参数 参数说明 可用区 选择集群工作区域下关联的可用区。 可用区是使用独立电源和网络资源的物理区域。通过内部网络互联，再以物理方式进行隔离，提高了应用程序的可用性。建议您在不同的可用区下创建集群。 虚拟私有云 VPC即虚拟私有云，是通过逻辑方式进行网络隔离，提供安全、隔离的网络环境。 选择需要创建集群的VPC，单击“查看虚拟私有云”进入VPC服务查看已创建的VPC名称和ID。如果没有VPC，需要创建一个新的VPC。 子网 通过子网提供与其他网络隔离的、可以独享的网络资源，以提高网络安全。 选择需要创建集群的子网，单击“查看子网”可查看所选子网的详细信息，若VPC下未创建子网，请在VPC服务控制台单击“创建子网”进行创建。网络ACL出规则配置请参考 说明 创建MRS集群需要的IP数量和集群节点和组件个数相关，集群类型不影响IP数量。 MRS集群部署默认需要的IP数量为：集群节点数量+2（Manager+DB），如果部署集群时选择Hadoop、Hue、Sqoop或Loader、Presto组件，则每一个组件需要再加一个IP。若单独创建ClickHouse集群则需要的IP数量为：集群节点数量+1（Manager）。 安全组 安全组是一组对弹性云主机的访问规则的集合，为同一个VPC内具有相同安全保护需求并相互信任的弹性云主机提供访问策略。 用户创建集群时，可自动创建安全组，也可选择下拉框中已有的安全组。 说明 选择用户自己创建的安全组时，请确保入方向规则中有一条全部协议，全部端口，源地址为可信任的IP访问范围的规则，源地址请勿使用0.0.0.0/0，否则会有安全风险。若用户不清楚可信任的IP访问范围，请选择自动创建。 弹性公网IP 通过将弹性公网IP与MRS集群绑定，实现使用弹性公网IP访问Manager的目的。 用户创建集群时，可选择下拉框中已有的弹性公网IP进行绑定。若下拉框中没有可选的弹性公网IP，可以单击“管理弹性公网IP”进入弹性公网IP服务进行创建。 说明 弹性公网IP必须和集群在同一区域。

本文向您介绍天翼云Windows云主机远程连接时出现报错“此计算机无法连接到远程计算机问题”的解决方案。 问题描述 使用远程登录方式登录Windows云服务器时出现错误：此计算机无法连接到远程计算机。 可能原因 1. 云服务器安全组3389端口未放行。 2. 远程桌面连接配置错误。 3. 远程桌面会话主机配置错误。 解决方案 检查云服务器安全组端口配置 1. 天翼云官网进行登录，通过控制台找到对应云服务器。点击对应云服务实例名进入详情页。 2. 选择安全组。 3. 点击默认安全组字样前下拉菜单进入安全组详情页，确认3389端口权限是否开启。 检查远程桌面连接配置 1. 使用管理控制台VNC方式登录云服务器。 2. 依次选择选择控制面板>系统和安全>系统>允许远程访问。 3. 确认允许远程连接到此计算机选项开启。

本章节以Linux操作系统为例，指导您通过弹性云主机内网的方式连接GeminiDB Influx实例。 使用须知 目标实例必须与弹性云主机在同一个虚拟私有云和子网内才能访问。 该弹性云主机必须处于目标实例所属安全组允许访问的范围内。 如果目标实例所属安全组为 默认安全组 ，则无需设置安全组规则。 如果目标实例所属安全组 非默认安全组 ，请查看安全组规则是否允许该弹性云主机访问。具体操作请参考设置安全组规则。 如果安全组规则允许弹性云主机访问，即可连接实例。 如果安全组规则不允许弹性云主机访问，需要在实例安全组添加一条“入”的访问规则。 前提条件 创建弹性云主机，以Linux操作系统为例。详情请参见《弹性云主机快速入门》中购买弹性云主机的内容。 下载InfluxDB客户端，以Linux 64bit为例。 SSL连接 1. 登录弹性云主机，详情请参见《弹性云主机快速入门》中登录弹性云主机的内容。 2. 将InfluxDB客户端安装包上传到弹性云主机（可通过xftp等文件传输工具上传）。 3. 解压客户端工具包。 tar xzf influxdb1.7.9staticlinuxamd64.tar.gz 4. 在“influx”工具所在目录下，连接数据库实例。 通过如下命令进入InfluxDB目录。 cd influxdb1.7.91 连接GeminiDB Influx实例。 使用CCM签发的证书连接 生成证书并配置CCM证书请参考4.8.2 CCM私有证书配置。 ./influx ssl host port 示例： ./influx ssl host 192.xx.xx.xx port 8635 使用默认证书连接 ./influx ssl unsafeSsl host port 示例： ./influx ssl unsafeSsl host 192.xx.xx.xx port 8635 表1 参数说明 参数 说明 待连接节点的内网IP。 您可以在“实例管理”页面，单击实例名称，进入“基本信息”页面，在节点信息列表中获取“内网IP”。 如果您购买的实例有多个节点，选择其中任意一个节点的内网IP即可。 待连接实例的端口，一般默认为8635，且不可修改。 您可以在“实例管理”页面单击实例名称，进入“基本信息”页面，在“网络信息 > 数据库端口”处获取当前GeminiDB Influx实例的端口信息。 输入auth命令，进行身份验证。 auth 根据提示输入用户名和密码。 username： password： 表2 参数说明 参数 说明 管理员账户名，默认为rwuser。您可以在“实例管理”页面单击实例名称，进入“基本信息”页面，在“数据库信息”模块的“管理员账户名”处获取。 管理员密码。 5. 验证身份校验通过后，再输入命令 show databases 。 show databases 出现如下信息，表示已连接成功： name: databases name internal

