云服务名称 是否支持条件键 云通信短信 否 弹性文件服务 否 分布式消息服务Kafka 否 账务 是 分布式消息服务RabbitMQ 否 分布式消息服务RocketMQ 否 云硬盘 是 天翼云电脑（政企版） 是 内网DNS 否 CRM业务中台 是 分布式缓存服务Redis版 否 弹性云主机 是 弹性负载均衡 否 镜像服务 是 云监控 否 弹性伸缩服务 否 虚拟私有云 是 物理机 否 云硬盘备份 否 云主机备份 否 服务器安全卫士（原生版） 否 密钥管理 否 云间高速 否 统一身份认证 是 客服工单 是 容器云服务引擎CCSE 是 微服务应用平台MSAP 否 活动与券 是 消息管理 是 Web应用防火墙（原生版） 否 云审计 否 企业组织 是 VPC终端节点 否 NAT网关 是

本章节介绍微服务云应用平台K8s环境管理最佳实践 概述 在服务开发、服务上线前，您需要创建一个环境。一个环境可以导入云容器引擎、ECS集群、注册配置中心、云原生网关、关系数据库、分布式缓存等资源。 新增环境 1.左侧导航栏，选择环境管理，在环境列表左上方点击创建环境按钮。 2.选择资源池、VPC等信息，VPC需选择云容器引擎、注册配置中心等资源所在的VPC，否则在导入资源时会无法选到对应的资源。 3.点击保存按钮，会弹出授权微服务云应用平台创建VPCE的弹窗，VPCE为打通网络组件，需授权创建才能保证应用功能正常。 环境详情 1.左侧导航栏，选择环境管理。 2.点击环境名称，进入到环境详情页面。 3.在环境详情页面展示了VPC、可用区、应用实例数、资源数、资源列表、部署单元等信息。 资源列表 资源列表展示了已导入环境的资源信息，点击资源ID可以跳转到对于资源的详情页面，查看资源的详细信息。 未导入的资源可以点击导入按钮，将资源导入，导入资源需要与当前环境VPC一致，才可在导入列表展示。导入确定后可通过导入状态查看是否导入成功，对于导入失败的资源可以点击重试按钮进行重试。也可通过日志按钮查看导入日志，分析失败原因。 已导入资源如果已退订或是不在需要使用，可通过移除按钮进行移除。 部署单元 部署单元界面展示了可用区与部署单元的对应关系，默认情况下1个可用区下只有1个部署单元，可通过添加部署单元按钮在可用区下新增部署单元。也可通过编辑部署按钮单元删除部署单元。在发布阶段选择部署单元进行发布。在对应用进行调度时，会将应用调度到部署单元对应的可用区节点上。 环境删除 1.左侧导航栏，选择环境管理。 2.在环境列表操作栏，点击删除按钮删除环境。 3.删除环境需要输环境编码确认删除。删除环境之前需要先删除环境下的部署单元和移除导入环境的资源，否则无法删除环境。

功能类别 功能描述 模型适配前机器环境检查确认 硬件环境检查：服务器、存储、网络等硬件型号及环境检查。 软件环境检查（系统软件）：操作系统、HDK固件驱动、CANN版本、镜像等版本检查。 软件环境检查（模型训推软件）：训练推理框架、Python、运行库等版本检查。 NPU健康状态检查：NPU卡数、型号、显存容量及运行状态检查。 网络检查（功能）：网络连通性检查，设备防火墙检查。 网络检查（性能）：P2P、D2H、H2D、D2H带宽检查。 HCCL功能性能检查：单多机HCCL allreduce、allgather带宽检查。 Aicore、HBM压测：Aicore、HBM压测。 HPFS存储检查：HPFS存储空间，挂载路径检查。 镜像及容器检查：docker镜像及容器启动功能检查。 模型训练集群验证：验证集群环境下开源模型单多机训练功能性能，包括loss，TPS及MFU指标。 模型适配 适配模型GPU基准验证：待适配模型在GPU环境下的基准验证，收集loss曲线，计算MFU、TPS等模型指标，计算模型训练效果的算法性能指标（如准确率、召回率、PPL、Rouge等）。 模型NPU适配度验证评估：评估待适配模型是否有不支持算子，评估该模型训练框架、依赖库的软件版本范围和约束。 模型算子开发：待适配模型算子开发及算子优化。 模型预训练适配（预训练）。 模型微调训练适配（全量微调）。 模型微调训练适配（lora微调）。 模型在线推理适配：适配模型在线推理代码、模板开发及验证。 模型极致调优：从训练框架、数据前后处理，算子亲和性等方面提升模型的MFU、TPS、训练精度等关键指标。 训练平台侧功能支持：训练平台侧运行脚本、log日志功能支持。 模型适配交付物提供：提供模型适配的开发代码、镜像、模型及技术文档。 客户交付过程中故障排查以及技术支持 基础环境运行故障定位、问题排查及支撑解决。 训练框架运行故障定位、问题排查及支撑解决。 模型训练中断问题定位、排查及支撑解决。 模型训练精度问题及支撑解决。 模型训练效率问题及支撑解决。 模型在线推理问题及支撑解决。 训练数据处理问题及支撑解决。 平台侧训练问题及支撑解决。 模型训练性能极致调优服务支撑：模型训练效率如MFU、TPS等指标的深度分析及极致优化。 模型训练算法效果服务支撑。 模型运行版本、训练配置差异化验证服务支撑。

