本节介绍了DDoS高防（边缘云版）的主要应用场景。 天翼云DDoS高防（边缘云版）适用于网站类业务、游戏类业务、UDP服务类业务、App应用类业务的DDoS攻击防护场景，以及业务遭竞争对手恶意攻击、勒索，移动业务遭恶意注册、刷单、刷流量等安全防护场景；如果已经遇到DDoS攻击导致业务不可用需要紧急恢复，或者频繁遭受DDoS攻击需要持续防护DDoS攻击来保护业务的稳定性，推荐您使用DDoS高防。DDoS高防（边缘云版）也广泛应用于政府门户、金融、证券、电子商务、游戏等行业。 应用场景 场景概述 业务需求 产品价值 产品优势 政企门户 政企行业的门户网站作为政府、企业的互联网信息服务的重要渠道，有着重要作用，保障网站的稳定运行是服务提供的关键。 大型会议、特殊时期，需要对关键敏感门户进行重点保障。 防止DDoS攻击、CC攻击等安全事件发生，避免形象受损，保障业务连续性、高可用性及高可靠性。 天翼云DDoS高防（边缘云版）为各行企业、政府网站等提供针对性的DDoS防护解决方案，保障业务连续性、高可用性及高可靠性，减少安全投入和运维成本。规避恶意攻击导致的企业形象受损、网站无法访问等问题。 分布式的资源覆盖，满足全国各地访问需求，不影响访问速度。 国内拥有丰富的节点覆盖承载能力，智能调度，实现动态扩容。 接入对用户端、源站无限制，服务接入快速便捷。 提供可视化管理界面和安全报表服务。 金融、证券网站 业务系统对业务可用性要求非常高，同时需要保障用户个人数据和资金安全，一旦发生安全问题，也可能会引发投资人恐慌，对公司造成很大的影响。 官网、信用卡中心等业务稳定加速运行，确保用户的访问质量。 纪念币发行等重要市场活动时突发流量应对。 防护恶意DDoS攻击、CC攻击。 天翼云DDoS高防（边缘云版）领先的DDoS 攻击防护能力，有效防御因DDoS攻击导致网页无法访问或访问速度变慢等安全问题，保障网站永久在线，稳定运行。避免用户流失、营销活动期间网站瘫痪、在线交易失败等直接或间接造成的经济损失。 分布式的资源覆盖，满足全国各地访问需求，不影响访问速度。 国内拥有丰富的节点覆盖承载能力，智能调度，实现动态扩容。 三网防护节点覆盖，提供T级流量清洗防护储备。 可靠的安全防护，支持四层和七层防护。 电子商务网站 电子商务业务对用户体验实时性要求较高，并且存在用户个人账号信息被盗、敏感信息泄露等问题，若存在可用性或者安全问题会造成交易问题，流失客户。 支撑营销活动期间业务突增。 保障业务可用性稳定性。 防护恶意DDoS攻击、CC攻击。 天翼云DDoS高防（边缘云版）领先的DDoS 攻击防护能力，有效防御因DDoS攻击导致网页无法访问或访问速度变慢等安全问题，保障网站永久在线，稳定运行。避免用户流失、营销活动期间网站瘫痪、在线交易失败等直接或间接造成的经济损失。 分布式的资源覆盖，满足全国各地访问需求，不影响访问速度。 国内拥有丰富的节点覆盖承载能力，智能调度，实现动态扩容。 三网防护节点覆盖，提供T级流量清洗防护储备。 游戏行业 游戏行业历来就处于DDoS攻击重灾区，业务对用户体验实时性、可用性要求较高，若遭受攻击会导致登录不可用、服务离线等问题，影响客户体验而进一步导致客户流失。 保障业务服务正常且不影响访问速度。 防护恶意DDoS攻击、CC攻击。 天翼云DDoS高防（边缘云版）领先的DDoS 攻击防护能力，为处于DDoS攻击重灾区的游戏行业，有效解决因频繁的黑客攻击而导致的宽带堵塞、登录端口不可用、服务离线等致命问题。 分布式的资源覆盖，满足全国各地访问需求，不影响访问速度。 国内拥有丰富的节点覆盖承载能力，智能调度，实现动态扩容。 三网防护节点覆盖，提供T级流量清洗防护储备。 支持域名和端口接入，实现100%网络层流量清洗。

本节介绍翼甲控制台的设置功能。 告警配置 用户可在该界面根据业务需要添加告警规则。 （1）开通短信告警：点击“去开通”，可前往开通短信告警功能； （2）添加规则：点击“添加规则”，可添加新的告警规则，可根据具体业务需求对告警规则进行配置。 （3）删除：在列表首列点选告警规则，点击“批量删除”，可完成对规则的批量删除；在单条规则的最右侧操作列，点击“删除”，可完成对单条规则的删除。 （4）编辑：在已创建告警规则的最右侧操作列，点击“编辑”，可对单条规则的内容配置及启用状态进行编辑。 （5）复制：在已创建规则的最右侧操作列，点击“复制”，将会弹出“复制规则”确认框，用户可基于当前告警规则的字段进行二次编辑，点击确认后可创建规则。 （6）导出：点击“导出”，可导出告警规则信息的JSON文件。 （7）导入：将告警规则以JSON文件的格式编辑好后（可参照导出文件的模板），点击“导入”即可完成规则批量导入。 版本升级 在版本升级界面，用户可根据业务需求对防火墙、入侵防御特征库、病毒防护特征库、URL分类库等4个领域的内容，自定义配置自动升级规则及升级时间。

本节介绍翼加密在管理员使用过程的的常见问题。 加密策略中没有找到需要加密的文件类型怎么办？ 如有其他文件类型的加密需求，可与售前或运维人员反馈，或提交工单与我们沟通。申请开通更多文件类型的加密管控。 加密策略中配置的应用程序有什么用？ 策略中配置的是加密授权的应用程序。加密文件只能被授权的应用软件明文打开和编辑（如下图所示）。未经加密授权或适配的第三方应用软件打开加密文件为密文数据。 备注：如果需要适配其他应用软件，可与售前或运维人员反馈，或提交工单与我们沟通。申请开通更多应用软件的加密授权。 为什么给AI云电脑开启加密时，提示版本过低？ (1) 开启加密的AI云电脑需要agent版本高于1.31，并且安装加密驱动。 (2) agent和加密驱动版本在加密桌面管理处能看到版本号，如果提示“！”则说明版本过低或未安装。发现这种情况请联系运维处理。 批量全盘加密/解密AI云电脑时，提示无法提交 目前每个资源池可同时进行AI云电脑全盘加密/解密的上限是30个，如果您有大规模的AI云电脑全盘加密或解密需求，请提交工单联系运维专项处理。

