本章节介绍云主机磁盘IO高负载故障演练。 背景介绍 高并发的日志落盘、数据库批量写入、大数据文件读写或存储介质性能瓶颈，都可能导致云主机的磁盘 IO（输入/输出）饱和，进而造成请求处理延迟、应用假死甚至数据丢失。本演练模拟磁盘 IO 资源被持续占用的高负载场景，帮助您评估应用的容错能力、检验数据写入的可靠性，并验证相关监控告警的有效性。 基本原理 预先在探针管理处将内部自研Agent安装至云主机上，使用管控通道下发动作执行命令。 原理是先通过dd命令将数据写入文件中，然后再通过循环读写文件占用磁盘带宽。 故障注入 1、纳管实例资源 1. 导航至 故障演练 > 目标应用 > 应用资源页面。 2. 在资源类型页签中选择云主机 ，然后单击添加资源。 3. 在弹出的对话框中，勾选目标云主机 实例，单击确定。 2、编排演练任务 1. 导航至 故障演练 > 目标应用 > 演练管理 页面，单击新建演练。 2. 在基本信息 页面，按提示填写演练名称和描述，然后单击下一步。 3. 在演练对象配置页面： 配置动作组 ：为动作组 命名，资源类型选择云主机。 添加实例 ：单击添加实例 ，勾选上一步中添加的云主机实例。 添加故障动作 ：单击立即添加 ，在列表中选择磁盘IO高负载动作。 4. 在弹出的参数配置框中，配置所需参数，然后单击确定。 持续时间：故障动作持续时间。 读负载：勾选将开启读压力模式。探针会创建一个临时文件并对其进行持续的读取操作。 写负载：勾选将开启写压力模式。探针会持续向一个临时文件写入数据。 块大小(MB)：控制单次读写操作的数据块大小，单位为MB。增大此值可以提升单次操作的 IO 压力。通常保持默认值即可。

本章节介绍云主机磁盘填充故障演练。 背景介绍 由失控的日志文件、未经清理的临时数据或异常进程持续写入，都可能导致云主机磁盘空间被耗尽（例如使用率超过95%）。这种情况会直接导致应用无法写入新数据、服务功能异常甚至进程崩溃。本演练模拟磁盘空间被占满的场景，帮助您检验系统的磁盘空间监控告警、日志轮转机制以及应用在无可用存储空间时的处理逻辑。 基本原理 预先在探针管理处将内部自研Agent安装至云主机上，使用管控通道下发动作执行命令。 原理是通过dd命令将数据写入文件。 故障注入 1、纳管实例资源 1. 导航至 故障演练 > 目标应用 > 应用资源页面。 2. 在资源类型页签中选择云主机 ，然后单击添加资源。 3. 在弹出的对话框中，勾选目标云主机 实例，单击确定。 2、编排演练任务 1. 导航至 故障演练 > 目标应用 > 演练管理 页面，单击新建演练。 2. 在基本信息 页面，按提示填写演练名称和描述，然后单击下一步。 3. 在演练对象配置页面： 配置动作组 ：为动作组 命名，资源类型选择云主机。 添加实例 ：单击添加实例 ，勾选上一步中添加的云主机实例。 添加故障动作 ：单击立即添加 ，在列表中选择磁盘填充动作。 4. 在弹出的参数配置框中，配置所需参数，然后单击确定。 持续时间：故障动作持续时间。 目录：填充文件的写入目标，默认为系统根目录 /。强烈建议指定一个非系统盘的数据目录。 文件大小(MB)：填充的文件大小，取值是整数，例如1024。 磁盘使用率：填充至指定的空间占用率（取值 1100），例如50代表50%的使用率。 保留大小(MB)：保留的磁盘大小，如果文件大小、磁盘使用率、保留大小参数都存在，优先级是磁盘使用率>保留大小>文件大小。

本章节介绍云主机磁盘IO高负载故障演练。 背景介绍 高并发的日志落盘、数据库批量写入、大数据文件读写或存储介质性能瓶颈，都可能导致云主机的磁盘 IO（输入/输出）饱和，进而造成请求处理延迟、应用假死甚至数据丢失。本演练模拟磁盘 IO 资源被持续占用的高负载场景，帮助您评估应用的容错能力、检验数据写入的可靠性，并验证相关监控告警的有效性。 基本原理 预先在探针管理处将内部自研Agent安装至云主机上，使用管控通道下发动作执行命令。 原理是先通过dd命令将数据写入文件中，然后再通过循环读写文件占用磁盘带宽。 故障注入 1、纳管实例资源 1. 导航至 故障演练 > 目标应用 > 应用资源页面。 2. 在资源类型页签中选择云主机 ，然后单击添加资源。 3. 在弹出的对话框中，勾选目标云主机 实例，单击确定。 2、编排演练任务 1. 导航至 故障演练 > 目标应用 > 演练管理 页面，单击新建演练。 2. 在基本信息 页面，按提示填写演练名称和描述，然后单击下一步。 3. 在演练对象配置页面： 配置动作组 ：为动作组 命名，资源类型选择云主机。 添加实例 ：单击添加实例 ，勾选上一步中添加的云主机实例。 添加故障动作 ：单击立即添加 ，在列表中选择磁盘IO高负载动作。 4. 在弹出的参数配置框中，配置所需参数，然后单击确定。 持续时间：故障动作持续时间。 读负载：勾选将开启读压力模式。探针会创建一个临时文件并对其进行持续的读取操作。 写负载：勾选将开启写压力模式。探针会持续向一个临时文件写入数据。 块大小(MB)：控制单次读写操作的数据块大小，单位为MB。增大此值可以提升单次操作的 IO 压力。通常保持默认值即可。