当函数计算运行您的函数时,会将上下文对象传递到执行方法中。该对象包含有关调用、服务、函数和执行环境等信息。 上下文接口 您可以通过ICfContext接口获取上下文相关信息，接口定义如下： 字段 说明 string RequestId 调用请求ID。 ICfFunctionParameter FunctionParam 函数相关参数信息。 ICfLogger Logger 日志对象。 string AccountId 用户的AccountId。 string Region 当前函数所在的Region。 示例：通过上下文接口获取请求ID csharp using System; using System.IO; using System.Text; using System.Text.Json; using System.Threading.Tasks; using Microsoft.Extensions.Logging; using Serverless.Cf; namespace Example { public class Hello { public async Task Handler(Stream input, ICfContext context) { var str "Hello world, requestId is: " + context.RequestId; byte[] bytetxt Encoding.UTF8.GetBytes(str); MemoryStream output new MemoryStream(); output.Write(bytetxt, 0, bytetxt.Length); return output; } static void Main(string[] args) { } } }

本小节介绍DDoS基础防护最佳实践。 DDoS基础防护产品最佳实践 为保障公网业务持续稳定运行，避免因 DDoS 攻击导致 IP 封堵、业务中断，建议您按照以下最佳实践流程，使用天翼云 DDoS 基础防护并做好安全防护规划。 1.业务平稳运行阶段 在业务上线初期，若未遭受 DDoS 攻击，或攻击流量规模低于 DDoS 基础防护阈值，IP 不会触发封堵机制，业务网络可正常对外提供服务。 2.攻击触发封堵场景 随着业务规模扩大、行业竞争加剧，若业务遭遇针对性 DDoS 攻击，且攻击流量峰值超出基础防护阈值、挤占资源池带宽并影响网络稳定时，系统将自动对该 IP 执行 DDoS 封堵，暂时阻断公网流量以保障平台整体稳定。 3.接收封堵通知 IP 被封堵后，您将通过账号联系人及安全消息配置联系人的短信、邮箱、站内信同步收到封堵通知，通知中包含受影响 IP、攻击流量峰值、封堵时长等关键信息，便于您快速掌握异常情况。 4.方案查阅 参考官方产品文档与常见问题说明，了解封堵原因及对应的防护解决方案。针对开放DDoS基础防护控制台的资源池EIP，您可登录天翼云控制台，进入 DDoS 基础防护页面，复核流量封堵情况。 5.部署高防防护与 IP 优化 根据官方防护建议，选购并配置天翼云 DDoS 高防 IP、DDoS 高防（边缘云版）或第三方合规 DDoS 高防产品；同时同步更换业务 IP，并限制仅高防 IP 可访问业务 IP，实现业务 IP 隐藏与专业 DDoS 清洗防护，从根源避免再次触发DDoS封堵，保障业务长期稳定运行。

历史变动记录 HSS提供的资产管理，主动对帐号信息、软件信息及自启动的变动情况进行记录，您可根据维度和时间进行选择查看对应的信息变动详情。 约束限制 需开启企业版、旗舰版、网页防篡改版或容器版中任一版本。 查看历史变动记录 1、登录管理控制台。 2、在页面左上角单击，选择“区域”，选择“安全>企业主机安全”，进入“企业主机安全”页面。 3、在弹窗界面单击“体验新版”，切换至主机安全服务页面。切换至新版后，在总览页左上角单击“返回旧版”，可切换至主机安全（旧版）。 4、选择“资产管理>资产指纹>历史变动记录”，进入“历史变动记录”页面，选择维度和时间段，查看帐号、软件、自启动项的历史变动记录。

生产者 是用来构建并传输数据到服务端的逻辑概念，负责把数据放入消息队列。 订阅器 用于订阅态势感知（专业版）管道消息，一个管道可由多个订阅器进行订阅，态势感知（专业版）通过订阅器进行消息分发。 消费者 是用来接收并处理数据的运行实体，负责通过订阅器把态势感知（专业版）管道中的消息进行消费并处理。 消息队列 是数据存储和传输的实际容器。 威胁检测模型 是一种被训练的AI智能识别算法模型。能针对特定威胁，自动化的完成数据汇聚、分析和报警，这种检测模式具备较好的泛化能力，防躲避能力强，可在不同业务系统中发挥同等效果，应对复杂的新型攻击。

参数 是否必选 说明 节点名称 是 节点名称，可以包含中文、英文字母、数字、“”、“”、“/”、“<”、“>”等各类特殊字符，长度为1～128个字符。 DLI队列 是 下拉选择需要使用的队列。 作业特性 否 选择自定义镜像和对应版本。仅当DLI队列为容器化队列类型时，出现本参数。自定义镜像是DLI的特性。用户可以依赖DLI提供的Spark或者Flink基础镜像，使用Dockerfile将作业运行需要的依赖（文件、jar包或者软件）打包到镜像中，生成自己的自定义镜像，然后将镜像发布到SWR（容器镜像服务）中，最后在此选择自己生成的镜像，运行作业。自定义镜像可以改变Spark作业和Flink作业的容器运行环境。用户可以将一些私有能力内置到自定义镜像中，从而增强作业的功能、性能。。 作业名称 是 填写DLI Spark作业的名称，只能包含英文字母、数字、“”，且长度为1~64个字符。默认与节点的名称一致。 作业运行资源 否 选择作业运行的资源规格： 8核32G内存 16核64G内存 32核128G内存 作业主类 是 Spark作业的主类名称。当应用程序类型为“.jar”时，主类名称不能为空。 Spark程序资源包 是 运行spark作业依赖的jars。可以输入jar包名称，也可以输入对应jar包文件的的OBS路径，格式为：obs://桶名/文件夹路径名/包名。在选择资源包之前，您需要先将Jar包及其依赖包上传至OBS桶中，并在“资源管理”页面中新建资源，具体操作请参考 资源类型 是 支持OBS路径和DLI程序包两种类型的资源。 OBS路径：作业执行时，不会上传资源包文件到DLI资源管理，文件的OBS路径会作为启动作业消息体的一部分，推荐使用该方式。 DLI程序包：作业执行前，会将资源包文件上传到 DLI资源管理。 分组设置 否 当“资源类型”选择了“DLI程序包”时，需要设置。可选择“已有分组”，“创建新分组”或“不分组”。 分组名称 否 当“资源类型”选择了“DLI程序包”时，需要设置。 选择“已有分组”：可选择已有的分组。 选择“创建新分组”：可输入自定义的组名称。 选择“不分组”：不需要选择或输入组名称。 主类入口参数 否 用户自定义参数，多个参数请以Enter键分隔。应用程序参数支持全局变量替换。例如，在“全局配置”>“全局变量”中新增全局变量key为batchnum，可以使用{{batchnum}}，在提交作业之后进行变量替换。 Spark作业运行参数 否 以“key/value”的形式设置提交Spark作业的属性，多个参数以Enter键分隔。具体参数请参见Spark Configuration。 Spark参数value支持全局变量替换。 例如，在“全局配置”>“全局变量”中新增全局变量key为customclass，可以使用"spark.sql.catalog"{{customclass}}，在提交作业之后进行变量替换。 说明 Spark作业不支持自定义设置jvm垃圾回收算法。 Module名称 否 DLI系统提供的用于执行跨源作业的依赖模块，访问各个不同的服务，选择不同的模块： CloudTable/MRS HBase: sys.datasource.hbase DDS：sys.datasource.mongo CloudTable/MRS OpenTSDB: sys.datasource.opentsdb DWS: sys.datasource.dws RDS MySQL: sys.datasource.rds RDS PostGre: sys.datasource.rds DCS: sys.datasource.redis CSS: sys.datasource.css DLI内部相关模块： sys.res.dliv2 sys.res.dli sys.datasource.dliinnertable 访问元数据 是 是否通过Spark作业访问元数据。

