本页介绍了文档数据库服务的功能特性。 三种架构 文档数据库服务支持三种部署架构，包括单机版（单节点）、副本集以及分片集群规格实例，满足不同的业务场景。 单机版（单节点） 单机版（单节点）可以提供基本的数据存储和查询功能，易于部署和管理，并且不需要复杂的配置和设置。它适用于小型应用和测试环境，可以快速构建和测试应用程序。 副本集 文档数据库服务自动搭建多节点副本集架构，您可以直接操作Primary和Secondary节点。文档数据库服务为您提供高可用、容灾切换等高级功能，使用过程中对应用完全透明。 分片集群 提供自由组合Mongos和Shard的数量，组成适配业务需求的集群实例。一键完成集群实例的备份和恢复功能、多项监控指标，助力提供高性能的易用性分片集群。 弹性扩容 根据业务发展需要，您可以实时变更实例的CPU和内存规格、扩容磁盘存储空间。同时，建议您尽量选择在业务低峰期进行变更，避免在变更过程中对业务造成影响。 关键功能特性 关键特性说明 功能特性 说明 :: SLA 99.95% 即开即用 您可以通过控制台实时创建目标实例，配合弹性云服务器一起使用，通过弹性云服务器内网连接文档数据库，有效地降低应用响应时间。通过本地设备访问实例时，可以为其绑定弹性IP，通过弹性IP连接文档数据库。 完全兼容 文档数据库服务是面向文档型的NoSQL数据库，完全兼容MongoDB协议。 可视化运维 控制台提供可视化实例管理平台，对实例重启、备份、数据恢复等高频需求实现一键式便捷操作。 数据安全 通过虚拟私有云、子网、安全组、存储加密、DDoS防护等多层安全防护体系，有力地抗击各种恶意攻击，保证数据安全。 支持细粒度权限控制。 高可用 集群和副本集支持高可用，一旦Primary节点发生故障导致节点不可用，即可在很短时间内切换到Secondary节点上，切换过程对应用透明。 指标监控 实时监控数据库实例及引擎的关键性能指标，包括CPU、内存使用率，磁盘利用率，command、delete、insert语句执行频率，活跃连接数等指标。 备份与恢复 支持设置自动备份策略和实时手动备份。其中，自动备份保留时长最多达到732天，实时手动备份长期保留。 支持通过备份文件进行数据恢复。

本节主要介绍怎么调整PV的服务端连接位置。 通过调整PV的服务端连接位置信息，优化Pod中计算资源和存储资源的连接信息，一方面可以提升数据的读写性能，另一方面也可以提升连接的可靠性和容错能力。 前提条件：HBlock的存储池级别为room，rack，server，才能调整PV的服务端连接位置信息。 调整的步骤如下： 1. 停止PV关联的所有Pod。 注意 此步骤不能省略，否则会导致异常。 plaintext kubectl delete f pod1.yaml f pod2.yaml f podN.yaml 2. 调整PV的服务端连接位置。 如果是第一次调整PV的服务端连接位置，使用下列命令： plaintext kubectl annotate pv pvname faultDomainsfaultDomain1，faultDomain2，faultDomainN 如果先前已经调整过PV的服务端连接位置，使用下列命令： plaintext kubectl annotate pv pvname faultDomainsfaultDomain1，faultDomain2，faultDomainN overwrite pvname：需要调整服务端连接位置的PV名称。 faultDomains：卷的服务端连接位置信息。根据存储池的故障域，修改Target所在服务器的列表（仅集群版支持），LUN关联的Target优先从该服务器列表中选择所在服务器。例如存储池为rack级别，其拓扑图涵盖rack1、rack2、rack3、rack4中的节点，且faultDomains指定rack1、rack2，那么修改LUN的Target时，LUN关联的Target优先从rack1、rack2所包含的此存储池的服务器列表里进行选择。可以配置重复节点，如果一个节点出现的次数过多导致节点内的全部server都被选择，则系统会忽略此节点，从后面的节点中继续选择。 注意 对于同一 PV，其faultDomains的取值必须限定在HBlock集群的同一存储池内。 faultDomains的取值应低于或等于HBlock集群存储池的故障域等级。例如，若存储池default的故障域等级为rack，则faultDomains只能配置为rack或server等级的节点，不得配置高于rack等级的节点，如room1。 3. 启动PV关联的所有Pod。 plaintext Kubectl apply f pod1.yaml f pod2.yaml f podN.yaml

本文介绍应用托管的产品优势。 开箱即用 提供应用一键部署的功能，极大简化应用的安装和配置过程，分钟级完成应用部署；为部署的应用提供公网访问能力，可通过公网便捷访问已部署的应用。用户无需学习复杂的K8s等容器知识，即可轻松上手。 丰富的生态与扩展 汇聚不同类型的应用，覆盖多种用途和行业需求。可方便地浏览、搜索选择适合的应用；集成MCP相关的服务资源，涵盖内容生成、网页搜索、效率工具等多种类型，全面支撑企业各类智能应用场景。 降低IT资源投入 支持根据业务需求灵活增减配资源，避免重资产投入，高效管控成本；按小时计费，暂停不计费。 少人化运维与成本优化 基于云原生和部署工具链的集成，大幅减少人工操作，少量运维人员即可管理大量应用系统，提升维护效率，降低成本；平台管理并分配算力，屏蔽算力底座差异，用户无需关心底层硬件和K8s集群，聚焦业务应用开发和管理。 应用交付效率提升 为供应商提供独立的测试空间，灵活分配计算资源避免干扰，助力供应商快速完成部署与测试，提升协作效率；完成测试并审核通过的应用可生成“应用模板”，并可发布应用市场，实现用户环境秒级部署上线，大幅降低运维成本。

