本文主要介绍事件总线EventBridge提供的开源CloudEvents SDK示例，以简化您的开发工作。 前提条件 若想使用开源CloudEvents SDK示例，需提前准备以下信息： 天翼云账号的aksk，确保该账号已授权事件总线的发布权限，详见主子账号和IAM权限管理。 需要发送事件的对应自定义事件总线，可在事件总线EventBridge管理控制台中查看事件总线列表。 发送SDK的接入点地址，可在事件总线EventBridge管理控制台中点击对应事件总线，进入概览页，在接入点一栏中得到。 确认事件格式。详见事件概述，若事件格式不符合CloudEvents 1.0协议，会导致事件发送失败。 若使用内网域名接入，请确保内网域名已添加访问端点，详见创建私网访问端点。 发送事件 使用CloudEvents SDK发送事件，请参见各语言版本的SDK示例。

参数 描述 源库类型 选择ECS自建库。 VPC 源数据库实例所在的虚拟专用网络，可以对不同业务进行网络隔离。您需要创建或选择所需的虚拟私有云。 子网 通过子网提供与其他网络隔离的、可以独享的网络资源，以提高网络安全。子网在可用分区内才会有效，创建源数据库实例的子网需要开启DHCP功能，在创建过程中也不能关闭已选子网的DHCP功能。 IP地址或域名 源数据库的IP地址或域名。 端口 源数据库服务端口，可输入范围为1~65535间的整数。 数据库用户名 源数据库的用户名。 数据库密码 源数据库的用户名所对应的密码。 SSL安全连接 通过该功能，用户可以选择是否开启对迁移链路的加密。如果开启该功能，需要用户上传SSL CA根证书。 说明 最大支持上传500KB的证书文件。 如果不使用SSL证书，请自行承担数据安全风险。

新增备案流程 首次备案的完整流程及流程简图如下图所示： 流程简图 1 创建备案订单 通过备案类型的自动匹配，创建订单任务后，点击“ ”进入新增备案（首次备案）流程。 2 填写主办单位信息 填写主办单位信息，请按照页面提示，完善您本次备案的主办单位信息和单位负责人信息。标注号项为必填项。当主办单位是个人时，主办单位信息、主体负责人与网站负责人必须保持一致。单位名称与证件住所必须录入与所提供的证件完全一致的信息（包括字母的大小写，标点符号的中英文切换等。） 因之前创建备案订单时已经填写了主办单位所在地、单位性质、单位证件类型和证件号码，所以在填写主办单位信息时，这四项系统会自动携带显示。 所有必填项信息填写完毕后，点击“保存”或“下一步，填写网站信息”按钮保存所填写的主体信息。 3 填写网站信息 填写您本次备案的网站信息和接入信息，域名录入请录入一级域名或单个专线IP地址，不支持二级域名的录入（.gov.cn后缀的域名允许二级域名备案）。每条网站仅支持填报一个域名，如果有多个域名，请通过“继续新增网站”按钮逐个添加。 填写网站信息，按照页面提示内容进行内容填写。如您本次备案的网站涉及新闻、医药、论坛、广播电视等请准备好相关部门的审批文件并上传至“前置审批文件”处。网站负责人可以与单位主体负责人相同，也可以使用新的负责人信息（个人性质主体，负责人必须为同一人）。 接入信息填写，可使用自有账号下的接入信息，亦可使用他人接入服务号进行ip填报。 信息录入完毕后，点击“保存”按钮，保存当前添加的网站信息。 如果本次备案欲同时备案多个网站，请通过点击“ ”来继续新增网站信息。 网站添加完毕后，点击“下一步，上传备案材料”，转至下一步继续操作。 4 资料上传 系统支持通过小程序采集上传和本地图片上传两种方式。 材料上传只支持jpg、png格式的图片，请勿上传其他格式的图片。系统限定每个图片类型最多上传3张图片，如位置不够可以传至其他空白位置。 5 本地上传图片 用户需要按照页面指引，上传各类证件彩色图片。 6 APP电子化方式上传图片 通过微信小程序扫描二维码后，在小程序端按照系统所提示采集需要图片，完成图片采集完成后会自动生成18位验证码，需将验证码填报至上图指定位置后，点击“确定”按钮，系统会自动将图片对应到合适位置。 预览填写的信息，并准确核对所填写的信息，并对有需更正的地方返回上一步修改。 信息预览无误后，点击“提交预审核”，备案信息将提交至管理员进行审核。 7 天翼云/管局审核 提交预审核，天翼云备案专员将会尽快审核您的信息是否符合备案要求。审核符合要求的，天翼云会尽快代您将备案信息提交至管局进行备案终审，提交管局后，请主体和网站负责人收到验证短信后，在24小时内按照短信指引完成，否则会被管局退单。 管理员将根据真实性验信息和图片信息情况填写审核意见，如所备案信息和证件等信息无误，审核通过并提交管局；反之，审核拒绝，退回备案信息给备案发起人进行修改，或退回至待核验环节或待预审核环节由相关人员处理。 信息提交管局后，请耐心等待管局的审核，管局审核拒绝或接口自动退回后，会在订单中获得退回的意见，管理员或用户需根据退回意见进行修改后重新进行备案流程。 备案通过后，管局会给主办单位负责人发送备案通过通知，同时，经过管局审核的备案信息会同步给天翼云侧备案系统，您所已经备案通过的信息可以通过“已备案信息管理”进行查看管理。 去备案