本节主要介绍设置跨域访问的操作实例。 应用场景 浏览器限制脚本内发起跨源HTTP请求，即同源策略。例如，当来自于A网站的页面中的JavaScript代码希望访问B网站的时候，浏览器会拒绝该访问，因为A、B两个网站是属于不同的域。通过配置跨域资源共享(CrossOrigin Resource Sharing，CORS)，可以解决不同域相互访问的问题，CORS定义了客户端Web应用程序在一个域中与另一个域中的资源进行交互的方式。 CORS可以应用下列场景： 通过CORS支持，使用JavaScript和HTML5来构建Web应用，直接访问OOS中的资源，而不再需要代理服务器做中转。 使用HTML5中的拖拽功能，直接向OOS上传文件，展示上传进度，或是直接从Web应用中更新内容。 托管在不同域中的外部网页、样式表和HTML5应用，现在可以引用存储在OOS中的Web字体或图片，让这些资源能被多个网站共享。 前提条件 开通对象存储（经典版）Ⅰ型服务。 具体操作 确定是否同源 如果两个网页的协议、域名、端口（若指定了端口）相同，视为同源。下表给出了相对 URL 结果 原因 成功 协议、域名、端口相同 成功 协议、域名、端口相同 失败 协议不同 ( HTTPS ) 失败 端口不同 ( 81 ) 失败 域名不同

本文介绍如何使用公共镜像或私有镜像创建云主机。 操作场景 您可以通过使用公共镜像或私有镜像来完成云主机创建，无论您选择使用哪种镜像类型，都能为您提供快速、可靠和灵活的云主机部署。 公共镜像为您提供了广泛的操作系统和预配置环境选项，使您能够迅速启动云主机并开始应用部署。 私有镜像则允许您根据自身需求定制和管理云主机的镜像，确保您的应用环境与业务需求完美契合。 使用须知 使用公共镜像和私有镜像创建云主机的区别是： 公共镜像：创建的云主机包含所需操作系统和预装的公共应用，需要您自行安装应用软件。 私有镜像：创建的云主机包含操作系统、预装的公共应用以及用户的私有应用。 操作步骤 1. 登录控制中心。 2. 单击“左侧导航栏>服务列表”，选择"计算>镜像服务"。 3. 单击"公共镜像"或"私有镜像"，进入相应的镜像列表。 4. 在公共镜像所在行右侧的"操作"列下，单击"申请云主机"，或在私有镜像操作下点击"申请云主机"。 5. 填写云主机配置信息，包括云主机名称、网络、数量等。 6. 单击"立即购买"。 7. 单击"提交申请"。 8. 返回云主机列表页，点击云主机列表右上角的刷新按钮，查看云主机的创建情况。

本文介绍分布式容器云平台的产品优势。 统一集群纳管 集中管理天翼云、三方云和IDC机房的 Kubernetes 集群，提供一致的运维体验。 统一资源调度 提供多环境统一调度能力，基于CPU、内存、流量等多种弹性调度策略，赋能业务海量算力。 统一数据容灾 支持跨地域跨集群容灾，故障自动迁移，结合多活应用架构，全面提升企业业务连续性。 统一流量治理 东西/南北流量全域统一治理，支持流量切分、灰度发布、故障切换等丰富的治理场景。 统一应用交付 全域应用、任务与资源分发，解决业务分布和数据管控诉求。

本章节介绍云原生网关的插件配置 概述 云原生网关中提供了丰富的插件功能，可以满足用户特定的流量管理、可观测性、安全性能、请求/响应转换等需求，从而提高了网关的可扩展性，使得用户能够根据具体的应用场景进行灵活配置，实现高度个性化的云原生网关服务。 插件配置 目前云原生网关支持全局和路由级别两种粒度的插件配置： 1. 全局插件 ：应用于整个网关实例，对所有的路由都生效。一种插件类型只能有一个全局插件配置，应用于全体路由上。 2. 路由级插件 ：可灵活绑定在某一条路由上，只对特定的路由生效，允许根据具体的路由定制化功能。一种插件类型可以有多个不同的路由级插件配置，每个路由级插件配置可灵活应用于多条路由上。 3. 路由策略 ：也是由插件配置实现的，支持限流、重写等策略，应用在具体路由上。 当在路由上同时配置了某一种插件类型的全局插件、路由级插件和路由策略时，插件生效的优先级为：全局插件> 路由策略 路由级插件，即以全局插件中的配置为准。若在路由上只同时配置同一插件类型的路由级插件和路由策略，则以最新的插件配置为准。

本文主要介绍弹性伸缩概述。 弹性伸缩是根据业务需求和策略，经济地自动调整弹性计算资源的管理服务。 背景介绍 随着Kubernetes已经成为云原生应用编排、管理的事实标准，越来越多的应用选择向Kubernetes迁移，用户也越来越关心在Kubernetes上应用如何快速扩容面对业务高峰，以及如何在业务低谷时快速缩容节约资源与成本。 在Kubernetes的集群中，“弹性伸缩”一般涉及到扩缩容Pod个数以及Node个数。Pod代表应用的实例数（每个Pod包含一个或多个容器），当业务高峰的时候需要扩容应用的实例个数。所有的Pod都是运行在某一个节点（虚机或裸机）上，当集群中没有足够多的节点来调度新扩容的Pod，那么就需要为集群增加节点，从而保证业务能够正常提供服务。 弹性伸缩在CCE上的使用场景非常广泛，典型的场景包含在线业务弹性、大规模计算训练、深度学习GPU或共享GPU的训练与推理、定时周期性负载变化等。 CCE弹性伸缩 CCE的弹性伸缩能力分为如下两个维度： 工作负载弹性伸缩 ： 即调度层弹性，主要是负责修改负载的调度容量变化。例如，HPA是典型的调度层弹性组件，通过HPA可以调整应用的副本数，调整的副本数会改变当前负载占用的调度容量，从而实现调度层的伸缩。 节点弹性伸缩 ： 即资源层弹性，主要是集群的容量规划不能满足集群调度容量时，会通过弹出ECS等资源的方式进行调度容量的补充。 两个维度的弹性组件与能力可以分开使用，也可以结合在一起使用，并且两者之间可以通过调度层面的容量状态进行解耦。