云点播产品主要优势。 一体化解决方案 提供集音视频上传、媒体资源管理于一体的音视频服务，客户可按需接入使用。 提供视频加密，防盗链等多种安全手段，保护媒资安全。 可与CDN紧密耦合，帮助用户快速上线业务。 专业视频处理 强大的云端处理能力，支持H.264/265/VP9等多种编码规格，支持4K/8K超高清视频的快速转码。 支持雪碧图截图、视频拼接、视频水印等常见专业场景需求。 播控安全 通过Referer黑白名单等安全技术，限制盗推、盗播等恶意行为。 支持基于 HLS 的标准加密，有效解决视频盗播带来的经济损失。

简单易用 容器镜像服务的管理控制台简单易用，支持镜像的全生命周期管理 安全可靠 容器镜像服务遵循HTTPS协议保障镜像安全传输，提供账号间、账号内多种安全隔离机制，确保用户数据访问的安全 无缝对接CCE 容器镜像服务提供镜像部署入口，与云容器引擎CCE无缝对接，一键式部署容器应用 开放兼容 全面支持社区Registry V2协议，支持通过控制台或社区CLI管理镜像

本节介绍翼甲控制台的IPsec VPN操作。 IPsec VPN 是采用IPSec协议来实现远程接入的一种VPN技术，IPSec全称为Internet Protocol Security，是由Internet Engineering Task Force (IETF) 定义的安全标准框架，在公网上为两个私有网络提供安全通信通道，通过加密通道保证连接的安全——在两个公共网关间提供私密数据封包服务。 IPsec协议为IP层上的网络数据安全提供了一整套安全体系结构，包括安全协议AH（Authentication Header，认证头）和ESP（Encapsulating Security Payload，封装安全载荷）、IKE（Internet Key Exchange，互联网密钥交换）以及用于网络认证及加密的一些算法等。其中，AH协议和ESP协议用于提供安全服务， IKE协议用于密钥交换。 IPsec VPN隧道 （1）添加IPsec VPN隧道：点击“添加”可添加IPsec VPN隧道。 启用：配置完成，保存翼甲云防火墙配置后立即生效 描述：输入IPsec连接的描述。 连接类型：可选隧道模式和传输模式。 IKE版本：可选IKEv1和IKEv2。 接口：单带宽时选择外网口会自动补全外部IP，也可选择自定义外部IP。 外部IP：翼甲云防火墙外网口IP。 远程主机：对端公网IP。 本地网络：输入翼甲云防火墙侧VPC所属网段。 远程网络：输入本地网关设备侧的网段。 共享密钥：输入共享密钥，该值必须与本地网关设备的预共享密钥一致。 阶段1 IKE/ISAKMP手动配置：手动配置阶段1参数，该值必须与本地网关设备的参数一致。 阶段2 ESP手动配置：手动配置第2阶段参数，该值必须与本地网关设备的参数一致。 在创建IPsec连接页面，根据页面信息配置IPsec参数，然后点击完成。 至此翼甲云防火墙侧的IPSec vpn配置完毕。 步骤2：配置安全组 确保vpc的桌面安全组规则允许本地网络网段访问。 步骤3：配置本地网关设备侧IPSec vpn （2）刷新：点击“刷新”可刷新并查看当前IPsec VPN隧道激活情况。 （3）导出：点击“导出”，可将IPsec VPN隧道以JSON文件的形式进行导出。 （4）导入：将IPsec VPN隧道以JSON文件的格式编辑后，点击“批量删除”，可批量导入静态DNS条目。 （5）删除：点选IPsec VPN隧道并点击“批量删除”，可对所选条目进行批量删除；在单条IPsec VPN条目最右侧操作列点击“删除”可删除当前条目。 （6）编辑：在已创建隧道的最右侧操作列，点击“编辑”，可对单条内容配置进行编辑。 （7）复制：在已创建隧道最右侧操作列，点击“复制”，将会弹出复制确认框，用户可基于当前条目的字段进行二次编辑，点击确认后可创建条目。

本文介绍了云防火墙提供的数据保护技术。 数据保护手段 简要说明 传输中的数据保护 日志数据采用安全协议HTTPS传输到日志服务，防止数据被窃取；用户的配置数据传输采用安全协议HTTPS，防止数据被窃取。 配置数据完整性 CFW会和配置管理中心检验配置一致性，实时确保配置的准确性和完整性。 数据销毁机制 考虑到残留数据导致的用户信息泄露问题，保留期到期仍未续订或充值，存储在云服务中的数据将被删除，云服务资源将被释放。CFW会清除用户数据，避免用户数据残留造成信息泄露。 数据存储安全 对静态数据进行透明加密，可以保护数据免受可以访问底层文件系统的攻击者的影响。

本文主要介绍如何查看辅助弹性网卡基本信息。 操作场景 您可以在控制台查看您所拥有的辅助弹性网卡基本信息，包括ID、所属弹性网卡、VLAN、所属VPC、所属子网、私网IP、绑定的弹性IP、MAC地址及关联的安全组等信息。 操作步骤 1. 登录管理控制台。 2. 在页面左上角单击图标，打开服务列表，选择“网络 > 虚拟私有云”。进入虚拟私有云列表页面。 3. 在左侧导航栏选择“弹性网卡”。 4. 在“弹性网卡”页面，选择“辅助弹性网卡”页签。 5. 在辅助弹性网卡列表中，单击需要查看详情的辅助“私有IP地址”，打开辅助弹性网卡的详情页。 1. “基本信息”页签：显示辅助弹性网卡的ID、所属弹性网卡、VLAN、所属VPC、所属子网、服务地址、MAC地址等信息。 2. “关联安全组”页签：显示辅助弹性网卡关联的安全组及其规则。 其他操作 在辅助弹性网卡详情页可以修改以下信息： 在“基本信息”页签，可以修改辅助弹性网卡的“描述”信息，以及变更绑定的弹性IP。 在“关联安全组”页签，可以修改关联的安全组。

