本文简述天翼云应用加速全网带宽控制功能及配置方式。 功能介绍 天翼云应用加速全网带宽控制功能可通过设置单个域名或多个域名的总带宽值来控制带宽总用量，避免因带宽突发带来更多的带宽费用。 带宽控制功能支持全网边缘总带宽限制，支持分时段控制，您可以根据自身带宽需求选择对应的限制策略。带宽超出设置值后，可选择对请求进行限速或者拒绝操作。 适用场景 1.存在带宽突发场景，希望突发情况下应用加速带宽费用可以进行有效控制。 2.对带宽成本有严格把控，同时又不希望影响客户感知情况下可选择使用带宽控制功能，超过设置带宽后，对用户设置合理限速。 注意 1.可以针对多个域名合并进行总带宽控制，但是一个域名同时只能配置在一个控制任务中。 2.不支持对泛域名配置带宽控制功能。 3.由于域名带宽的监控数据存在一定延迟（大约10分钟），实际带宽达到阈值大约10分钟后生效。 配置说明 如需开启带宽控制功能，您需要提供以下信息： 参数 说明 限制带宽值 提供需要限制的总带宽大小。 限速时段 可选择全天生效或者固定时段生效。 限制策略 带宽超过限速值后处理方式，可选择限速/拒绝。 限制策略配置 限制策略选择限速，则提供对应的限制值。 限制策略选择拒绝，默认拒绝响应SESSIONDENIED状态码。 如您需要配置应用加速全网带宽控制功能，请提交工单申请。

本文档介绍路由级熔断功能的背景，生效方式以及验证效果。 背景信息 社区Istio提供DestinationRule进行熔断配置，以官方的一个demo为例 yaml apiVersion: networking.istio.io/v1 kind: DestinationRule metadata: name: reviewscbpolicy spec: host: reviews.prod.svc.cluster.local trafficPolicy: connectionPool: tcp: maxConnections: 100 http: http2MaxRequests: 1000 maxRequestsPerConnection: 10 outlierDetection: consecutive5xxErrors: 7 interval: 5m baseEjectionTime: 15m 可以看出DestinationRule提供的熔断功能，通过Envoy连接池实现对上游集群的限流熔断，并周期性检查一些异常指标，例如5xx错误，达到一定累积量则将该主机从连接池中隔离出去，从而实现熔断效果。显然，社区的熔断功能仅支持服务级别熔断，无法细化到路由级，熔断的情况下影响面比较大。 因此，CSM提供一种新的CRD CTGCircuitBreaker，可以限定仅作用于特定的路由，提供更细粒度的熔断控制。 本文以Bookinfo和Httpbin为例，模拟熔断效果。其中httpbin的熔断不会对bookinfo产生影响。 验证准备 部署网关 网关安装可以参考 应用服务网格入口网关。bookinfo的安装可以参考部署bookinfo应用到CSM实例。 网关deployment部署后，按以下规则配置VirtualService。这条规则表示网关后端分别路由到productpage和httpbin，分别按不同的url路由，两者互相独立，为了后续可以验证路由级的熔断，httpbin不会影响productpage的业务。 apiVersion: networking.istio.io/v1beta1 kind: VirtualService metadata: name: bookinfo namespace: default spec: gateways: bookinfogateway hosts: bookinfo.com http: match: uri: exact: /productpage uri: prefix: /static uri: exact: /login uri: exact: /logout uri: prefix: /api/v1/products name: bookinfovs route: destination: host: productpage.default.svc.cluster.local port: number: 9080 match: uri: prefix: /httpbin name: httpbinroutename1 rewrite: uri: / route: destination: host: httpbin.foo.svc.cluster.local port: number: 8000

统一身份认证（Identity and Access Management，简称IAM）服务，是提供用户进行权限管理的基础服务，帮助您安全的控制 HPFS 服务的访问及操作权限，实现对HPFS的访问控制。 基本概念 并行文件服务HPFS已对接云平台统一身份认证（IAM），支持通过IAM对HPFS的资源进行访问控制管理。 使用前您需了解常用的基本概念，包括：帐号、IAM用户、用户组、身份凭证、授权、权限、项目、委托、身份凭证。详细请查看：术语解释 IAM的相关文档请查看：统一身份认证（一类节点）。 IAM应用场景 IAM策略主要面向对同租户帐号下，对不同IAM用户授权的场景： 您可以为不同操作人员或应用程序创建不同IAM用户，并授予IAM用户刚好能完成工作所需的权限，比如HPFS的查看权限，进行最小粒度授权管理。 新创建的IAM用户可以使用自己的用户名和密码登录云服务平台，实现多用户协同操作时无需分享帐号的密码的安全要求。 操作步骤 创建IAM用户并授权使用HPFS，示例流程 1. 登录天翼云控制台，在右上角点击头像选择“账号中心”，在左侧导航中选择“统一身份认证”，或者直接点击IAM控制台。 2. 在IAM里，左侧导航中点击“用户组”，点击右上角的“创建用户组”。 3. 在“创建用户组”界面，输入用户组名称和描述，单击“确定”，完成用户组创建。用户组是用户的集合，IAM通过用户组功能实现用户的授权。 4. 您需要新建用户或将已创建的用户，加入刚建好的用户组里。在左侧导航窗格中，点击“用户”，点击右上角“创建用户”。 5. 在用户组列表中，单击新建的用户组右侧“查看”，可以检查是否已将用户添加到组中，确认符合预期后，点击“授权”。 6. 选择策略，在右上角“请输入策略名称进行搜索”框内输入“并行”进行搜索，勾选需要授予用户组的资源池级策略，单击“下一步”。并行文件的管理者可以对资源进行创建、扩容、删除等所有操作，并行文件查看者只支持查看资源列表、详情。如您需要更细粒度的权限设置，可通过创建自定义策略来进行授权管理。 7. 由于并行文件在创建资源的是否，需要选择企业项目，所以还需要将用户也添加到企业项目并授权对应权限。在左侧导航窗格中，点击“企业项目”，选择指定的企业项目一般为default，点击右侧“查看用户组”。 8. 在用户组tab页，点击“设置用户组”，然后选择刚创建的用户组。 9. 在加入的用户组右侧操作里，点击“设置策略”，并选择并行文件的对应策略。 10. 完成以上操作后，主账号需要将创建IAM用户时输入的邮箱及密码告知对应的员工，这些员工就可以使用邮箱和密码登录天翼云。如果登录失败，IAM用户可以联系管理员重置密码。对应员工使用IAM用户登录HPFS管理控制台，验证用户权限。

Xid 说明 13 通常是数组越界、指令错误，小概率是硬件问题。 31 通常是应用程序的非法地址访问，极小概率是驱动或者硬件问题。 43 通常是您应用自身错误，而非硬件问题。 45 通常是您手动退出或者其他故障（硬件、资源限制等）导致的GPU应用退出，XID 45只提供一个结果，具体原因通常需要进一步分析日志。 68 通常是硬件或驱动问题。