训推用一体 内置端到端大模型“训推用”全链路工具平台，深度融合DeepSeekR1/V3/蒸馏版系列大模型，为用户提供模型训练、推理、应用全套工具，实现大模型从训练到应用的一体化解决方案。 算力多样化 采用先进的硬件架构，集成高性能计算服务器，支持多种AI芯片，如NVIDIA、昇腾等主流品牌，为DeepSeek系列大模型提供强大的算力支持，满足不同用户对算力的多样化需求。 高效能 裸金属直接部署容器运行环境，无虚拟化开销，释放硬件最大效能，提高DeepSeek系列大模型的训练和推理效率，降低能耗和成本。 极简运维 提供7×24小时在线运维服务，一二三线运维服务全覆盖，全面监控实例、任务、资源的使用情况和调度情况，及时发现异常，降低运维难度和成本。

应用场景 云容器引擎监控体系集成集群拓扑能力，通过安装cubekindling插件可以实现集群中网络的架构感知和流量追踪。通过监控面板可以查看集群拓扑的图表。 前提条件 已创建集群，具体操作请参见 用户指南 > 集群 > 新建集群 章节。若已有集群，无需重复操作。 集群已安装ccsemonitor插件，可参考 用户指南 > 插件 章节。 集群已安装cubekindling插件，可参考 用户指南 > 插件章节 。 节点内核版本为：5.4.2241 。 监控界面查看网络拓扑 登陆CCSE控制台， 点击左侧导航栏中的集群，进入集群列表页。 在集群列表中点击需要接入监控的集群，进入集群管理页面。 选择 运维管理 > 监控 > 网络监控 > Topology 查看集群拓扑面板，通过namespace、workload对命名空间、工作负载进行筛选。

本文介绍如何管理白名单，包括新增、修改白名单等操作。 新增白名单 1. 登录容器安全卫士控制台。 2. 在左侧导航栏，选择“镜像安全 > 镜像管理”，进入镜像管理页面。 3. 单击镜像管理页面右上角的“白名单管理”，进入白名单管理页面。 4. 单击列表右上角的“新增白名单”，可以新增白名单。 5. 新增完成，可以在列表中看到刚才新增的白名单。 白名单列表上方支持按照“白名单名称”、“内容”模糊搜索，按照“类型”定向筛选查询。 编辑白名单 单击操作列的“编辑”，即可查看或移除已添加到白名单中的镜像、漏洞、文件、软件、环境变量信息。 删除白名单 若不需要白名单时，可以单击操作列的“删除”，删除白名单。 注意 删除白名单后不支持恢复，请谨慎操作。

本章节主要介绍通过X509证书连接集群。 操作场景 通过控制台获取集群证书，使用该证书可以访问Kubernetes集群。 操作步骤 步骤 1 登录CCE控制台，单击集群名称进入集群。 步骤 2 在左侧导航栏中选择“集群信息”，在右边“连接信息”下证书认证一栏，单击“下载”。 步骤 3 在弹出的“证书获取”窗口中，根据系统提示选择证书的过期时间并下载集群X509证书。 注意 下载的证书包含client.key、client.crt、ca.crt三个文件，请妥善保管您的证书，不要泄露。 集群中容器之间互访不需要证书。 步骤 4 使用集群证书调用Kubernetes原生API。 例如使用curl命令调用接口查看Pod信息，如下所示，其中192.168.0.18:5443为集群API Server地址。 curl cert ./client.crt key ./client.key 更多集群接口请参见Kubernetes API。

本文介绍强制跳转的场景及配置方法。 功能介绍 通过配置强制跳转功能，将客户端到边缘节点的原请求方式强制重定向为HTTP或者HTTPS请求。天翼云CDN支持配置HTTP和HTTPS强制跳转，适用场景： 已经配置HTTPS证书的加速域名，可配置强制跳转，通过301或302重定向方式，将客户端到CDN节点的HTTP请求强制跳转为HTTPS请求，HTTPS请求更安全。 对于安全性要求不高的业务应用，对应的加速域名可配置强制跳转，通过301或302重定向方式，将客户端到CDN节点的HTTPS请求强制跳转为HTTP请求。 配置说明 1. 登录CDN控制台。 2. 单击左侧导航栏【域名管理】【域名列表】。 3. 在【域名列表】页面，找到目标域名，单击【操作】列的【编辑】。 4. 单击右侧【HTTPS配置】。 5. 在【强制跳转】模块，开启功能。 6. 【跳转类型】选择目标跳转场景，如“Http>Https”、“Https>Http”。 7. 选择合适的【跳转方式】，如302跳转或301跳转。 8. 单击【保存】，完成配置。 参数名 说明 强制跳转 默认为关闭，即不开启强制跳转功能。 跳转类型 Http>Https：将客户端到CDN节点的Http请求强制重定向为方式Https。 Https>Http：将客户端到CDN节点的Https请求强制重定向为方式Http。 跳转方式 跳转状态码，支持302/301状态码。