本节介绍了申请须知。 在购买DRDS实例之前，您需要先做一系列的准备操作，包括评估实例规格，确定VPC及可用区，申请账号等。 注册账号后，如果需要对资源进行精细管理，请使用IAM服务创建IAM用户及用户组，并授权为IAM用户分配具体的操作权限。 评估实例规格 为了使所申请的DRDS服务能更好地满足应用需求，您需要先评估应用所需的计算能力和存储能力，结合业务类型及服务规模，选择合适的实例规格，主要包括：CPU、内存。 确定虚拟私有云（VPC） VPC为网络访问提供了逻辑隔离。您可以在创建VPC时，定义安全组、VPN、子网等网络特性。通过VPC方便地管理、配置内部网络，进行安全、快捷的网络变更。 DRDS实例必须与应用程序、RDS for MySQL实例处于相同的VPC，以保证网络连通。 建议DRDS实例与应用程序、RDS for MySQL实例选择相同的安全组，三者网络访问不受限制。如果选择了不同的安全组，请注意添加安全组访问规则，开通网络访问。 确定可用区 建议将应用程序和数据库服务（DRDS、RDS）配置在相同可用区，减少网络时延。

本节介绍如何配置IaC检查对新增文件的自动扫描策略。 在IaC安全的设置管理页面，支持设置是否自动扫描新增的K8S manifests、Dockerfile、ConfigMap、Helm chart文件。 操作步骤 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“IaC安全 > 设置管理”，进入设置管理页面。 3. 在基本设置页面，打开或关闭自动扫描开关。 4. 单击“保存”，完成配置。

维度 子维度 CCE Turbo集群 CCE集群 集群 定位 面向云原生2.0的新一代容器集群产品，计算、网络、调度全面加速 标准版本集群，提供商用级的容器集群服务 集群 节点形态 支持虚拟机和物理机混合 支持虚拟机和物理机混合 网络 网络模型 云原生网络2.0 ：面向大规模和高性能的场景。 组网规模最大支持2000节点 云原生网络1.0 ：面向性能和规模要求不高的场景。 容器隧道网络模式 VPC网络模式 网络 网络性能 VPC网络和容器网络融合，性能无损耗 VPC网络叠加容器网络，性能有一定损耗 网络 容器网络隔离 Pod可直接关联安全组，基于安全组的隔离策略，支持集群内外部统一的安全隔离。 隧道网络模式：集群内部网络隔离策略，支持Networkpolicy。 VPC网络模式：不支持 安全 隔离性 物理机：安全容器，支持虚机级别的隔离 虚拟机：普通容器 普通容器，Cgroups隔离

本章节介绍云原生API网关和AI网关两个网关类型下不同规格的容量阈值及QPS性能参考 API网关 容量阈值 以下为不同网关规格下的容量阈值。当网关容量指标处于警戒水位以下时，可以得到完整的ELB保障。对于核心业务，建议将网关容量指标控制在安全水位以下，从而获得更好的稳定性。 安全水位：能够在突发流量增长至双倍的情况下，依然确保网关系统维持高吞吐量和低延迟性能。 警戒水位：当水位达到警戒线以上时，网关的延迟可能会增加，并且在突发流量下可能存在稳定性风险。 基础版网关，仅限测试场景使用。请确保线上业务使用部署了多个节点的网关规格。 网关规格 基础版 标准版1 标准版2 标准版3 企业版1 企业版2 企业版3 铂金版1 铂金版2 铂金版3 铂金版4 客户端连接数 安全水位 14000 28000 56000 112000 224000 448000 660000 880000 1760000 2640000 3080000 客户端连接数 警戒水位 28000 56000 112000 224000 448000 896000 1320000 1760000 3520000 5280000 6160000 HTTPS每秒新建连接数 安全水位 500 1000 2000 4000 8000 16000 24000 32000 64000 96000 120000 HTTPS每秒新建连接数 警戒水位 1000 2000 4000 8000 16000 32000 48000 64000 128000 192000 240000 CPU使用率 安全水位 30% 30% 30% 30% 30% 30% 30% 30% 30% 30% 30% CPU使用率 警戒水位 60% 60% 60% 60% 60% 60% 60% 60% 60% 60% 60% 内存使用率 安全水位 75% 75% 75% 75% 75% 75% 75% 75% 75% 75% 75% 内存使用率 警戒水位 75% 75% 75% 75% 75% 75% 75% 75% 75% 75% 75%

挂起投递任务 数据投递新增并授权成功后，投递任务状态自动更新为投递中，如需停止投递，可挂起目标投递任务。 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“日志审计 > 安全数据”，进入安全分析页面后，选择“数据投递管理”页签，进入数据投递管理页面。 5. 在数据投递管理页面，单击目标投递任务所在行“操作”列的“挂起”。 挂起后，投递任务状态更新为“挂起”，则表示挂起投递任务成功。 启动投递任务 数据投递任务停止投递后，如需重启投递，可启动目标投递任务。 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间管理”，并在工作空间列表中，单击目标工作空间名称，进入目标工作空间管理页面。 4. 在左侧导航栏选择“日志审计 > 安全数据”，进入安全分析页面后，选择“数据投递管理”页签，进入数据投递管理页面。 5. 在数据投递管理页面，单击目标投递任务所在行“操作”列的“启动”。 启动后，投递任务状态更新为“投递中”，则表示启动投递任务成功。

背景说明 传统终端防护多依赖已知威胁特征库，难以应对零日攻击、无文件恶意代码等未知威胁，因此需要 EDR（终端威胁检测与响应）能力来补位；它能实时监控终端行为以精准识别异常，发现威胁后自动阻断进程、隔离文件以减少攻击损失，还可追踪攻击路径与源头为防护优化提供依据，完整覆盖 “检测 响应 溯源” 环节，有效填补传统防护在终端安全上的关键缺口。 功能说明 AOne EDR 模块是基于 AI 行为分析引擎的下一代终端安全主动防护解决方案，通过多维度行为监测技术，从 200 + 行为维度对程序运行、系统调用及网络通信活动进行实时监测，构建 "持续监测 智能分析 主动响应" 的闭环安全体系，精准阻断勒索病毒、无文件攻击等已知 / 未知恶意软件的入侵与破坏。 ⚠️注意：此功能需要购买终端管理企业版套餐。 操作步骤 1. 登录边缘安全加速控制台，选择【终端管理】。 2. 在左侧导航栏点击【威胁检测与响应】【威胁事件】，查看威胁事件分布 3. 针对当前的威胁事件进行研判及分析。