本文帮助您了解对象存储服务端加密及其设置的操作步骤。 操作场景 对象存储（简称ZOS）在数据写入数据中心内的磁盘之前，支持在对象级别上应用数据加密的保护策略，并在访问数据时自动解密。加密和解密这一操作过程都是在服务端完成，这种服务端加密功能可以有效保护静态数据。 约束与限制 服务端加密支持的区域请参见产品能力地图。 开启后关闭服务端加密，不会影响桶中已有对象的加密状态。 使用KMS加密未创建自定义密钥时，将自动为您创建并使用默认加密密钥，默认加密密钥可免费使用。如需使用其他密钥，请提前前往KMS密钥管理服务控制台进行创建。 操作步骤 创建桶时开启服务器端加密功能 1. 详细流程见创建桶。 为已创建的桶开启服务器端加密 1. 点击天翼云门户首页的“控制中心”，输入登录的用户名和密码，进入控制中心页面。 2. 在控制台上方点击，选择地域，以下操作选择安徽合肥2。 3. 在控制台首页，选择“存储>对象存储”。 4. 在对象存储桶列表，点击Bucket名称，进入“概览”页面。 5. 在ZOS控制台“桶概览”页面，找到“常用设置”。 6. 在“服务端加密”页面，可以看到当前状态。 7. 如需修改可点击“设置”，选择对应的服务端加密方式，完成服务端加密相关配置。 参数 说明 服务端加密方式 选择加密方式。取值范围如下： 关闭 : 不启用服务器端加密。 ZOS完全托管 : 使用ZOS托管的密钥进行加密。 KMS : 使用KMS默认托管的CMK或指定CMK ID进行加解密操作 。 加密算法 当前仅支持AES256加密算法。 加密密钥 仅当服务端加密方式选择KMS时，需要配置该选项。 选择加密密钥。密钥格式为alias/cmkname。其中 cmkname 为用户主密钥的别名取值范围如下： alias/zos(Default Service Cmk)：选择该选项后，ZOS会使用默认的服务密钥加密Bucket内的数据。 alias/cmkname：选择该选项后，ZOS会使用指定的服务密钥加密Bucket内的数据。

本文主要介绍产品规格差异 APM产品规格包括免费版和企业版，当前支持Java应用接入APM。各版本支持的功能详见下表。 版本 免费版 企业版 ::: 版本说明 完全免费，最多可接入10个Agent在线，每过15天需要用户重新激活 所有功能完全开放 数据存储时长 7天 30天 应用拓扑 √ √ 调用链 √ √ 跨Region调用链跟踪 √ √ 指标监控 √ √ URL跟踪分析 √ √ 告警 √ √ CMDB √ √ 说明（是否支持，√表示支持，x表示不支持）

本文介绍应用加速按需计费。 应用加速（中国内地）的计费项分为三个部分：频道费+端口费+带宽费。 频道费：按照加速域名数量收费。 端口费：按照使用的tcp端口和udp端口总数收费。 带宽费：由于应用加速支持加速的应用非常多（支持加速基于tcp/udp的所有协议的应用），有些应用上行带宽大，有些应用下行带宽大，因此应用加速带宽费按照上行+下行总带宽收费。 应用加速支持按月带宽第四峰值计费、月带宽95峰值计费、月平均日带宽峰值计费和月带宽峰值计费，您可以根据实际业务场景选择合适的计费方式。需提交工单或拨打4008109889电话联系客服进行订购。 应用加速带宽计费 中国内地价格 1.频道标准资费 承诺频道数（个） 承诺频道数享受的标准资费（元/个/月） 月保底频道费（元/月） 月超出频道费（元/月） 月频道费（元/月） [1，5) 2000 承诺频道数x承诺频道数享受的单价 超出频道数x承诺频道数享受的单价 月保底费+超出费用 [5，10) 1800 承诺频道数x承诺频道数享受的单价 超出频道数x承诺频道数享受的单价 月保底费+超出费用 [10，+∞) 1600 承诺频道数x承诺频道数享受的单价 超出频道数x承诺频道数享受的单价 月保底费+超出费用 每个频道免费赠送5个端口。 2.端口标准资费 承诺端口数（个） 承诺端口数享受的标准资费（元/个/月） 月保底端口费（元/月） 月超出端口费（元/月） 月端口费（元/月） [0，20) 200 承诺端口数x承诺端口数享受的单价 超出端口数x承诺端口数享受的单价 月保底费+超出费用 [20，50) 150 承诺端口数x承诺端口数享受的单价 超出端口数x承诺端口数享受的单价 月保底费+超出费用 [50，200) 100 承诺端口数x承诺端口数享受的单价 超出端口数x承诺端口数享受的单价 月保底费+超出费用 [200，+∞) 80 承诺端口数x承诺端口数享受的单价 超出端口数x承诺端口数享受的单价 月保底费+超出费用 3.带宽标准资费 承诺带宽量（Mbps） 承诺带宽量享受的标准资费（元/Mbps/月） 月保底带宽费（元/月） 月超出带宽费（元/月） 月带宽费（元/月） [0，10) 300 承诺带宽量x承诺带宽量享受的单价 超出带宽量x承诺带宽量享受的单价 月保底费+超出费用 [10，20) 270 承诺带宽量x承诺带宽量享受的单价 超出带宽量x承诺带宽量享受的单价 月保底费+超出费用 [20，50) 240 承诺带宽量x承诺带宽量享受的单价 超出带宽量x承诺带宽量享受的单价 月保底费+超出费用 [50，100) 210 承诺带宽量x承诺带宽量享受的单价 超出带宽量x承诺带宽量享受的单价 月保底费+超出费用 [100，+∞) 180 承诺带宽量x承诺带宽量享受的单价 超出带宽量x承诺带宽量享受的单价 月保底费+超出费用 该带宽价格适用于月带宽第四峰值、月带宽95峰值、月平均日带宽峰值和月带宽峰值等计费方式；计费带宽为边缘上行带宽和下行带宽总和。 计费举例： 某客户订购5个保底频道、20个保底端口、10M保底带宽。 假设客户6月的实际使用量为：6个频道、60个端口、15M带宽，则该客户6月超出保底的量为：1个频道、10个端口（6020个保底6个频道免费赠送的30个）、5M带宽。 则该客户6月的计费值如下： 6月保底费：5个频道1800元/个/月+20个端口150元/个/月+10M带宽270元/M/月9000+3000+270014700元。 6月超量费：1个频道1800元/个/月+10个端口150元/个/月+5M带宽270元/M/月1800+1500+13504650元。 6月的总费用 6月保底费+6月超量费14700+465019350元。

应用进程、消费组、消费者实例的关系 消费组可以有多个消费者实例。 同一进程，同一个消费组不允许有相同的消费者实例。 不同进程，不能创建相同消费者实例，可能产生两个实例分配到相同的队列，部分队列却没有消费的情况。 不同进程，不能创建相同消费者实例，如上图中的实例A，两个实例均连到Q1跟Q2，但Q3与Q4并无消费。 应用在创建消费者实例时，指定消费者实例名，应用需要保证不同的进程间，同一消费组不能有相同的实例名。或者应用在创建消费者实例时，不指定实例名，RocketMQ会创建唯一的实例名(JAVA SDK)，规则是：groupNameippid线程iduuid。 同组Consumer订阅关系一致 RocketMQ 里的一个 Consumer Group 代表一个 Consumer 群组。对于大多数分布式应用来说，一个 Consumer Group 下通常会有多个 Consumer 实例。订阅关系一致指的是同一个 Consumer Group 下所有 Consumer 实例的处理逻辑必须完全一致，一旦订阅关系不一致，消息消费的逻辑就会混乱，甚至导致消息丢失。 由于 RocketMQ 的订阅关系主要由 Topic+Tag 共同组成，因此，保持订阅关系一致意味着同一个 Consumer group 下所有的实例需在以下两方面均保持一致： 1.订阅的 Topic 必须一致。 2.订阅的 Topic 中的 Tag 必须一致。