本文介绍容器安全卫士退订说明及退订步骤。 退订说明 容器安全卫士支持退订，可通过容器安全卫士控制台界面、天翼云费用中心发起并完成退订操作。 容器安全卫士实例退订后，主套餐及扩容节点将一同退订；扩容节点不支持单独退订。 成功发起退订后，实例资源将转入冻结状态，冻结期15天。冻结期间，用户配置数据会保留15天， 仍可以进行时安全防护，同时保留用户的配置数据，15天后资源被释放，释放后无法恢复。 更多详情请参见退订规则说明。 退订步骤 1. 登录容器安全卫士控制台。 2. 在左侧导航栏选择“订单中心”，进入订单信息页面。 3. 单击“立即退订”，进入退订申请页面。 4. 确认退订信息，信息确认无误后选择退订原因，勾选“我已确认本次退订金额和相关费用”后，单击“退订”后即可进行退订。

名称 描述 ObjectLockConfiguration 合规保留配置信息的容器。 类型：容器。 子节点：ObjectLockEnabled、Rule。 ObjectLockEnabled Bucket是否开启合规保留功能： Enabled：开启合规保留。 Disabled：不开启合规保留。 类型：枚举。 父节点：ObjectLockConfiguration。 Rule 合规保留的规则。 类型：容器。 父节点：ObjectLockConfiguration。 子节点：DefaultRetention。 DefaultRetention 默认的合规保留配置。 类型：容器。 父节点：Rule。 子节点：Mode、Days或Years二选一。。 Mode 合规保留模式。 COMPLIANCE：合规保留。 类型：枚举 父节点：DefaultRetention Days 合规保留的天数。 类型：整型。 父节点：DefaultRetention。 Years 合规保留的年数。 类型：整型。 父节点：DefaultRetention。

本文介绍视频直播相关的基本概念。 边缘节点 边缘节点是离终端用户最近的一个节点，经过视频直播加速的客户，其用户访问无论推流还是拉流均经过边缘节点接入。 源站 源站指客户的直播源，通常由客户运营维护，为视频直播加速提供原始内容。 DNS DNS，即Domain Name System，指域名解析服务。它的作用是把域名转换成网络可以识别的IP地址。人们习惯记忆域名，但机器间互相只认IP地址，它们之间的转换工作称为域名解析，域名解析需要由专门的域名解析服务器来完成，整个过程是自动进行的。比如：上网时输入的www.baidu.com会自动转换成220.181.112.143。常见的DNS解析服务商有：阿里云解析，万网解析，DNSPod，新网解析，Route53（AWS），Dyn，Cloudflare等。 CNAME域名 客户接入直播时，在天翼云直播控制台完成加速域名添加后，系统会为您分配一个天翼云的CNAME域名，例如 .ctadns.cn，您需要在您的DNS解析服务商添加CNAME记录，将自己的加速域名指向 .ctadns.cn的CNAME域名，这样该域名所有的请求才会转向天翼云直播的节点，实现加速的目的。 CNAME记录 CNAME记录是指域名解析中的别名记录（Canonical Name），用来把一个域名解析到另一个域名（CNAME域名），再由CNAME域名来解析到需要访问的服务器IP地址。 DNS解析时间 DNS解析时间是指通过域名解析服务（DNS），将指定的域名解析成IP地址的消耗时间。

介绍分布式消息服务RabbitMQ创建虚拟主机操作内容。 背景信息 虚拟主机，用作逻辑隔离，分别管理各自的交换器、队列和绑定，使得应用安全地运行在不同的虚拟主机上，相互之间不会干扰。一个实例下可以有多个虚拟主机，一个虚拟主机里面可以有若干个交换器和队列。生产者和消费者连接分布式消息服务 RabbitMQ 版需要指定一个虚拟主机。 操作步骤 （1）登录管理控制台。 （2）进入RabbitMQ管理控制台。 （3）在实例列表页在操作列，目标实例行点击“管理”。 （4）点击“集群管理”后点击“虚拟主机”到达虚拟主机管理页面，点击“新建”按钮。 （5）点击“新建”后出现以下创建，输入虚拟主机名称后点击确定。 注意：设置虚拟主机名称时，有如下要求： 虚拟主机名称只能包含字母、数字、短划线（）、下划线（）。 虚拟主机名称长度限制在1~64个字符。 虚拟主机创建成功后，Vhost名称不可修改。