本节介绍了云容器引擎的产品优势。 大规模实践 电信IT系统大规模应用落地，集群部署规模近千套。 以应用为中心 结合微服务云应用平台帮助用户快速开发、构建、部署和运维分布式应用，提供一站式容器服务。 简单易用 一键创建 Kubernetes 集群，基于控制台轻松地实现 Kubernetes 集群的扩容和缩容。 安全稳定 支持高可用部署，提供集群备份恢复插件和安全容器能力，保障应用安全运行。

内容预取 预取功能是指提交URL预取请求后，全站加速将会主动回源获取文件并将其缓存到节点。当用户首次请求时，就能直接从节点缓存中获取到该文件，无需再回源站。预取功能可提高缓存命中率，同时降低源站压力，适用于即将发布热门文件场景。 SSL/TLS SSL（Secure Sockets Layer，安全通讯协议），是一个构架于TCP之上的安全套接层，是为网络通信提供安全及数据完整性的一种安全协议。标准化之后的SSL名称为TLS（Transport Layer Security，传输层安全协议）。目的是为互联网通信提供安全及数据完整性保障。最典型的应用就是HTTPS，HTTPS即HTTP over TLS，就是更安全的HTTP，运行在HTTP层之下，TCP层之上，为HTTP层提供数据加解密服务。 OCSP OCSP（Online Certificate Status Protocol，在线证书状态协议），是由数字证书颁发机构CA（Certificate Authority）提供的一个在线证书查询接口，它建立一个可实时响应的机制，客户端发送查询证书请求到CA服务器，然后CA服务器实时响应验证证书是否合法有效。 客户端会在SSL握手时去实时查询OCSP接口，并在获得查询结果前会阻塞后续流程，在网络不佳时会造成较长时间的页面空白，降低了HTTPS性能，严重影响用户体验。开启OCSP装订功能可有效缓解OCSP过程带来的阻塞效果。 QUIC QUIC全称：Quick UDP Internet Connections，是一种实验性传输层网络协议，提供与TLS/SSL相当的安全性，同时具有更低的连接和传输延迟。QUIC目前的主要应用于http协议，基于QUIC的HTTP/3协议（RFC9114），除了拥有HTTP/2的各项优点，同时由于QUIC的特性，在弱网环境下拥有更强大的性能优势。QUIC由Google自研，2012年部署上线，2013年提交IETF，2021年5月，IETF推出标准版RFC9000。

系统采用智能流量与威胁数据抽样统计技术,即使在处理海量日志时,也能兼顾查询准确性与响应效率。 功能介绍 实时分析您的域名请求量级智能判定您的域名是否符合抽样条件，当抽样系统判定您的域名符合抽样条件时，会进行流量与威胁日志数据抽样，触发规则如下： 访问日志过去1小时请求量级达 1000 万次以上，按10%抽样； 攻击日志过去1小时请求量级达 100 万次以上，按10%抽样； 全量日志过去1小时请求量级达 100 万次以上，按10%抽样； 达到访问日志/攻击日志/全量日志任意一种抽样条件条件后，则触发对应日志的抽样，若您的域名请求量级持续下降，安全与加速将自动为您取消抽样机制。 说明 AOne安全与加速会根据平台日志数据的规模和用户的使用需求，持续调整优化抽样策略。如果您对安全与加速提供的流量与威胁分析查询结果有任何疑问，请通过提交工单给天翼云客服进行处理。 应用抽样数据统计模块 AOne安全与加速运用智能流量与威胁日志数据抽样技术来适应不同用户的日志数据量级，确保数据分析的准确性和效率。在以下数据查询场景中，AOne安全与加速控制台相关页面所展示的数据可能会经过抽样处理： 在安全攻击日志、日志分析您看到的数据可能是抽样结果，在这种情况下，可能会存在无法检索到部分请求ID 对应日志的情况； 在总览、安全防护分析、态势大屏、报告订阅、告警管理、API安全的业务监测，您看到的数据也可能是抽样结果。这是因为当用户在使用总览、报表等数据时，引用预计算结果，帮助用户快速得到精确的统计结果。但是当用户需要按照某些特定维度分析明细数据时，多维下钻分析需实时扫描海量明细数据，通过抽样机制来降低计算负载，为用户实现高效查询响应； 在API资产列表您看到的来自API自发现的API资产数据和活跃度标签可能是抽样结果，可能会存在无法查看到对应API资产的情况； 在异常行为智能识别进行智能算法和大数据行为分析，分析客户业务流量的特征也可能是抽样结果； 通过调用OpenAPI统计访问日志、攻击日志、全量日志也可能是抽样结果。

本小节介绍安全专区资产管理服务器主机资产风险分析。 功能说明 资产风险分析页面把所筛选的资产相关的未处理的告警、漏洞、基线、补丁、病毒五类安全数据整合在一个页面展示，方便安全管理员分析。 配置方法 1.进入【资产管理】→【服务器】，点击【资产风险分析】，可查询分析指定服务器的各类安全漏洞、威胁、报警。 在左侧分组选定需要分析的指定服务器分组及服务器，进行资产信息筛选。页面右边栏实时同步更新所选择资产的展示，其中根据告警分析、安全告警、系统漏洞、基线合规、系统补丁及病毒感染等几大模块。 安全告警模块，实时更新服务器所出现问题，展示服务器IP地址、出现告警的问题、出现问题的服务设施以及告警的风险等级。 2.点击右上角【详情】，即进入【告警中心】，可查询更详细的告警信息。 3.系统漏洞展示具体IP地址所发生的具体漏洞信息，分类漏洞等级情况。点击【详情】，即进入【威胁分析】→【待办告警】进行详细处理。 4.基线合规、系统补丁及病毒感染等模块都展示了系统风险状态、漏洞所属类型、漏洞所属风险等级。 5.点击【基线合规】→【详情】，即页面跳转进入【风险分析】→【基线合规】进行分析、处理。 6.点击【系统补丁】→【详情】，即页面跳转进入【风险分析】→【补丁漏洞】进行分析、处理。 7.点击【系统补丁】→【详情】，即页面跳转进入【风险分析】→【主机漏洞】进行分析、处理。