本文将向您介绍如何使用边缘安全加速平台安全与加速服务提供的网页防篡改功能。 功能介绍 网页防篡改功能用于保护网站核心静态页面，通过对比源站响应与媒体存储中心缓存的响应，保护网站因为源站页面被恶意篡改带来的负面影响，同时您可以根据需要配置防篡改规则。 前提条件 已经订购边缘安全加速平台安全与加速服务，若未订购，请参见服务开通。 在控制台新增域名，请参见添加服务域名。 开通套餐为基础版及以上版本，支持网页防篡改相关功能。 操作步骤 1. 登录边缘安全加速平台控制台。 2. 在左侧导航栏中选择【安全能力】，进入【Web应用防火墙】菜单，并在左侧域名列表选择您要防护的域名。 3. 进入防护能力高级安全防护【网页防篡改】详细设置页。 配置说明 配置项 说明 防护开关 可以选择开启或者关闭策略 规则名称 支持设置规则名称 URL 1、填写需要防篡改防护的完整URL地址，例如 2、填写的URL必须是静态页面，即ContentType: text/html、ContentType: text/html; charsetxxx格式。 3、将自动获取的静态资源，目前支持js, css, jpg, jpeg, png, gif, bmp, svg这些后缀文件。 4、支持输入带端口的URL，例如 处理动作 支持拦截/告警/返回WAF缓存页面 拦截：对命中防篡改策略的请求进行拦截 告警：对命中防篡改策略的请求生成攻击日志，并返回被篡改后的页面 返回WAF缓存页面：命中防篡改策略后会返回边缘安全加速平台安全与加速服务缓存的页面，即用户侧展示为被篡改前的页面，并且攻击日志将记录此次命中信息 是否指定回源设置 如果您的站点访问要指定回源设置，需要填写是，将自动为您拉取源站的文件响应页面。需要填写的回源信息有请求协议、源站IP、回源端口、回源HOST。页面自动为您获取在基础配置已编辑的相关信息 文件缓存时间 该页面的静态资源最近缓存时间 注意 填写的URL必须是静态文件，ContentType: text/html、ContentType: text/html; charsetxxx格式。 自动获取的静态资源，目前只有js, css, jpg, jpeg, png, gif, bmp, svg后缀文件。

版本功能列表 下表描述了主要功能模块在不同套餐中的支持情况。 √：表示在当前版本中支持。 ×：表示在当前版本中不支持。 分类 功能模块 描述 免费版 基础版 高级版 企业版 旗舰版 业务接入 泛域名防护 支持接入泛域名。 √ √ √ √ √ 业务接入 静态加速 支持将静态资源缓存到边缘节点，达到加速效果。 √ √ √ √ √ 业务接入 动态加速 支持动态资源采用最优链路回源。 × √ √ √ √ 业务接入 WebSockets 支持WebSockets协议 × 持久连接时长最大：300s 持久连接时长最大：300s 持久连接时长最大：300s 持久连接时长最大：300s 业务接入 quic协议 支持quic协议 × × √ √ √ 业务接入 HTTPS防护 支持HTTPS防护。 √ √ √ √ √ 业务接入 免费证书 支持申请免费证书。 × √ √ √ √ 业务接入 IPv6 访问 支持对IPv6访问流量安全检测与防护。 √ √ √ √ √ 业务接入 IPv6 外链改造 提高网站链接的IPv6支持度，解决IPv6天窗问题。 × √ √ √ √ 业务接入 IPv6支持度检测 支持检测网站IPv6链接支持度，并输出分析结果与检测报告。 1 10 20 30 40 业务接入 非标准端口防护 支持防护80、443以外的非标准端口上的业务。 × × √ √ √ 业务接入 HTTP2防护 支持防护使用HTTP/2协议的网站。 √ √ √ √ √ 业务接入 回源IP管理 为了防止攻击者获取您的源站IP直接攻击源站，您可以设置源站服务器的访问控制策略，只放行边缘云节点回源IP段的入方向流量。 × √ √ √ √ 基础安全防护 DDoS防护 主动防御网络层DDoS攻击。 防护峰值：10Gbps 防护次数：1次 防护峰值：20Gbps 防护次数：2次 防护峰值：40Gbps 防护次数：2次 防护峰值：平台级尽力防 防护次数：2 防护峰值：平台级尽力防 防护次数：不限次数 基础安全防护 自定义防护界面 支持用户自定义响应给客户端的拦截界面。 × × √ √ √ 基础安全防护 规则防护引擎 支持防护常见的Web攻击。 √，（仅支持监测） √ √ √ √ 基础安全防护 自定义规则 支持自定义web防护规则。 × 10条规则/域名 20条规则/域名 50条规则/域名 200条规则/域名 基础安全防护 AI防护引擎 智能AI识别攻击和误拦截。 × × × × √ 基础安全防护 访问控制 支持基于基础字段和高级字段进行组合，设置白名单和黑名单。 5条/域名 10条/域名 20条/域名 50条/域名 100条/域名 基础安全防护 频率控制 支持基于基础字段和高级字段进行组合，设置访问频率。 5条/域名 10条/域名 20条/域名 50条/域名 100条/域名 基础安全防护 合规性检测 支持对HTTP请求信息中的方法以及参数长度等信息进行检测。 √ √ √ √ √ 基础安全防护 CC防护 支持防护常见的CC攻击，支持阈值和永久模式。 √，（默认策略） √，（默认策略 √ √ √ 基础安全防护 0Day 漏洞虚拟补丁 自定更新0day漏洞攻击防护规则。 × √ √ √ √ 基础安全防护 扫描防护 支持常见扫描工具封禁。 × √ √ √ √ 高级安全防护 网页防篡改 支持锁定网站页面，防止源站页面内容被恶意篡改带来的影响。 × √ √ √ √ 高级安全防护 防敏感信息泄露 支持防止网站敏感信息泄露（银行卡、身份证、手机号、邮箱）。 × √ √ √ √ 高级安全防护 Cookie防护 支持Cookie加密和Cookie签名。 × × √ √ √ 高级安全防护 广告防护 实现广告防护和监测功能。 × × √ √ √ 高级安全防护 账户安全 支持防护暴力破解、批量注册。 × × √ √ √ 高级安全防护 攻击挑战 支持识别反复攻击客户端IP，并且封禁 × √ √ √ √ 高级安全防护 智能防护 基于网站访问流量深度学习，自动生成防护策略。 × × × × √ 高级安全防护 验证码 为网页、小程序开发者提供全面的人机验证，适用于登录注册、电商大促、数据保护等场景。 × × √ √ √ 高级安全防护 Bot管理 缓解大量针对网站的爬取和异常注册登录行为。 × 付费支持 付费支持 付费支持 付费支持 高级安全防护 API安全 支持对已接入WAF的API资产进行全面安全防护。 × 付费支持 付费支持 付费支持 付费支持 网站风险监测 漏洞扫描 支持远程扫描Web漏洞和按照国际权威安全机构WASC分类的25种Web应用漏洞，全面覆盖OWASP Top 10 Web应用风险。 1/域名/次/月 1/域名/次/月 2/域名/次/月 3/域名/次/月 4/域名/次/月 网站风险监测 安全事件监测 支持监测网页中挂马及黑链的恶意代码，网页是否被非法篡改 × 任务数：1/个/域名 最小监测周期：24小时 任务数：1/个/域名 最小监测周期：12小时 任务数：1/个/域名 最小监测周期：6小时 任务数：1/个/域名 最小监测周期：3小时 网站风险监测 内容安全监测 支持监测网站文字和图片是否包含涉黄、涉毒、涉政、赌博、暴恐、邪教等敏感内容。 × 文本敏感词检测任务数：1/个/域名 最小监测周期：24小时 任务数：1/个/域名 最小监测周期：12小时 任务数：1/个/域名 最小监测周期：6小时 任务数：1/个/域名 最小监测周期：3小时 网站风险监测 DNS监测 多线路远程实时监测目标站点在多种网络协议下的响应速度、可访问性等反映网站性能状况的内容 × 任务数：1/个/域名 最小监测周期：60分钟 任务数：1/个/域名 最小监测周期：30分钟 任务数：1/个/域名 最小监测周期：10分钟 任务数：1/个/域名 最小监测周期：5分钟 网站风险监测 可用性监测 支持实时监测各地主流ISP的DNS缓存服务器和用户DNS授权服务器的解析过程及结果。 × 任务数：1/个/域名 最小监测周期：60分钟 任务数：1/个/域名 最小监测周期：30分钟 任务数：1/个/域名 最小监测周期：10分钟 任务数：1/个/域名 最小监测周期：5分钟 产品服务 日志服务 提供攻击日志、业务日志的报表查询 √ √ √ √ √ 产品服务 安全报表 提供Web攻击、CC攻击报表。 15天 31天 92天 180天 180天 产品服务 监控告警 支持自定义监控告警。 √ √ √ √ √ 产品服务 安全VIP服务 提供专业安全专家主动运营服务，持续深入定制整体防护方案。 × 付费支持 付费支持 付费支持 付费支持 产品服务 态势感知大屏 提供数据大屏服务，让安全攻防状态一目了然。 × 付费支持 付费支持 付费支持 付费支持