本节介绍云下一代防火墙产品优势。 具有全面适应能力的软件防火墙 在云计算环境中，用户的计算、存储、数据资源都是运行在服务器的虚拟机上，在考虑安全防护的设计时，云下一代防火墙可在云主机上实现快速灵活的部署，支持在VMware、KVM、HyperV、XEN等主流虚拟化平台运行，可串联或单臂连接到虚拟网络中（如：虚拟应用服务器前端的网关，或者是VPC网络的边界网关），为虚拟网络或应用提供专业的边界网络安全防护功能。 以虚拟机形式部署设备，能够克服物理防火墙的限制，在云计算环境中可部署于更加靠近云主机的位置，对于云主机内部流量进行过滤，实现同时对于南北向和东西向流量的安全防护。同时，用户可以根据网络搭建需求，弹性调配和管理网络资源等，并且能够按需进行灵活迁移，充分发挥云计算优势。 拥有专业NGFW安全防护功能 云下一代防火墙拥有与NGFW相同的操作系统，具有丰富的网络安全防护功能，对网络威胁进行防御，能够满足企业分支及公有云多租户环境中的网络安全需求。 具备精细化应用管控，可为用户提供多维的应用风险分析和筛选，以及灵活的安全控制，包括策略阻止、会话限制、应用引流和智能流量管理等。同时，还具备入侵防御、病毒过滤、攻击防护、NAT等功能，满足客户对安全访问，攻击防护以及应用识别和控制等需求。 具备HA组网能力，满足配置和会话同步的要求，从而实现高可靠的冗余部署，保障用户业务的不间断连续运营。

本页介绍了如何连接文档数据库服务。 内网连接 使用场景：系统默认提供内网IP地址，通过该地址连接数据库。 当应用部署在弹性云服务器上，且该弹性云服务器与文档数据库服务实例处于同一区域、可用区、虚拟私有云子网内，建议单独使用内网IP通过弹性云服务器连接文档数据库服务实例。 文档数据库服务和弹性云服务器在不同的安全组默认不能访问，需要在文档数据库服务所属安全组添加一条“入”的访问规则。 文档数据库服务默认端口：8030，需要手动修改才能访问其它端口。 连接到单节点： mongodb:// : @ : / ?authSourceadmin&ssltrue 连接到副本集： mongodb:// : @ : / ?authSourceadmin&replicaSetreplica&ssltrue 连接到集群： mongodb:// : @ : / ?authSourceadmin&ssltrue 公网连接 使用场景：通过给数据库绑定弹性公网IP的方式访问。 当应用部署在弹性云服务器上，且该弹性云服务器与文档数据库服务实例处于不同区域时，建议单独使用弹性公网IP通过弹性云服务器连接文档数据库服务实例。 当应用部署在其他云服务的系统上时，建议单独使用弹性公网IP通过弹性云服务器连接文档数据库服务实例。 连接方式：参考上面内网连接部分。 应用程序连接 使用场景：通过各类应用程序连接数据库。 通过Java方式连接数据库，请参见文档数据库服务开发指南应用程序开发基于JAVA开发基于Java连接数据库。 通过Python连接数据库，请参见文档数据库服务开发指南应用程序开发基于Python开发基于python连接数据库。

步骤四：为前端应用创建Ingress路由 创建ingress，参考如下： apiVersion: networking.k8s.io/v1 kind: Ingress metadata: name: nginxingress namespace: default annotations: kubernetes.io/ingress.class: "nginxingresscontroller" spec: rules: host: myingress.com http: paths: backend: service: name: nginxservice port: number: 30003 path: /nginx pathType: Prefix 步骤五：使用域名进行访问前端应用 在浏览器访问myingress.com域名需要在hosts中配置该域名对应的ELB的IP地址。这样在浏览器通过域名访问，DNS服务器把域名解析为ELB的IP，ELB把请求转给其中某个IngressController，IngressController通过域名转发到不同的集群内应用。

本章节介绍Redis节点故障演练。 背景介绍 Redis 高可用依赖主备同步与故障切换。主/备节点进程因缺陷、配置或误操作停止时，可能触发切换或影响应用：主节点停触发主备切换，备节点停影响读能力和冗余。本演练模拟核心进程停止，验证高可用切换和客户端故障转移，帮助您评估业务影响。 基本原理 通过调用Redis停止Redis服务OpenAPI，模拟Redis节点故障，故障会触发Redis HA机制进行自动恢复。 故障注入 1、纳管实例资源 1. 导航至 故障演练 > 目标应用 > 应用资源页面。 2. 在资源类型页签中选择分布式缓存服务Redis版 ，然后单击添加资源。 3. 在弹出的对话框中，勾选目标Redis 实例，单击确定。 2、编排演练任务 1. 导航至 故障演练 > 目标应用 > 演练管理 页面，单击新建演练。 2. 在基本信息 页面，按提示填写演练名称和描述，然后单击下一步。 3. 在演练对象配置页面： 配置动作组 ：为动作组 命名，资源类型选择分布式缓存服务Redis版。 添加实例 ：单击添加实例 ，勾选上一步中添加的Redis实例。 添加故障动作 ：单击立即添加 ，在列表中选择Redis节点停止动作。 4. 在弹出的参数配置框中，配置所需参数，然后单击确定。 故障节点 ：注入故障的目标节点（主节点或备节点）。

本章节介绍Redis节点主机宕机故障演练。 背景介绍 Redis 高可用性依赖主备切换机制，以应对主节点突发故障。当承载主节点的物理机或虚拟机宕机（如硬件故障、电源中断）时，服务能否快速恢复取决于备用节点能否迅速升级为新主节点。本演练模拟主机宕机场景，检验 Redis 实例的自动高可用切换能力，并验证客户端应用在灾难情况下的韧性。 基本原理 通过关闭节点主机，模拟节点宕机。 故障注入 1、纳管实例资源 1. 导航至 故障演练 > 目标应用 > 应用资源页面。 2. 在资源类型页签中选择分布式缓存服务Redis版 ，然后单击添加资源。 3. 在弹出的对话框中，勾选目标Redis 实例，单击确定。 2、编排演练任务 1. 导航至 故障演练 > 目标应用 > 演练管理 页面，单击新建演练。 2. 在基本信息 页面，按提示填写演练名称和描述，然后单击下一步。 3. 在演练对象配置页面： 配置动作组 ：为动作组 命名，资源类型选择分布式缓存服务Redis版。 添加实例 ：单击添加实例 ，勾选上一步中添加的Redis实例。 添加故障动作 ：单击立即添加 ，在列表中选择主机宕机动作。 4. 在弹出的参数配置框中，配置所需参数，然后单击确定。 持续时间：故障动作持续时间。 故障节点 ：注入故障的目标节点（主节点或备节点）。