本节介绍设置桌面安全组与关闭windows防火墙。 详情请参考设置桌面安全组和设置window防火墙章节。

本节介绍设置桌面安全组与关闭windows防火墙。 详情请参考设置桌面安全组和设置window防火墙章节。

本章节介绍应用服务网格CSM产品优势 开源增强 100% 兼容istio服务网格，并在开源基础上做了功能增强，提供了丰富的流量治理和安全管控能力；无缝对接天翼云容器引擎，支持多集群统一治理。 流量治理 支持基于istio CRD资源的流量治理；基于开源扩展了本地限流功能以及流量打标和全链路灰度能力。 安全 一键开启mTLS安全链路，支持丰富的请求认证和授权策略；一键集成外部授权服务和OPA策略引擎，提供更加丰富和灵活的安全管控策略。 无侵入 提供基于webhook的sidecar注入能力，sidecar自动拦截业务流量实现丰富的服务治理能力，无需修改任何业务代码。 优化能力 具备Sidecar资源定义、服务发现范围以及自适应配置分发能力，满足多样的网格优化需求。

本文将介绍Web应用防火墙（边缘云版）流量访问流程。 Web应用防火墙（边缘云版）的流量访问流程如下图所示： 流量访问流程主要分为以下几个步骤： 1. Web应用防火墙（边缘云版）把安全能力赋能在所有边缘节点，用户的访问流量可就近接入安全边缘节点。 2. 安全边缘节点(WAF防护引擎)会解析访问请求报文，根据防护规则判断访问请求是否为恶意请求。 3. 如果是恶意请求，防护节点会根据客户配置的策略进行处理，比如阻断请求直接响应拦截信息给请求客户端。 4. 如果是正常业务请求，安全边缘节点会通过智能调度系统将请求转发到客户源站。对于请求客户端来讲源站服务器是隐身的。

本章节为您介绍如何快速使用综合安全网关服务。 步骤一：新增网关服务证书 说明 一个综合安全网关实例仅支持创建一个网关服务证书，若您的服务已创建证书则无法再新增。 1. 登录综合安全网关实例。 2. 在左侧导航栏选择“SSL网关服务 > 网关服务证书”，单击页面左上角的“新增证书”按钮。 3. 在弹出的“新增网关服务证书”对话框中，选择需要新增的证书规格。 4. 选择完成后，单击“确定”完成证书新增。 步骤二：生成证书CSR 1. 登录综合安全网关实例。 2. 在左侧导航栏选择“SSL网关服务 > 网关服务证书”。 3. 选择需要生成CSR的证书，单击“操作”列的“CSR请求”按钮。 4. 在弹出的对话框中配置CSR相关内容。 5. 配置完成后，单击“生成证书请求”，会在“证书请求”栏中生成CSR。 6. 根据您业务自身需求选择复制保存或者下载文件保存。 步骤三：新增网关服务并配置 1. 登录综合安全网关实例。 2. 在左侧导航栏选择“SSL网关服务 > 网关服务管理”，在页面左上角单击“开通网关服务”。 3. 在弹出的“新增网关服务”的对话框中配置网关服务参数。 4. 确认填写的内容后，单击“确定”完成新增网关服务。 5. 配置完成后返回到“网关服务管理”页面，单击“操作”列的“配置”按钮开始配置网关。 6. 在弹出的“配置网关服务”对话框中，配置相关参数。

本文介绍CC安全报表所展示的数据。 使用场景 业务接入DDoS高防（边缘云版）后，您可以通过CC攻击报表查询CC攻击防护的相关统计数据。 前提条件 已开通DDoS高防（边缘云版）。 开启CC防护配置，并触发产生CC攻击事件。 使用说明 1.登录DDoS高防（边缘云版）控制台。 2.进入【安全分析】【安全报表】【CC安全报表】页面。 查询功能 您可以在CC安全报表头部指定您要查询的域名、时间范围。默认将展示最近7天，用户名下所有域名的统计数据。 报表内容： 说明 卡片栏 展示CC攻击事件数、CC攻击峰值、峰值取值时间、遭受CC攻击的网站数量。 攻击区域分布 国内攻击来源城市分布，按照攻击次数的范围展示为不同的颜色。 威胁事件排序情况：按照攻击次数的从多到少，将攻击来源区域进行TOP10排序，并计算不同攻击来源区域的占比。 攻击趋势 展示被攻击域名的QPS趋势图。 TOP攻击域名 按照请求数从多到少，展示被攻击域名的TOP10排序，并计算请求数的占比。 TOP URL排名 按照请求数从多到少，展示被攻击URL的TOP10排序，并计算请求数的占比。 TOP攻击IP 按照请求数从多到少，展示TOP攻击源IP，并展示其请求次数、区域及运营商。

