIG.0602 Bad request. 400 非法请求 检查请求是否合法 APIG.0605 Domain name resolution failed. 500 域名解析失败 检查域名拼写，以及域名是否绑定了正确的后端地址 APIG.0606 Failed to load the API configurations. 500 未加载API配置 联系技术支持 APIG.0607 The following protocol is supported: {xxx} 400 协议不被允许，允许的协议是 xxx。 注意：xxx以实际响应中的内容为准。 改用支持的协议（HTTP/HTTPS）访问 APIG.0608 Failed to obtain the admin token. 500 无法获取管理帐户 联系技术支持 APIG.0609 The VPC backend does not exist. 500 找不到vpc后端 联系技术支持 APIG.0610 No backend available. 502 没有可连接的后端 检查所有后端是否可用，如调用信息与实际配置是否一致。 APIG.0611 The backend port does not exist. 500 后端端口未找到 联系技术支持 APIG.0612 An API cannot call itself. 500 API调用自身 修改API后端配置，递归调用层数不能超过10层。 APIG.0613 The IAM service is currently unavailable. 503 IAM服务暂时不可用 联系技术支持 APIG.0705 Backend signature calculation failed. 500 计算后端签名失败 联系技术支持 APIG.0802 The IAM user is forbidden in the currently selected region 403 该IAM用户在当前region中被禁用 联系技术支持 APIG.1009 AppKey or AppSecret is invalid 400 AppKey或AppSecret不合法 检查请求的AppKey或AppSecret是否正确

本章节内容主要介绍手动配置信息 操作场景 目前从本地或虚拟机通过DRS备份迁移功能直接迁移到本云RDS for SQL Server实例上，在迁移完成后还需要针对Login账号，DBLink，AgentJOB，关键配置进行识别，并手动完成相关同步工作。 Login账号 Login账号即SQL Server的实例级账号，主要用于用户管理用户服务器权限与数据库权限。一个用户通常会有多个该类型账号，用户迁移到RDS for SQL Server实例后，需要手动将自己本地的Login账号同步在实例上进行创建，以下方法将介绍如何在本云RDS for SQL Server实例上创建同名，同密码的Login账号，并进行授权操作。 1.通过以下脚本获取本地实例Login账号创建脚本，获取到的脚本可以直接在目标端上执行，以创建同名，同密码的Login账号。 SELECT 'IF (SUSERID('+QUOTENAME(SP.name,'''')+') IS NULL) BEGIN CREATE LOGIN ' +QUOTENAME(SP.name)+ CASE WHEN SP.typedesc 'SQLLOGIN' THEN ' WITH PASSWORD ' +CONVERT(NVARCHAR(MAX),SL.passwordhash,1)+ ' HASHED,SID' +CONVERT(NVARCHAR(MAX),SP.SID,1)+',CHECKEXPIRATION ' CASE WHEN SL.isexpirationchecked 1 THEN 'ON' ELSE 'OFF' END +', CHECKPOLICY ' +CASE WHEN SL.ispolicychecked 1 THEN 'ON,' ELSE 'OFF,' END ELSE ' FROM WINDOWS WITH' END ' DEFAULTDATABASE[' +SP.defaultdatabasename+ '], DEFAULTLANGUAGE[' +SP.defaultlanguagename+ '] END;' as CreateLogin FROM sys.serverprincipals AS SP LEFT JOIN sys.sqllogins AS SL ON SP.principalid SL.principalid WHERE SP.type 'S' AND SP.name NOT LIKE ' % ' AND SP.name NOT LIKE 'NT AUTHORITY%' AND SP.name NOT LIKE 'NT SERVICE%' AND SP.name NOT IN ('rdsadmin','rdsbackup','rdsuser','rdsmirror','public') 2.执行1脚本可获取如下执行脚本。 图1 获取执行脚本 3.复制2中的执行脚本在目标端直接执行，创建出来的Login账号跟原实例密码一致。 4.将新建的Login账号跟用户当前RDS SQL Server实例上的迁移过来的数据库用户权限进行映射（mapping），以保证该账号在当前实例上的权限一致性，执行脚本如下。 declare @DBName nvarchar(200) declare @Loginname nvarchar(200) declare @SQL nvarchar(MAX) set @Loginname 'TestLogin7' //输入Login名称逐个执行 declare DBNameCursor cursor for select quotename(name)from sys.databases where databaseid > 4 and state 0 and name not like '%$%' and name <> 'rdsadmin' open DBNameCursor fetch next from DBNameCursor into @DBName WHILE @@FETCHSTATUS 0 begin SET @SQL' USE '+ (@DBName)+ ' if exists(select top 1 1 from sys.sysusers where name '''+ @LoginName +''') begin ALTER USER '+@Loginname+' with login '+@Loginname+'; end ' print @SQL EXEC (@SQL) fetch next from DBNameCursor into @DBName end close DBNameCursor deallocate DBNameCursor 说明： 以上脚本执行完成后，用户即可在自己的新实例上看到同名的登录账号，并且密码跟权限是完全跟本地一致的。 DBLink连接 DBLink连接指SQL Server支持用户通过创建DBLink连接的方式，跟外部实例上的数据库进行交互，这种方式可以极大的方便用户不同实例间，不同数据库类型之间的数据库查询，同步，比较，所以大部分用户都会在本地实例上用到该服务，但是迁移上云后，本地DBLink是不会自动同步到云上实例的，还需要简单的手动进行同步。 1.通过微软提供的官方Microsoft SQL Server Management Studio客户端工具连接本地实例与云上实例，同时在“服务器对象 > 链接服务器”下找到当前实例的DBLink链接。 图2 查看DBLink链接 2.选中链接服务器，然后按F7，会自动弹出对象资源管理信息页，在该页面中可以方便你快速的自动创建脚本。 图 自动创建脚本 3.在新窗口中，可以看到当前实例上所有DBLink的创建脚本，仅需复制该脚本到目标实例上，并修改@rmtpassword上的密码即可执行创建操作。 USE [master] GO / Object: LinkedServer [DRSTESTREMOTE] Script Date: 2019/5/25 17:51:50 / EXEC master.dbo.spaddlinkedserver @server N'DRSTESTREMOTE', @srvproductN'', @providerN'SQLNCLI', @datasrcN'DESKTOPB18JH5TSQLSERVER2016EE' / For security reasons the linked server remote logins password is changed with