本文介绍了API业务监测的相关功能。 功能介绍 API业务监测功能帮助用户实时查看API的业务运行数据包括QPS趋势图、源站状态码响应趋势图、天翼云节点状态码响应趋势图、响应时长趋势图、QPS峰值排行、响应时长排行，同时帮助用户发现和分析业务异常。 前提条件 已经订购边缘安全加速平台安全与加速服务，若未订购，请参见服务开通。 在控制台新增域名，请参见添加服务域名。 操作步骤 1. 登录边缘安全加速平台控制台。 2. 在左侧导航栏中选择【安全能力】，进入【API安全】菜单，并在左侧域名列表选择您要管理的域名。 3. 您可以在资产列表中选择具体一项API资产，在操作栏中点击【业务监测】跳转查看单一API粒度的业务监测数据；也可以在API资产表头右侧点击【业务监测】查看域名粒度业务监测数据。

平安校园 通过iBox接入高清摄像机，结合深度学习技术，提供人员识别、周界入侵、 离岗检测、车牌识别、烟火识别、吸烟识别、人群聚集、区域入侵等智能化算法，有效防范人员安全隐患、预防校园欺凌，提升事件处置效率，切实解决学校安全难题，提升安全保卫工作效能，构建和谐平安校园，实现校园安全管理智能化、流程化、科学化。 智慧城管 重点面向智慧城管建设中的智能视频分析需求，内置街面秩序、市容环境、沿街广告、突发事件、施工管理等场景AI算法，可切实提高城市治理智能化水平。 加油站作业合规 iBox边缘盒子在加油站场景中提供了关键的边缘AI能力，专注于卸油区、桶装加油和罐装加油的合规检测。它能够实时监控并分析操作流程，确保所有活动符合安全和操作规范，从而有效提升加油站的安全性和管理效率。

名称 描述 BucketConfiguration 设置Bucket索引位置和数据位置的容器。 类型：容器。 子节点：MetadataLocationConstraint、DataLocationConstraint。 MetadataLocationConstraint 设置Bucket的索引位置。 类型：容器。 父节点：CreateBucketConfiguration。 子节点：Location。 DataLocationConstraint 设置Bucket的数据位置。 类型：容器。 父节点：CreateBucketConfiguration。 子节点：Type、LocationList、ScheduleStrategy。 Type 数据位置的类型。 类型：枚举。 取值： Local：本地。 Specified：指定位置。 默认Local。 父节点：DataLocationConstraint。 LocationList 指定的数据位置。 类型：容器。 父节点：DataLocationConstraint。 子节点：Location。 Location 索引位置或数据位置。 类型：字符串。 取值： 父节点为MetadataLocationConstraint，表示索引位置，有效值为：ChengDu、FuZhou、GuiYang、HangZhou、LaSa、LanZhou、QingDao、ShenYang、ShenZhen、WuHan、WuHu、WuLuMuQi、ZhengZhou、SH2、SuZhou 父节点为LocationList，表示数据位置，有效值为：ChengDu、GuiYang、LanZhou、QingDao、SH2、ShenYang、ShenZhen、SuZhou、WuHan、WuHu、WuLuMuQi、ZhengZhou 父节点：MetadataLocationConstraint或LocationList。 ScheduleStrategy 指定数据时的调度策略 类型：枚举 取值： Allowed：允许OOS自动调度。 NotAllowed：不允许OOS自动调度。 父节点：DataLocationConstraint

本节介绍如何查看防护容器的下线通知和删除服务通知。 消息中心页面提供防护容器的下线通知和删除服务通知，以便用户及时恢复防护容器。 查看消息 1. 登录容器安全卫士控制台。 2. 在左侧导航栏，选择“消息中心”，进入消息中心页面。 3. 支持查看“服务信息”和“删除服务”类消息。 标记已读 在消息中心页面，阅读消息后，可以勾选多条消息后，单击“标记已读”，在弹出的对话框中，可以选择“全部标记已读”或只对当前选择项标记已读，选择完成后，单击“确认”。

本节介绍了容器镜像版本不可变的用户指南。 概述 容器镜像服务支持开启镜像版本不可变功能，保证相同版本的镜像仅被成功推送一次，可有效避免因误操作引起的版本覆盖问题。现支持命名空间级别的配置，并可自定义需要开启镜像版本不可变功能的镜像仓库和版本。 操作步骤 创建版本不可变规则 1. 进入容器镜像服务控制台。 2. 点击已开通实例名称，左侧导航栏点击"容器镜像" "版本不可变" ，点击页面中的添加规则按钮。 3. 填写规则生效的仓库和Tag，以及需要保留最近推送的Tag数目。仓库和Tag的匹配规则如下： 参数 说明 key 精确匹配名称为key的仓库或Tag key 匹配前缀为key的仓库或Tag 匹配所有仓库或Tag {key1,key2,key3} 匹配多个仓库或Tag 管理版本不可变规则 1. 进入容器镜像服务控制台 。 2. 点击已开通实例名称，左侧导航栏点击"容器镜像" "版本不可变" ，可查看已有的版本不可变规则列表。 3. 点击编辑按钮可以调整已有的版本不可变规则内容。 4. 点击禁用按钮可以禁用已有的版本不可变规则。 5. 点击删除按钮可以删除已有的版本不可变规则。