本文介绍强制跳转的场景及配置方法。 功能介绍 通过配置强制跳转功能，将客户端到边缘节点的原请求方式强制重定向为HTTP或者HTTPS请求。天翼云全站加速支持配置HTTP和HTTPS强制跳转，适用场景： 已经配置了HTTPS证书的加速域名，可配置强制跳转，通过301或302重定向方式，将客户端到全站加速节点的HTTP请求强制跳转为HTTPS请求，HTTPS请求更安全。 对于安全性要求不高的业务应用，对应的加速域名可配置强制跳转，通过301或302重定向方式，将客户端到全站加速节点的HTTPS请求强制跳转为HTTP请求。 配置说明 1. 登录客户控制台。 2. 单击左侧导航栏【域名管理】【域名列表】。 3. 在【域名列表】页面，找到目标域名，单击【操作】列的【编辑】 4. 单击右侧【HTTPS配置】。 5. 开启【强制跳转】功能。 6. 【跳转类型】选择目标跳转场景，如“Http>Https”、“Https>Http”。 7. 选择合适的【跳转方式】，如302跳转或301跳转。 8. 配置完毕单击【保存】。 参数名 说明 强制跳转 默认为关闭，即不开启强制跳转功能。 跳转类型 Http>Https：将客户端到全站加速节点的Http请求强制重定向为方式Https。 Https>Http：将客户端到全站加速节点的Https请求强制重定向为方式Http。 跳转方式 跳转状态码，支持302/301状态码。

插件简介 Everest是一个云原生容器存储系统，基于CSI为Kubernetes v1.15.6及以上版本集群对接云硬盘服务、对象存储服务、弹性文件服务 SFS、极速文件存储 SFS Turbo等存储服务的能力。 该插件为系统资源插件，kubernetes 1.15 及以上版本的集群在创建时默认安装。 说明： v1.13.11r1升级到v1.15.11r1集群后，原本v1.13的Flexvolume Fuxi容器存储由v1.15的Everest接管（插件版本v1.1.6及以上），原有功能保持不变。 Everest插件在1.2.0 版本 优化了使用对象存储时的秘钥认证功能，请在Everest插件升级完成后（从低于1.2.0的版本升级到1.2.0及以上版本），重启集群中使用对象存储的全部工作负载，否则工作负载使用对象存储能力将受影响。 约束与限制 仅支持v1.15 及以上版本的CCE集群安装本插件。 v1.13及以下版本集群创建时默认必装storagedriver（系统资源插件，必装）插件。 安装插件 本插件为系统默认安装，若因特殊情况卸载后，可参照如下步骤重新安装。 步骤 1 在CCE控制台中，单击左侧导航栏的“插件管理”，在“插件市场”页签下，单击“everest”插件下的“安装插件”。 步骤 2 在安装插件页面，选择安装的集群和插件版本，单击“下一步：规格配置”。 步骤 3 该插件可配置“单实例”或“高可用”规格，选择后单击“安装”。 待插件安装完成后，单击“返回”，在“插件实例”页签下，选择对应的集群，可查看到运行中的实例，这表明该插件已在当前集群的各节点中安装。 升级插件 步骤 1 登录CCE控制台，在左侧导航栏中选择“插件管理”，在“插件实例”页签下，选择对应的集群，单击“everest”下的“ 升级”。 说明： 如果升级按钮处于冻结状态，则说明当前插件版本是最新的版本，不需要进行升级操作。 升级everest插件时，会替换原先节点上的旧版本的everest插件，安装最新版本的everest插件以实现功能的快速升级。 步骤 2 在基本信息页面选择插件版本，单击“下一步”。 步骤 3 该插件可配置“单实例”或“高可用”规格，选择后单击“升级”即可升级“everest”插件。 卸载插件 步骤 1 在CCE控制台中，单击左侧导航栏的“插件管理”，在“插件实例”页签下，选择对应的集群，单击“everest”下的“卸载”。 步骤 2 在弹出的窗口中，单击“是”，可卸载该插件。

Tomcat配置参数名称 Tomcat配置参数含义 应用端口 端口范围为1024~65535，小于1024的端口需要Root权限才能操作。 因为容器配置的是Admin权限，所以请填写大于1024的端口。如果不配置，则默认为18080。 Tomcat Context 选择应用的访问路径。 程序包名字 ：无需填写自定义路径，应用的访问路径是JAR包或WAR包名称。 根目录 ：无需填写自定义路径，应用的访问路径是/。 自定义 ：需要在下面的自定义路径中填写自定义的路径。 最大线程数 配置连接池的连接数大小，对应参数为maxThreads，默认大小是400。 Tomcat编码 Tomcat的编码格式，包括UTF8、ISO88591、GBK和GB2312。如果不设置则默认为ISO88591。

添加服务到网关 进入云原生网关控制台，选择目标实例，进入服务来源菜单，将容器集群添加为服务来源； 再进入服务管理菜单，选择 创建服务，选择服务所在的命名空间，选择刚才部署的reviewsv1和reviewsv2服务，添加为网关服务。 创建路由 进入路由配置菜单，选择创建路由。 基于请求特征访问灰度版本 在请求头部匹配规则处可以添加规则EndUser头部为jason时访问reviewsv2版本，这样在请求带上EndUser: jason头部时将访问到v2版本。 基于比例做灰度流量控制 创建路由时选择多服务路由，选择路由目标为reviewsv1和reviewsv2，并配置流量比例，这样在请求时会按照指定的比例访问到对应版本的服务。