参数 是否必填 参数类型 说明 示例 下级对象 domain 是 String 域名必须属于当前用户且合法有效 ctyun.cn scriptname 是 String 为264位的小写字母、数字、下划线组合，以小写字母、数字开头结尾 luatest

本文为您介绍IP黑白名单防护功能说明，以及如何配置IP黑白名单策略。 IP黑白名单支持对经过云WAF防护域名的访问源IP进行黑白名单设置，来自该IP地址/IP地址段的访问，云WAF将不会做任何检测，直接拦截/放行。 IP黑白名单设置，支持基于域名创建IP黑白名单规则。 支持添加IPv4、IPv6地址，支持添加IP地址段。 IP黑白名单模块的防护检测逻辑优先级高于其他防护模块；IP黑白名单内部检测逻辑，白名单高于黑名单。 前提条件 已开通Web应用防火墙（原生版）实例。 已完成网站域名接入。 规格限制 基础版不支持IP黑白名单功能，请升级到更高版本使用。 不同实例版本支持添加的IP黑白名单规则数量不同，有关各版本规格的详细介绍，请参见产品规格。 若当前版本的IP黑白名单防护规则条数无法满足业务需求时，您可以通过购买规则扩展包或升级版本，以实现规则条数的扩容。一个规则扩展包包含50条IP黑白名单防护规则。 操作步骤 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“防护配置 > 对象防护配置”，进入防护配置页面。 5. 在“防护配置”页面上方的“防护对象选择”下拉框，切换到要设置的域名。 6. 在“安全防护”页签定位到“IP黑白名单”模块，可以选择开启/关闭防护状态。点击“前去配置”。 7. 进入IP黑白名单规则列表页，列表会展示已创建规则的相关信息，包括规则状态、规则名称/规则ID、IP地址、类别、过期时间、更新时间、规则描述等。 8. 点击列表上方“新建黑白名单”，进入规则配置页面，完成以下信息配置。 配置项 说明 规则名称 设置规则的名称。 规则名称用于标识当前防护规则，建议您使用有明确含义的名称。 类别 定义该规则类型是“黑名单”或“白名单”。 IP地址 添加IP地址/地址段，支持IPv4和IPv6格式的IP地址/地址段。 过期时间 规则配置后，规则状态开启即生效。可通过设置过期时间，为该规则定义生效时间段。过期时间可选： 永久生效 限定日期：自定义设置失效日期 规则描述 可选参数，设置该规则的备注信息。 9. 单击“确定”，规则创建成功，成功后规则默认启用。您可以在规则列表中查看该规则。

参数 类型 描述 是否必须 status String 是否启用邮件通知功能。 取值： Enabled：启用。 Disabled：禁用。 是 smtpHost String SMTP服务器。 取值：SMTP服务器域名或IP。 注意 如果启用邮件通知时，未在服务端保存过邮件配置，此项必填。 否 smtpPort Integer SMTP端口号。 取值：[1,65535]。 说明 如果启用SSL，默认端口为465。 如果禁用SSL，默认端口为25。 否 SSL String 是否启用SSL。 取值： Enabled：启用SSL。 Disabled：禁用SSL。 默认值为Disabled。 否 senderEmail String 发件箱。 邮箱格式 localpart@domain ： localpart ：字符串形式，长度1~64，可包含字母、数字、特殊字符（! $ % & + / ? ^ { }~ .），字母区分大小写。句点（.）不能作为首尾字符，也不能连续出现。 domain ：以句点 （.）分隔的字符串形式，长度1~255。通过句点（.）分隔开的每个字符串需要满足如下要求： 长度1~63。 可包含字母、数字、短横线（），字母区分大小写。 顶级域名不能是纯数字。 短横线（）不能作为首尾字符。 注意 如果启用邮件通知时，未在服务端保存过邮件配置，此项必填。 否 password String 邮箱授权码。 说明 授权码是邮箱推出的，用于第三方客户端登录的专用密码。 注意 如果启用邮件通知时，未在服务端保存过邮件配置，此项必填。 否 receiverEmail String 收件箱。可以填写多个收件箱。 邮箱格式 localpart@domain ： localpart ：字符串形式，长度1~64，可包含字母、数字、特殊字符（! $ % & + / ? ^ { }~ .），字母区分大小写。句点（.）不能作为首尾字符，也不能连续出现。 domain ：以句点 （.）分隔的字符串形式，长度1~255。通过句点（.）分隔开的每个字符串需要满足如下要求： 长度1~63。 可包含字母、数字、短横线（），字母区分大小写。 顶级域名不能是纯数字。 短横线（）不能作为首尾字符。 注意 如果启用邮件通知时，未在服务端保存过邮件配置，此项必填。 否