本节介绍如何配置全局白名单。 防护对象接入Web应用防火墙后，您可以选择开启全局白名单功能，并配置白名单规则。 可用于放行具有指定特征的请求，使请求不经过全部（包含 Web 基础防护、CC 防护、BOT 防护、精准访问控制）或特定防护模块（Web基础防护）的检测。 也可用于处理误报事件，对于误报的事件可进行规则级别的加白，将单次拦截放通。 前提条件 已购买WAF云SaaS型实例，且实例版本为标准版及以上版本。 网站已通过“域名接入”方式接入WAF进行防护。 操作步骤 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“防护配置 > 全局防护配置”，进入全局防护配置页面。 5. 定位到“防护白名单”模块，可以选择开启/关闭防护。 6. 点击防护规则右侧的“前去配置”，进入白名单页面。 7. 单击“新建白名单”，在弹出的对话框中，配置白名单规则。 参数说明如下： 配置项 说明 规则名称 设置规则的名称。 规则名称用于标识当前防护规则，建议您使用有明确含义的名称。 企业项目 选择需要配置白名单实例所在的企业项目。 接入对象 设置白名单作用对象，支持选择“全部防护对象”或选择“特定防护对象”。 说明 全局白名单不支持独享版和监听器防护对象。 规则描述 可选项。设置规则的描述信息。 匹配条件 设置白名单请求需要匹配的条件（即特征）。单击“新增条件”，可以设置最多30个条件。存在多个条件时，多个条件必须同时满足才算命中。 关于匹配条件的配置描述，请参见匹配条件字段说明。 过期时间 规则配置后，规则状态开启即生效。可通过设置过期时间，为该规则定义生效时间段。 过期时间可选： 永久生效 限定日期：自定义设置失效日期 生效范围 设置白名单生效范围，表示触发匹配条件的请求不受所选规则的检测，可选项： 全部规则：选择该项，表示触发匹配条件的请求不受Web 基础防护、CC 防护、BOT 防护、精准访问控制模块的检测，将被直接放行到源站服务器。 特定模块：只忽略检测指定的防护模块，支持Web基础防护。在模块右侧的下拉框，选择不检测的规则类型。 特定规则ID：只忽略检测指定的规则，支持Web基础防护。在模块右侧的下拉框，选择不检测的规则ID。 8. 单击“确定”，规则创建成功，成功后规则默认启用。您可以在规则列表中查看该规则。

本节介绍如何 创建vLLM NPU单机PD分离任务。 前置条件 1. 确认智算套件已经安装并且全部运行中 2. 进入智算套件，AI应用管理，队列管理，确保队列存在并且有足够的资源(NPU,CPU,内存) [参考创建队列的文档] 操作步骤 创建任务 进入智算套件，AI应用列表，在线推理菜单，创建AI应用 基本信息 应用类型：vLLM 开启PD分离选择 静态PD分离 推理类型选择 单机 配置信息 推理框架，框架版本，推理模型，模型版本根据实际情况选择。 简单的示例： 推理框架： ascendvllm 框架版本：v0.11.0rc2 推理模型：deepseekr1distillqwen1.5b 模型版本：v1 队列：选择存在且资源足够的的队列 Prefill CPU，内存，共享内存不填，NPU填：4 Decode DecodeMaster 的资源菜单：CPU，内存，共享内存不填，NPU填：4 点击确认完成创建。

本节主要介绍IAM策略。 通过IAM，您可以在云帐号中创建IAM用户，并使用策略来控制IAM用户对云资源的访问范围。 IAM策略是作用于云资源的，IAM策略定义了允许和拒绝的访问操作，以此实现云资源权限访问控制。 对于OBS，IAM策略的OBS权限是作用于OBS所有的桶和对象的。如果要授予IAM用户操作OBS资源的权限，则需要向用户所属的用户组授予一个或多个OBS权限集。 IAM策略应用场景 IAM策略主要面向对同帐号下IAM用户授权的场景： 使用策略控制帐号下整个云资源的权限时，使用IAM策略授权。 使用策略控制帐号下OBS所有的桶和对象的权限时，使用IAM策略授权。 策略结构&语法 策略结构包括：Version（策略版本号）和Statement（策略权限语句），其中Statement可以有多个，表示不同的授权项。 参数 说明 :: Version 标识策略的版本号： 1.0：RBAC策略。RBAC策略是将服务作为一个整体进行授权，授权后，用户可以拥有这个服务的所有权限。 Statement 策略授权语句，描述策略的详细信息，包含Effect（作用）和Action（授权项）。 Effect（作用） 作用包含两种：Allow（允许）和Deny（拒绝），系统预置策略仅包含允许的授权语句。 Action（授权项） 对资源的具体操作权限，支持单个或多个操作权限，支持通配符号，通配符号表示所有。 Resource（资源） 策略所作用的资源，格式为：服务名:region:domainId:资源类型:资源路径，支持通配符号，通配符号表示所有。在JSON视图中，不带Resource表示对所有资源生效。 Resource支持以下字符：09azAZ./，如果Resource中包含不支持的字符，请采用通配符号。 OBS是全局级服务，region填“”；domainId表示资源拥有者的帐号ID，建议填写“”简单地表示所填资源的帐号ID。 示例： − "obs:::bucket:": 表示所有的OBS桶。 − "obs:::object:mybucket/myobject/": 表示桶mybucket中“myobject”目录下的所有对象。 Condition（条件） 使策略生效的特定条件，可选。格式为：条件运算符: {条件名:[条件值1, 条件值2]} 条件包含全局条件名和云服务条件名，OBS支持的条件名与桶策略中的Condition一致，在IAM配置时，需要加上“obs:”。详细的Condition介绍如条件所示。 Condition的条件值仅支持以下字符：,./ azAZ09@