本文介绍学术加速企业版服务的加速应用配置页面。 简介 在加速应用配置页面中，企业管理员可以配置您所需要加速的网址应用，针对您组织的成员全局生效。 操作步骤 1. 登录 边缘安全加速平台控制台 ，选择【学术加速】控制台。 2. 在首页产品能力栏目，选择学术加速进入工作台。 3. 左侧导航栏AOne学术加速应用加速应用配置，查看加速应用列表。 4. 可根据您的需求进行相关配置。 加速应用配置 您可在加速应用列表进行应用的管理，包括应用的添加、删除操作。 支持批量导出所选应用或全部应用，目前导出的文件类型为默认.xls。 添加加速应用 您可以在此页面添加需要加速的网站/应用。 注意 如果找不到您需要加速的网站/应用，请

背景说明 传统终端防护多依赖已知威胁特征库，难以应对零日攻击、无文件恶意代码等未知威胁，因此需要 EDR（终端威胁检测与响应）能力来补位；它能实时监控终端行为以精准识别异常，发现威胁后自动阻断进程、隔离文件以减少攻击损失，还可追踪攻击路径与源头为防护优化提供依据，完整覆盖 “检测 响应 溯源” 环节，有效填补传统防护在终端安全上的关键缺口。 功能说明 AOne EDR 模块是基于 AI 行为分析引擎的下一代终端安全主动防护解决方案，通过多维度行为监测技术，从 200 + 行为维度对程序运行、系统调用及网络通信活动进行实时监测，构建 "持续监测 智能分析 主动响应" 的闭环安全体系，精准阻断勒索病毒、无文件攻击等已知 / 未知恶意软件的入侵与破坏。 ⚠️注意：此功能需要购买终端管理企业版套餐。 操作步骤 1. 登录边缘安全加速控制台，选择【终端管理】。 2. 在左侧导航栏点击【威胁检测与响应】【威胁事件】，查看威胁事件分布 3. 针对当前的威胁事件进行研判及分析。

名称 描述 LifecycleConfiguration 生命周期规则容器。 类型：容器。 子节点：Rule。 Rule 生命周期规则的容器。 类型：容器。 父节点：LifecycleConfiguration。 ID 规则的唯一标识。 类型：字符串。 父节点：Rule。 Prefix 使用规则的文件前缀。 类型：字符串。 父节点：Rule。 Status 生命周期规则的状态： Enabled：生命周期规则生效。 Disabled：生命周期规则不生效。 类型：字符串。 父节点：Rule。 Expiration 描述过期动作的容器。 类型：容器。 父节点：Rule。 子节点：Days或Date。 Transition 生命周期规则的转换存储类型。 类型：容器。 父节点：Rule。 子节点：StorageClass、Days或Date。 StorageClass 文件转换的存储类型：STANDARDIA：低频访问存储。 类型：字符串。 父节点：Transition。 Days 当IsAccessTime为false时，表示生命周期规则在匹配文件最后一次修改多少天后生效。 当IsAccessTime为true时，表示生命周期规则在匹配文件最后一次访问时间多少天后生效。 类型：整型。 父节点：Expiration或Transition。 IsAccessTime 是否基于最后一次访问时间匹配规则： true：生命周期规则匹配文件的最后一次访问时间。 false：生命周期规则匹配文件的最后一次修改时间。 类型：布尔型。 父节点：Transition。 Date 生命周期规则生效日期，OOS对在此日期之前创建的文件执行生命周期规则。 类型：字符串。 父节点：Expiration或Transition。 AtimeBase 当生命周期规则基于最后一次访问时间匹配时，返回示例中包含AtimeBase元素，表示默认最后一次访问的时间戳（从19700101 00:00:00 UTC计算起的秒数），即为Bucket开启访问跟踪时间点的时间戳。 类型：时间戳。 父节点：Rule。

本小节介绍关闭节点防护。 操作须知 关闭防护对业务不会产生影响，但关闭后服务器被入侵的风险会急剧上升，建议保持开启防护的状态。 操作步骤 1、 登录管理控制台。 2、在弹窗界面单击“体验新版”，切换至企业主机安全页面。 切换至新版后，在总览页左上角单击“返回旧版”，可切换至企业主机安全（旧版） 3、在左侧导航树中，选择“资产管理 > 容器管理”，进入“容器节点管理”页面。 4、 根据需求可选择批量关闭防护和单服务器关闭防护。 单服务器关闭防护 a.在“节点列表”中目标服务器的“操作”列单击“关闭防护”。 b.在弹窗中确认关闭服务器的信息，确认无误，单击“确认”，防护关闭。 c.关闭后在“资产管理 > 容器管理 > 节点列表”页面查看目标服务器的“容器防护状态”为“未防护”，关闭成功。 批量关闭防护 a.在“节点列表”中勾选多个目标服务器前的选框，单击上方“关闭防护”。 b.在弹窗中确认关闭服务器的信息，确认无误，单击“确认”，防护关闭。 c.关闭后在“资产管理 > 容器管理 > 节点列表”页面查看目标服务器的“容器防护状态”为“未防护”，关闭成功。 说明 关闭防护对业务不会产生影响，但关闭后服务器被入侵的风险会急剧上升，建议保持开启防护的状态。

本节介绍了云容器引擎的退订说明。 如果您有退订的需求，可以进行登录天翼云管理中心或云容器引擎控制台进行退订操作。天翼云目前支持7天无理由全额退订和非七天无理由退订以及其他退订，详细规则请参考文档费用中心退订。