天翼云边缘安全加速平台安全与加速服务支持的国密算法套件 支持GBT386362020 ECCSM2WITHSM4CBCSM3（GMT 00242014 ECCSM4SM3）。 支持GBT386362020 ECDHESM2WITHSM4CBCSM3 （GMT 00242014 ECDHESM4SM3）。 支持GBT386362020 ECCSM2WITHSM4GCMSM3。 支持GBT386362020 ECDHESM2WITHSM4GCMSM3。 适用场景 特别适合银行、证券等对数据安全要求极高的行业。 注意事项 天翼云边缘安全加速平台安全与加速服务支持SM2（椭圆曲线公钥密码算法）和SM3（杂凑算法）标准，提供更加安全的HTTPS传输协议（即国密HTTPS加密能力）。 如果您需要同时兼容国密和国际密码算法，请同时部署国密证书和HTTPS证书。 使用国密算法，需要您提供国密签名证书及私钥、国密加密证书及私钥。 配置说明 使用国密HTTPS涉及的配置项如下： 配置项 含义 默认值 sslcertificate 配置server端的国密签名或加密证书 none sslcertificatekey 配置server端的国密签名或加密证书私钥 none sslprotocols 配置网关作为server端时支持的ssl协议，该配置为nginx原生配置，枚举类型，取值范围：[SSLv2] [SSLv3] [TLSv1] [TLSv1.1] [TLSv1.2] [TLSv1.3][GMSSLv1.1] TLSv1 TLSv1.1 TLSv1.2 proxysslprotocols 配置网关作为client端回源时支持的ssl协议，该配置为nginx原生配置，枚举类型，取值范围：[SSLv2] [SSLv3] [TLSv1] [TLSv1.1] [TLSv1.2] [TLSv1.3][GMSSLv1.1] TLSv1 TLSv1.1 TLSv1.2 如您需要配置国密HTTPS，请提交工单给天翼云客服，由其帮您配置。

本小节介绍安全专区资产管理资产总览。 资产管理总览页面展现资产信息，展示用户资产分布及安全状态情况。

编译工程生产消费 引入依赖 go.mod plaintext module testgo require ( github.com/rabbitmq/amqp091go v1.10.0 golang.org/x/net v0.26.0 ) go 1.20 生产消息 plaintext package main import ( "flag" "fmt" amqp "github.com/rabbitmq/amqp091go" "log" ) var ( uri flag.String("uri", "amqp://USERNAME:PASSWORD@33.0.1.35:5672", "AMQP URI") exchangeName flag.String("exchange", "testexchange", "Durable AMQP exchange name") exchangeType flag.String("exchangetype", "direct", "Exchange type directfanouttopicxcustom") routingKey flag.String("key", "testkey", "AMQP routing key") body flag.String("body", "foobar", "Body of message") reliable flag.Bool("reliable", true, "Wait for the publisher confirmation before exiting") ) func init() { flag.Parse() } func main() { if err : publish(uri, exchangeName, exchangeType, routingKey, body, reliable); err ! nil { log.Fatalf("%s", err) } log.Printf("published %dB OK", len(body)) } func publish(amqpURI, exchange, exchangeType, routingKey, body string, reliable bool) error { // This function dials, connects, declares, publishes, and tears down, // all in one go. In a real service, you probably want to maintain a // longlived connection as state, and publish against that. log.Printf("dialing %q", amqpURI) connection, err : amqp.Dial(amqpURI) if err ! nil { return fmt.Errorf("Dial: %s", err) } defer connection.Close() log.Printf("got Connection, getting Channel") channel, err : connection.Channel() if err ! nil { return fmt.Errorf("Channel: %s", err) } log.Printf("got Channel, declaring %q Exchange (%q)", exchangeType, exchange) if err : channel.ExchangeDeclare( exchange, // name exchangeType, // type true, // durable false, // autodeleted false, // internal false, // noWait nil, // arguments ); err ! nil { return fmt.Errorf("Exchange Declare: %s", err) } // Reliable publisher confirms require confirm.select support from the // connection. if reliable { log.Printf("enabling publishing confirms.") if err : channel.Confirm(false); err ! nil { return fmt.Errorf("Channel could not be put into confirm mode: %s", err) } confirms : channel.NotifyPublish(make(chan amqp.Confirmation, 1)) defer confirmOne(confirms) } log.Printf("declared Exchange, publishing %dB body (%q)", len(body), body) if err channel.Publish( exchange, // publish to an exchange routingKey, // routing to 0 or more queues false, // mandatory false, // immediate amqp.Publishing{ Headers: amqp.Table{}, ContentType: "text/plain", ContentEncoding: "", Body: []byte(body), DeliveryMode: amqp.Transient, // 1nonpersistent, 2persistent Priority: 0, // 09 // a bunch of application/implementationspecific fields }, ); err ! nil { return fmt.Errorf("Exchange Publish: %s", err) } return nil } // One would typically keep a channel of publishings, a sequence number, and a // set of unacknowledged sequence numbers and loop until the publishing channel // is closed. func confirmOne(confirms 0 { log.Printf("running for %s", lifetime) time.Sleep(lifetime) } else { log.Printf("running forever") select {} } log.Printf("shutting down") if err : c.Shutdown(); err ! nil { log.Fatalf("error during shutdown: %s", err) } } type Consumer struct { conn amqp.Connection channel amqp.Channel tag string done chan error } func NewConsumer(amqpURI, exchange, exchangeType, queueName, key, ctag string) (Consumer, error) { c : &Consumer{ conn: nil, channel: nil, tag: ctag, done: make(chan error), } var err error log.Printf("dialing %q", amqpURI) c.conn, err amqp.Dial(amqpURI) if err ! nil { return nil, fmt.Errorf("Dial: %s", err) } go func() { fmt.Printf("closing: %s",