参数 参数说明 服务名称 设置访问服务的名称。 访问方式 设置访问服务的方式，支持： 集群内访问：提供支持TCP/UDP协议的被同一集群内其他服务访问的入口。 VPC内网访问：提供支持TCP/UDP协议的可被同一VPC下的其他服务访问的入口。 公网访问：提供支持TCP/UDP协议的Internet访问入口，包含弹性IP方式。 VPC内网负载均衡 “访问方式”选择“VPC内网访问”时有效。 访问类型 “访问方式”选择“VPC内网访问”且开启“VPC内网负载均衡”后有效。 “访问方式”选择“公网访问”后有效。 服务亲和 “访问方式”选择“VPC内网访问”或者“公网访问”后有效。 端口映射 设置访问服务的“协议”、“容器端口”、“访问端口”。

卷模式为Block storageClassName: "csistorageclasslocalstatefulblockstor1lun11" resources: requests: storage: 101Gi 应用配置文件 以csiappstatefullocalstor1lun10.yaml为例。 plaintext [root@server statefulset] kubectl apply f csiappstatefullocalstor1lun10.yaml service/csiappstatefullocalstor1lun10 created statefulset.apps/csiappstatefullocalstor1lun10 created 验证已经创建的StatefulSet 以csiappstatefullocalstor1lun10为例。 说明 如果命名空间非default，需要使用命令kubectl get statefulset n namespace grep statefluname查询。 plaintext [root@server statefulset] kubectl get statefulset grep csiappstatefullocalstor1lun10 csiappstatefullocalstor1lun10 2/2 28m 可以看到容器中已经挂载了路径/test10。 plaintext [root@server ~] kubectl exec it csiappstatefullocalstor1lun100 /bin/sh / ls bin dev etc home lib lib64 proc root sys test10 tmp usr var

本文介绍缓存配置概述及相关功能等。 什么是缓存？ 全站加速产品支持动静混合的业务加速，其中静态业务的加速主要依靠缓存技术来实现。通常，我们会采用多级缓存的架构，以提升缓存命中率。当您使用全站加速产品时，如您的源站业务包含静态资源，请在控制台上进行缓存配置。配置完成后，当首个用户访问源站的静态资源时，全站加速将从源站获取该静态资源响应给用户，并将该静态资源缓存到距离用户最近的边缘节点上，当其他用户访问该静态资源时，可直接从缓存节点上获取，无需再回源获取；同时，当边缘节点上未缓存用户请求的静态资源时，还可以向其上一级节点请求，如上一级节点有缓存该资源，将由上级节点返回缓存的资源，也无需再回源获取。通过这种多级缓存的架构，可有效提高资源访问效率。 缓存配置概述 缓存配置模块主要介绍如何配置缓存过期时间、状态码过期时间、HTTP响应头、错误页面自定义、自定义重定向、缓存key设置、跨域资源共享等功能。 相关功能 功能 说明 缓存过期时间 缓存过期时间指源站资源在全站加速节点缓存的最大时长，超过该时长，资源将会被全站加速节点标记为已过期。如果客户端请求的资源在全站加速节点上已过期，全站加速节点会回源获取最新资源缓存到全站加速节点上，供其他请求使用。全站加速产品支持按后缀名、目录、首页、全部文件、全路径文件类型进行缓存。您可以根据业务需求，按指定路径或文件名后缀配置静态资源的缓存过期时间。 状态码过期时间 当全站加速节点从源站获取资源时，源站会返回响应状态码，您可在客户控制台上配置状态码过期时间，全站加速节点会将源站返回的状态码缓存在本地，在状态码过期前，客户端若再次向全站加速节点发起相同资源的请求，全站加速节点将直接响应缓存的状态码，不会回源请求，可有效减轻源站服务器的压力。当状态码在全站加速节点上的缓存时间过期后，客户端再次请求该资源将回源请求。 状态码过期时间（源站优先） 当客户希望在源站响应特殊状态码并携带相关缓存头的情况下，特殊状态码缓存规则按照源站相关缓存头生效，无相关缓存头时才按CDN设置的过期时间生效，则可以配置状态码过期时间（源站优先）功能。 缓存key设置 缓存key是一个文件缓存在全站加速节点上时的唯一标识，缓存文件和缓存key是一对一的关系。通常默认情况下，缓存key为客户端请求的原始URL（带参数）。通过缓存key设置，可以将原始URL形式不同但实际指向同一个文件的请求，缓存为同一份，从而提升缓存命中率，降低回源量。 跨域资源共享 跨域资源共享（CrossOrigin Resource Sharing，简写为CORS）简称跨域访问，是HTML5提供的标准跨域解决方案，允许Web应用服务器进行跨域访问控制，实现跨域数据的安全传输。当客户的业务需要跨域共享或者访问资源时，客户可以通过自定义HTTP响应头来实现。

本章节介绍云原生网关CGW子产品相关名词解释 域名 一串用点分隔的字符，作为互联网中某个实体的名称；在云原生网关中可以根据请求中的域名信息进行路由匹配，域名还可以关联证书，实现TLS加密访问。 服务来源 网关转发请求到的服务的来源，当前支持天翼云容器引擎和天翼云注册配置中心（Nacos引擎）作为服务来源。 服务 网关路由转发到后端的服务，可以是部署在K8s或者注册到Nacos的服务，也可以是固定地址。 路由规则 一个路由规则可以基于配置匹配路径、header等参数，讲请求转发到指定的后端服务；同时可以配置header、限流等策略。 认证鉴权 网关需要对请求的身份进行校验，当前云原生网关支持jwt、oidc及通过扩展插件的方式实现对请求的身份认证和鉴权。