本节介绍了如何配置访问控制、频率控制防护策略。 使用场景 如果您需要针对性地管理具有固定特征的访问请求，您可以配置访问控制规则对命中条件的请求设置拦截、告警、加白、丢弃动作，保证客户网站不受未知访问。 访问控制匹配条件可针对IP，IP段，URI，METHOD，请求地区，请求参数，请求头部，请求协议等字段进行组合。 前提条件 已开通DDoS高防（边缘云版）。 域名状态为“已启用”。 使用说明 1.登录DDoS高防（边缘云版）控制台。 2.进入【业务接入】【域名接入】页面。 3.选择需要配置的域名，在操作栏点击【防护配置】按钮，进入【访问控制】页面。 新增规则 在访问控制列表右侧，单击【新增】按钮，在弹框中完成规则配置后，点击新增。 针对满足匹配条件的请求报文，执行对应的处理动作。 配置项 说明 处理动作 支持拦截、告警、加白、丢弃。 告警：对命中该规则的请求仅告警不阻断，记录攻击日志。 加白：对命中该规则的请求放行，不记录攻击日志。 拦截：对命中该规则的请求进行拦截，并返回响应页面。 丢弃：对命中该规则的请求拦截但不会响应页面，减少带宽。 规则名称 自定义规则名称。 匹配条件 支持配置多条，同一规则下多条匹配条件同时满足进行处理。 匹配字段： IPPORT：客户端IP端口 PATH：目录路径，比如：/qr/;/app/verifyCode/ IP：客户端IP，比如：192.168.1.1;192.168.1.2 IPS：客户端ip段,比如：192.168.1.0/24;192.168.2.0/24 IPR：客户端ip范围，比如：192.168.1.1192.168.1.10;192.168.1.12192.168.1.20 URI：URI不包括问号后参数，比如：/login.php REQUESTURI：URI包括问号后参数，比如：login.php?id1 METHOD：请求方式，比如：GET;POST ARGS：问号后参数名 GEO：地理位置 HEADER：请求头部 PROTOCOL：请求协议，比如：HTTP/1.0;HTTP/2.0 调整优先级 在规则列表中的优先级一列，可通过箭头符号对规则优先级顺序进行调整。 说明 1. 越往前的优先级越高，优先匹配规则处理。最新增加的规则放在最末，优先级最低。 2. 访问控制中加白策略的优先级默认高于其他策略。 查看规则 在规则列表操作栏，点击【查看】按钮，可查看规则的详细配置。 编辑规则 在规则列表操作栏，点击【编辑】按钮，可修改规则配置。 删除规则 在规则列表操作栏，点击【删除】按钮，可删除规则。 注意 新增规则、调整规则优先级、编辑规则、删除规则后需要点击【提交部署】，否则变更将无法下发。

本章节介绍使用ECS集群如何在15分钟内完成快速接入体验 前置条件 创建VPCE 1.上报域名为内网域名，需要在DNS配置文件（/etc/resolv.conf）首行添加nameserver 100.95.0.1 才生效。 2.使用微服务治理中心前，需要在目标VPC中创建终端节点。创建路径：微服务治理中心控制台>应用治理>应用接入>ECS集群>网络通路。 进入应用接入页面。 点击ECS集群，选择VPC，点击创建终端节点。 点击确定授权并创建VPC终端节点。 点击确定后，刷新页面，显示VPC的终端节点状态为已创建。 下载MSE Agent 1. 进入微服务治理中心>应用治理>应用接入页面。 2. 点击下载MSE Agent并上传至云主机。 开通微服务引擎注册配置中心Nacos 进入微服务引擎控制台，选择注册配置中心>实例列表>创建实例，开通注册配置中心Nacos。 部署Demo

参数 参数说明 当前状态 选择规则是否启用。 类型 选择规则类型，可选【白名单】或【黑名单】。 允许空Referer 根据需求是否允许空Referer。 Referer 填写域名或IP地址。以 。

资源类型 默认配额限制 配额说明 内网域名 50个 您可以提交工单申请提升该配额。 记录集 500个 您可以提交工单申请提升该配额。

本文主要介绍配置DNS解析的步骤。 选择默认DNS服务器或者添加DNS服务器地址，域名防护策略将会按照您配置的域名服务器进行IP解析并下发。 说明 当前账号拥有多个防火墙时，DNS解析操作仅应用于设置的防火墙。 约束条件 最多支持自定义2个DNS服务器。 操作步骤 1. 登录管理控制台。 2. 在左侧导航栏中，单击左上方的，选择“安全> 云防火墙”，进入云防火墙的总览页面。 3. （可选）当前账号下仅存在单个防火墙实例时，自动进入防火墙详情页面，存在多个防火墙实例时，单击防火墙列表“操作”列的“查看”，进入防火墙详情页面。 4. 在左侧导航栏中，选择“系统管理> DNS配置”，进入“DNS配置”页面。 5. 选择“默认DNS服务器”或添加“指定DNS服务器”。 说明 当前仅支持添加2个指定DNS服务器地址。 6. 单击“应用”，完成配置。 说明 当前账号拥有多个防火墙时，DNS解析操作仅应用于设置的防火墙。