本文为您介绍云容灾产品定义和产品架构。 云容灾服务 云容灾CTCDR（Cloud Disaster Recovery）为云主机提供跨可用区的容灾保护能力，RPO可达秒级、RTO可达分钟级。支持容灾演练、一键切换等功能，当生产站点故障时，可在容灾站点快速恢复业务，保障客户数据安全和业务连续性。 注意 云容灾为充分减少容灾闲置资源带来的开销，在容灾端采用复影云主机，在减少资源消耗的同时又能够提供良好的RTO。 云容灾和云备份的区别 产品 应用场景 使用目的 RPO RTO 云容灾 主要针对火灾、地震等重大自然灾害，因此生产中心和容灾中心之间必须保证一定的安全距离。 避免业务中断，在灾难发生后，可以在容灾中心启动容灾主机，保证业务的连续性。 秒级 分钟级 云备份 当发生软件错误、病毒入侵、人为删除等事件时，可将数据恢复到任意备份点。 避免数据丢失，出现故障后，可通过备份将数据恢复至最近的备份点。 小时级~天级 分钟级~小时级

本文主要介绍SQL Server实例的功能概览。 SQL Server实例主要包括如下功能： 连接数据库 连接SQL Server实例 申请或释放外网地址 查看或修改内外网地址和端口 管理实例 创建 SQL Server实例 重启实例 续订 手动续费 自动续费 实例规格变更 磁盘扩容 备份空间扩容 实例类型升级 绑定/解绑弹性公网IP 修改数据库端口 修改安全组 主备切换 退订 账号与权限 创建账号 重置密码 修改权限 删除账号 系统账号说明 管理参数 使用控制台设置参数 使用SQL命令设置参数 查看参数修改历史记录 参数模板管理 创建参数模板 比较参数模板 复制参数模板 重置参数模板 应用参数模板 修改参数模板描述 删除参数模板 修改参数模板中的参数 备份与恢复 备份 设置自动备份策略(合并备份清理) 数据备份 创建手动备份 备份清理 删除手动备份 恢复 恢复SQL Server数据 按备份集恢复数据 将数据恢复至指定时间点 服务可用性 手动切换主备切换 查看主备切换日志 查看数据复制方式 监控告警 查看资源和引擎监控 管理报警 管理数据库 创建数据库 删除数据库 SQL命令管理数据库 日志管理 查看日志 任务列表 任务列表

资费说明 UDFScript暂不收费。 典型应用场景 场景 描述 定制化鉴权 一般是进行防盗链校验，只有校验通过的请求才放行，校验不通过返回403。 请求头/响应头控制 对请求参数、请求头、响应头等变量进行灵活修改。 回源url改写 某些场景下，需要对回源的url进行改写。支持以下三种方式： 1.单独修改uri（？之前的部分）。 2.单独修改查询参数(?之后的部分）。 3.整个url替换。 重定向 针对某些情况，返回新的访问url给客户端，同时返回302状态码。 缓存控制 为了提高获取文件的速度，需要将请求的文件内容缓存在边缘cdn，实现就近拉取。可以设置缓存文件缓存标识（key）和缓存时间。 限速 根据不同的时间段对文件请求进行限速，比如早晚高峰时间限速500k，空闲时段限速1024k。在不影响观看效果的同时尽量服务更多用户。 缓存内容改写 根据业务需要，将缓存的内容在响应给用户时进行改写。 分区域分运营商回源 当您有多个源站，需要分区域分运营商回源实现源站负载均衡时，可使用UDFScript设置分区域分运营商回源策略。

本章节介绍创建MRS服务的方式。 快速创建Hadoop分析集群：快速创建Hadoop分析集群为您提高了配置效率，可以在几分钟之内快速创建Hadoop集群，更加方便快捷的进行海量数据分析与查询。 快速创建HBase查询集群：快速创建HBase查询集群为您提高了配置效率，可以在几分钟之内快速创建HBase集群，更加方便快捷的进行海量数据存储以及分布式计算。 快速创建Kafka流式集群：快速创建Kafka流式集群为您提高了配置效率，可以在几分钟之内快速创建Kafka集群，更加方便快捷的进行流式数据采集，实时数据处理存储等。 快速创建ClickHouse集群：快速创建一个ClickHouse集群，ClickHouse是一个用于联机分析的列式数据库管理系统，具有极致压缩率和极速查询性能。 快速创建实时分析集群：快速创建一个实时分析集群为您提高了配置效率，可以在几分钟之内快速创建实时分析集群，更加方便快捷的进行海量的数据采集、数据的实时分析和查询。 创建自定义集群：自定义创建可以灵活地选择配置项，针对不同的应用场景，可以选择不同规格的弹性云主机，全方位贴合您的业务诉求。

本文主要介绍使用CoreDNS实现自定义域名解析。 应用现状 在使用CCE时，可能会有解析自定义内部域名的需求，例如： 存量代码配置了用固定域名调用内部其他服务，如果要切换到Kubernetes Service方式，修改配置工作量大。 在集群外自建了一个其他服务，需要将集群中的数据通过固定域名发送到这个服务。 解决方案 使用CoreDNS有以下几种自定义域名解析的方案。 为CoreDNS配置存根域：可以直接在控制台添加，简单易操作。 使用 CoreDNS Hosts 插件配置任意域名解析：简单直观，可以添加任意解析记录，类似在本地/etc/hosts中添加解析记录。 使用 CoreDNS Rewrite 插件指向域名到集群内服务：相当于给Kubernetes中的Service名称取了个别名，无需提前知道解析记录的IP地址。 使用 CoreDNS Forward 插件将自建 DNS 设为上游 DNS：自建DNS中，可以管理大量的解析记录，解析记录专门管理，增删记录无需修改CoreDNS配置。 注意事项 CoreDNS修改配置需额外谨慎，因为CoreDNS负责集群的域名解析任务，修改不当可能会导致集群解析出现异常。请做好修改前后的测试验证。 为CoreDNS配置存根域 集群管理员可以修改CoreDNS Corefile的ConfigMap以更改服务发现的工作方式。 若集群管理员有一个位于10.150.0.1的Consul域名解析服务器，并且所有Consul的域名都带有.consul.local的后缀。 步骤 1 登录CCE控制台，单击集群名称进入集群。 步骤 2 在左侧导航栏中选择“插件管理”，在“已安装插件”下，在CoreDNS下单击“编辑”，进入插件详情页。 步骤 3 在“参数配置”下添加存根域。 修改stubdomains参数，格式为一个键值对，键为DNS后缀域名，值为一个或一组DNS IP地址，如下所示。 { "stubdomains": { "consul.local": [ "10.150.0.1" ] }, "upstreamnameservers": [] } 步骤 4 单击“确定”。 也可以通过修改ConfigMap，直接按如下方式添加。 $ kubectl edit configmap coredns n kubesystem apiVersion: v1 data: Corefile: .:5353 { bind {$PODIP} cache 30 errors health {$PODIP}:8080 kubernetes cluster.local inaddr.arpa ip6.arpa { pods insecure fallthrough inaddr.arpa ip6.arpa } loadbalance roundrobin prometheus {$PODIP}:9153 forward . /etc/resolv.conf { policy random } reload }consul.local:5353 { bind {$PODIP} errors cache 30 forward . 10.150.0.1 } kind: ConfigMap metadata: creationTimestamp: "20220504T04:42:24Z" labels: app: coredns k8sapp: coredns kubernetes.io/clusterservice: "true" kubernetes.io/name: CoreDNS release: cceaddoncoredns name: coredns namespace: kubesystem resourceVersion: "8663493" uid: bba871429f8d4056b8a694c3887e9e1d