基础探针专为特定环境设计并提供核心功能，是接入项目的核心。因此，Prometheus监控服务在执行数据接入时会自动部署所需的基础探针。如需进行额外管理操作，请使用基础探针管理功能。 基础探针类型 目前仅提供Prometheus探针： 探针类型 说明 Prometheus探针 提供基础的指标采集能力。目前大多数接入项均依赖该Prometheus探针，支持容器、和云服务两种环境类型。 探针管理 1. 登录应用性能监控APM控制台，点击左侧菜单栏Prometheus监控。 2. 在Prometheus监控菜单下，单击接入管理。 3. 在已接入环境页签下，点击目标环境名称进入环境详情页面。 4. 在环境详情页面，点击上方的探针设置页签，进入基础探针管理页面。即可查看当前的探针信息。 5. 可对所选探针进行卸载操作。

问题描述 随着产品的不断发展，CCE标准输出日志默认采集到应用运维管理（AOM）已不推荐使用，但为了兼容老用户使用习惯，该默认配置未修改。如果该默认配置不符合您的使用要求，须在云日志服务（LTS）控制台进行关闭。推荐您将CCE标准输出日志直接采集到云日志服务（LTS），由LTS对日志进行统一管理。 说明 关闭CCE标准输出到AOM后，您在云日志服务（LTS）中配置的CCE标准输出采集到LTS才会生效。 解决办法 步骤 1 在云日志服务（LTS）控制台，单击左侧导航栏“主机管理”。 步骤 2 选择“主机”页签，单击“CCE集群”。 步骤 3 在CCE集群中，选择您需要关闭标准输出到AOM的CCE集群，关闭采集容器标准输出到AOM按钮。 步骤 4 单击“确定”，待ICAgent重启完成后，已关闭CCE标准输出到AOM。

本文主要介绍概述 概述 APM Agent会周期性采集一些性能指标数据，用来衡量应用的总体健康状况。可以采集JVM、GC、服务调用、异常、外部调用、数据库访问以及其他中间件的指标调用等数据，帮助用户全面掌握应用的运行情况。 APM对指标数据的采集有严格的定义，每一种采集的数据类型对应一个采集器，比如采集java应用的JVM数据，那么对应有JVM采集器，一个采集器会采集多个指标集的数据。 采集器被部署到环境后形成监控项，在数据采集的时候监控项决定了采集的数据结构和采集行为。 采集周期：监控项具有数据采集器的周期属性。当前数据采集周期为一分钟，不支持用户调整。 监控项状态：默认为enable状态，用户可以将监控项设置为disable状态，这样Agent就不会拦截该指标数据，也不会上报数据。 采集状态：采集实例和监控项会有一个采集状态信息。如果出现采集错误，可以通过采集状态查看。常见错误是主键太多，导致客户端数据汇聚异常。 监控项类型 Agent会自动发现系统采集的插件类型，并且将采集器实例化，形成监控项。监控项是实例化在一个环境上的。 由于采集器种类较多，会导致用户区分困难。系统后台会定义一些类型，每种采集器都会归到一种类型下，这样方便用户查看数据。 根据采集器的作用可以将监控项分为以下几种类型： 接口调用：是指外部服务调用当前应用的监控类型。 基础监控：是用来监控系统性能的基础监控指标的监控类型。 异常：用来监控应用的异常信息。 外部调用：是指当前应用调用外部服务的监控类型。 数据库：是对数据库的访问进行监控。 缓存：是对Redis等缓存系统的监控，会采集指令级别的细粒度的指标数据。 web容器：是对tomcat等web容器的监控，一般会采集系统总的处理线程数，busy线程数，连接数等；用于衡量系统总的容量。 消息队列：是对kafka、RabbitMq等消息系统的监控，包含发送端和接收端的监控。在接收端的处理函数，可以产生调用链信息。 通信协议：是对websocket等通信协议的监控。