本章节主要介绍 翼MapReduce的管理资源分布功能。 用户需要了解服务和主机关键监控指标中最高、最低或平均监控数据形成的曲线，即资源分布情况时，可以在MRS Manager上查看，支持查询1小时以内的监控数据。 用户也可以在MRS Manager上修改资源分布，使服务和主机的资源分布图表中，可以按自定义的数值显示一条或多条最高、最低监控数据形成的曲线。 部分监控指标的资源分布不记录。 操作步骤 查看服务监控指标的资源分布 1. 在MRS Manager，单击“服务管理”。 2. 单击服务列表中指定的服务名称。 3. 单击“资源贡献排名”。 “指标”中选择服务的关键指标，MRS Manager将显示过去1小时内指标的资源分布情况。 查看主机监控指标的资源分布 1. 单击“主机管理”。 2. 单击主机列表中指定的主机名称。 3. 单击“资源贡献排名”。 “指标”中选择主机的关键指标，MRS Manager将显示过去1小时内指标的资源分布情况。 配置资源分布 1. 在MRS Manager，单击“系统设置”。 2. 在“配置”区域“监控和告警配置”下，单击“资源贡献排名配置”。 3. 修改资源分布的显示数量。 “TOP数量”填写最大值的显示数量。 “BOTTOM数量”填写最小值的显示数量。 说明 最大值与最小值的资源分布显示数量总和不能大于5。 4. 单击“确定”保存设置。 界面右上角提示“保存TOP数量和BOTTOM数量成功。”。

本章节主要介绍翼MapReduce的审计管理页面操作。 操作场景 “审计”页面记录用户对集群Manager页面操作信息。管理员可通过该页面查看用户在Manager上的历史操作记录。审计管理包含的审计内容信息，请参考关于日志章节中的“审计日志”。 概述 登录FusionInsight Manager，单击“审计”，界面展示如下图所示FusionInsight Manager审计信息，包括操作类型、安全级别、开始时间、结束时间、用户、来源名称、主机、服务、实例、操作结果等。 审计信息列表 用户可以在“所有安全级别”中选择“高危”、“危险”、“一般”和“提示”级别的审计日志。 在高级搜索中，用户可设置过滤条件来查询审计日志。 a. 在“操作类型”中，用户可根据用户管理、集群、服务、健康检查等来指定操作类型查询对应的审计日志。 b. 在“服务”中，用户可选择相应的服务来查询审计日志。 说明 在服务中选择“”，表示除服务以外其他类型的审计日志。 c. 在“操作结果”中，用户可选择所有、成功、失败和未知来查询审计日志。 单击手动刷新当前页面，也可在修改审计表格显示的列。 单击“导出全部”，可一次性导出所有审计信息，可导出“TXT”或者“CSV”格式。

本文将带您了解同地域“不同帐号”的多个VPC中的云资源实现跨VPC通信的操作步骤。 步骤一：创建终端节点服务 操作场景 为实现在同一地域的跨VPC通信，您需要将特定VPC内的云资源（即后端资源）创建为终端节点服务，以便其他VPC的终端节点能够通过私网IP访问该终端节点服务。 以下将以VPC2中，属于帐号B的“内网负载均衡”作为后端资源为例，指导您创建终端节点服务。 前提条件 在同一VPC内已创建了后端资源（即内网负载均衡ELB）。 操作步骤 1. 点击天翼云门户首页的“控制中心”，输入B账号登录的用户名和密码，进入控制中心页面。 2. 在管理控制台上方点击图标，选择所需的资源池节点，以下操作选择华东华东1。 3. 在系统首页，选择“网络>VPC终端节点”，进入“终端节点”页面。 4. 在左侧导航栏选择“终端节点服务”，点击“创建终端节点服务”。 5. 在“创建终端节点服务”页面根据终端节点服务配置说明配置参数，点击“确定”。 6. 返回终端节点服务列表可查看创建的终端节点服务。 7. 点击终端节点服务的名称/ID，即可查看终端节点服务的详细信息。 终端节点服务配置说明 参数 说明 地域 终端节点服务所在地域，页面左上角可切换地域。不同地域的资源之间内网不互通，为了最优化的性能，请选择靠近您的地域，以降低网络时延并提高访问速度。 名称 终端节点服务的名称。名称由数字、字母、中文、、组成，不能以数字、和开头。 VPC 终端节点服务所属虚拟私有云。 服务类型 终端节点服务的类型，当前支持“接口”类型终端节点服务。 是否自动接收连接 是否自动接收终端节点与终端节点服务的连接，审核权由终端节点服务控制。 可选择“是”或“否”。选择“否”不自动接受连接，则创建的终端节点为“待审核”状态，需要终端节点服务审核后方可使用。 端口映射 终端节点服务与终端节点建立连接，支持通过TCP/UDP协议进行通信。 服务端口：终端节点服务绑定了后端资源，作为提供服务的端口。 终端端口：终端节点提供给用户，作为访问终端节点服务的端口。 服务端口和终端端口取值范围1～65535，单次操作最多可添加20条端口映射。 访问终端节点服务时，通过“终端端口→服务端口”的方式进行数据传输和通信。 后端资源类型 实际提供服务的后端资源。可创建为终端节点服务的后端资源包括： 云主机：作为服务器使用。 物理机：作为服务器使用。 虚拟IP：作为内网IP使用。 内网负载均衡：适用于高访问量业务和对可靠性和容灾性要求较高的业务。此处选择“内网负载均衡”。 说明：终端节点服务配置的后端资源所在安全组，安全组添加的规则是白名单，需要添加源地址为198.19.128.0/20的白名单入方向规则，详细操作请参考《虚拟私有云用户指南》中的添加安全组规则。 后端资源子网 选择后端资源所属的子网。 描述（可选） 可添加终端节点服务相关的描述。