本章节介绍故障演练服务中演练任务管理功能。 概述 演练是指通过向系统的特定目标注入指定故障，并观察其影响，从而验证和提升系统可用性与韧性的过程。 新建演练 在目标应用的演练管理 页面，单击新建演练按钮，即可开始编排一个新的演练任务。 1、填写基本信息 在基本信息 页面，填写演练名称 、演练描述 和关联应用等。 说明 配置关联应用 可在当前演练任务中选择关联应用的资源进行故障演练。 2、配置演练对象 单击下一步 进入演练对象配置 页面。在此页面，可以配置一个或多个动作组，它们是故障注入的基本流程单元。 2.1 配置动作组 填写动作组名称 和描述。 单击动作组 右上角的复制图标，可以快速克隆出一个新的动作组。 说明 一个演练任务 可创建多个动作组。 2.2 添加实例到动作组 为动作组 选择一个资源类型（如弹性云主机）。 单击添加实例，在弹出的对话框中选择需要执行演练的资源对象。 说明 同一个动作组内仅可针对同一资源类型进行故障注入操作，不同资源类型可选择的实例个数也有不同的限制。 2.3 添加故障动作到动作组 在动作列表 中单击立即添加 ，选择需要注入的故障动作。 在弹出的对话框中，配置该故障动作的具体参数。

本章节介绍云容器集群节点DNS篡改故障演练。 背景介绍 DNS 篡改是一种常见的攻击手段或配置错误，它会导致域名被错误地解析到非预期的IP地址，从而在云容器引擎（CCE）环境中引发节点间流量劫持、服务访问异常或数据泄露等风险。本演练通过模拟 DNS 篡改场景，帮助您检验集群的安全防护机制、验证监控告警的有效性，并评估业务在域名解析被劫持时的表现。 基本原理 通过修改本地DNS解析文件实现。 故障注入 1、纳管实例资源 1. 导航至 故障演练 > 目标应用 > 应用资源页面。 2. 在资源类型页签中选择云容器引擎，然后单击添加资源。 3. 在弹出的对话框中，勾选目标云容器引擎实例，单击确定。 4. 在应用资源 页面的云容器引擎 列表中，找到您的目标集群，单击其操作列的节点列表。 5. 在弹出的对话框中，单击添加节点。 6. 勾选您希望进行故障演练的一个或多个节点 ，然后单击确定。 注意 当您首次对 CCE 集群执行演练时，系统会自动在该集群中安装演练探针（以 Deployment 和 DaemonSet 形式部署）。 您也可以提前在 故障演练 > 目标应用 > 探针管理 > 云容器引擎 界面查看探针的基本信息，并手动执行安装或更新操作。

本章节介绍Redis节点主机宕机故障演练。 背景介绍 Redis 高可用性依赖主备切换机制，以应对主节点突发故障。当承载主节点的物理机或虚拟机宕机（如硬件故障、电源中断）时，服务能否快速恢复取决于备用节点能否迅速升级为新主节点。本演练模拟主机宕机场景，检验 Redis 实例的自动高可用切换能力，并验证客户端应用在灾难情况下的韧性。 基本原理 通过关闭节点主机，模拟节点宕机。 故障注入 1、纳管实例资源 1. 导航至 故障演练 > 目标应用 > 应用资源页面。 2. 在资源类型页签中选择分布式缓存服务Redis版 ，然后单击添加资源。 3. 在弹出的对话框中，勾选目标Redis 实例，单击确定。 2、编排演练任务 1. 导航至 故障演练 > 目标应用 > 演练管理 页面，单击新建演练。 2. 在基本信息 页面，按提示填写演练名称和描述，然后单击下一步。 3. 在演练对象配置页面： 配置动作组 ：为动作组 命名，资源类型选择分布式缓存服务Redis版。 添加实例 ：单击添加实例 ，勾选上一步中添加的Redis实例。 添加故障动作 ：单击立即添加 ，在列表中选择主机宕机动作。 4. 在弹出的参数配置框中，配置所需参数，然后单击确定。 持续时间：故障动作持续时间。 故障节点 ：注入故障的目标节点（主节点或备节点）。

本章节介绍云容器集群节点DNS篡改故障演练。 背景介绍 DNS 篡改是一种常见的攻击手段或配置错误，它会导致域名被错误地解析到非预期的IP地址，从而在云容器引擎（CCE）环境中引发节点间流量劫持、服务访问异常或数据泄露等风险。本演练通过模拟 DNS 篡改场景，帮助您检验集群的安全防护机制、验证监控告警的有效性，并评估业务在域名解析被劫持时的表现。 基本原理 通过修改本地DNS解析文件实现。 故障注入 1、纳管实例资源 1. 导航至 故障演练 > 目标应用 > 应用资源页面。 2. 在资源类型页签中选择云容器引擎，然后单击添加资源。 3. 在弹出的对话框中，勾选目标云容器引擎实例，单击确定。 4. 在应用资源 页面的云容器引擎 列表中，找到您的目标集群，单击其操作列的节点列表。 5. 在弹出的对话框中，单击添加节点。 6. 勾选您希望进行故障演练的一个或多个节点 ，然后单击确定。 注意 当您首次对 CCE 集群执行演练时，系统会自动在该集群中安装演练探针（以 Deployment 和 DaemonSet 形式部署）。 您也可以提前在 故障演练 > 目标应用 > 探针管理 > 云容器引擎 界面查看探针的基本信息，并手动执行安装或更新操作。