模块 特性名称 详细说明 直播推流 场景 支持主播/客户采用推流工具将直播流推至视频直播边缘节点。 直播推流 协议 支持RTMP和RTMPS。 直播拉流 场景 支持用户通过播放器从视频直播边缘节点进行拉流播放直播流。 直播拉流 协议 支持RTMP、FLV和HLS。 协议转换 场景 支持将推流或回源协议通过视频直播产品转换成多种直播协议。 协议转换 协议 支持将RTMP、RTMPS、FLV协议转换成FLV、RTMP和HLS协议。 访问控制 Referer防盗链 基于HTTP请求头中Referer字段来设置访问控制规则，实现对访客的身份识别和过滤，防止资源被非法盗用。 访问控制 IP黑/白名单 通过识别客户端IP来过滤用户请求，拦截特定IP的访问或者允许特定IP的访问，可以用来解决恶意IP盗刷、攻击等问题。 访问控制 UA防盗链 通过识别HTTP请求头中的UA字段，可以识别特定终端，从而限制用户行为，拦截或允许某一类用户的访问，实现防盗链、防盗刷、防攻击的目的。 访问控制 URL鉴权 通过对访问URL中的加密串及时间戳进行校验，从而有效地保护用户站点资源。 访问控制 远程鉴权 将请求转发回提前设定的鉴权源站，视频直播节点依据源站返回的鉴权结果应答用户请求，从而实现用户鉴权规则由源站全权定义。 访问控制 HTTPS HTTPS是HTTP的安全版，通过开启HTTPS协议，将实现客户端和天翼云直播加速节点之间请求的HTTPS加密。 访问控制 批量域名IP封禁 支持一次对多个域名批量进行IP黑名单配置。 媒体处理 直播转码 为适配不同用户终端或者不同网络环境，视频直播支持输出不同码率、帧率、分辨率等直播流，同时支持对原始流增加水印。 媒体处理 直播录制 支持将直播流录制为点播文件并存储在媒体存储中，实现直播转点播文件，便于客户进行二次传播。 媒体处理 直播时移 支持体育赛事/游戏赛事等直播场景下，通过时移回看精彩瞬间。 媒体处理 直播截图 支持对直播流进行截图，并将图片保存在媒体存储中。 流管理 禁推 当客户监控发现某主播推送非法内容，可通过禁推功能实时中止并封禁该直播，封禁时长支持自定义。 流管理 解禁 支持对封禁中的流进行解禁。 流管理 断流 支持通过自助操作断开正在推的直播流，但主播如果用相同流名再次推流时可以推流成功。 直播控制台 概览 展示今日或本月的流量/带宽、近七天流量/带宽趋势、证书统计、域名统计、信息中心。 直播控制台 域名管理 支持添加域名，并对域名进行编辑、停用、启用或删除等操作。 如果有开通全球（不含中国内地），支持变更加速区域。 支持HTTPS相关功能配置。 支持IP黑白名单、Referer防盗链和URL鉴权功能自助配置。 支持HLS切片配置。 直播控制台 证书管理 支持新增证书、查看证书、删除证书和替换过期证书等操作。 直播控制台 功能配置 支持自助创建转码、录制、截图和回调模板，并支持将模板绑定到域名上。 直播控制台 流管理 支持查询在线推流和历史推流。 支持禁推、解禁和断流自助操作。 直播控制台 统计分析 支持客户对日常关注的带宽流量、回源、请求数、状态码、地区运营商、在线人数等维度进行自定义查询，实时感知业务运营状态。 支持查看热门URL、域名排行、热门Referer、TOP客户端IP。 支持对转码、录制和截图使用量进行查询。 支持查看流粒度带宽、以及推流域名的平均码率和帧率。 直播控制台 日志下载 支持下载直播加速域名的访问日志。 直播控制台 计费详情 支持自助更新计费方式、查询资源包使用详情、查看历史记录和账单等相关信息。 直播控制台 地址生成器 支持自定义流名和发布点并生成URL示例；如果有配置URL鉴权，还可以生成鉴权URL示例。

本文主要介绍使用零信任和终端管理时发现异常行为的终端处置记录功能。 背景说明 处置记录展示企业配置的零信任策略规则和终端管理合规检测的实时处置记录，以便于企业对异常登录、访问等行为的观察和处置。 操作步骤 1. 登录边缘安全加速控制台，进入对应服务； 2. 在左侧导航栏，选择日志>策略处置记录，可查看处置事件或进行取消处置操作； 3. 可根据业务需求进行相关操作。 功能说明 处置记录事件数据集来源于AOne零信任>安全>动态授权、AOne终端管理>安全>终端安全>合规检测。 将统计整体处置概览情况，包括处置动作分布情况，命中策略和处置对象统计。 字段 说明 备注 监控（观察） 若触发策略，则记录处置记录，并将该用户的内网访问行为记录到威胁防护日志 挑战认证 若触发策略，则不允许访问内网，触发挑战认证弹窗，用户需短信验证码校验通过后才允许继续访问内网，并将该用户的内网访问行为记录到威胁防护日志 访问阻断 若触发策略，处置周期内不允许访问内网，直到恢复处置时，才允许继续访问，在恢复处置前，将该用户的内网访问行为记录到威胁防护日志 注销登录 若触发策略，将对已经登录客户端用户进行注销登录，登出处理，用户再次登录后，待不再匹配到策略才会放行登录，否则会再次注销登录处理 处置中记录：根据企业在在不同模块配置的策略，若检测到匹配策略的行为，则触发处置动作，并在处置中记录该事件。 对于支持周期性检测，能够自动恢复处置的策略，若用户在新的检测周期已经不再匹配到规则，则该处置中记录将移动到已恢复记录。

本文介绍回源超时时间功能及其配置说明。 功能介绍 回源超时时间包括回源连接超时时间跟回源请求超时时间： 回源连接超时时间指回源节点与源站服务器建立连接的超时时间。 回源请求超时时间指回源节点与源站服务器建连成功后，向源站服务器发送请求的超时时间。 回源HTTP超时时间设置的长短要综合考虑网络链路情况、源站处理能力、连接问题等诸多因素。如您将回源响应超时时间设置的过长，可能会出现在源站处理能力达到上限，无法正常响应的情况下，失败的请求仍然长时间占用连接数，导致正常请求无法访问。建议您合理配置回源请求超时时间，以保证请求均能正常回源。 配置说明 1.登录边缘安全加速平台控制台。 2.进入安全与加速工作台域名基础配置页面，点击目标域名。 3.进入基础配置页面，单击“编辑配置”。 4.点击开启“回源超时时间设置”即可进行回源相关超时时间配置。 参数 说明 回源连接超时时间 指回源节点与源站服务器建立连接的超时时间。如果回源节点在指定的超时时间内未能与源站服务器建立连接，则会触发节点重试，重试失败后将与源站终止连接并返回502。默认回源连接超时时间为5s，最大值为300s。 回源请求超时时间 指回源节点与源站服务器建连成功后，向源站服务器发送请求的超时时间。如果在指定的超时时间内未接收到源站服务器响应的首包，则会触发节点重试，重试失败后将与源站终止连接并返回502。默认回源请求超时时间为15s。