功能 标准版 专业版（包周期） 防护对象 IPv4 ✓ ✓ 防护对象 IPv6 ✓ ✓ 防护规格 防护的公网IP（EIP）数量 20个（可扩容，最大扩容至2000个） 50个（可扩容，最大扩容至2000个） 防护规格 防护的VPC数量 × 2个（可扩容，最大扩容至100个） 防护规格 互联网边界防护带宽 10Mbps（可扩容，最大扩容至5000Mbps） 50Mbps（可扩容，最大扩容至5000Mbps） 防护规格 VPC边界防护带宽 × 200Mbps（随VPC数量扩容） 访问流量控制 公网资产ACL访问控制（基于IP、域名、域名组、地理位置等） ✓ ✓ 访问流量控制 南北向流量防护，统一隔离防护云上资产在互联网的暴露风险（例如EIP） ✓ ✓ 访问流量控制 南北向流量审计，日志查询 ✓ ✓ 访问流量控制 东西向流量防护，VPC间的资产保护、全流量分析 × ✓ 访问流量控制 东西向流量监控，实时获取VPC间流量数据 × ✓ 防护策略 入侵防御IPS ✓ ✓ 防护策略 自定义IPS特征库 × ✓ 防护策略 虚拟补丁 ✓ ✓ 防护策略 敏感目录、反弹Shell ✓ ✓ 防护策略 病毒防御AV × ✓

参数 描述 IP地址或域名 源数据库的IP地址或域名。说明对于RAC集群，建议使用SCAN IP接入，提高访问性能。 端口 源数据库服务端口，可输入范围为1~65535间的整数。 数据库服务名 数据库服务名（Service Name/SID），客户端可以通过其连接到Oracle，具体查询方法请参照界面提示。 PDB名称 PDB同步仅在Oracle12c及以后的版本支持，该功能为选填项，当需要迁移PDB中的表时开启。PDB功能开启后，只能迁移该PDB中的表，并且需要提供CDB的service name/sid及用户名和密码，不需要PDB的用户名和密码。 数据库用户名 源数据库的用户名。 数据库密码 源数据库的用户名所对应的密码。 SSL安全连接 如启用SSL安全连接，请在源库开启SSL，并确保相关配置正确后上传SSL证书。 说明 最大支持上传500KB的证书文件。 如果不启用SSL安全连接，请自行承担数据安全风险。

参数 是否必填 参数类型 说明 示例 下级对象 domain 是 String 域名必须属于当前用户且合法有效 ctyun.cn scriptname 是 String 函数脚本名 为264位的小写字母、数字、下划线组合，以小写字母、数字开头结尾 luatest

字段 类型 必选 说明 hosts string 否 流量转发规则匹配的主机名称，可以是DNS域名（支持前缀通配匹配）、ip或者在K8s里可以是服务的名称（推荐使用FQDN）。 Hosts字段适用于tcp和http流量路由规则，对于引用网格内部服务的规则，hosts字段必须是域名的形式，ip形式的hosts只能用到Gateway资源对象中。 gateways string 否 当前路由规则绑定的Gateway对象列表，可以是gatewayns/gatewayname的形式，如果不加命名空间前缀，默认引用当前命名空间下的网关。 http HTTPRoute 否 针对http流量的路由规则列表，适用于HTTP/HTTP2/GRPC协议。 tls TLSRoute 否 针对TLS和HTTPS协议的路由规则列表，通常基于TLS连接过程中的sni信息进行路由。 tcp TCPRoute 否 针对非HTTP和TLS协议的所有请求的路由规则。 exportTo string 否 定义了当前虚拟服务对哪些命名空间暴露，用于实现可见性控制；不定义的话默认对所有命名空间可见。

为什么扫描任务自动登录失败了？ 漏洞扫描服务在扫描过程中，会在用户提交的登录页面上查找登录输入框，以及登录按钮，登录成功后，还会在页面上识别退出登录的触发链接，避免登出。查找这些元素的成功率受影响于用户站点页面元素的复杂程度。 如果扫描任务自动登录失败，可能是因为您的网站需要登录才能访问，请检查您是否通过漏洞扫描服务对您的网站进行了正确的网站登录信息配置，请参照以下操作步骤设置网站登录方式或者修改网站登录配置信息。 1. 登录管理控制台。 2. 在左侧导航树中，单击，选择“安全 > 漏洞扫描服务”，进入漏洞扫描服务页面。 3. 在“资产列表 > 网站”页签，进入网站列表入口。 4. 在目标域名的“操作”列，单击“编辑”，进入域名编辑页面，根据需要修改“网站登录设置”，如下图所示。 5. 单击“确认”。

开源组件Fastjson拒绝服务漏洞，攻击者可以利用该漏洞，构造恶意请求发给使用了Fastjson的服务器，使其内存和CPU耗尽，最终崩溃，造成用户业务瘫痪。本章节介绍开源组件Fastjson拒绝服务漏洞的最佳实践。 漏洞简介 攻击者可以利用该漏洞，构造恶意请求发给使用了Fastjson的服务器，使其内存和CPU耗尽，最终崩溃，造成用户业务瘫痪。 影响的版本范围 漏洞影响的产品版本包括：Fastjson 1.2.60以下版本，不包括Fastjson 1.2.60版本。 安全版本 Fastjson 1.2.60版本。 官方解决方案 建议用户将开源组件Fastjson升级到1.2.60版本。 防护建议 WAF支持对该漏洞的检测和防护，步骤如下： 步骤 1 申请WAF独享引擎。 步骤 2 将网站域名添加到WAF中并完成域名接入，详细操作请参见网站接入WAF。 步骤 3 将Web基础防护的状态设置为“拦截”模式，详细操作请参见配置Web基础防护规则。