本文将带您了解同地域“同帐号”的多个VPC中的云资源实现跨VPC通信的操作步骤。 步骤一：创建终端节点服务 操作场景 为实现在同一地域的跨VPC通信，您需要将特定VPC内的云资源（即后端资源）创建为终端节点服务，以便其他VPC的终端节点能够通过私网IP访问该终端节点服务。以下将以“内网负载均衡ELB”作为后端资源为例，指导您创建终端节点服务。 前提条件 在同一VPC内已创建了后端资源（即内网负载均衡ELB）。 操作步骤 1. 点击天翼云门户首页的“控制中心”，输入登录的用户名和密码，进入控制中心页面。 2. 在管理控制台上方点击图标，选择所需的资源池节点，以下操作选择华东华东1。 3. 在系统首页，选择“网络>VPC终端节点”，进入“终端节点”页面。 4. 在左侧导航栏选择“终端节点服务”，点击“创建终端节点服务”。 5. 在“创建终端节点服务”页面根据终端节点服务配置说明配置参数，点击“确定”。 6. 返回终端节点服务列表可查看创建的终端节点服务。 7. 点击终端节点服务的名称/ID，即可查看终端节点服务的详细信息。 终端节点服务配置说明 参数 说明 地域 终端节点服务所在地域，页面左上角可切换地域。不同地域的资源之间内网不互通，为了最优化的性能，请选择靠近您的地域，以降低网络时延并提高访问速度。 名称 终端节点服务的名称。名称由数字、字母、中文、、组成，不能以数字、和开头。 VPC 终端节点服务所属虚拟私有云。 服务类型 终端节点服务的类型，当前支持“接口”类型终端节点服务。 是否自动接收连接 是否自动接收终端节点与终端节点服务的连接，审核权由终端节点服务控制。 可选择“是”或“否”。选择“否”不自动接受连接，则创建的终端节点为“待审核”状态，需要终端节点服务审核后方可使用。 端口映射 终端节点服务与终端节点建立连接，支持通过TCP/UDP协议进行通信。 服务端口：终端节点服务绑定了后端资源，作为提供服务的端口。 终端端口：终端节点提供给用户，作为访问终端节点服务的端口。 服务端口和终端端口取值范围1～65535，单次操作最多可添加20条端口映射。 访问终端节点服务时，通过“终端端口 → 服务端口”的方式进行数据传输和通信。 后端资源类型 实际提供服务的后端资源。可创建为终端节点服务的后端资源包括： 云主机：作为服务器使用。 物理机：作为服务器使用。 虚拟IP：作为内网IP使用。 内网负载均衡：适用于高访问量业务和对可靠性和容灾性要求较高的业务。此处选择“内网负载均衡”。 说明：终端节点服务配置的后端资源所在安全组，安全组添加的规则是白名单，需要添加源地址为198.19.128.0/20的白名单入方向规则，详细操作请参考《虚拟私有云用户指南》中的添加安全组规则。 后端资源子网 选择后端资源所属的子网。 描述（可选） 可添加终端节点服务相关的描述。

本小节介绍漏洞扫描服务流程。 网络要求 非电信客户的应用系统网络与扫描器网络可达，即可提供扫描服务（内网需提供用于部署扫描器的内网主机，内外网需保证路由可达）。 服务流程 业务受理单 客户应如实填写以下信息（必须填满）： 1. 被检测的IP主机信息。 2. 被检测主机的操作系统类型及版本。 3. 业务接口人联系方式，客户需指定一个具有对漏洞扫描方案及漏洞扫描过程中出现的问题有决定权的业务接口联系人。 4. 客户提供扫描资产时需对所提交资产所有权负责，保证资产归提交人合法所有。 5. 客户需签订漏洞扫描授权书。 审核阶段 对委托单位提交的受理单信息进行核查，核查内容： 1. 判断资产所在环境是公网还是内网。 若是公网需要保证被扫描资产路由可达。 若是内网环境，需确认委托单位提供可访问到内网主机的跳板机。 2. 受理单审核通过后进入漏洞扫描实施阶段。 业务受理单无问题进入下一阶段；如有问题返回客服，由客服继续与客户沟通，直到业务受理单填满无问题。 说明 确认过程需1个工作日。 实施阶段 1.漏洞扫描实施方案 业务受理单确认无误后进入实施阶段，漏洞扫描操作人员接到客服的业务受理单后确认受理单信息：IP、版本、授权等并就扫描计划和受理单内容与客户确认。扫描任务实施前，分析客户主机情况，制定扫描方案，明确漏洞扫描任务具体实施时间、目标范围、合理的扫描方式以及最佳扫描策略，并就扫描方案与客户进行沟通确认，由于在漏洞扫描期间客户方未关闭安全防护设备所造成的漏扫结果不准确，乙方不承担责任。 注意 确认过程0.5个工作日。 2.实施漏洞扫描 扫描实施前若客户网络环境公网不能直达，需部署扫描器，也可配合客户自己部署，策略模板由我们提供，部署时间预计1个工作日。 关于扫描进度，目前扫描器扫描一个C段地址大约需要6个小时左右时间，扫描期间实时就扫描过程中发生的问题与客户沟通，最后扫描的结果将存放到扫描结果专用堡垒机上。 漏洞扫描的风险规避，由于漏洞扫描属于黑盒测试，因此可能对被测试目标造成不可预知的风险；此外对于性能比较敏感的测试目标，如一些实时性要求比较高的系统，由于扫描可能引起网络流量的增加，因此可能会引起被扫描目标的服务质量降低。因此需进行如下的风险规避措施： 扫描时段选择：一般会选择在夜间或安排在业务量不大的时段进行漏洞扫描。 扫描策略选择：根据系统的具体情况配置合理的扫描策略。 3.编写扫描报告 漏洞扫描完成后输出漏洞扫描服务报告，报告编写时间2个工作日。 4.报告审核修订 由专人对输出的漏洞扫描服务报告进行审核修订，审核修订时间1个工作日。 5.报告提交 报告提交方式采取邮件回复的方式提交：客户通过邮件向天翼云漏洞扫描平台发起报告接收申请，漏洞扫描服务报告以回复邮件方式给客户。 6.质保服务 在客户收到漏洞扫描服务报告后，乙方参与漏扫项目的专家为客户持续提供3天时间用于咨询报告中的不明事项。 7.结束服务 在完成以上各阶段工作后，漏洞扫描项目经理告知客服此次漏扫服务结束。

本实践将为您介绍如何利用弹性伸缩创建低成本的业务集群来应对不规律的业务流量波动。 场景描述 用户业务的访问量或流量波动明显，在业务高峰期业务流量较大，其他时段业务流量较低。非高峰期的计算资源处于闲置状态，导致成本浪费，此类波动通常是无规律的，例如社交平台或者新闻媒体因为某个爆点新闻导致的突发流量。 解决方案 可以使用弹性伸缩创建低成本业务集群，根据业务流量自动扩缩容业务集群内的计算资源，减少成本浪费。方案详解如下： 针对日常业务流量，购买包年包月云主机实例，并将其加入弹性伸缩组做日常监控。 为伸缩组创建告警策略来应对突发的流量变化（突增或突减）。 前提条件 在做本实践之前，请确保您已经注册了天翼云账号，并确保您的账户中有充足的余额，具体步骤请参见准备工作。 操作步骤 为保证云主机实例提供稳定的计算服务，计划通过弹性伸缩自动调节伸缩组内云主机数量，将伸缩组内云主机CPU利用率维持在50%左右。具体操作步骤如下： 步骤一：创建包年包月弹性云主机实例 步骤二：创建伸缩组并添加云主机实例 步骤三：根据业务需求创建伸缩策略（告警策略）