本节介绍如何购买云安全中心实例。 云安全中心支持包年/包月计费方式，目前提供标准版的主资源，两种扩展资源：日志分析量、态势大屏。您可以根据业务规模选择云安全中心规格。 前提条件 已注册天翼云账号并完成实名认证。 规格限制 态势大屏只可购买一次。 日志分析量扩展资源的购买资源最小单位为50G，即购买时只能选择50G的整数倍。 约束条件 同一账号在同一个区域只能开通一个云安全中心实例，对应一个服务版本。 开通云安全中心实例，必须购买主资源，主资源生效期间，支持叠加购买扩展资源，扩展资源与主资源绑定，到期时间与主资源一致，不支持单独续订、退订。 适用场景 用户购买了天翼云上的安全服务“Web应用防火墙（原生版）、服务器安全卫士（原生版）、云等保专区、数据库审计、云堡垒机（原生版）企业版、云防火墙（原生版）”并部署在天翼云上。 操作步骤 1. 登录天翼云控制中心。 2. 在控制台列表页，选择“安全 > 云安全中心”，进入云安全中心控制台。 3. 单击“立即购买”，进入购买页面。 4. 选择版本信息、扩展资源、购买时长。 参数 说明 基本信息 版本选择 支持“标准版”。规格详情请参见产品规格。 基本信息 计费模式 支持“包年包月”。 扩展配置 购买态势大屏 默认为“现在购买”，也可以选择“暂不购买”。 说明 态势大屏只可购买一次。 扩展配置 购买日志分析量 默认为“现在购买”，也可以选择“暂不购买”。 说明 云安全中心标准版免费提供50G的日志分析额度，如果您需要额外的额度，请另外购买。 日志分析量扩展资源的购买资源最小单位为50G，即购买时只能选择50G的整数倍。 订购 购买时长 拖动时间轴设置购买时长。 订购 自动续订 开启“自动续订”后，当服务到期前，系统会自动按照默认的续费周期生成续费订单并进行续费，无须用户手动续费。 按月购买，自动续费周期默认为3个月。 按年购买，自动续费周期默认为1年。 如需要修改自动续费周期，可进入天翼云“费用中心 > 订单管理 > 续订管理”页面，找到对应的资源进行修改。 5. 确认配置参数和配置费用，阅读《云安全中心服务协议》并勾选“我已阅读，理解并接受《云安全中心服务协议》”，单击“立即购买”。 6. 进入“付款”页面，完成付款。

本小节介绍渗透测试价格，分为小型、中型和大型三类，客户可根据自身系统规模进行选择。 订购须知 1、渗透测试以电子报告形式提供一次性服务； 2、功能点指应用系统中可增删改查业务数据的入口或流程，针对多个页面有新增、上传等功能点且api接口、参数都相同，可计为一个功能点； 3、本产品一经订购立即生效，除不可抗力外不支持退订。渗透测试服务有效期为一个自然年，即从购买之日起一年内都可以联系我们进行实施。强烈建议您购买后尽快实施，解决安全问题宜早不宜迟，到期后渗透测试服务不可再使用。 资费说明 渗透测试资费标准价格如下： 描述 规格 单价 小型 小型系统渗透测试：测试对象功能点1~10个; 10,000元/次 中型 中型系统渗透测试：测试对象功能点1160个； 40,000元/次 大型 大型系统渗透测试：测试对象功能点61120个； 70,000元/次 例如： 展示类系统，如门户网站包含展示页面5个、反馈页面1个，页面中无其他增删改查功能点，功能点数量为6个≤10个，为1个小型系统。 交互查询类，如政务网站、订票、业务办理等系统，包含5个1级功能入口>共10个2级功能页面，每个页面包含增删改查4个功能点，则该系统功能点数量累计为40≤60个，为1个中型系统，可下单1个中型系统或者4个小型系统。 交易管理类，以交易、复杂管理系统为主，如OA、电商、网银、app、管理后台等系统，包含10个1级功能入口>共28个2/3级功能页面，每个页面包含增删改查下载上传6个功能点，则该系统功能点数量累计为168≥120个，等同于1个大型（120以内）+1个中型（60以内）系统，可下单1个大型系统和1个中型系统。 注意 具体以各版本的订购页面和控制台展示为准。

本节为内核版本升级公告。 本节对云数据库TaurusDB的内核版本的潜在风险进行了说明，如果您使用了下述版本，建议您尽快升级到最新内核版本。 涉及版本 2.0.28.15、2.0.28.16、2.0.28.17、2.0.29.1、2.0.29.2 建议升级原因 TaurusDB数据库近期回合或解决了大量MySQL开源社区的问题，为保证业务稳定，建议您在业务低峰期对TaurusDB数据库内核小版本进行升级。 升级指导 参考升级内核小版本。 预估业务影响时长 正常业务负载下单次闪断<10s。 预估升级时长 与升级实例节点数相关，单节点升级时长约5min。 升级过程中的影响说明 1. 升级数据库内核小版本会重启TaurusDB实例，服务可能会出现闪断，请您尽量在业务低峰期执行该操作，并确保您的应用有自动重连机制。 2. 如果主节点和只读节点在同一个AZ，升级内核小版本会触发一次主备倒换；如果在不同AZ，则会触发两次主备倒换。主备倒换指主节点与只读节点进行切换。 3. 升级操作及影响参考升级内核小版本。

本节为内核版本升级公告。 本节对云数据库TaurusDB的内核版本的潜在风险进行了说明，如果您使用了下述版本，建议您尽快升级到最新内核版本。 涉及版本 2.0.28.15、2.0.28.16、2.0.28.17、2.0.29.1、2.0.29.2 建议升级原因 TaurusDB数据库近期回合或解决了大量MySQL开源社区的问题，为保证业务稳定，建议您在业务低峰期对TaurusDB数据库内核小版本进行升级。 升级指导 参考升级内核小版本。 预估业务影响时长 正常业务负载下单次闪断<10s。 预估升级时长 与升级实例节点数相关，单节点升级时长约5min。 升级过程中的影响说明 1. 升级数据库内核小版本会重启TaurusDB实例，服务可能会出现闪断，请您尽量在业务低峰期执行该操作，并确保您的应用有自动重连机制。 2. 如果主节点和只读节点在同一个AZ，升级内核小版本会触发一次主备倒换；如果在不同AZ，则会触发两次主备倒换。主备倒换指主节点与只读节点进行切换。 3. 升级操作及影响参考升级内核小版本。