本节主要介绍集群拓扑（集群版）的错误码。 HTTP status 错误码 错误信息 描述 400 CanNotDeleteNode The node nodeName can not be deleted. Please remove its child nodes and try again. 该节点不能移除，需要先移除它的子节点后才能移除该节点。 400 CanNotMoveNode The node nodeNamecan not be moved. Please make sure the node type is not lower than the fault domain level of storage pool which its leaf node belongs to. 节点不满足重新映射条件，请修改后重试。 400 DuplicatedNode The node with name nodeNameis not unique in the topology. 节点名称在集群中不唯一。 400 InvalidEnumValue Value value at 'node type' failed to satisfy constraint: Argument must satisfy enum value set: [value1, value2...] 节点类型错误，不符合枚举值。 400 InvalidFile Failed to parse file filename. 文件格式不正确。 400 InvalidNodeName Value value at 'node name' failed to satisfy constraint: Argument must contain only letters, digits, dots (.), underscores () or hyphens (), and does not exceed 63 characters, must begin with a letter or digit. 节点名称不正确。长度范围1~63，只能由字母、数字、句点(.)、下划线（）和短横线()组成，字母区分大小写，且仅支持以字母或数字开头。 400 NodeAlreadyExists The node with name nodeNamehas already exists in the topology. 节点名称已经在拓扑图中存在。 400 NodeNotAllowed The type of node nodeName is type, the request is invalid. 节点名称和节点类型不匹配。 400 NoSuchNode The node with name nodeNamedoes not exist. 节点不存在。 400 NodeTypeNotMatch Node type does not match. Please check parent node type. 节点类型不匹配，请检查父节点。 400 RemoveNodeRisk The node nodeNameor its child nodes are being used by a storage pool. Removing the node may cause data loss. You can use force remove. When using this option, there may be a risk of data loss. 移除节点可能会引起数据丢失。只能使用强制移除。请注意，强制移除，会产生数据丢失风险，请谨慎操作。 400 StandaloneModeNotAllowed 'operation' is not supported by standalone mode of HBlock. 单机版本HBlock不支持该操作。 400 SystemCrashRisk The node nodenamecan not be removed because there is only one available fault domain left in the base storage pool, or the node is related to multiple fault domains in the base pool, removing node may result in a system crash. 无法移除节点，存在以下情况之一，移除节点可能引发系统崩溃：基础存储池仅剩一个可用故障域时，无法移除故障域内的任何节点；节点涉及基础存储池的多个故障域。

智算容器：云容器引擎与DeepSeek融合实践

智算容器：云容器引擎与DeepSeek融合实践

本节主要介绍容器监控 容器监控和组件监控的区别在于所监控的对象不同。组件监控是全量监控，监控对象为通过CCE部署的工作负载，通过ServiceStage创建应用，或直接在ECS或BMS上部署的组件。容器监控的对象仅为通过CCE部署的工作负载、通过ServiceStage创建应用。详细操作请参见组件监控。