本文主要介绍快速体验微服务引擎 概述 微服务引擎(CSE)是一个应用托管和微服务管理平台，依托微服务云应用平台(ServiceStage)服务，可以帮助企业简化部署、监控、运维和治理等应用生命周期管理工作。面向企业提供微服务、移动和Web类应用开发的全栈解决方案。 应用是一个功能相对完备的业务系统，由一个或多个特性相关的组件组成。应用组件是组成应用的某个业务特性的实现，以代码或者软件包为载体，可独立部署运行。 针对应用的组件提供启停、升级、回退、伸缩、查看日志、查看事件、设置访问方式、设置阈值告警等运维操作。 本例将基于ServiceComb(SpringMVC)框架，快速创建微服务应用，供您体验微服务引擎CSE的各项基础功能。 前提条件 注册天翼云帐号，并登录成功。 获取AK/SK，请参考AK/SK获取方法。 说明 如果使用微服务引擎专业版，需要配置AK/SK。 如果使用微服务引擎专享版，不需要配置AK/SK。 创建一个虚拟私有网络VPC，请参考创建虚拟私有云和子网。 创建一个CCE集群，集群中至少包含一个ECS节点(为方便后续步骤的操作，节点 规格最好选择4vCPUs、8GB内存)并且绑定弹性IP。集群绑定弹性IP，请参考云容器引擎 > 购买容器集群。 本例将绑定GitHub源码仓库，实现源码构建、归档、应用创建， 需要先到GitHub官网注册帐号。 在ServiceStage创建仓库授权，授权访问GitHub仓库，请参考微服务云应用平台 > 仓库授权。

URL黑白名单 URL（Uniform Resource Locatior）统一资源标定位系统，是因特网的万维服务器程序上用于指定信息位置的表示方法。用户访问具体的URL可以准确获取到需要的资源。您可以通过在全站加速平台配置允许访问的URL或者禁止访问的URL，来对访客身份进行识别和过滤，拒绝非法访问。全站加速通过对用户访问的URL进行规则判断，按需放行或拒绝用户访问。允许访问时，全站加速会返回资源链接；拒绝访问时，全站加速会返回403响应码。详见：URL黑白名单。 URL黑名单：若用户请求的URL命中黑名单内容，全站加速平台将拒绝用户请求，并返回403状态码。 URL白名单：若用户请求的URL命中白名单内容时，用户才能访问所请求的资源。 URL鉴权 默认情况下在全站加速分发的内容大部分都是公开资源，用户可以直接请求URL获取。为了防止站点资源被恶意下载或者非法盗用，导致产生不必要的带宽浪费，您可以在天翼云全站加速上配置URL鉴权功能。配置URL鉴权后，全站加速会对加密串及时间戳进行校验，从而有效地保护用户站点资源。详见：URL鉴权配置。

本章节介绍推空保护功能的使用 概述 推空保护功能用于处理客户端在请求注册中心订阅服务端地址列表时，在服务端注册异常的场景下，注册中心返回了空列表，此时客户端忽略该空返回的变更，从缓存中获取上一次正常的服务端地址进行服务访问。能够在注册中心在进行变更（变配、升降级）或遇到突发情况（例如，可用区断网断电）或其他不可预知情况下的列表订阅异常收到空的地址列表推送时，可以有效保护业务调用，增加业务可靠性。 版本限制 框架 限制 详情 Spring Cloud Spring Cloud Edgware及以上版本 客户端：Feign、RestTemplate； 负载均衡：Ribbon、LoadBalancer。 Dubbo 2.5.3+ 支持Alibaba Dubbo、Apache Dubbo。 注册中心 Nacos、Eureka、Zookeeper 无。 jdk版本 1.8+ 无。 开启推空保护 1.登录微服务治理中心控制台。 2.在左侧导航栏选择 微服务治理中心 >应用治理。 3.在应用治理页面单击目标应用卡片。 4.在左侧导航栏选择流量治理 推空保护，即可开启推空保护。 查看推空保护事件 若发生推空保护，在推空保护页面即可查看推空保护事件。

本节介绍企业主机安全动态端口蜜罐功能。 动态端口蜜罐概述 什么是动态端口蜜罐 动态端口蜜罐功能是一个攻击诱捕陷阱，利用真实端口作为诱饵端口诱导攻击者访问；在内网横向渗透场景下，可有效地检测到攻击者的扫描行为，识别失陷主机，延缓攻击者攻击真正目标，从而保护用户的真实资源。 用户可选择系统推荐端口或自定义端口开启动态端口蜜罐，诱捕失陷主机，降低真实资源被入侵的风险。 如何使用动态端口蜜罐 约束与限制 使用动态端口蜜罐功能，须满足以下条件： 服务器未绑定EIP。 服务器已开启HSS旗舰版、网页防篡改版或容器版防护。 服务器已安装Agent的版本为以下版本且Agent状态为“在线”。 Linux：3.2.10及以上版本。 Windows：4.0.22及以上版本。 一台服务器最多支持添加10个蜜罐端口。 一个蜜罐端口只能绑定一个协议，支持TCP和TCP6协议。 创建动态端口蜜罐防护策略 操作场景 动态端口蜜罐功能是以真实端口作为诱饵端口诱导攻击者访问，因此开启动态端口蜜罐防护时，用户需要创建防护策略以添加服务器端口作为蜜罐端口并绑定服务器开启防护。 本节介绍如何创建动态端口蜜罐防护策略。

本文将从背景介绍、账户安全防护原理、前提条件、操作步骤等方面向您介绍账户安全防护提供的撞库防护、暴力破解防护、批量注册防护功能。 功能介绍 边缘安全加速平台安全与加速服务支持撞库防护、暴力破解防护、批量注册防护等策略以全方位保障用户的账户安全。 注意 目前控制台尚未开放以上功能，如有防护需求请通过 背景介绍 在网络环境中，账户安全是保障用户权益的重要一环。黑客能够通过撞库、暴力破解等各种手段获取用户对平台的访问权限，然后利用这些权限来窃取用户的账号密码和敏感数据，从而进行一系列违法获益的行为，严重损害了用户的数据安全甚至财产安全。 撞库是什么？ 撞库是恶意攻击者通过收集互联网已泄露或者暗网黑客交易的用户和密码信息，生成对应的字典表，尝试批量登陆其他网站后，得到一系列可以登录的用户。很多用户在不同网站使用的是相同的帐号密码，因此黑客可以通过获取用户在A网站的账户密码从而尝试登录B网址，这就可以理解为撞库攻击。撞库还可以从弱密码的角度出发，通过碰撞用户名得到账号密码信息。