本文将介绍如何通过第三方应用同步组织和用户列表，或如何在AOne中配置第三方认证源，用于您的企业员工登录客户端时进行身份认证。 背景说明 企业存在多种企业办公工具，已具备组织及用户身份信息，为确保企业账号的一致性，简化用户账号体系管理，Aone提供多种第三方组织接入方式，实现组织用户的同步或认证。 第三方组织接入方式 目前提供丰富的第三方组织接入方式，可根据客户实际情况进行选择。 接入方式 说明 同步身份源 即将第三方的用户与组织信息进行同步到AOne，AOne进行认证管理（即密码由AOne管理），支持Windows AD、钉钉、北森、企业微信等多种第三方应用账号体系。 扩展认证源 即将第三方应用账号体系当作认证源，其管理登录认证验证，AOne客户端登录时进行转发给第三方应用账号体系进行认证。

本页介绍天翼云TeleDB数据库磁盘空间增长异常故障处理应急预案。 故障定位 TeleDB数据库磁盘空间增长异常。 故障影响 应用系统由于数据库问题出现异常。 处理步骤 在出现应用系统故障时应急措施如下： 1. 由项目经理第一时间联系应用系统开发商，共同确定最近业务运行情况，是否有批处理，业务大并发等情况。 2. 如果有导入批量数据，用户需提前通知数据库侧，尝试手动清理部分空间，或明确告知业务侧暂停数据导入。 3. 如果定位到数据库无法满足业务数据增长需求时，则需要根据运维手册协调公司运维技术专家介入处理问题。 4. 由项目经理对问题进行总结，事后汇报情况处理记录。

本节介绍智算套件应用场景。 AI训练 支持大模型训练需要具备的超大规模算力调度、高效并行算法设计、稳定收敛优化、海量数据工程处理及故障容错恢复的综合能力。 AI推理 推理应用支持多推理引擎、智能资源调度、异构资源兼容、弹性伸缩，实现大模型在多场景下的高效部署与便捷调用。

接收到告警后，您可在应用性能监控控制台中执行预先配置好的操作，完成告警响应。本文主要介绍如何借助应用性能监控告警管理的行动集成功能，手动执行告警处理预案；若需实现自动化执行，可在通知策略中绑定相应的行动集成，使系统在告警触发或恢复时自动运行对应的行动集成。 功能介绍 在当前版本的应用性能监控中，支持的行动集成类型： Webhook。 行动集成支持静态和动态两类参数，静态参数就是固定参数，动态参数可以从告警的内容中动态提取。 创建Webhook行动集成 Webhook允许将告警通知发送到指定的公网地址。详细步骤如下： 1. 登录【应用性能监控控制台】，在左侧导航栏选择告警管理 > 集成。 2. 在集成 页面，单击行动集成 页签，然后单击Webhook。 3. 在弹出的新建 Webhook 行动集成页面中，填写名称、描述、URL、参数等信息，然后单击确定。 测试 配置完成后可以选择历史告警进行测试 1. 在行动集成 页面，单击对应名称操作 列的测试。 2. 在弹出的行动集成测试 页面，单击实际告警测试页签。 3. 单击选择待测试的历史告警，单击开始测试。 执行行动集成

本文主要介绍应用服务网格日志采集。 应用服务网格支持采集控制面（control plane）、数据面（sidecar）日志以及应用服务网格网关日志，您可以在控制台日志中心查看日志。 前提条件 1. 天翼云账号已经开通了云日志服务，如果没有开通可以通过服务网格控制台>网格实例>自定义配置>创建云日志服务。 2. 网格控制面和数据面集群已经安装了日志采集插件logoperator。可以通过ccse控制台>插件>插件市场安装。 启用服务网格日志采集 1. 登录服务网格控制台，在左侧的导航栏中选择网格实例>自定义配置。 2. 选择启用日志服务，可以选择已有的日志项目或者新建日志项目，支持为数据面、控制面和网关分别创建日志单元，您可以参考云日志服务管理日志项目查看已有的项目。如果需要新建项目，应用服务网格控制台会自动为您创建对应名称的项目。 日志中心日志查询 您可以在日志服务控制台查询服务网格控制面和数据面的日志，更多详情可参考云日志服务日志查询。 数据面日志输出格式 目前服务网格的数据面日志访问格式采用Envoy默认格式： plaintext [%STARTTIME%] "%REQ(:METHOD)% %REQ(XENVOYORIGINALPATH?:PATH)% %PROTOCOL%" %RESPONSECODE% %RESPONSEFLAGS% %BYTESRECEIVED% %BYTESSENT% %DURATION% %RESP(XENVOYUPSTREAMSERVICETIME)% "%REQ(XFORWARDEDFOR)%" "%REQ(USERAGENT)%" "%REQ(XREQUESTID)%" "%REQ(:AUTHORITY)%" "%UPSTREAMHOST%"n 以下是一个日志格式的例子： plaintext [20160415T20:17:00.310Z] "POST /api/v1/locations HTTP/2" 204 154 0 226 100 "10.0.35.28" "nsq2http" "cc21d9b0cf5c432b8c7e98aeb7988cd2" "locations" "tcp://10.0.2.1:80" 以下是日志样式字段的说明： 参数 描述 STARTTIME 请求开始时间。 REQ(:METHOD) 请求方法。 REQ(XENVOYORIGINALPATH?:PATH) 请求的原始路径，若无则使用标准路径。 PROTOCOL 请求所使用的协议。 RESPONSECODE 服务器对请求的响应状态码。 RESPONSEFLAGS 响应的标志，提供关于响应的特性信息。 BYTESRECEIVED 接收到的字节数，指示请求消息的大小。 BYTESSENT 发送出去的字节数，指示响应消息的大小。 DURATION 请求处理的持续时间，包括接收到请求到发送响应的时间。 RESP(XENVOYUPSTREAMSERVICETIME) 上游服务的响应时间，表示上游服务处理请求所花费的时间。 REQ(XFORWARDEDFOR) 请求的xff头部。 REQ(USERAGENT) 请求的用户代理，标识发起请求的软件。 REQ(XREQUESTID) 请求的唯一标识符，用于跟踪请求的生命周期。 REQ(:AUTHORITY) 请求的主机名，在HTTP/2中对应请求的authority字段。 RESPONSEFLAGS说明： 完整名称 短名 说明 NoHealthyUpstream UH 没有健康的上游服务，返回503状态码。 UpstreamConnectionFailure UF 连接上游失败，返回503状态码。 UpstreamOverflow UO 上游服务被熔断，返回503状态码。 NoRouteFound NR 找不到路由或者找不到过滤器链，返回404状态码。 UpstreamRetryLimitExceeded URX 超过上游重试次数。 NoClusterFound NC 找不到上游集群。 DurationTimeout DT 请求超时。 DownstreamConnectionTermination DC 下游连接中断。 FailedLocalHealthCheck LH 集群健康检查失败，返回503状态码。 UpstreamRequestTimeout UT 上游服务超时，返回504状态码。 LocalReset LS 连接被本地重置，返回503状态码。 UpstreamRemoteReset UR 连接被上游重置，返回503状态码。 UpstreamConnectionTermination UC 上游连接中断，返回503状态码。 DelayInjected DI 请求被注入了延迟。 FaultInjected FI 请求被注入了错误。 RateLimited RL 请求被限流，返回429错误码。 UnauthorizedExternalService UAEX 请求被外部授权服务拒绝。 RateLimitServiceError RLSE 由于限流服务报错导致请求被拒绝。 InvalidEnvoyRequestHeaders IH 请求头部异常，返回400错误码。 StreamIdleTimeout SI 请求空闲超时，返回408或者504错误。 DownstreamProtocolError DPE 下游请求HTTP协议错误。 UpstreamProtocolError UPE 上游返回的HTTP协议错误。 UpstreamMaxStreamDurationReached UMSDR 请求上游超时。 ResponseFromCacheFilter RFCF 请求通过envoy缓存插件支撑。 NoFilterConfigFound NFCF 由于没有在时间期限内收到filter配置导致请求被中断。 OverloadManagerTerminated OM 请求被过载管理器中断。 DnsResolutionFailed DF DNS解析失败。 DropOverload DO 请求被上游过载保护机制中断，返回503状态码。