Web应用防火墙主要包括4大类应用场景，本小节介绍Web应用防火墙应用场景。 政企教育医卫行业场景 场景特点 政企行业、教育行业和医卫行业，包括门户网站作为提供给互联网用户获取信息服务的重要渠道，多面临网页被篡改、网页挂马、跨站攻击、SQL注入攻击等安全威胁，同时也面临上级单位和测评机构的监管压力，一旦发生安全事件，将严重影响其形象和公信力。 能解决的问题 政企类用户经常遭受来自境外地区的各类SQL注入等类型攻击，通过WAF可以制定针对指定境外地区直接进行封禁，阻断所有来自风险地区的访问请求，以及WAF可以根据内置的策略等级模式将安全性要求较高的业务重点保障，有效将99%的攻击自动进行禁封。 金融行业场景 场景特点 金融行业面临注入、跨站等多种安全问题，导致用户账号密码泄露，危及用户资金财产安全，进而严重影响企业的形象并承受经济损失。 能解决的问题 网站遭遇大量Web暴力破解请求企图获取平台登录信息，若被获取登录信息后将进一步被攻击者进行渗透，部署WAF后可通过WAF内置CC策略以及暴力破解特征库自动阻断该类型请求并发送告警至自服务平台，大大增加了网站的安全等级，并且可以主动发现并进行禁封或进行攻击溯源。

本文介绍了WAF的Web攻击防护最佳实践，主要从应用场景、防护策略、防护效果三个方面进行介绍。 应用场景 Web应用防火墙（Web Application Firewall，WAF），通过对HTTP(S)请求进行检测，识别并阻断SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等攻击，保护Web服务安全稳定。 操作步骤 步骤 1 登录管理控制台。 步骤 2 单击管理控制台左上角的，选择区域或项目。 步骤 3 选择“安全 > Web应用防火墙（独享版）”。 步骤 4 在左侧导航树中，选择“网站设置”，进入“网站设置”页面。 步骤 5 在目标域名所在行的“防护策略”栏中，单击“已开启N项防护”，进入“防护策略”页面。 步骤6 在“Web基础防护”配置框中，查看Web应用攻击防护的防护状态。 Web基础防护功能默认为开启状态，并使用“仅记录”模式的防护规则策略。 状态 ：表示WAF的Web基础防护的防护模块已开启。 ：表示该防护模块处理关闭状态。 模式：分为拦截和仅记录两种模式。 “拦截”模式表示当遭受Web攻击时，WAF立即拦截攻击请求，并在后台记录攻击日志。 “仅记录”模式表示当遭受Web攻击时，WAF不会拦截攻击请求，仅在后台记录攻击日志。 步骤 7 单击“高级设置”，进入“Web基础防护”界面。 “防护等级”：分为宽松、中等、严格三种模式，默认为“中等”防护模式。 防护等级说明 防护等级 说明 宽松 防护粒度较粗，只拦截攻击特征比较明显的请求。 当误报情况较多的场景下，建议选择“宽松”模式。 中等 默认为“中等”防护模式，满足大多数场景下的Web防护需求。 严格 防护粒度最精细，可以拦截具有复杂的绕过特征的攻击请求。 当需要更严格地防护SQL注入、跨站脚本、命令注入等攻击行为时，建议使用“严格”模式。 灵活设置防护检测类型。 WAF默认开启“常规检测”防护检测，用户可根据业务需要，开启其他需要防护的检测类型。

本章节介绍应用服务网格CSM应用场景 应用服务网格CSM主要适用于微服务架构下的流量治理、安全治理和可观测场景，常用场景如下： 多语言微服务统一治理 应用服务网格（CSM）采用无侵入式的sidecar模式，提供了与语言无关的服务治理能力，无需修改业务代码即可实现对多语言应用的灰度发布、熔断限流、标签路由、全链路灰度等治理能力。 解决问题： 服务治理能力与业务代码耦合问题，业务无需关注非业务的技术问题，提高业务迭代效率。 企业内部多语言业务互通问题，服务网格通过sidecar和统一控制面，屏蔽了语言和框架的差异，使得多语言框架应用之间的通信就像语言框架内部的通信一样简单。 多集群统一服务治理 应用服务网格（CSM）采用主从集群模式，主集群（云容器引擎）作为控制面部署集群，支持对多个从集群（云容器引擎）实行统一纳管，对多个云容器引擎集群上的服务进行统一治理。 解决问题： 服务扩展问题：随着业务的发展，业务通过单个容器集群难以支撑时，CSM服务网格可以在一个网格实例下实现对多个容器集群的统一治理。 容灾问题：基于多集群和服务标签，通过服务网格的路由能力可以实现业务的多活容灾。

通过采集状态页面您可以查看主机的采集状态。 1. 登录管理控制台。 2. 单击左侧，选择“管理与部署 > 应用性能管理 APM”，进入APM服务页面。 3. 在左侧导航栏选择“应用监控 >指标”，进入应用指标页。 4. 在界面左侧树单击对应环境后的，进入实例监控页面。 5. 单击“采集状态”，查看主机的采集状态列表。 表 采集状态说明 参数名称 说明 主机名称 主机名称。 IP 实例的IP地址。 实例名称 实例名称。 采集器 采集器名称。 单击“采集器”列的，支持按照采集器名称过滤。 状态 采集状态，包括：正常、采集错误以及未开始。 单击“状态”列的，支持按照状态过滤。 最后采集时间 采集器最后采集数据的时间。

本节主要介绍容器监控 容器监控和组件监控的区别在于所监控的对象不同。组件监控是全量监控，监控对象为通过CCE部署的工作负载，通过ServiceStage创建应用，或直接在ECS或BMS上部署的组件。容器监控的对象仅为通过CCE部署的工作负载、通过ServiceStage创建应用。详细操作请参见组件监控。