勒索软件是当前主要网络攻击威胁，一般通过木马病毒的形式传播，将自身掩盖为看似无害的文件，利用钓鱼邮件或软件漏洞等方式进行攻击，攻击后将受害者主机硬盘上的文件进行加密，以此来达到勒索的目的。所有的勒索软件都会要求受害者缴纳赎金以取回对电脑的控制权，或是取回受害者根本无从自行获取的解密密钥以便解密文件，对全球的政府、金融、医疗等各行业都造成了严重损失。 勒索攻击阶段 准备阶段：感染准备阶段，包括最初攻击阶段的漏洞利用信息，以及勒索软件自身模块释放之后对环境系统及应用终止，还包括勒索病毒在内网环境的自我扩散等。 感染阶段：遍历文件加密阶段，勒索病毒在入侵之后会遍历系统文件，如果有高价值数据、文件，则进入加密环节，完成勒索前重要一步。 勒索阶段：弹窗勒索环节，该阶段是勒索病毒的最终下发环节，意味着数据、文件已经被加密，企业如不支付赎金，数据、文件将处于不可用状态。 常见攻击手法 暴力破解：对密码进行破解的行为，破解成功登录主机后，便可获得主机的控制权限。 漏洞利用：利用系统或者第三方软件存在的已知或未知漏洞实施攻击。 钓鱼邮件：发送钓鱼邮件，将恶意脚本/程序掩盖为普通的文件，欺骗受害者下载、运行。

操作场景 内网DNS服务监控支持查看用户私网域名请求量。您可以通过云监控依据细颗粒度的监控指标获得有关内网DNS的各种监控数据信息, 也可以通过设置适当的报警阈值和报警策略，及时发现并处理潜在的问题。 使用须知 云监控服务不需要开通，会在您使用内网DNS服务后自动启动。 注意 内网DNS监控当前仅部分资源池支持，具体支持资源池以控制台展示为准。 查看内网DNS监控 通过云监控服务中心查看 1. 登录云监控服务控制台。 2. 单击控制中心左上角的，选择地域。 3. 在左侧导航栏，单击“云服务监控>内网DNS监控”。 4. 单击“权威域名”然后在操作列单击“查看监控图表”。 创建阈值报警规则 您可以在云监控控制台创建告警规则对指标进行监控。当资源的监控指标达到告警条件，云监控将向您发送告警消息，报告异常监控数据，帮助您及时掌握异常状态并处理，保证业务顺畅进行。 云监控提供了自定义创建告警模板的功能，您可以选择在默认模板推荐的监控指标上进行修改，或自定义添加告警指标完成自定义告警模板的添加。

本文介绍如何为ECI Pod配置公网连接。 默认情况下，系统只为ECI Pod（即ECI实例）分配一个私网IP，如果您的ECI Pod有连接公网的需求，例如需要拉取公网镜像等，您可以为其绑定EIP，以实现ECI Pod与公网互通。 为ECI实例绑定EIP 创建ECI Pod时，您可以在Pod metadata中添加Annotation来绑定已有EIP，或者自动创建并绑定一个EIP。 配置说明 EIP只支持为所绑定的ECI实例提供公网服务，一个EIP只能绑定一个ECI实例。如果您有多个ECI实例需要连接公网，您需要分别为其绑定EIP，或者在所属VPC中创建公网NAT网关。 使用已有公网IP,配置参考如下： shell apiVersion: apps/v1 kind: Deployment metadata: name: nginxdeployment labels: app: nginx spec: replicas: 1 selector: matchLabels: app: nginx template: metadata: annotations: k8s.ctyun.cn/ecieipinstanceid: eipxxxxxxxxxx 指定已有eip labels: app: nginx spec: containers: name: nginx image: registryhuadong1.crsinternal.ctyun.cn/opensource/nginx:1.25alpine ports: containerPort: 80 nodeName: vndu53cymkxxxxcnhuadong1jsnj1apublicctcloud 自动创建公网IP，配置参考如下： shell apiVersion: apps/v1 kind: Deployment metadata: name: nginxdeployment labels: app: nginx spec: replicas: 1 selector: matchLabels: app: nginx template: metadata: annotations: k8s.ctyun.cn/eciwitheip: true 指定需要使用eip k8s.ctyun.cn/eipbandwidth: 5

本文向您介绍企业版VPN中公网地址类常见问题。 VPN网关删除后公网地址是否可以保留？ 按需VPN网关如果绑定了按需EIP，则VPN网关删除后会同步删除绑定的按需EIP。 如果需要保留EIP，请在删除VPN网关前对EIP进行解绑操作。 EIP能作为VPN的网关IP吗？ 可以。 用户可以在创建VPN网关时绑定EIP作为网关IP。 通过VPN互访的主机需要购买EIP吗？ 如果用户本地的主机通过VPN访问云上的ECS，此时ECS不需要购买EIP。 如果ECS要向公网用户提供服务，需要购买EIP。 为什么我开通VPN后，云端ECS会有公网IP的访问信息？ 可能原因：在VPN对接之前，ECS已经绑定了EIP。该场景下，用户除了通过VPN，也可通过公网地址直接访问该ECS。 如果ECS主机只允许VPN内的主机访问，可在完成VPN对接后将ECS的EIP解绑。 用户侧数据中心的网关设备没有固定的公网IP可以吗？ 可以。 用户数据中心与云进行VPN对接时，如果用户购买的VPN网关规格支持非固定IP接入能力，对端网关设备就可以使用非固定IP接入。 说明 VPN网关是否支持非固定IP接入能力，以管理控制台实际显示区域为准。