本文介绍如何使用告警自助功能。 功能背景 AOne告警自助功能让企业自主地、灵活地配置对核心系统指标的实时监控，直观掌握连接器与应用的健康状况，自定义敏感的告警阈值，精准通知到相关负责人，实现秒级感知异常，最终驱动团队快速响应与处置，有效保障业务的高可用性和稳定性。 操作步骤 1.登录边缘安全加速平台控制台。 2.在左侧导航栏AOne零信任设置告警设置，查看相应的配置和管理。 3.可根据业务需求进行相关配置。 功能说明 说明 配置完告警后，除已配置的联系方式会接收到告警外，您可从控制台待办事项查看对应的通知。 连接器异常 字段 说明 备注 事件类型 支持多种事件类型：连接器隧道状态异常、连接器中心连通异常、连接器CPU使用率异常、连接器内存使用率异常。 告警阈值 可根据不同事件类型，设置对应的告警阈值。 接收告警时间 仅在接收时间内进行告警，若告警发生时，不在接收时间，告警可能会遗漏通知。 告警开关 默认关闭，请对有需要关注的告警事件类型进行开启。开启后，请配置告警通知人等信息。关闭时则不会进行告警通知和监控。 告警方式 可选短信或者邮箱进行告警，通过短信告警的方式，当前暂不占用您企业零信任短信额度数量，若后续涉及短信额度抵扣，将进行通知。 一个事件类型，最多支持设置5个手机号和5个邮箱地址作为告警通知联系方式。 可选择系统内通知人以及自定义系统外通知人。若选择系统内通知人后，只保存当下该通知人的联系方式，若该系统内通知人联系方式变更，请重新编辑修改。

本节介绍了如何进行域名归属权校验。域名归属权校验是将域名接入DDoS高防（边缘云版）的必要操作。在控制台进行域名基本配置之后，会弹出域名归属权校验框，需根据其中返回内容完成以下步骤。 客户可根据如下方法一、方法二，任意选择一种方式进行操作验证即可。 方法一：DNS解析验证 示例为ctcdn.cn的解析配置 1. 客户需在自己的域名解析服务商，添加天翼云控制台返回的TXT记录值（如下记录值仅为示例）。 记录类型 主机记录 记录值 TXT dnsverify 202207060000002jar4fb2hc79iwjq5cdid87t7rci1sgp33exuyvez4kwonobxt 2. 域名解析操作完成后，等待（建议10分钟）DNS解析生效后即可进行解析验证。 解析命令：dig dnsverify.ctcdn.cn txt 3. 如解析出来的txt值和天翼云控制台返回的TXT记录值一致，则表示配置正确。确认配置正确后，可前往天翼云控制台，在新增域名界面点击验证，验证通过就可以正常操作新增域名。 方法二：文件验证 示例为ctcdn.cn的解析配置 1. 在您的源站根目录下，创建文件名为：dnsverify.txt的文件，文件内容为天翼云控制台返回的TXT记录值（如下记录值仅为示例）。 2. 文件在源站根目录下创建完成后，即可进行访问验证（示例为访问 ）。 windows验证： linux验证： 3. 如访问展示的文件内容和天翼云控制台返回的TXT记录值一致，则表示配置正确。确认配置正确后，可前往天翼云控制台，在新增域名界面点击验证，验证通过就可以正常操作新增域名。

本文介绍Web应用防火墙（边缘云版）在CC攻击常见场景推荐的防护策略和配置。 CC攻击是一种恶意网络攻击，旨在通过向目标服务器发送大量的请求，超过其处理能力，从而使其无法正常工作或服务受到严重影响。以下是一些常见的CC攻击场景及WAF在不同场景下提供的具体防护策略和配置。 场景1：高频海量的虚假请求耗尽服务器资源 攻击者利用大量的虚假请求，不断向目标网站发送超过正常用户请求频率的请求，导致目标网站无法正常服务，这个最常见的一种CC攻击场景。您可以关注您的网站请求数趋势，如果请求QPS在某一时刻突然异常突增很多(比正常业务QPS突增超过10倍)，就很有可能是受到了CC攻击。 针对超过正常请求频率的攻击，最直接有效的防护方式就是配置频率控制，通过限制指定URL的访问频率，拦截超过网站正常业务请求频率的攻击。如：配置登录接口的单IP访问频率达到每分钟50次时则进行拦截，具体配置操作请参考：设置客户端IP访问域名首页次数限制。 除此之外，您还可以通过开启CC防护功能对CC攻击进行防护，设置URL达到指定阈值后则进行挑战，通过CC防护策略来校验请求是否来自于真实浏览器（注意：该功能不适用于不能执行JS的环境，如API、Native App、Websocket等） 配置示例：以下配置在阈值请求达到每5秒5000次时，则会开启CC攻击防护。更多CC防护配置请参考：设置CC防护配置。

本节为您介绍云迁移服务CMS服务韧性相关内容。 CMS架构设计采用多组件服务保障及分层架构提供高可用服务。 CMS服务负载使用容器化部署，可灵活调整pod数快速扩缩容；工作负载进行pod级容灾，在部分pod损坏情况下保持服务正常运行。 CMS数据库使用天翼云RDS一主两备架构，在主服务器宕机或损坏时，切换备节点保证迁移信息不丢失。 CMS缓存使用天翼云缓存服务Redis三主三从架构对迁移任务的管理数据进行缓存交互与读写，应对迁移任务压力峰值波动。 CMS支持断点续传，在迁移过程中出现断网或者迁移出错等故障，故障修复后可支持在之前的进度上继续迁移、同步。

概念 说明 金丝雀升级 通过先运行一个金丝雀部署的新控制平面来完成 Istio 的升级，从而允许您在将所有流量迁移到新版本之前以一小部分工作负载监视升级的效果。金丝雀升级过程中支持回退。 控制平面 控制平面（Control Plane）是一组系统服务，这些服务配置网格或者网格的子网来管理工作负载实例之间的通信。 单个网格中控制平面的所有实例共享相同的配置资源。 数据平面 数据平面（Data Plane）当前常见的Sidecar模式， 通常是与主应用程序一起运行以提供附加功能的容器。 在 Istio 中，它同时运行一个Envoy代理 Pod，可以进行流量治理，安全策略管理，可观测上报等，无需对业务进行侵入性修改。