本节主要介绍跨域资源共享的概念。 跨域资源共享（CORS）是由W3C标准化组织提出的一种网络浏览器的规范机制，定义了一个域中加载的客户端Web应用程序与另一个域中的资源交互的方式。而在通常的网页请求中，由于同源安全策略（Same Origin Policy，SOP）的存在，不同域之间的网站脚本和内容是无法进行交互的。 OBS支持CORS规范，允许跨域请求访问OBS中的资源。 OBS支持静态网站托管，而只有当对该桶设置了合理的CORS配置，OBS中保存的静态网站才能允许响应另一个跨域网站的请求。 CORS的典型应用场景包括： 通过CORS支持，使用JavaScript和HTML5来构建Web应用，直接访问OBS中的资源，而不再需要代理服务器做中转。 使用HTML5中的拖拽功能，直接向OBS上传文件，展示上传进度，或是直接从Web应用中更新内容。 托管在不同域中的外部网页、样式表和HTML5应用，现在可以引用存储在OBS中的Web字体或图片，让这些资源能被多个网站共享。 CORS配置会在两分钟内生效。

应用场景概述 在以下场景中，均可使用Web应用防火墙（边缘云版）有效防御以及预防，保障网站以及应用的业务安全。 数据泄漏 随着数字化推进，企业站点存储大量企业信息和个人信息，黑客可以通过Web入侵获取企业信息资产，对企业造成无法估量的损失。 网站被篡改被挂马 黑客在获取Web站点或者服务器权限后，通过插入恶意代码，使客户端用户执行恶意程序，从而实现盗取账号等恶意行为；在站点植入涉黄、涉赌等非法链接；恶意篡改网站图片和文字；对网站造成恶意影响，损坏网站运营者的形象。 恶意数据抓取 电商平台利用爬虫互相爬取商品价格详情进行研究，借此获取竞争先机。羊毛党总是能在演唱会门票发布、促销大促使得优惠券发布时秒空。 CC攻击 CC攻击会造成站点业务中断，或者造成关键门户网站不能访问，攻击者往往是采用大量的数据包淹没业务服务器，导致业务资源占用飙升，请求数量突增，从而阻塞网站正常访问甚至宕机，对业务的连续性和品牌的影响极大，而且往往运营者在被攻击时很被动。 合规资质 天翼云Web应用防火墙（边缘云版）通过信通院泰尔实验室的可信安全云认证、IPv6可用认证、中国网络安全审查技术与认证中心的IT产品信息安全认证和公安部的等保三级认证。

pf6220b4dbc3d30f9)[]( pb8235697629419dc)网络服务区域带宽定价 无 目前套餐不包含非中国内地的带宽，不提供非中国内地节点覆盖，不保证访问效果。 如需非中国内地节点覆盖可订购网络服务远程办公海外区域带宽。 账号数扩展 VPN版（SaaS）：6元/账号/月 基础版（SaaS）：25元/账号/月 企业版（SaaS）：45元/账号/月 VPN版（混合部署）：10元/账号/月 基础版（混合部署）：35元/账号/月 企业版（混合部署）：65元/账号/月 按年购买，可享受1年8.5折、2年7.5折、3年6折、4年5.5折、5年4.5折折扣 账号数仅赠送中国内地流量带宽，如需非中国内地节点覆盖则需订购全球（非中国内地）按需或者带宽扩展包。 若选择流量计费模式，VPN版的账号数扩展赠送流量为10GB/月，基础版的账号数扩展赠送流量为50GB/账号/月，企业版的账号数扩展赠送流量为100GB/账号/月（账号数扩展赠送的流量在订购当月不生效，次月生效）。 若选择带宽计费模式，VPN版的账号数扩展赠送带宽为0.1Mbps/账号/月，基础版的账号数扩展赠送带宽为0.5Mbps/账号/月，企业版的账号数扩展赠送带宽为1Mbps/账号/月。 套餐内账号数不够用时，可通过账号数扩展购买更多账号数授权，账号数指使用零信任服务的账号总人数，一个账号下同时登录多个终端，不占用额外账号数。 短信配额：VPN版本短信30条/帐号/月，基础版本短信60条/帐号/月，企业版本短信150条/帐号/月，短信配额总量所有账号可共享使用。 RBI云端浏览器 并发数计费：35元/个/月 应用计费：4200元/个/月 按年购买，可享受1年8.5折、2年7.5折、3年6折、4年5.5折、5年4.5折折扣 并发数计费和应用计费二选一： 并发数计费：则按照并发个数计费，一个终端打开一个通过RBI访问的页面则为一个并发，一般用于管控人员较少，应用不固定的场景。 应用计费：则不根据使用的并发情况，而是根据配置的应用，如配置内网系统A则为一个应用或访问互联网也为一个应用，一般用于保障的应用地址明确，用户并发数不希望进行限制的场景。 短信套餐包 中国内地 55元/个/月 无 短信按月套餐包，包含的短信数量规格为1000条/个/月，订购后资源实时生效，本月分配的短信额度若未用尽将会在月底清空，无法累计到次月，请按实际需求合理订购。 短信套餐包退订时，若退订当月套餐包内短信额度已被使用，则退订当月金额不支持退回，系统会扣除退订当月费用，退回剩余订购时长的资费。 短信资源包 中国内地 1000元/个，包含20000条短信数量，自购买起1年内有效 无 短信资源包订购超过7天后不支持退订，详细规则请参考短信服务退订说明。 短信服务按需 中国内地 0.06元/条 无 短信按需服务，开启后，当月短信发送数量超过每月可发送的短信额度时，超过的短信按每条0.06元收费，若未订购服务按需，短信超量后将不再发送短信。