本文解释客户源站不在中国内地时使用CDN加速（中国内地）的计费方式。 CDN加速按流量计费模式中的流量指的是下行流量，因此客户源站所处区域为全球（不含中国内地），加速区域却为中国内地时，将按照CDN加速（中国内地）服务的标准资费计费。详情请见：基础服务计费（必选）。 但是，选择这种加速模式并非最优，一定程度上会影响加速效果。因为CDN加速（中国内地）的CDN节点回源需要跨境访问海外源站，很可能会出现延迟。因此，如果客户源站在海外而用户在国内，建议在国内也同步搭建源站，并与海外源站进行数据同步，以保障中国内地CDN节点的回源效果；如果客户的源站和用户群体均在海外，建议开通CDN加速【全球（不含中国内地）】服务，新增域名时，加速域名的加速区域选择全球（不含中国内地）。服务开通相关，详情请见：产品开通。

本文介绍如果源站在海外，只开了中国内地加速，该如何收费的问题。 全站加速按流量（或带宽）计费模式中，流量（或带宽）指的是：按下行流量计费或按下行带宽计费，因此若客户源站所处区域为全球（不含中国内地），加速范围却为中国内地时，将按照全站加速（中国内地）服务的标准资费计费。详情请见：全站加速计费。 但是，选择这种加速模式并非最优，一定程度上会影响加速效果。因为全站加速（中国内地）的节点回源需要跨境访问海外源站，很可能会出现延迟。 因此，如果客户源站在海外而用户在国内，建议在国内也同步搭建源站，并与海外源站进行数据同步，以保障中国内地节点的回源效果。如果客户的源站和用户群体均在海外，建议开通全站加速【全球（不含中国内地）】服务，新增域名时，加速域名的加速范围选择全球（不含中国内地）。详情请见：变更加速区域。

本小节介绍云解析的定义及优势。 产品定义 云解析是天翼云与CNNIC联合推出的一款权威云解析产品。产品使用系列自主研发的DNS专用设备，具备完善的网络架构，支持IPv6和下一代互联网技术。 产品优势 专业的解析设备 使用CNNIC自主研发的DNS专用产品构建解析服务平台，有效避免开源软件漏洞。 完善的网络架构 全球分布式部署解析节点，采用BGP+ANYCAST技术组网，实现用户多维度的区域划分，确保每一次查询的全局路由最优化，最大程度上使用户解析就近响应。 灵活扩展性 平台采用良好的网络架构，可灵活的进行功能扩展、解析容量扩展、解析软件扩展等。 多节点，多线路 在全球部署多个节点，支持移动、联通、电信等线路细分。 CNNIC拥有多年的国家顶级域名的运行经验，在域名系统的建设、运行、安全防护等方面积累了大量的实际运营经验和维护经验。 具备完善的应急响应机制，拥有多次完成国内重要活动的网络安全保障经验。

终端节点（Endpoint）即调用API的请求域名，不同服务的终端节点不同。 本产品使用全局请求地址，终端节点为： kmsglobal.ctapi.ctyun.cn 不同区域服务的调用，通过调用API时的请求头中的regionId来标识，例如南京3的regionId：60a39fca876e11ea91cf0242ac110002

DNS配置参数名称 DNS配置参数含义 DNS策略 目前支持通过DNS策略 （dnsPolicy）字段为每个Pod配置不同的DNS策略。 ClusterFirst ：通过CoreDNS来做域名解析，Pod内/etc/resolv.conf配置的DNS服务地址是集群DNS服务的kubedns地址。该策略是集群工作负载的默认策略。 ClusterFirstWithHostNet ：强制在hostNetWork网络模式下使用ClusterFirst策略（默认使用Default策略）。 Default ：Pod直接继承集群节点的域名解析配置。即在集群直接使用ECS的/etc/resolv.conf文件。 None ：忽略集群DNS策略，需要您提供DNS配置（dnsConfig）字段来指定DNS配置信息，暂不支持此能力。 域名别名 通过hostAliases允许为Pod中的hosts文件增加本地域名解析条目。 IP地址 ：主机列表被解析到的目标IP地址。 主机名 ：将指定的主机解析到IP地址，多个主机名通过半角逗号（,）拼接。

本节主要介绍如何查询Redis实例分片和副本信息，以及将集群实例的从节点手动升级为主节点的操作。 当前仅Redis 4.0/5.0/6.0的主备、读写分离、集群实例支持该功能，Redis 4.0/5.0/6.0单机实例和Redis 3.0实例不支持该功能。 主备或读写分离实例，分片数为1，默认是一个一主一从的双副本架构，支持通过“分片与副本”查看分片信息，如果需要手动切换主从节点，请执行主备切换操作。 Proxy集群实例，每个集群是由多个分片组成，每个分片默认都是一个双副本架构，您可以通过“分片与副本”查看分片信息，还可以根据业务需要，手动切换分片主从节点。不同实例规格对应的分片数，具体请参考Redis 4.0/5.0 Proxy集群实例。 Cluster集群实例，每个集群是由多个分片组成，每个分片默认都是一个双副本架构，您可以通过“分片与副本”查看分片信息，还可以根据业务需要，手动切换分片主从节点。不同实例规格对应的分片数，具体请参考Redis4.0/5.0 Cluster集群介绍。 升级副本 步骤 1 登录分布式缓存服务管理控制台。 步骤 2 在管理控制台左上角单击，选择区域和项目。 步骤 3 单击左侧菜单栏的“缓存管理”。进入缓存管理页面。 步骤 4 单击缓存实例名称，进入该实例的基本信息页面。 步骤 5 单击“分片与副本”页签，进入分片与副本页面。 界面显示该实例的所有分片列表，以及每个分片的副本列表。 步骤 6 单击分片名称前面的图标，展开当前分片下的所有副本。 分片与副本列表（集群实例） 分片与副本列表（主备实例） 对于集群实例，可以将分片中的从副本升级为主副本。 a. 选择角色为从的副本，单击“升级为主”。 b. 单击“是”，将选择的副本升级为主。 如果是主备实例或读写分离实例，可以设置从副本的“主备切换优先级”或者“摘除域名IP”。 c. 主备切换优先级：当主节点故障以后，系统会按照您指定的优先级，自动切换到优先级最高的从节点上。如果优先级相同，则系统会内部进行选择和切换。优先级为0100，1100优先级逐步降低，1为最高，100为最低，0为禁止倒换。 d. 摘除域名IP：实例的从副本数多于1个，单击“摘除域名IP”，可以摘除对应从副本的IP。如果主备实例只有1个从副本，则不支持摘除域名。