Zookeeper 微服务注册中心ZooKeeper是一个分布式应用程序协调服务，是 Google Chubby 的开源实现。利用ZooKeeper的存储配置，实现配置信息的集中式管理和数据的动态更新，保证数据一致性。MSE提供的ZooKeeper企业级服务，分为单机版和集群版两种，前者适用于开发测试，后者致力于在性能、可观测和高可用方面做了诸多提升，用于生产环境。 系列能力对比 功能 单机版 集群版 可用性 多节点、多可用容灾 不支持 支持 可用性 全局风险自动识别 支持 支持 可用性 数据定时备份 支持 支持 安全性 ACL控制 支持 支持 安全性 SASL 支持 支持 安全性 TLS传输加密 不支持 支持 易用性 自动化运维 不支持 支持 易用性 迁移工具 支持 支持 易用性 基础监控告警 支持 支持 规格能力 主机类型 版本 支持实例数 X86通用型 单机版2C4G 500 X86通用型 集群版2C4G3节点 4000 X86通用型 集群版4C8G3节点 7000 X86通用型 集群版8C16G3节点 14000 X86通用型 集群版16C32G3节点 25000

Zookeeper 微服务注册中心ZooKeeper是一个分布式应用程序协调服务，是 Google Chubby 的开源实现。利用ZooKeeper的存储配置，实现配置信息的集中式管理和数据的动态更新，保证数据一致性。MSE提供的ZooKeeper企业级服务，分为单机版和集群版两种，前者适用于开发测试，后者致力于在性能、可观测和高可用方面做了诸多提升，用于生产环境。 系列能力对比 功能 单机版 集群版 可用性 多节点、多可用容灾 不支持 支持 可用性 全局风险自动识别 支持 支持 可用性 数据定时备份 支持 支持 安全性 ACL控制 支持 支持 安全性 SASL 支持 支持 安全性 TLS传输加密 不支持 支持 易用性 自动化运维 不支持 支持 易用性 迁移工具 支持 支持 易用性 基础监控告警 支持 支持 规格能力 主机类型 版本 支持实例数 X86通用型 单机版2C4G 500 X86通用型 集群版2C4G3节点 4000 X86通用型 集群版4C8G3节点 7000 X86通用型 集群版8C16G3节点 14000 X86通用型 集群版16C32G3节点 25000