本文介绍云容器引擎的产品优势。 云容器引擎是基于业界主流的Docker和Kubernetes开源技术构建的容器服务，提供众多契合企业大规模容器集群场景的功能，在系统可靠性、高性能、开源社区兼容性等多个方面具有独特的优势，满足企业在构建容器云方面的各种需求。云容器引擎的优点有：大幅提高线上业务的运维、弹性伸缩能力；大幅提高资源、设备及人力的利用率，降低成本；大幅提升产品、业务应用的研发效率。 管理简单 帮助用户屏蔽了底层技术架构，云容器引擎具有强大的集群管理功能，简单的操作流程。用户可自定义集群应用，只需进行简单的单击操作，即可完成业务部署，无需参与底层网络、存储等的技术设计，无需手动搭建docker及kubernetes集群，并进行证书、密钥等配置，减少技术人员的投入，节约人力成本。 云容器引擎平台为集群、应用、容器、网络、配置项、命名空间等丰富的集群资源提供了直观的界面化管理，简化了用户操作。用户可随时随地登陆，进行应用容器的生命周期管理，灵活的安排运行的应用业务，浏览当前具备的资源及业务运行状态，大幅降低了用户的管理成本、运维成本。 安全稳定 云容器引擎服务提供3个master主节点的高可用集群，去中心化式的集群架构，确保当单个主控节点出现问题时，集群也能够无中断的继续运行。相比用户自建的单主控节集群，业务稳定性与连续性大大提高。 云容器服务基于天翼云优秀的IAAS层基础架构搭建，成熟的虚拟化技术、优质的网络架构，以及多层次的安全防护能力，从底层确保了上层容器服务的稳定可靠性。用户可自定义安全组规则，进一步提高隔离水平。 伴随业务版本的快速迭代，云容器引擎服务提供了渐进式的滚动升级策略，搭配容器镜像服务，通过web界面一键完成应用版本升级，无忧实现业务平滑替换，提高业务连续性，保障优质的用户体验感。 云容器引擎提供集群、节点、容器多层面的状态监控，支持全时段的事件监控，应用日志查看，容器健康检查等功能，用户只需登陆容器引擎平台总览页面，即可将集群、网络、CPU、内存资源等信息尽收眼底，时刻把握集群情况，并快速定位故障发生原因，减少运维人力，提高运维效率。 轻松应对 云容器引擎提供了应用层级别的水平伸缩能力，即Horizontal Pod Autoscaling（HPA），支持用户自定义Pod伸缩策略，根据容器资源使用情况，自动快速调整Pod数量，及时应对用户业务流量变化，保障业务对外能力可用。 云容器引擎支持应用与节点、应用间的亲和、反亲和性质的调度策略配置，帮助用户实现节点负载的合理安排和组织，提高系统的稳定性、扩展性。提高各节点的资源利用效率。支持Pod级别迁移策略配置，当节点出现故障时可快速迁移应用。 开放兼容 云容器引擎服务深度整合了天翼云平台成熟的计算、存储、网络、安全等云产品功能，提高了系统的可扩展性。用户可集合平台提供的其它云产品能力，如云主机监控、存储管理等，进一步构建完善云上业务系统。 云容器引擎在Docker技术的基础上，为容器化的应用提供部署运行、资源调度、服务发现和动态伸缩等一系列完整功能，提高了大规模容器集群管理的便捷性。云容器引擎基于业界主流Kubernetes实现，完全兼容Kubernetes/Docker社区原生版本，与社区最新版本保持紧密同步，完全兼容Kubernetes API和Kubectl。 特色功能 镜像仓库：容器引擎为用户提供了配套的镜像仓库管理服务，支持创建仓库及镜像管理等基础功能，并为用户提供了丰富的官方镜像资源，覆盖面广，满足用户不同的业务需求，保障了镜像的可靠性与安全性。用户无需自行搭建和运维仓库，即可一键快速完成业务容器化部署，提高业务容器化效率。 天翼云平台为用户提供了专业的售后运营团队，全天候724小时服务。用户可通过工单、电话等渠道，对产品故障进行反应。团队将及时响应，并快速定位问题，解决客户的疑难杂症。

本文介绍OpenClaw(原Clawdbot)持久化存储配置的内容。 前置说明 1.该文档为介绍通过应用托管应用市场体验OpenClaw 支持持久化存储配置的内容。 2.本产品中的应用由第三方主体提供，尽管天翼云已尽最大努力进行识别和维护，但仍无法保证应用的可用性。请客户按照该产品的服务协议使用该产品，做好甄别工作，并对自行选择的服务承担相应责任。 概述 OpenClaw持久化存储，用户完成配置后，相关配置信息将持久化保存至存储中，实例重启后配置可完整保留不会丢失。以下为详细操作步骤。 重要：OpenClaw 为开源 AI 助手，请在使用前充分评估其安全性与稳定性并严格遵循许可协议，以切实保障您的系统环境与数据安全。 1. 请避免在 OpenClaw 中绑定生产级敏感账号。如需使用 API 服务，建议使用受限的 API Key 或临时 Token，并建立定期轮换机制，以降低密钥泄露带来的风险。 2. 建议优先使用天翼云官方提供的skills与插件，避免安装来源不明的第三方技能，防止恶意代码注入。 3. 请通过密码或 Token 对 OpenClaw 服务进行访问授权，严格限制访问 IP 范围，避免公网暴露，拦截非授权访问请求。 4. 建议启用详细的日志记录与行为监控，对操作行为和数据处理过程进行持续审计，及时发现并处置异常行为。

本章节介绍云主机磁盘填充故障演练。 背景介绍 由失控的日志文件、未经清理的临时数据或异常进程持续写入，都可能导致云主机磁盘空间被耗尽（例如使用率超过95%）。这种情况会直接导致应用无法写入新数据、服务功能异常甚至进程崩溃。本演练模拟磁盘空间被占满的场景，帮助您检验系统的磁盘空间监控告警、日志轮转机制以及应用在无可用存储空间时的处理逻辑。 基本原理 预先在探针管理处将内部自研Agent安装至云主机上，使用管控通道下发动作执行命令。 原理是通过dd命令将数据写入文件。 故障注入 1、纳管实例资源 1. 导航至 故障演练 > 目标应用 > 应用资源页面。 2. 在资源类型页签中选择云主机 ，然后单击添加资源。 3. 在弹出的对话框中，勾选目标云主机 实例，单击确定。 2、编排演练任务 1. 导航至 故障演练 > 目标应用 > 演练管理 页面，单击新建演练。 2. 在基本信息 页面，按提示填写演练名称和描述，然后单击下一步。 3. 在演练对象配置页面： 配置动作组 ：为动作组 命名，资源类型选择云主机。 添加实例 ：单击添加实例 ，勾选上一步中添加的云主机实例。 添加故障动作 ：单击立即添加 ，在列表中选择磁盘填充动作。 4. 在弹出的参数配置框中，配置所需参数，然后单击确定。 持续时间：故障动作持续时间。 目录：填充文件的写入目标，默认为系统根目录 /。强烈建议指定一个非系统盘的数据目录。 文件大小(MB)：填充的文件大小，取值是整数，例如1024。 磁盘使用率：填充至指定的空间占用率（取值 1100），例如50代表50%的使用率。 保留大小(MB)：保留的磁盘大小，如果文件大小、磁盘使用率、保留大小参数都存在，优先级是磁盘使用率>保留大小>文件大小。