本文解释平台用量查询的流量与日志统计的流量差异产生的原因。 CDN控制台上可查询带宽流量等统计数据，该数据同时也应用于生成计费账单，其流量会比基于访问日志统计的流量偏多。 原因是CDN日志中记录的流量数据是基于应用层日志中响应消息头+响应body体统计出的流量，而在实际网络请求中产生的网络流量，由于存在TCP/IP包头消耗和TCP重传，要比应用层统计到的流量数据高出7%~15%。因此按照业界标准，应用于账单的计费值会比基于访问日志计算得出的计费值上浮10%。 TCP/IP包头的消耗： HTTP请求是基于TCP/IP协议的，数据包是TCP/IP协议通信传输中的数据单位，我们在使用基于TCP/IP协议的网络时，网络中传递的其实就是数据包。每个数据包的大小最大是1500字节，这1500字节中包括了TCP和IP协议组成的40个字节的包头，这两个协议包头其实也会产生流量，但是却无法被应用层统计到，因此这40个字节的流量就不会被统计到日志里，这部分的流量会占到我们通过日志计算出流量的2.74%（40/1460）以上，即3%左右。 TCP重传： 根据互联网中网络的负载情况，通常情况下，会有接近3%~10%的数据包会因为网络堵塞、设备故障等各种异常情况被丢弃。发生丢包后，服务器会对丢弃的数据包进行重传，这部分的具体操作是由内核层的协议栈处理完成的，通常无法被应用层统计到的，因此在一定程度上也会造成日志统计与实际网络响应流量的差异。 综上所述，天翼云CDN加速产品取平均值10%作为网络层额外消耗的流量比例，即应用于账单的计费值会比基于访问日志计算得出的计费值上浮10%。

概述 标签用于标识资源，当您拥有相同类型的许多云资源时，可以使用标签按各种维度（例如用途、所有者或环境）对云资源进行分类。 您可以在函数创建完成后，在配置详情页添加标签，最多可以给同一个函数资源添加20个标签。 应用场景 为函数添加标签，可以方便您快速识别和管理拥有的函数资源。例如，您可以为账户中的函数资源定义一组标签，以跟踪每个函数资源的所有者和用途，使函数管理变得更加轻松。 前提条件 确保已开通标签管理服务（TMS），未开通TMS服务时无法使用TMS预定义标签能力。 添加标签 1. 登录函数工作流控制台，在左侧的导航栏选择“函数 > 函数列表”。 2. 选择待配置的函数，单击进入函数详情页。 3. 选择“设置 > 标签”，单击“添加标签”。 4. 参考如下命名规则，添加标签键和标签值。 1. 每个标签由一对键值对（KeyValue）组成，且每个标签键（Key）都必须是唯一的，每个标签键（Key）只能有一个值（Value）。 2. 每个函数最多可以添加20个标签。 说明 如您的组织已经设定函数工作流服务的相关标签策略，则需按照标签策略规则为函数添加标签。标签如果不符合标签策略的规则，则可能会导致函数创建失败，请联系组织管理员了解标签策略详情。 参数 规则 标签键 不能为空 不能以sys或空格开头，不能以空格结尾 可用UTF8格式表示的字母（包含中文）、数字和空格，以及以下字符：.: + @ 128个字符以内且不与其他标签键重复 标签值 可以为空字符串 可用UTF8格式表示的字母（包含中文）、数字、空格，以及以下字符： . : / + @ 长度0~255个字符（中文也可以输入255个字符） 5. 添加完成后单击“保存”。保存后的标签键无法修改，标签值可以执行修改操作。

本章节介绍什么是应用流量防护 流量防护以流量为切入点，从流量控制、熔断降级、系统负载保护等多个维度来保障业务的稳定性，提供更专业稳定的流量防护手段、秒级的流量水位分布分析功能。广泛用于秒杀场景、消息削峰填谷、集群流量控制、实时熔断等场景中。 应用治理是一种多维度的流量保障工具，能够有效避免业务中的流量问题，提供秒级的流量监控和分析功能，有效保障系统的稳定性和可靠性。其中，流量控制、熔断降级、系统负载保护等多个功能模块相互配合，可以有效应对各种流量挑战，为业务的稳定发展提供有力支撑。该系统广泛应用于秒杀场景、消息削峰填谷、集群流量控制、实时熔断等多个场景中，可以有效保障业务的安全性和稳定性。

本文向您介绍如何查看平台操作日志。 简介 天翼云边缘云WAF提供操作日志，用于您查看控制台的操作记录，支持查询、导出、删除操作记录。 前提条件 已开通Web应用防火墙（边缘云版） 操作指导 1. 登录Web应用防火墙（边缘云版）控制台，在左侧导航栏中选择【操作日志】页面 2. 用户可以通过时间和操作人筛选

本节介绍托管检测与响应服务（原生版）全流量分析服务的购买步骤。 购买须知 您需要提供单独的具备互联网访问权限的云主机，用于部署全流量分析服务探针；本服务需要在您的业务云主机上部署代理，用于分析主机网卡流量。 操作步骤 1. 登录托管检测与响应服务（原生版）控制台。 2. 在左侧导航栏，选择“全流量分析服务”，进入全流量分析服务页面。 3. 点击“立即购买”，进入全流量分析服务订购页面。 4. 在“产品配置”模块配置“订购规格数量”。 单个规格支持500Mbps网络层吞吐量授权，250Mbps应用层吞吐量授权。 5. 配置订购时长。支持购买1个月~1年。 6. 确认配置信息无误后，阅读并接受相关服务协议、服务等级协议，单击右下角“立即购买”，跳转到支付页面。 7. 在“支付”页面，请选择付款方式进行付款。 8. 付款成功后，返回托管检测与响应服务（原生版）控制台，查看订购状态。 9. 订购完成后，24小时内，我们的服务经理会与您联系。