参数 说明 参数取值 名称 输入VPN连接的名称。 vpn002 VPN网关 选择步骤一创建的VPN网关。 vpngw001 网关IP 选择VPN网关的 主EIP2 。 11.xx.xx.12 对端网关 选择步骤二创建的对端网关。 cgw001 连接模式 选择“静态路由模式”。 静态路由模式 对端子网 输入数据中心待和VPC互通的子网。 172.16.0.0/16 接口分配方式 支持“手动分配”和“自动分配”两种方式。 手动分配 本端隧道接口地址 配置在VPN网关上的tunnel接口地址。 说明 对端网关需要对此处的本端隧道接口地址/对端隧道接口地址做镜像配置。 169.254.71.2/30 对端隧道接口地址 配置在用户侧设备上的tunnel接口地址。 169.254.71.1/30 检测机制 用于多链路场景下路由可靠性检测。 说明 功能开启前，请确认对端网关支持ICMP功能，且对端接口地址已在对端网关上正确配置，否则会导致VPN流量不通。 勾选“使能NQA” 预共享密钥、确认密钥 VPN连接协商密钥。 VPN连接和对端网关配置的预共享密钥需要一致。 Test@123 策略配置 包含IKE策略和IPsec策略，用于指定VPN隧道加密算法。 VPN连接和对端网关配置的策略信息需要一致。 默认配置

删除虚拟私有云 1. 登录ECX控制台。 2. 单击左侧导航栏的【边缘网络>虚拟私有云>VPC和子网】，选择对应的地域，查看当前地域下已创建的虚拟私有云和对应子网的信息。 3. 选择所要删除的虚拟机私有云，点击其操作栏中的【删除】，在确认删除弹框中点击【确认】执行删除，确保VPC下所有的子网都已经删除后，才可进行VPC的删除操作。 配置VPC内网探测 VPC内网探测需手动开启或者关闭，VPC内网探测支持在开启专线内网探测时开启，或者由运营或运维人员在后台为用户开启，暂不支持其他方式开启。支持在ECX控制台查看VPC内网探测配置情况和关闭VPC内网探测功能。 1. 登录ECX控制台。 2. 单击左侧导航栏的【边缘网络>虚拟私有云>VPC和子网】，选择对应的地域，查看当前地域下已创建的虚拟私有云和对应子网的信息，如已开启VPC探测可以在操作栏下看到【内网探测】按钮。 3. 单击【内网探测】，在弹窗页可以查看VPC内网探测已开启，如已配置内网探测信息在页面可以查看到已配置的探测信息；如需关闭VPC内网探测，单击【关闭探测】，并在新弹出的窗口单击【确认】完成关闭VPC内网探测功能，关闭后所配置的内网探测不再进行探测。

本文介绍如何安装与升级cstorcsi插件。 Serverless集群提供cstorcsi插件，基于Kubernetes容器存储接口（CSI），深度融合天翼云存储服务云硬盘、弹性文件存储、对象存储等。 前提条件 确保您已经创建Serverless集群，具体操作请参阅创建Serverless集群。 部分资源池不支持委托，插件安装需要配置用户AK、SK。安装前请首先到天翼云门户“用户”>“安全设置”>“用户AccessKey”中获取AK；SK可以在首次“创建AccessKey”时获取，也可提通过工单获取存量SK。若资源池支持委托，则不需要配置用户AK、SK。 插件安装 1. 登录云容器引擎管理控制台。 2. 在集群列表页点击进入指定集群。 3. 进入主菜单“插件”点击“插件市场”，选择cstorcsi，点击“安装”。 4. 在弹出的安装界面，点击“安装”。 5. 安装成功后将跳转到插件实例列表页，可以看到插件安装状态。如果插件安装失败，可以查看失败日志，通过工单反馈问题。 插件升级/更新 您可以在控制台看插件实例，并根据需要对插件进行升级或者更新。 1. 登录云容器引擎管理控制台。 2. 在集群列表页点击进入指定集群。 3. 进入主菜单“插件”点击“插件市场”，选择cstorcsi，点击进入查看详情。在插件详情页可以看到版本列表，在说明中可以获取各版本发布变更内容，根据需要确定升级版本。 4. 进入主菜单“插件”点击“插件市场”，选择cstorcsi，可以选择版本进行升级，也可以更新插件配置。 说明 如果当前插件版本已是最新版，插件实例列表页将不可见“升级”按钮。

本页介绍天翼云TeleDB数据库规划器方法配置相关参数。 这些配置参数影响查询优化器选择查询计划的暴力方法。如果优化器为一个特定查询选择的默认计划不是最优的，一种临时解决方案是使用这些配置参数之一来强制优化器选择一个不同的计划。提高优化器选择的计划质量的更好的方式包括调整规划器的代价常数、手工运行ANALYZE、增加defaultstatisticstarget配置参数的值以及使用ALTER TABLE SET STATISTICS增加为特定列收集的统计信息量。 enablebitmapscan (boolean) 允许或禁止查询规划器使用位图扫描计划类型。默认值是on。 enablegathermerge (boolean) 启用或禁用查询规划程序对收集合并计划类型的使用。默认值是on。 enablehashagg (boolean) 允许或禁用查询规划器使用哈希聚集计划类型。默认值是on。 enablehashjoin (boolean) 允许或禁止查询规划器使用哈希连接计划类型。默认值是on。 enableindexscan (boolean) 允许或禁止查询规划器使用索引扫描计划类型。默认值是on。 enableindexonlyscan (boolean) 允许或禁止查询规划器使用只用索引扫描计划类型。默认值是on。 enablematerial (boolean) 允许或者禁止查询规划器使用物化。它不可能完全禁用物化，但是关闭这个变量将阻止规划器插入物化节点，除非为了保证正确性。默认值是on。 enablemergejoin (boolean) 允许或禁止查询规划器使用归并连接计划类型。默认值是on。 enablenestloop (boolean) 允许或禁止查询规划器使用嵌套循环连接计划。它不可能完全禁止嵌套循环连接，但是关闭这个变量将使得规划器尽可能优先使用其他方法。默认值是on。

本章节介绍网格实例的权限及标签管理 实例权限管理 IAM主子账号权限 应用服务网格支持天翼云CTIAM产品功能，可以实现主账号对子账号的数据权限管理与“部分”功能权限管理。主子账号功能及权限管理，请参考产品文档：统一身份认证。 应用服务网格提供两个默认策略，分别是使用者权限和管理者权限，如图所示。其中使用者权限对应用服务网格实例拥有只读权限。管理者权限对应用服务网格实例拥有管理维护权限。 策略名称 策略描述 应用服务网格CSMadmin 应用服务网格CSM默认管理员策略，拥有所有权限（适用于一类节点资源池） 应用服务网格CSMviewer 应用服务网格CSM默认使用者策略，拥有实例的只读权限（适用于一类节点资源池） 资源标签 在应用服务网格的实例列表页面中，提供给应用服务网格实例添加资源标签，并根据资源标签筛选实例的功能。如下图所示： 光标悬浮在应用网格实例对应的标签列的图标处，点击添加按钮即可编辑网格实例对应的资源标签。 点击标签筛选按钮，即可根据资源标签筛选服务网格实例。