1. 验证备案类型 登录天翼云备案系统并填写信息，系统将根据您所填写的主体和域名信息，自动识别对应的备案类型并生成备案订单。 2. 填写备案信息 根据系统提示填写相关的主体信息和网站/APP信息，上传证件照片等备案材料，并完成真实性核验。确认信息无误后，提交至天翼云进行初审。 3. 天翼云初审 天翼云将1个工作日内进行初审，审核期间我们会拨打您备案信息中的联系电话进行沟通，请保持电话畅通。 4. 短信核验 天翼云将您的备案订单提交管局后，工信部系统会自动下发短信验证码（发信号码为12381），您需在24小时内，点击短信中的链接进行短信核验。 5. 管局审核 管局将在20个工作日内对您的备案资料进行审核。 6. 审核结果 备案完成审核通过以后，会发送邮件至您主体负责人邮箱；天翼云也会通知网站负责人，告知管局审核结果；您也可以登录备案系统查看已备案具体信息。

本小节介绍漏洞扫描术语解释。 漏洞扫描服务 漏洞扫描服务是针对服务器进行漏洞扫描的一种安全检测服务。 扫描器 扫描器是一类自动检测本地或远程主机安全弱点的程序，它能够快速准确地发现扫描目标存在的漏洞并提供给使用者扫描结果。 漏洞库 包含各种已知漏洞信息的大型数据库，用于查找和识别系统中存在的漏洞。 弱口令 密码强度低，或广泛被使用，容易被攻击者破解的口令。 开放端口（SYN扫描） 端口扫描是计算机入侵者常用的一种漏洞发现方式，攻击者可以通过它了解到主机攻击弱点，一个开放端口就是一个潜在的通信通道，也就是一个入侵通道。 弱口令检测 通过弱口令字典，检测用户SSH、RDP等服务是否使用了弱密码，及时更改弱口令有效防备暴力破解入侵。 配置脆弱性检测 配置脆弱性检测也就是基线检查，针对IT设备的安全特性，选择合适的安全控制措施，定义不同IT设备的最低安全配置要求，则该最低安全配置要求就称为安全基线。

本文介绍云硬盘快照的计费项和产品计费方式。 天翼云云硬盘快照采用按需付费的方式计费，先使用，后付费，按照您实际使用容量收取快照存储费用。 结算方式 支持按秒计费，按小时结算，不足一小时以实际使用时长为准。 快照服务计费细则 快照服务会产生快照费用，快照费用是按快照单价、快照实际使用量和计费时长来计费的。 计费公式：快照费用快照单价 快照实际使用容量 计费时长 快照单价：各规格的快照单价如下。 注意 快照类型与源云硬盘保持一致，创建快照时自动识别类型并按类型计费。 云硬盘快照按需计费价格如下： 产品规格 按需标准价格（元/G/小时） 普通IO快照 0.0005 高IO快照 0.0009 通用型SSD快照 0.0012 超高IO快照 0.0017 极速型SSD快照 0.0042 X系列云硬盘快照按需计费价格如下： 产品规格 按需标准价格（元/G/小时） XSSD0快照 0.00105 XSSD1快照 0.0021 XSSD2快照 0.0042 XSSD3快照 0.0084