来自：

帮助文档

分布式消息服务RabbitMQ

开发指南

Go

访问控制 操作 需具备的权限 ::: IAM用户 创建IAM用户 iam:CreateUser、iam:CreateAccessKey、iam:CreateLoginProfile、iam:GetAccountPasswordPolicy、iam:GetUser 建议同时赋予的权限：iam:AddUserToGroup、iam:AttachUserPolicy、iam:ListUsers、iam:ListGroups、iam:ListPolicies IAM用户 删除IAM用户 iam:ListUsers、iam:DeleteAccessKey、iam:DeleteUser、iam:RemoveUserFromGroup、iam:DeactivateMFADevice、iam:DeleteLoginProfile、iam:DetachUserPolicy IAM用户 查看IAM用户信息 iam:ListAccessKeys、iam:ListUsers、iam:ListUserTags、iam:ListGroupsForUser、iam:ListAttachedUserPolicies、iam:ListEntitiesForPolicy、iam:ListMFADevices、iam:GetUser IAM用户 安全 iam:GetLoginProfile、iam:ListUsers、iam:GetUser、iam:GetAccountPasswordPolicy、iam:CreateLoginProfile、iam:DeleteLoginProfile、iam:UpdateLoginProfile IAM用户 密钥 iam:ListAccessKeys、iam:ListUsers、iam:GetUser、iam:CreateAccessKey、iam: GetAccessKeyLastUsed、iam:DeleteAccessKey、iam:UpdateAccessKey IAM用户 权限 iam:ListUsers、iam:ListGroupsForUser、iam:ListPolicies、iam:ListAttachedGroupPolicies、iam:ListAttachedUserPolicies、iam:GetUser、iam:RemoveUserFromGroup、iam:AttachUserPolicy、iam:DetachUserPolicy IAM用户 用户组 iam:ListUsers、iam:ListGroups、iam:ListGroupsForUser、iam:GetUser、iam:GetGroup、iam:AddUserToGroup、iam:RemoveUserFromGroup IAM用户 标签 iam:ListUsers、iam:GetUser、iam:TagUser、iam:UntagUser 用户组 创建用户组 iam:CreateGroup 建议同时赋予的权限：iam:ListGroups、iam:ListPolicies、iam:AttachGroupPolicy 用户组 查看用户组信息 iam:ListGroups、iam:ListAttachedGroupPolicies、iam:GetGroup 用户组 修改用户组 iam:ListUsers、iam:ListGroups、iam:ListGroupsForUser、iam:ListPolicies、iam:ListAttachedGroupPolicies、iam:GetGroup、iam:AddUserToGroup、iam:RemoveUserFromGroup、iam:AttachGroupPolicy、iam:DetachGroupPolicy 用户组 删除用户组 iam:ListGroups、iam:DeleteGroup、iam:RemoveUserFromGroup、iam:DetachGroupPolicy 策略 查看策略 iam:ListPolicies、iam:ListEntitiesForPolicy、iam:GetPolicy 策略 新建自定义策略 iam:CreatePolicy、iam:GetPolicy 建议同时赋予的权限：iam:ListPolicies 策略 修改自定义策略 iam:CreatePolicy、iam:GetPolicy、iam:ListPolicies 策略 删除自定义策略 iam:ListPolicies、iam:DeletePolicy、iam:DetachUserPolicy、iam:DetachGroupPolicy 策略 授权/移除 用户/用户组 iam:ListUsers、iam:ListGroups、iam:ListPolicies、iam:ListAttachedGroupPolicies、iam:ListAttachedUserPolicies、iam:ListEntitiesForPolicy、iam:AttachUserPolicy、iam:DetachUserPolicy、iam:AttachGroupPolicy、iam:DetachGroupPolicy 安全设置 编辑密码规则 iam:GetAccountPasswordPolicy、iam:UpdateAccountPasswordPolicy 安全设置 清除密码规则 iam:GetAccountPasswordPolicy、iam:DeleteAccountPasswordPolicy 安全设置 编辑登录规则 iam:GetAccountLoginSecurityPolicy、iam:UpdateAccountLoginSecurityPolicy 安全设置 清除登录规则 iam:UpdateAccountLoginSecurityPolicy、iam:DeleteAccountLoginSecurityPolicy 安全凭证 密钥 iam:ListAccessKeys、iam:GetUser、iam:CreateAccessKey、iam:DeleteAccessKey、iam:UpdateAccessKey 安全凭证 密码 iam:GetLoginProfile、iam:GetUser、iam:ChangePassword 安全凭证 MFA iam:ListMFADevices、iam:GetUser、iam:CreateVirtualMFADevice、iam:DeleteVirtualMFADevice、iam:EnableMFADevice、iam:DeactivateMFADevice

本节主要介绍什么是参数模板 您可以使用数据库参数模板中的参数管理数据库引擎配置。数据库参数模板类似于数据库引擎配置值的容器，参数模板中的参数可应用于一个或多个数据库实例。 参数模板类型 创建数据库实例时可以指定数据库参数模板为默认参数模板或已有参数模板。实例创建成功后也可以变更实例关联的参数模板。 默认参数模板 默认组包含针对运行的数据库实例进行优化的引擎默认值和数据库服务系统默认值。 自定义参数模板 如果希望数据库实例以客户自定义的引擎配置值运行，可轻松地创建一个新数据库参数模板，修改所需参数并应用到数据库实例，用以使用新数据库参数模板。 数据库参数模板与实例建立关联后，如果修改了参数模板中的参数，那么使用该参数模板的所有实例，都将获得该参数模板中对应参数的更新。 参数模板使用场景 如果您想使用自定义的数据库参数模板，只需提前创建一个新的数据库参数模板，创建实例时选择该参数模板即可。如何创建参数模板，请参见创建参数模板。 如果您已成功创建数据库参数模板，并且想在新的数据库参数模板中包含该参数模板中的大部分自定义参数和值时，复制参数模板是一个方便的解决方案，请参见复制参数模板。 参数模板注意事项 系统提供的默认参数模板不允许修改，只可单击参数模板名称进行查看。如果出现参数设置不合理导致数据库无法启动，可参考默认参数模板重新配置。 对于某些运行参数修改，您需在实例列表中，查看实例状态，如果显示“参数模板变更，等待重启”，则需重启关联的实例使之生效。 在数据库参数模板内设置参数不恰当可能会产生意外的不利影响，包括性能降低和系统不稳定。修改数据库参数时应始终保持谨慎，且修改数据库参数模板前要备份数据。将参数模板更改应用于生产数据库实例前，您应当在测试数据库实例上试用这些参数模板设置更改。