本文介绍Web应用防火墙（边缘云版）的接入防护前提条件以及防护能力概览。 接入防护前提条件 您需要先在控制台新增域名并接入边缘云WAF，具体操作可见WAF接入 防护能力概览 下表将为您描述目前边缘云WAF具备的防护能力以及应用场景 模块 防护能力 说明 应用场景 Web安全 []( 支持配置Web安全的防护开关，可调整防护处理动作以及防护规则集、无需检测的静态文件后缀 为Web安全的基础配置，您需要使用任何防护能力都需要先进行基础配置 Web安全 规则防护 目前已维护6套防护规则集，基于正则的规则防护引擎进行 Web 漏洞和未知威胁防护，能够抵御SQL 注入、XSS 攻击、恶意扫描、命令注入攻击、Web 应用漏洞、WebShell 上传、不合规协议、木马后门等17类通用的 Web 攻击 建议基于自身业务防护需求选择对应的防护规则集 Web安全 网页防篡改 位于高级防护模块下，能够保护网站核心静态页面，避免因为源站页面被恶意篡改带来的负面影响 希望网站防止被恶意篡改页面内容时配置 Web安全 防护敏感信息泄露 位于高级防护模块下，支持对网站返回的内容进行脱敏展示，过滤内容包括敏感信息（如身份证、手机号、银行卡、邮箱等） 希望网站避免泄露身份证、手机号等敏感信息时配置 Web安全 []( 支持检查HTTP协议头部，对HTTP请求信息中的方法以及参数长度等信息进行检测，对不符合的请求项进行拦截或告警 针对不在HTTP请求合规、上传内容合规、配置符合网站处理规范内的请求进行相应处理 Web安全 cookie防护 位于高级防护模块下，采用cookie加密、cookie签名等方式对cookie字段的字进行加密或签名，防护一些使用cookie中的弱key进行权限绕过的漏洞利用，也能在一定程度上限制基于cookie修改的爬虫 可以防护cookie盗用、cookie篡改、cookie信息泄露等攻击事件。需要客户端支持携带cookie，通常小程序、APP、API可能不支持 Web安全 攻击挑战 位于高级防护模块下，支持自动阻断短时间内发起多次Web攻击的IP，快速应对恶意扫描及代理、Web 攻击威胁等行为，可提升攻防对抗效率 攻防演练、恶意扫描及代理、Web攻击行为等 Web安全 CSRF防护 位于高级防护模块下，支持防护跨站请求伪造（英语：Crosssite request forgery，简称CSRF）攻击 针对发起CSRF攻击进行防护 Web安全 广告防护 位于高级防护模块下，支持解析源站响应页面代码，在body中插入广告检测js代码，实现广告防护和监测功能 针对网站出现的恶意广告（网站中出现未将网站所有者允许的广告内容）进行防护 Web安全 设置账户安全防护 从撞库、暴力破解两个攻击角度进行防护，保障用户的账户安全 针对账户安全的场景进行防护 Bot管理 Bot防护策略 通过cookie挑战、跳转挑战、人机挑战、爬虫阈值限制、爬虫陷阱等防爬策略，精准命中爬虫流量，拦截各类恶意爬虫 针对支持携带cookie的客户端请求，小程序、APP、API可能不支持 对于无法正常执行跳转的请求，可以设置跳转挑战 Bot管理 爬虫情报规则 支持针对搜索引擎IP放行、针对恶意Bot请求IP封禁，目前爬虫情报库已维护接近10万条数据 对已知搜索引擎IP放行处理，不经过Bot防护策略，提升网站SEO权重； 对已知恶意Bot请求IP拦截处理 Bot管理 IP情报规则 支持针对已维护的IP信誉库，从威胁类型维度（IDC服务器、傀儡机、漏洞利用等十几类）进行IP封禁，目前IP信誉库已维护接近120万条数据 对已知IDC IP进行封禁处理；拦截傀儡机、漏洞利用等已知恶意IP 访问控制/限流 []( 支持根据请求的URL，频率、行为等访问特征，迅速识别CC攻击并进行拦截 防护大规模CC攻击，避免源站资源耗尽，保证企业网站的正常访问 访问控制/限流 IP黑名单 支持针对指定IP以及指定地域IP进行封禁处理 封禁来自国外访问的IP 访问控制/限流 扫描防护 支持识别常见的扫描器类型，也支持自定义扫描器识别规则，做到精准拦截 拦截常见的扫描器类型，避免网站受到外部扫描 防护白名单 网站白名单 支持在访问控制中，针对特定请求设置为白名单，则不经过全局防护策略的检测 对于可信任流量可以设置为白名单，将不经过任务防护策略 防护白名单 Web规则白名单 支持针对防护规则集中的具体规则设置白名单，则指定请求不经过该规则的检测 某条域名规则出现误拦截时，可以将误拦截的请求设置为白名单 防护白名单 []( 支持针对Bot防护策略设置白名单，则指定请求将不经过Bot防护策略的检测 明确不需要经过Bot防护策略的请求，可以在Bot功能模块中设置为白名单 开启IPv6防护 开启IPv6防护 提供IPv4/IPv6双栈服务，能够解决网站“天窗”问题，并可以有效提升网站IPv6链接支持率 政策驱动，各地市对于当地企业网站的IPv6浓度有一定指标

本节介绍了容器镜像服务的产品优势。 简单易用 使用控制台对镜像操作，简单易用，支持镜像的全生命周期管理。 安全保障 支持容器镜像安全扫描，识别镜像中所有已知的漏洞信息。 开放兼容 全面支持社区Registry V2协议，支持使用CLI以及原生API方式管理镜像。 无缝集成 与云容器引擎无缝集成，构建云原生一站式解决方案。

第1章 服务概述 应用容灾服务帮助客户在天翼云建立应用容灾能力，当灾难发生时，在保证生产环境的数据尽量少丢失的情况下，保证生产系统快速恢复。 第2章 应用场景 核心应用容灾 ：财务、人力资源、客户关系管理等核心应用的容灾至关重要，通过应用容灾确保在发生灾难时快速恢复核心业务系统。 重要数据容灾 ：应用容灾可以保障业务数据、知识产权、客户信息、财务数据等重要数据不丢失，防止重要数据丢失对企业造成重大伤害。 全部业务容灾 ：全部业务容灾是对企业的全部业务系统实现容灾备份，包括企业的业务流程系统和应用程序等。 第3章 服务优势 数据可靠性高：应用容灾服务采用天翼云服务实现多重备份和容错技术，保证数据在发生灾难时不丢失或少丢失。 业务快速恢复：应用容灾服务帮助企业在发生灾难时快速恢复业务，减少损失，提高企业的抗风险能力。 安全合规：应用容灾服务可以帮助企业实现安全合规性审计，达到符合行业规范和法律法规对容灾的要求。 第4章 服务范围 应用容灾服务产品范围：天翼专有云、天翼公有云、天翼混合云的云产品，详见《服务协议》。 天翼云应用容灾服务范围包含： 业务架构分析、应用容灾、数据库容灾、容灾演练等。 天翼云应用容灾服务范围不包含： 具体的配置操作和实施。 非天翼云产品的容灾工作。