是否可以进行个性化设置？ 和普通电脑一样，可以自由设置系统的壁纸、鼠标、屏保等个性化设置。 提示"无法加载Flash"怎么办？ 我们默认为您开启了Flash使您可以正常观看网络视频。如果出现无法加载的情况，请尝试：打开chrom浏览器，选择“设置”。 点击“高级”，选择“隐私设置或安全性”“内容设置”，再点击“flash”，选择“开启”。重启浏览器即可正常加载Flash插件。 使用天翼云电脑App投屏到电视时画面没有铺满，可以怎么设置？ 可以逐步尝试以下方式： 1. 电视接入的信号源选择全屏显示； 2. 电视机或机顶盒硬件设备调整显示比例，每个比例都试一下； 3. 电视机关闭垂直扫描或者显卡上调整； 4. 退出天翼云电脑app重新登录； 5. 重启天翼AI云电脑。 天翼AI云电脑开机或重启后，桌面的图标没有加载出来怎么办? 点击鼠标右键，选择“刷新”，刷新桌面。 长时间登录不上天翼AI云电脑怎么办？ 当天翼AI云电脑开机或从休眠状态唤醒时，需要一段时间，请您耐心等待，不要切换APP。如果AI云电脑被切换到后台超过1分钟，AI云电脑会再次自动断开连接。

云服务 日志描述 日志 日志生命周期范围 Web应用防火墙（Web Application Firewall，WAF） 攻击日志 wafattack 7~30 天 Web应用防火墙（Web Application Firewall，WAF） 访问日志 wafaccess 7~30 天 态势感知（专业版） 合规基线日志 secmasterbaseline 7~10 天 对象存储服务（Object Storage Service，OBS） 访问日志 obsaccess 7~15 天 入侵防御系统（Intrusion Prevention System，IPS） 攻击日志 nipattack 7~180 天 统一身份认证（Identity and Access Management，IAM） 审计日志 iamaudit 7~180 天 企业主机安全（Host Security Service，HSS） 主机安全告警 hssalarm 7~180 天 企业主机安全（Host Security Service，HSS） 主机漏洞扫描结果 hssvul 7 天 企业主机安全（Host Security Service，HSS） 主机安全日志 hsslog 7~15 天 数据安全中心（Data Security Center，DSC） 告警日志 dscalarm 7~180 天 AntiDDoS流量清洗（AntiDDoS） 攻击日志 ddosattack 7~180 天 数据库安全服务（Database Security Service，DBSS） 告警日志 dbssalarm 7~180 天 云审计服务（Cloud Trace Service，CTS） 云审计服务日志 ctsaudit 7~180 天 云防火墙（Cloud Firewall，CFW） 访问控制日志 cfwblock 7~30 天 云防火墙（Cloud Firewall，CFW） 流量日志 cfwflow 7~15 天 云防火墙（Cloud Firewall，CFW） 攻击事件日志 cfwrisk 7~180 天 API网关（API Gateway） 访问日志 apigaccess 7~180 天

告警事件历史 1. 在Ecs应用详情左边导航栏中选择“告警事件历史“ 2. 在列表页查看告警事件列表信息 具体使用说明可参考应用性能监控>用户指南>告警管理>查看告警事件历史 告警发送历史 1. 在Ecs应用详情左边导航栏中选择“告警发送历史“ 2. 在列表页查看告警发送列表信息 具体使用说明可参考应用性能监控>用户指南>告警管理>查看告警发送历史 通知组 告警支持通过短信、邮箱、翼连等方式将告警信息通知给对应接收人，我们可以在通知组中设置接收人信息。 1. 在Ecs应用详情左边导航栏中选择“通知组“，进入”通知对象”，设置通知基本信息 具体使用说明可参考应用性能监控>用户指南>告警管理>通知对象 通知策略 创建告警通知策略，当告警触发时，只要不符合静默策略，就会依照通知策略在对应渠道发送告警信息给对应的通知对象。 1. 在Ecs应用详情左边导航栏中选择“通知策略“ 2. 查看左侧菜单栏“通知策略列表”，点击具体策略，右侧面板展示策略详情 具体使用说明可参考应用性能监控>用户指南>告警管理>通知策略

本节介绍了: cstorcsi插件的用户指南。 云容器引擎服务提供cstorcsi插件，基于Kubernetes容器存储接口（CSI），深度融合天翼云存储服务云硬盘、弹性文件存储、对象存储、并行文件和海量文件等，并完全兼容Kubernetes原生的存储服务。 插件介绍 cstorcsi插件包括cstorcsiprovisioner和cstorcsinodeplugin两部分。 cstorcsiprovisioner以无状态负载形态部署，通过将云存储服务的功能与 Kubernetes 的存储框架无缝集成，使用户能够通过 Kubernetes API 动态创建和删除存储卷，而无需直接与云存储服务进行交互； cstorcsinodeplugin以守护进程形态部署在所有节点，将存储卷与节点上的容器运行时进行集成，并提供对存储卷的挂载、卸载和快照等操作的支持，以使容器可以方便地使用存储卷提供的持久性存储功能。 版本推荐 目前CSI版本中，4.0及以上版本为新版插件，4.0以下版本为旧版插件。两版插件的实现逻辑存在差异，建议优先采用新版插件。 新版插件完全兼容旧版插件的所有功能，不存在兼容性问题。 插件安装 前提条件 大部分资源池插件安装无需配置用户AK和SK，仅少部分资源池在安装前需要配置。如需配置AK和SK，请先到天翼云门户“用户”“安全设置”“用户AccessKey”中获取AK和SK。 预付费账号请检查天翼云账户余额是否在100元以上，cstorcsi插件开通的存储为按需付费方式，需要账户余额在100元以上才可正常开通。 强烈建议使用CStorCSI的最新版本，至少选择4.0及其以上版本，越高的版本具备更多特性，更好的性能，更好的兼容性。最新CSI版本兼容之前的CSI版本。