本文介绍如何部署AD域控制器。 前提条件 在AD域控制器的云主机上已经安装AD域服务器。 操作步骤 1. 将域服务器升级升为域控制器。打开“服务器管理器”，点右上角点小旗子图标，点击“服务器提升为域控制器”。 2. 添加新林。由于是第一个AD控制器，点击“添加新林”，根域名处填域名sfs.com，点击“下一步”等待部署配置。 说明： 将域控制器添加到现有域：在现有的域控制器中添加新的域控制器。 将新域添加到现有林：在现有的林中新建域，与林中现有的域不同。 3. 设置目录服务还原密码。 说明： 林功能级别(包含Windows Server 2008到WindowsServer 2016级别)：Windows Server 2012 R2。 域功能级别(只包含Windows Server 2012 R2域功能)：Windows Server 2012 R2。 指定域控制器功能：默认即可。 键入目录服务还原模式(DSRM)密码：需设置复杂密码，否则无法通过规则校验。 4. 跳过DNS选项，点击“下一步”。用AD域服务器当DNS服务器，不需要单独指定。 5. NetBios域名保持默认，点击“下一步”。 6. 日志及数据配置保持默认，点击“下一步”。 说明： AD DS数据库是AD域服务器用来存放用户信息的地方。 AD DS数据库、日志文件夹和sysvol文件夹，出于安全考虑建议放在其他盘。 7. 检查配置信息，点击“下一步”。 8. 安装前自动进行先决条件检查，检查通过后点击“安装”，系统自动安装并重启。安装需要一段时间请耐心等待。 9. 查看是否安装成功。理论上重启后AD域即部署成功，打开“服务器管理器”，点击“工具>Active Directory用户和计算机”，在弹窗中依次点击“sfs.com>Domain Controllers”，若展示云主机名称即代表AD域部署成功。

3. 安全设置 进入安全设置界面，配置重定向URL（回调域名）参数，填写花卷慧办域名（可联系客户经理获取）。 4. 应用发布 配置完成后需要进行应用发布，如不发布应用版本，配置修改无效。 进入版本管理与发布界面，点击“创建新版本”按钮，填写版本详情资料后点击“保存”后发布应用。 管理员创建钉钉认证源 即钉钉当作认证源，其管理登录认证验证，花卷慧办客户端登录时进行转发给钉钉进行认证，因花卷慧办需要针对用户、组织进行精细化授权，建议采用钉钉同步提前将用户信息导入，配置对应权限。 1. 添加认证源 登录花卷慧办工作台，进入扩展认证源列表，点击“添加认证源”，进行钉钉认证源添加。

Spring是一款主流的Java EE轻量级开源框架，面向服务器端开发设计。近日，Spring框架被曝出可导致RCE远程代码执行的漏洞，该漏洞攻击面较广，潜在危害严重，对JDK 9及以上版本皆有影响。本章节介绍Java Spring框架远程代码执行高危漏洞的最佳防护实践。 漏洞名称 Spring框架RCE 0day安全漏洞 影响范围 JDK 9及以上。 使用了Spring框架或衍生框架。 防护建议 步骤 1 申请WAF独享引擎。 步骤 2 将网站域名添加到WAF中并完成域名接入，详细操作请参见网站接入WAF。 步骤 3 将Web基础防护的状态设置为“拦截”模式，详细操作请参见配置Web基础防护规则。 说明 目前，该漏洞存在两种攻击payload，是否开启“header全检测”根据攻击payload的方式而定： 第一种是通过在参数提交中携带攻击载荷。此时，“header全检测”可以不开启拦截。 第二种是在header自定义字段中携带攻击载荷。此时，“header全检测”必须开启拦截模式，才可以拦截此类攻击。 第二种攻击方式对第一种有依赖，所以是否要开启“header全检测”，您可以根据您的业务需求进行选择。