本节主要介绍为服务添加灰度版本 本步骤将为Bookinfo应用的“reviews”服务添加新的灰度版本，并配置相应的灰度策略，将原有生产环境的默认版本的流量引流一部分到新版本中。 下面将以为“reviews”服务添加一个v3新版本，且v3新版本接收Bookinfo应用的30%流量为例进行配置。 部署灰度版本 步骤 1 在左侧导航中选择“灰度发布”，在金丝雀发布下，单击“立即发布”。 步骤 2 配置灰度发布基本信息。 灰度任务名称：用户自定义，此处设置为reviewsv3。 命名空间：选择服务所在命名空间。 灰度发布服务：在下拉框中选择reviews。 工作负载：选择服务所属的工作负载。 步骤 3 配置灰度版本信息。 部署集群：选择服务所属的集群。 版本号：配置为v3。 实例数量：使用默认。 实例配置：镜像版本选择1.5.2，其他参数保持默认。 步骤 4 单击“发布”，待启动进度为100%，表明灰度版本部署成功。 图 查看启动进度 配置流量策略 为灰度版本设置流量策略，灰度版本会根据配置的流量配比引流老版本中的部分或全部流量。 步骤 5 灰度版本部署成功后，单击“配置流量策略”。 步骤 6 设置流量策略。 策略类型分为“基于流量比例”和“基于请求内容”，通过页签选择确定。 基于流量比例：根据流量比例配置规则，将从原版本中切分指定比例的流量到灰度版本。例如80%的流量走原版本，20%的流量走灰度版本。 基于请求内容：根据请求内容配置规则，只有请求内容中满足特定条件的流量会切分到灰度版本上。例如只有在Windows操作系统上的用户可以访问灰度版本。 以“基于流量比例”为例，且v3版本流量配比为20%。 图 流量策略 单击“策略下发”，灰度策略的生效需要几秒的时间。 步骤 7 在“服务列表”页面，单击productpage服务中的“访问地址”。不断刷新页面，页面在v1和v3版本之间来回切换。 图 v1版本页面 图 v3版本页面

方案简述 对于需要在展会期间满足观众扫码小程序即可连接云端，通过高稳定、低延迟串流技术体验应用音视频流，云渲染团队协助客户在展会前快速部署应用、调试应用、接入小程序，为满足客户高算力需求，云渲染团队联合CDN团队借助内容分发网络部署分布式边缘节点，分担源站压力，减轻网络带来的延迟，保障线上客户全国区域都能拥有最优体验，实现秒级接入。 接入说明 本文以青春云展馆应用为例，和您说明如何通过云渲染平台能力将您的应用接入小程序。 步骤 1. 使用 jssdk 开发，打包成 html 部署到线上(生产环境需要域名解析)； 2. 微信小程序通过 webview 嵌入 html 地址(域名链接)； 3. 开发 html 时候，微信(小程序)环境需要注意监听 WeixinJSBridgeReady 事件，然后开始对接 jssdk。 shell 代码示例 window.addEventListener("DOMContentLoaded", () > { if ( navigator.userAgent.includes("miniProgram") navigator.userAgent.includes("MicroMessenger") ) { //微信浏览器/微信小程序环境 document.addEventListener("WeixinJSBridgeReady", bootstrap, false); } else { bootstrap(); } }); 方案优势 元宇宙家园应用需要在线接入直播视频流，天翼云实时云渲染提供应用端口通信能力，可通过数据通道实现客户端与云端运行的应用直接进行通信，加强应用实时交互能力。 大规模 云渲染全国多点已建设公有云集群，已具备GPU服务器超大规模支持算力分时复用，资源利用率进一步提升，解放重资产建设要求，按需付费节省成本。 多交互 元宇宙家园应用需要在线接入直播视频流，天翼云实时云渲染提供应用端口通信能力，可通过数据通道实现客户端与云端运行的应用直接进行通信，加强应用实时交互能力。 高可用 天翼云实时云渲染底层资源基于天翼云ECX智能边缘云，通过Kubernetes集群监控能力，保证客户展会期间节点与服务组件24小时稳定运行，链接异地展会观众、游客线上任何时间、地点极致的访问体验。 低门槛 基于JSSDK能力，天翼云实时云渲染还能够轻松实现渲染页面二次开发，快速部署接入，创意H5趣味交互增强数字展会虚拟体验。

四、集群删除失败：弹性网卡残留 CCE在删除集群时，会连接集群的kubeapiserver查询集群对接的周边资源信息，例如Turbo集群对接的弹性网卡/弹性辅助网卡等，当CCE集群的状态为不可用，冻结，休眠等状态时，删除集群有可能会出现查询资源失败而导致集群删除失败的情况。 故障现象 删除集群失败。 问题根因 该场景引起的原因是连接集群的kubeapiserver查询集群对接的弹性网卡/弹性辅助网卡失败导致无法删除弹性网卡，CCE创建的用于弹性网卡/弹性辅助网卡的安全组由于弹性网卡残留删除时报错了409，最终导致了集群删除失败。 操作步骤 步骤 1 复制报错信息中的资源ID f5b0282b63064a4ba64dbd32e26c3846，进入到vpc服务的安全组界面，根据ID过滤安全组。 步骤 2 单击进入安全组详情界面，选择关联实例页签。 导致安全组残留的原因是关联了弹性网卡实例，辅助弹性网卡实例，单击其他页签，可以看到有残留的弹性网卡，将残留的弹性网卡（辅助弹性网卡会自动删除）删除。 步骤 3 在弹性网卡界面将上一步查询到的网卡删除。 可以用ID过滤需要删除的弹性网卡，也可以通过集群ID的名称过滤需要删除的弹性网卡，如示例中残留的集群ID，在弹性网卡界面通过名称过滤。 步骤 4 清理完成后，到安全组确认clusterNamecceenixxx的安全组已经没有关联的实例了，然后到CCE控制台就能正常删除集群了。 五、CCE集群升级时，升级集群插件失败如何排查解决？