前提条件 支持纳管符合如下条件的云主机： 待纳管节点必须状态为“运行中”，未被其他集群所使用，且不携带 CCE 专属节点标签CCEDynamicProvisioningNode。 待纳管节点需与集群在同一虚拟私有云内（若集群版本低于1.13.10，纳管节点还需要与CCE集群在同一子网内）。 待纳管节点需挂载数据盘，数据盘需满足至少有1块，容量不少于100GB。关于节点挂载数据盘的操作说明，请参考新增磁盘。 待纳管节点规格要求：CPU必须2核及以上，内存必须4GB及以上，网卡有且仅能有一个。 如果使用了企业项目，则待纳管节点需要和集群在同一企业项目下，不然在纳管时会识别不到资源，导致无法纳管。 批量纳管仅支持添加相同规格、相同可用区、相同数据盘配置的云主机。 操作步骤 步骤 1 登录CCE控制台，进入要纳管节点的集群。 步骤 2 在左侧列表中选择节点管理，单击右上角纳管节点。 步骤 3 配置节点参数。 计算配置 表 计算配置参数 参数 参数说明 节点规格 单击添加已有云主机，选择要纳管的服务器。 可以选择多台云主机批量纳管，但批量纳管仅支持添加相同规格、相同可用区、相同数据盘配置的云主机。 如果云主机有多块数据盘，需要选择其中一块作为供容器运行时和Kubelet组件使用。 容器引擎 CCE集群支持Docker。 操作系统 公共镜像：请选择节点对应的操作系统。 登录方式 密码 用户名默认为“root”，请输入登录节点的密码，并确认密码。登录节点时需要使用该密码，请妥善管理密码，系统无法获取您设置的密码内容。 密钥对选择用于登录本节点的密钥对，支持选择共享密钥。密钥对用于远程登录节点时的身份认证。若没有密钥对，可单击选项框右侧的“创建密钥对”来新建。 存储配置 配置节点云主机上的存储资源，方便节点上的容器软件与容器应用使用。 表 存储配置参数 参数 参数说明 系统盘 直接使用云主机的系统盘。 数据盘 至少需要一块数据盘 ，供容器运行时和Kubelet组件使用，该数据盘不能被删除卸载，否则会导致节点不可用。 单击后方的“展开高级设置”可设置自定义空间分配：勾选后可定义容器运行时在数据盘上占用的空间比例，容器运行时的空间用于存放容器运行时工作目录、容器镜像数据以及镜像元数据。数据盘空间分配详细说明请参见数据盘空间分配说明。 其他数据盘默认情况直接创建为裸盘，不做任何处理。您也可以展开高级配置，将磁盘挂载到指定目录。另外还可以作为持久存储卷或临时存储卷，具体使用请参见本地持久存储卷和临时存储卷。 高级配置 表 高级配置参数 参数 参数说明 K8S标签 单击“添加标签”可以设置附加到Kubernetes 对象（比如Pods）上的键值对，最多可以添加10条标签使用该标签可区分不同节点， 可结合工作负载的亲和能力实现容器Pod调度到指定节点的功能。 详细请参见Labels and Selectors。 资源标签 通过为资源添加标签，可以对资源进行自定义标记，实现资源的分类。 CCE服务会自动帮您创建CCEDynamicProvisioningNode节点id的标签。 污点(Taints) 默认为空。 支持给节点加Taints来设置反亲和性，每个节点最多配置10条Taints，每条Taints包含以下3个参数： Key：必须以字母或数字开头，可以包含字母、数字、连字符、下划线和点，最长63个字符；另外可以使用DNS子域作为前缀。 Value：必须以字符或数字开头，可以包含字母、数字、连字符、下划线和点，最长63个字符。 Effect：只可选NoSchedule，PreferNoSchedule或NoExecute。须知l Taints配置时需要配合Pod的toleration使用，否则可能导致扩容失败或者Pod无法调度到扩容节点。 节点池创建后可单击列表项的“编辑”修改配置，修改后将同步到节点池下的已有节点。 最大实例数 节点最大可以正常运行的实例数(Pod)，该数量包含系统默认实例，取值范围为16~256。 该设置的目的为防止节点因管理过多实例而负载过重，请根据您的业务需要进行设置。 安装前执行脚本 请输入脚本命令，大小限制为0~1000字符。 脚本将在Kubernetes软件安装前执行，可能导致Kubernetes软件无法正常安装，需谨慎使用。 安装后执行脚本 请输入脚本命令，大小限制为0~1000字符。 脚本将在Kubernetes软件安装后执行，不影响Kubernetes软件安装。 步骤 4 单击“下一步：规格确认”，确认已阅读并知晓服务协议，并单击“提交”。