您可以通过Web应用防火墙服务切换工作模式。Web应用防火墙提供开启防护和暂停防护两种工作模式。 前提条件 防护域名已接入WAF。 应用场景 开启防护：开启防护模式后，WAF会根据您配置的策略进行攻击检测。 暂停防护：如果大量的正常业务被拦截，比如大量返回418返回码，可以将“工作模式”切换为“暂停防护”。该模式下，WAF对所有的流量请求只转发不检测，日志也不会记录。该模式存在风险，建议您优先选择误报屏蔽规则处理正常业务拦截问题。 系统影响 切换为暂停模式后，WAF只转发流程请求，网站安全可能存在风险，建议您优先选择误报屏蔽规则处理正常业务拦截问题。 操作步骤 步骤1 登录管理控制台。 步骤2 单击管理控制台右上角的，选择区域或项目。 步骤3 单击页面左上方的，选择“安全 > Web应用防火墙（独享版）”。 步骤4 在左侧导航树中，选择“网站设置”，进入“网站设置”页面。 步骤5 在目标域名所在行的“工作模式”列，选择工作模式。

多模匹配 利用高效的多模匹配算法，对请求流量进行特征检测，极大提升了检测引擎的性能。 精准访问防护 支持对HTTP请求的多个常用字段（URL、IP、Params、Cookie、Referer、UserAgent、Header）的自定义检测策略，并且支持多逻辑检测策略。 黑白名单 IP黑白名单包括IP白名单和IP黑名单配置，其中IP白名单即指定IP为可信IP，源IP为可信IP的流量不进行攻击检测。IP黑名单即指定IP为恶意IP，源IP为恶意IP的流量需要根据检测策略执行相应的动作。 智能解码 智能识别请求中的多种编码无限次多层混淆，对其进行深度解码，从而获取攻击者原始的攻击意图。 基于语义分析检测 基于语义上下文构建语法树，分析并判断是否为攻击载荷。 访问频率控制 通过访问控制策略，限制接口的访问的频率。 反爬虫 丰富的爬虫特征库，检测各种类别的爬虫（引擎爬虫，脚本爬虫，扫描工具）。 A记录 A（Address）记录是地址记录，用来指定主机名（或域名）对应的IP地址记录，通过A记录，可以设置不同域名指向不同的IP。 SQL注入攻击 通过输入域或页面请求的查询字符串，欺骗服务器执行恶意的SQL命令。 非标准端口 除“80”、“443”以外的端口。

本节介绍在购买实例后，如何对实例的防护规格进行调整。 购买DDoS高防IP实例后，可根据实际使用需求升级/降级实例、升级/降级弹性防护带宽。 升级/降级DDoS高防IP实例：对保底防护带宽、回源业务带宽、域名数量（仅网站类支持）、端口数量进行调整。 升级/降级弹性防护带宽：需购买弹性防护带宽后，才支持对弹性防护带宽进行调整。 约束条件 已到期的实例，不支持直接升级/降级，需先完成续费再升级/降级。 对实例进行升级/降级时，资源到期时间不变。 需购买弹性防护带宽后，才支持升级/降级弹性防护带宽。 升级DDoS高防IP实例 1. 使用天翼云账号登录DDoS高防IP管理控制台。 2. 在DDoS高防IP实例列表页面，找到目标实例，单击操作列的“升级”。 3. 在升级页面，调整保底防护带宽、回源业务带宽、域名数量（仅网站类支持）、端口数量。 4. 在页面左下角确认配置费用后，勾选“我已阅读，理解并接受《天翼云高防IP产品服务协议》”，单击“立即订购”。 5. 进入付款页面，完成付款。

分类 功能模块 描述 中国内地 全球（不含中国内地） 全球 DDoS防护 网络层DDoS防护 主动防御IP及端口类的DDoS攻击。 防护峰值：40Gbps 防护次数：1次 平台级尽力防护 中国内地：防护流量：40Gbps；防护次数：1次 全球（不含中国内地）：平台级尽力防护 加速协议 TCP/UDP加速 支持基于TCP/UDP协议的所有应用，包含私有协议的应用加速。 √ √ √ 加速协议 HTTPS无证书加速 HTTPS协议，无需部署证书，即可实现加速，保证数据安全不被篡改。 √ √ √ 访问控制 IP黑白名单 通过配置访问的IP黑白名单来对访问者身份进行识别和过滤，屏蔽非法访问。 √ √ √ 访问控制 区域访问控制 区域访问控制功能可通过设置区域黑白名单，从而仅允许或者限制部分区域的用户访问。 √ √ √ 回源相关 域名/IP回源方式 支持域名方式回源，或者IP方式回源。 √ √ √ 回源相关 源站负载均衡 支持主备、择优、按权重轮询、基于客户端IP哈希等多种源站负载均衡策略。 √ √ √ 日志管理 日志下载 默认提供30天内的日志下载，若需加长可定制。 √ √ √ 性能优化 内容优化 通过智能压缩技术，优化传输内容，提升传输效率。 √ √ √ 性能优化 多路传输 支持多路传输功能，开启多路传输功能后，有利于提升数据传输效率，在单条路径质量波动较大时有显著的效果。 √ √ √ 智能选路 实时探测 节点间实时探测获取当前网络状况，并上报智能选路中心，作为选路依据。 √ √ √ 智能选路 快速选路 利用加速节点间实时探测的RTT值，结合天翼云自研的最优链路算法，获取最优传输路径，保障回源效果。 √ √ √ 智能选路 稳健选路 利用加速节点间实时探测的RTT和丢包率数据，结合天翼云自研的最优链路算法，获取最优传输路径，保障回源效果。 √ √ √ 可靠传输 多点覆盖 边缘节点采用多点覆盖，避免单节点故障造成访问故障，提高可靠性。 √ √ √ 可靠传输 零时延切换 当边缘节点与下一跳节点建连时，若发现下一跳节点故障时，零时延切换至其他回源链路。 √ √ √ 用量统计 带宽统计 展示查询范围内的带宽趋势图，可分别统计上行带宽、下行带宽、上行+下行总带宽。 √ √ √ 用量统计 流量统计 展示查询范围内的流量趋势图，可分别统计上行流量、下行流量、上行+下行总流量。 √ √ √ 用量统计 连接数统计 展示查询范围内的连接数和并发连接数趋势图。 √ √ √ 用量统计 地区运营商 统计查询时间范围内：不同运营商、不同地区的流量、流量占比、带宽峰值、连接数、连接数占比、并发连接数峰值等数据。 √ √ √ 用量统计 域名排行 统计查询时间范围内的TOP域名，并展示对应的流量值、流量占比、带宽峰值、峰值时刻、连接数、连接数占比、并发连接数峰值、并发连接数峰值时刻等数据。 √ √ √ 用量统计 TOP客户端IP排行 统计查询时间范围内的TOP客户端IP，并展示对应的流量值和连接数。 √ √ √ 用量统计 访问用户区域分布 统计查询时间范围内的访问用户区域分布，并展示对应的带宽、流量、连接数。 √ √ √ 用量统计 独立IP访问数 统计查询时间范围内的独立IP访问峰值次数（1小时统计）和日活跃IP总量。 √ √ √ 用量统计 访问运营商分布 统计查询时间范围内的用户访问运营商分布，并展示对应的带宽、流量、连接数。 √ √ √