专属云容器引擎采用独享的容器资源，为用户提供高可靠高性能的企业级容器应用管理服务，支持Kubernetes社区原生应用和工具，简化云上自动化容器运行环境搭建。 资源独享 专属资源与公有云资源物理隔离，配套云服务部署在专属资源池，租户独享 灵活组合 专属云服务和天翼云基础云服务灵活搭配，满足行业安全合规要求，优化成本结构 安全合规 隔离且专属的物理资源，满足行业、组织对安全合规性的要求 简单易用 一键创建容器集群，一站式部署和运维容器应用，无需再自行搭建容器运行环境，真正实现开箱即用

本节介绍了容器镜像服务: Dockerfile高效编写指引。 概述 Docker依赖Dockerfile来自动构建镜像。Dockerfile的语法虽然简单，但是如何编写Dockerfile来减小镜像大小并加快镜像构建速度却需要实践经验的累积。本节介绍Dockerfile编写的一些最佳实践，以帮助编写出高效的Dockerfile。 通过.dockerignore排除文件 Docker在构建镜像时，会将Dockerfile目录中的所有文件收集到进程中。对于不需要参与构建的文件，可以通过.dockerignore文件来进行排除，从而减小镜像的大小。.dockerignore的语法类似.gitignore，示例如下: plaintext .git/ nodemodules/ 该示例排除了Dockerfile目录中的.git和nodemodules两个文件夹。 容器只运行单个应用 Docker虽然支持运行多个进程，例如将前端、后端和数据库都运行在一个Docker容器中，但这样做会带来一些问题： 构建时间长，修改某个应用导致整体重新构建 镜像体积大 不同应用所需资源不同，扩展时导致资源浪费 因此，最好将服务拆分成不同的应用，对每个应用单独进行镜像构建和部署。例如一个依赖node.js和MySQL的服务的Dockerfile原本需要安装两者的依赖： plaintext RUN aptget install y nodejs mysql 进行拆分之后，node.js和MySQL服务可以单独部署。 node.js服务的Dockerfile包含： plaintext RUN aptget install y nodejs MySQL服务的Dockerfile包含： plaintext RUN aptget install y mysql

操作场景 当前支持给Java类工作负载提供调用链、拓扑等监控能力，若您为Java类工作负载，并且需要监控状态，请勾选“Java探针”选项，并输入监控组名称。 工作负载创建时和创建后，均可以对Java类工作负载监控进行设置。 说明： 若您还未开通应用性能管理服务，请单击界面中的，参照界面提示购买应用实例数，单击“立即购买”，查看订单无误后，参照界面提示单击“提交订单”。 操作步骤 创建工作负载时进行设置 步骤 1 登录CCE管理控制台，在左侧导航栏中选择“工作负载 > 无状态负载 Deployment”或“工作负载 > 有状态负载 StatefulSet”，单击“创建无状态工作负载”或“创建有状态工作负载”。 步骤 2 在创建工作负载时，在“高级设置”中找到“性能管理配置”，在“安装探针”处勾选“Java探针”，将会启用应用性能管理服务并在节点上安装探针。 说明：安装探针会产生少量资源消耗，主要作用是可对java工作负载提供应用调用链、拓扑、SQL分析、堆栈追踪等监控能力。 步骤 3 输入监控组名称，如testapp。若已有监控组，可下拉选择。 步骤 4 选择“探针版本”。探针版本默认为latest，具体可查看下拉框后的“版本说明”。 图设置性能管理配置 步骤 5 选择“探针升级策略”，默认为“重启自动升级”。 说明：“探针升级策略”为获取探针镜像的策略，可选值有“重启自动升级”和“手动升级”。 重启自动升级：每次都尝试重新下载镜像。 手动升级：如果本地有该镜像，则使用本地镜像，本地不存在时下载镜像。 创建工作负载后设置或修改 步骤 1 登录CCE管理控制台，在左侧导航栏中选择“工作负载 > 无状态负载 Deployment”或“工作负载 > 有状态负载 StatefulSet”。 步骤 2 在工作负载列表中，单击要设置的工作负载名称，在工作负载详情页中单击“工作负载运维”页签。 步骤 3 在“性能管理配置”中，单击下方的“编辑”，勾选“Java探针”，将会启用应用性能管理服务并在节点上安装探针。 图12 单击编辑后进行设置 说明： 安装探针会产生少量资源消耗，主要作用是可对java工作负载提供应用调用链、拓扑、SQL分析、堆栈追踪等监控能力。 步骤 4 输入或修改“监控组”名称，如testapp。若已有监控组，可下拉选择。 步骤 5 选择“探针版本”。探针版本默认为latest，具体可查看下拉框后的“版本说明”。 步骤 6 选择“探针升级策略”，默认为“重启自动升级”。 图设置或修改性能管理配置 步骤 7 单击“重启实例”，完成设置。 说明： 1.9.7以下版本的集群，在“有状态工作负载”中不能修改该设置。 步骤 8 应用启动后，等待约3分钟，应用数据就会呈现在APM界面中，此时登录APM，您可以在APM上通过拓扑、调用链等进行应用性能优化，详细操作请参考。

Kafka 消费的语义是 “at least once”， 也就是至少投递一次，保证消息不丢，但是不会保证消息不重复。在出现网络问题、客户端重启时均有可能出现少量重复消息，此时应用消费端如果对消息重复比较敏感（比如说订单交易类），则应该做到消息幂等。 以数据库类应用为例，常用做法是： 发送消息时，传入 key 作为唯一流水号ID； 消费消息时，判断 key 是否已经消费过，如果已经消费过了，则忽略，如果没消费过，则消费一次； 当然，如果应用本身对少量消息重复不敏感，则不需要做此类幂等检查。