本章节主要介绍翼MapReduce的导入证书操作。 操作场景 CA证书用于FusionInsight Manager各个模块、集群的组件客户端与服务端在通信过程中加密数据，实现安全通信。FusionInsight Manager支持快速导入CA证书，以确保产品安全使用。适用于以下场景： 首次安装好集群以后，需要更换企业证书。 企业证书有效时间已过期或安全性加强，需要更换为新的证书。 对系统的影响 更换证书过程中集群需要重启，此时系统无法访问且无法提供服务。 更换证书以后，所有组件和Manager的模块使用的证书将自动更新。 更换证书以后，还未信任该证书的本地环境，需要重新安装证书。 前提条件 证书文件和密钥文件可向企业证书管理员申请或由管理员生成。 获取需要导入到集群的CA证书文件（ .crt）、密钥文件（ .key）以及保存访问密钥文件密码的文件（password.property）。证书名称和密钥名称支持大小写字母和数字。以上文件在生成以后需要打包成tar格式压缩包。 准备一个访问密钥文件的密码用于访问密钥文件。 密码复杂度要求如下，如果密码复杂度不满足如下要求，可能存在安全风险： − 密码字符长度最小为8位。 − 至少需要包含大写字母、小写字母、数字、特殊字符~!?,.;'(){}[]/<>@ $%^&+中的4种类型字符。 向证书管理员申请证书时，请提供访问密钥文件的密码并申请crt、cer、cert和pem格式证书文件，以及key和pem格式密钥文件。申请的证书需要有签发功能。

本章节主要介绍翼MapReduce的用户组管理操作。 操作场景 FusionInsight Manager最大支持5000个用户组（包括系统内置用户组）。根据不同业务场景需要，管理员使用FusionInsight Manager创建并管理不同用户组。用户组通过绑定角色获取操作权限，用户加入用户组后，可获得用户组具有的操作权限。用户组同时可以达到对用户进行分类并统一管理多个用户。 前提条件 管理员已明确业务需求，并已创建业务场景需要的角色。 已登录FusionInsight Manager。 添加用户组 1. 选择“系统 > 权限 > 用户组”。 2. 在组列表上方，单击“添加用户组”。 3. 填写“组名”和“描述”。 “组名”由数字、字母、或下划线、中划线（）或空格组成，不区分大小写，长度为1～64位，不能与系统中已有的用户组名相同。 4. 在“角色”，单击“添加”选择指定的角色并添加。 说明 对于已启用Ranger授权的组件（HDFS与Yarn除外），Manager上非系统默认角色的权限将无法生效，需要通过配置Ranger策略为用户组赋权。 HDFS与Yarn的资源请求在Ranger中的策略条件未能覆盖的情况下，组件ACL规则仍将生效。 5. 在“用户”，单击“添加”选择指定的用户并添加。 6. 单击“确定”完成用户组创建。 查看用户组信息 用户组列表默认显示所有用户组。单击指定用户组名称左侧的箭头展开详细信息，可以查看此用户组中的用户数、用户以及绑定的角色。 修改用户组信息 在要修改信息用户组所在的行，单击“修改”，修改用户组信息。

本章节主要介绍通过弹性公网IP访问。 为了方便用户访问开源组件的Web站点，翼MapReduce集群支持通过为集群绑定弹性公网IP的方式，访问集群上托管的开源组件。该方式更加简便易操作，推荐使用该方式访问开源组件的Web站点。 绑定弹性公网IP 1. 在集群列表页面，单击“集群名称”列下需要绑定IP的集群名称，进入该集群信息页面。 2. 确定需要开通公网访问组件所在的节点。可以通过单击“访问链接与端口”，在“集群服务名称”中找到需要开通公网访问的组件，其“原生UI地址”中包含所在节点内网IP地址。 3. 单击“节点管理”，点击“节点组名称”列的下拉按钮，展开对应的节点信息，确定需要开通公网访问的节点，单击“操作”列的“更多”。 4. 单击“绑定弹性IP”，在“绑定弹性IP”的弹框中，如果您账号下没有可用的弹性公网IP，需要点击“+创建弹性公网IP”按钮跳转至新页面进行创建；如果您账号下有可用的弹性公网IP，可以通过下拉“弹性IP”的选择框选择IP后，点击“确认”进行绑定。 5. 绑定弹性IP后，根据需要对集群安全组规则进行相应的添加或修改，变更端口的访问权限。之后可以通过“公网IP：端口”的方式访问该开源组件的Web站点。

本章节主要介绍翼MapReduce的查看集群静态资源操作。 操作场景 大数据管理平台支持通过静态服务资源池对没有运行在Yarn上的服务资源进行管理和隔离。系统支持基于时间的静态服务资源池自动调整策略，使集群在不同的时间段自动调整参数值，从而更有效地利用资源。 系统管理员可以在FusionInsight Manager查看静态服务池各个服务使用资源的监控指标结果，包含监控指标如下： 服务总体CPU使用率 服务总体磁盘IO读速率 服务总体磁盘IO写速率 服务总体内存使用大小 说明 启用多实例功能后，支持管理HBase所有服务实例使用的CPU、I/O和内存总量。 操作步骤 1. 在FusionInsight Manager界面，选择“集群 > 待操作集群的名称 > 静态服务池”。 2. 在“配置组列表”，单击一个配置组，例如“default”。 3. 查看系统资源调整基数。 “系统资源调整基数”表示集群中每个节点可以被集群服务使用的最大资源。如果节点只有一个服务，则表示此服务独占节点可用资源。如果节点有多个服务，则表示所有服务共同使用节点可用资源。 “CPU”表示节点中服务可使用的最大CPU。 “Memory”表示节点中服务可使用的最大内存。 4. 在图表区域，查看集群服务资源使用状态指标数据图表。 说明 可通过“为图表添加服务”，将特定服务的静态服务资源数据添至图表，最多可选择12个服务。 管理单个图表的操作，可参见

本章节介绍注册配置中心常见实例问题 订购的ZooKeeper/Nacos/Eureka实例为什么没有外网地址？ 如果购买的实例没有绑定ELB，那么您的实例没有外网地址。您绑定ELB就可以用ELB的地址实现外网访问实例。 Nacos实例升级会不会影响用户正常服务？ 对于多节点集群，重启不影响用户服务，实例升级过程中，各节点服务器依次滚动重启，保证用户使用Nacos服务不间断；对于单机实例，重启可能会受到服务中断影响，所以建议生产（线上）环境使用三节点以上的集群进行服务。 生产环境下Nacos设置多少个节点比较好呢？ Nacos建议的规格书2n+1个节点，最佳值需根据实际需求和规格能力计算获得。 Nacos支持开源的Nacos控制台吗？ 默认不支持访问Nacos开源控制台。 Nacos Client支持哪些版本，推荐使用哪个版本？ Nacos Client 1.2.1版本以上均支持，推荐使用Nacos 2.x系列版本的Nacos Client。 MSE里的Nacos服务怎么下线？ 服务管理页面，选择指定的命名空间和服务名称，查看服务详情，按服务实例的维度进行下线操作。 如果 注册配置中心的某个实例被删除， 天翼云会提供恢复的解决方案吗？如果有的话需要多久能恢复？ 实例过期时间提前7天会有短信通知，实例退订后数据会保留15天，在此期间可以恢复实例。超过时间则无法恢复。