如果您的业务请求需要分发到不同的后端服务或应用,可以通过为应用配置网关路由来实现复杂的请求分发。接下来本文将介绍如何通过云原生 API 网关来设置具体的路由规则。 前提条件 AGW 您已创建云原生 API 网关。 CAE 您已开通 CAE 且创建了命名空间，并确保云原生 API 网关与 CAE 命名空间绑定同一个 VPC。 创建路由规则 1. 在 CAE 网关路由中，在顶部点击创建路由。 2. 在创建路由 页面，配置相关信息，然后点击保存。 配置项 描述 示例 所属命名空间 需要流量分发的应用所处命名空间 demo 网络名称 路由规则名称 testroute 网络类型 选择 HTTP 类型 网关类型 选择 API 网关 网关实例 选择与命名空间使用同一 VPC 的网关实例。如果您需要创建新的网关实例，点击创建网关实例进行创建 demoagw 域名 选择需要匹配的域名，支持选择多个域名。 www.app.com 路径 支持多种路径匹配规则 前缀：以前缀作为匹配条件。例如，Path 以/demo开头。 等价：即完全匹配。例如，Path 等于/demo。 条件：前缀 路径：/demo 请求方法 设置匹配 HTTP 请求中的 Method 参数 GET 请求头 设置匹配 HTTP 请求中的 Header 参数 请求头：user 条件：等于 值：tony 请求参数 设置匹配 HTTP 请求中的 Query 参数 请求参数：name 条件：等于 值：tony Cookie 设置匹配 HTTP 请求中的 Cookie 参数 Cookie：token 条件：等于 值：test 服务来源 支持 K8s Service 使用场景 选择当前路由的目标服务类型。 单服务：将请求分发到唯一一个后端服务，是最常使用的场景。 多服务：将请求按比例分发到多个后端服务，通常在切流和灰度场景下使用。 单服务 后端服务 选择后端应用、服务及其对应的端口、超时时间以及重试次数 Fallback 开启 Fallback 开关，设置 Fallback 服务，您需要选择指定的服务。当路由指向的后端服务没有可用节点时，原请求会访问此处指定的 Fallback 服务。

步骤二：设置网站“cookie登录”方式 请参照以下操作步骤设置“cookie登录”方式。 1. 登录管理控制台。 2. 进入网站登录设置入口，如下图所示。 3. 在弹出的“编辑”对话框中，将“获取cookie值”图中网站的cookie值完整复制到“cookie值”文本框中。 4. 在“验证登录网址”文本框中输入用于验证登录的网址。输入登录成功后才能访问的网址，便于VSS快速判断您的登录信息是否有效。 5. 单击“确认”，完成网站登录设置。 步骤三：创建扫描任务 注意 创建扫描任务时，请您保持网站的登录状态，以免cookie失效。 1. 在该域名所在行的“操作”列，单击“扫描”，如下图所示。 2. 在“创建任务”界面，根据扫描需求，设置扫描参数，如下图所示。 3. 单击“开始扫描”。 如果没有设置开始扫描时间，且此时服务器没有被占用，则创建的任务可立即开始扫描，任务状态为“进行中”；否则进入等待队列中等待，任务状态为“等待中”。 步骤四：查看扫描结果并下载扫描报告 扫描任务执行成功（域名的“上一次扫描结果”状态为“已完成”），您可以查看扫描结果并下载扫描报告。 1. 在该域名所在行的“上一次扫描结果”列，单击扫描得分。 2. 在扫描任务详情界面，查看扫描结果，如下图所示。 3. 单击右上角的，生成网站扫描报告。 如果报告已生成，则可跳过此步。 4. 单击右上角的，将网站扫描报告下载到本地，查看详细的扫描结果。 报告目前只支持PDF格式。