参数 是否必填 参数类型 说明 示例 下级对象 AccessControlPolicy 是 Container 配置权限策略的容器 AccessControlList，Owner AccessControlList 是 Container 包含ACL 信息的容器 Grant Owner 是 Container 包含存储桶拥有者ID 和显示名的容器 ID，DisplayName ID 是 String 存储桶拥有者的ID testuser1 DisplayName 是 String testuser1 Grant 否 Container 一个关于被授予许可的用户的容器 Grantee，Permission Grantee 有条件，如果Grant项存在，那么该项也需要存在 Container 一个关于被授予许可的用户的ID 和显示名的容器 ID，DisplayName,URI URI 否 String 授权组的URI Permission 有条件，如果Grant项存在，那么该项也需要存在 String 存储桶被授予的权限 FULLCONTROL

本文介绍了镜像共享的用户指南。 概述 镜像共享功能支持用户将自己的镜像共享给其他用户，其他用户可以查看并拉取被共享的镜像。 访问镜像共享页面 镜像共享功能在个人版和企业版实例中均可用，不同类型实例访问镜像共享页面的方式有些差别： 个人版实例: 左侧导航栏点击 "镜像共享" 企业版实例: 左侧导航栏点击 "分发交付" "镜像共享" 创建镜像共享 1. 进入容器镜像服务控制台。 2. 点击已开通的实例名称。 3. 导航至 "分发交付" "镜像共享" "共享给他人"，点击创建镜像共享。 4. 在创建页面填写共享目标用户，此处填写的是对方用于docker login的用户名。选择命名空间、镜像仓库、截止时间并填写描述，点击确定按钮， 完成创建。 5. 创建完成后，可在列表页面查看创建的镜像共享记录。 6. 操作栏的编辑按钮可以修改镜像共享记录的截止时间和描述。禁用/启用按钮可以修改镜像共享记录的启用状态。删除按钮可以删除镜像共享记录。

本文主要介绍常见问题 如何检查用户机器与PODLB的网络连通性？ 1. 执行ping安装命令中的masteraddress的IP地址，如果有如下返回，则表明网络是连通的。 2. 再执行curl kv安装命令中的masteraddress的IP地址和端口号，如果返回400错误码，表明防火墙也是开通的。 如果存在网络不通，请联系技术支持。 为什么CCE开启java探针后，APM无监控数据？ CCE开启java探针后，APM无监控数据，可能是由于用户使用的java探针版本过低、用户使用Tomcat服务启动的或者用户使用的免费版的APM。 用户在APM界面点击免费开通APM（免费版可以使用10个探针），或者升级到企业版，请用户使用最新版本的java探针，重启容器后APM界面显示正常。

态势感知（专业版）与企业主机安全HSS服务的区别。 服务含义区别 态势感知（专业版）是云原生的新一代安全运营中心，基于云原生安全，提供云上资产管理、安全态势管理、安全信息和事件管理、安全编排与自动响应等能力，可以鸟瞰整个云上安全，精简云安全配置、云防护策略的设置与维护，提前预防风险，同时，可以让威胁检测和响应更智能、更快速，帮助您实现一体化、自动化安全运营管理，满足您的安全需求。 企业主机安全（Host Security Service，HSS）是以工作负载为中心的安全产品，集成了主机 安全、容器 安全和 网页防篡改 ，旨在解决混合云、多云数据中心基础架构中服务器工作负载的独特保护要求。 简而言之，态势感知（专业版）是呈现全局 安全态势的服务，HSS是提升主机 和容器安全性的服务。 服务功能区别 态势感知（专业版）通过采集 全网安全数据 （包括HSS、WAF、AntiDDoS等安全服务检测数据），提供云上资产管理、安全态势管理、安全信息和事件管理、安全编排与自动响应等能力，帮助您实现一体化、自动化安全运营管理，满足您的安全需求。 HSS通过在主机中安装Agent，使用AI、机器学习和深度算法等技术分析主机中风险，并从HSS云端防护中心下发检测和防护任务，全方位保障主机安全。同时可从可视化控制台，管理主机Agent上报的安全信息。 态势感知（专业版）与HSS主要功能区别： 功能项 共同点 不同点 资产安全 主机资产 呈现主机资产的整体安全状态。 态势感知（专业版）：仅支持同步HSS主机资产风险信息，列表呈现各主机资产的整体安全状况。 HSS：不仅支持呈现主机的安全状况，还支持深度扫描主机中的账号、端口、进程、Web目录、软件信息和自启动任务。 资产安全 网站资产 态势感知（专业版）：支持检查和扫描网站安全状态，列表呈现各网站资产的整体安全状况。 HSS：不支持该功能。 漏洞管理 主机漏洞 呈现主机漏洞扫描结果，管理主机漏洞。 态势感知（专业版）：仅支持同步HSS主机漏洞扫描结果，管理主机漏洞。 HSS：支持检测Linux漏洞、Windows漏洞、WebCMS漏洞、应用漏洞，提供漏洞概览，包括主机漏洞检测详情、漏洞统计、漏洞类型分布、漏洞TOP5和风险服务器TOP5，帮助您实时了解主机漏洞情况。 基线检查 云服务基线 态势感知（专业版）：针对云服务关键配置项，从多种风险类别，了解云服务风险配置的所在范围和风险配置数目。 HSS：不支持该功能。 基线检查 主机基线 态势感知（专业版）：不支持该功能。 HSS：针对主机，提供基线检查功能，包括检测复杂策略、弱口令及配置详情，包括对主机配置基线通过率、主机配置风险TOP5、主机弱口令检测、主机弱口令风险TOP5的统计。

本文为您介绍如何快速创建Tomcat容器实例。 操作步骤 下面将介绍如何在ECI上快速订购Tomcat实例。 1. 通过天翼云弹性容器实例快速订购页面创建ECI实例，镜像选择 tomcat。 2. 等实例Runing后，通过详情页的远程连接进入容器中，检查8080端口。

添加公网ELB访问 在云应用引擎部署应用后，默认无法从公网访问应用。为解决上述问题，您可以为应用绑定公网ELB，实现通过一个固定的公网IP访问应用，并实现应用实例间的负载均衡。 1. 在应用访问设置区域中，选择基于ELB访问。 2. 单击添加公网ELB访问。 3. 为应用绑定公网ELB实例：您可以新建ELB实例或绑定已有ELB实例。 4. 参考以下说明，至少配置一个监听。如果您需要添加多条监听，请单击添加下一条监听 配置项 说明 示例值 HTTP协议 HTTP端口：提供公网访问应用的ELB端口，取值范围为[1,65535]。 容器端口：进程监听端口，由程序定义。 HTTP端口 ：80 容器端口 ：8080（Web服务的默认端口） HTTPS协议 HTTPS端口：提供公网访问应用的ELB端口，取值范围为[1,65535]。 SSL证书：SSL协议证书，在下拉列表中选择已创建的SSL证书。 容器端口：进程监听端口，由程序定义。 HTTPS端口 ：443 SSL证书：在下拉列表中选择已创建的SSL证书。 容器端口 ：8080（Web服务的默认端口） TCP协议 CLB端口：提供公网访问应用的ELB端口，取值范围为[1,65535]。 容器端口：进程监听端口，由程序定义。 ELB端口 ：21 容器端口 ：8080（Web服务的默认端口） UDP协议 CLB端口：提供公网访问应用的ELB端口，取值范围为[1,65535]。 容器端口：进程监听端口，由程序定义。 ELB端口 ：49152 容器端口 ：8080（Web服务的默认端口） 5. 完成配置后，单击确定。 6. 等待ELB绑定完成，在公网访问地址区域，可以查看应用的IP地址和端口。

更新日期 更新内容 20220430 第一次正式发布。 本次更新说明如下： 官网正式上线API文档，包含：域名管理、证书管理、刷新预热、统计分析、屏蔽解封、日志下载、辅助工具等类别的API。 20220831 第二次正式发布。 本次更新说明如下： 上线账单服务API，包含：查询计费账单、查询资源包、查询开通服务基本信息、域名计费值查询。 20220930 第三次正式发布。 本次更新说明如下： 上线标签管理API，包含：新增标签、查看标签、删除标签、标签关联域名。 20221031 第四次正式发布。 本次更新说明如下： 上线报表管理API，包含：新增报表订阅、更新报表订阅、查询报表订阅详情、删除报表订阅。 20221130 第五次正式发布。 本次更新说明如下： 上线边缘脚本API，包含：创建或修改预部署环境脚本、查询预部署环境的编译结果、获取预部署节点VIP、查询预部署环境的边缘脚本配置、预部署环境配置转生产、预部署环境配置回滚、删除脚本配置、查询预部署环境异常运行情况。

本文介绍镜像仓库基本概念。 镜像仓库是用于存储、管理docker容器镜像的场所，可以让使用人员轻松存储、管理、部署 docker 容器镜像。镜像仓库包括如下内容： 天翼云官方镜像：展示了天翼云平台上的公开镜像，您可以基于公开镜像创建应用； 我的镜像：展示了用户创建的所有镜像仓库。 本章节将为用户介绍容器镜像仓库的基本使用方法，说明【创建】>【上传】>【管理】的仓库使用流程，用户完成镜像上传后，即可在应用创建流程中通过选择【我的镜像】，使用用户自己上传的私有镜像部署应用。 注意事项 镜像仓库不扫描用户上传的镜像，不负责对用户上传的镜像进行安全性验证。上传的镜像中请不要包含未加密的口令，密码等隐私信息，以避免隐私泄露。用户从第三方网站下载公有镜像时，应确定数据来自于可信的仓库源，以避免下载到恶意软件； 如果使用自定义镜像，请确保镜像来源可信，不在容器镜像内安装不必要的软件，在升级时使用安全补丁升级镜像。使用第三方镜像，造成的后果（例如：环境不可用）用户需自己承担； 磁盘满将会导致无法上传镜像到仓库，将会有异常提示信息告知，但并不会影响其他服务；为防止其它业务（例如日志）把磁盘占满，导致仓库无法上传，建议对仓库的存储独立挂盘。 在使用之前，您需要了解以下基本概念： 镜像仓库： 提供docker容器镜像管理功能，用户在创建容器应用前，需要将应用所需的镜像上传到镜像仓库。docker镜像是一个模板，用于创建docker容器。docker提供了一个简单的机制来创建新的镜像或更新已有镜像。 （仓库）属性： 属性分为公有和私有两种。公有：任何租户、用户均可以下载。私有：仅当前租户或租户下的用户可用。