2，其他云厂商注册配置中心与天翼云MSE Nacos实例网络不通，但具备公网访问能力 1. 将其他云厂商的注册配置中心实例配置为可公网访问，通过公网访问业务API保证配置成功； 2. 在天翼云购买EIP和NAT网关，打通天翼云Nacos所在内网VPC到公网的访问链路，参考文档使用SNAT访问公网 3. 登录微服务引擎MSE注册配置中心管理控制台，选择资源池； 4. 在左侧导航栏，选择注册配置中心 > 实例列表； 5. 在实例列表页面，选择一个引擎类型为Nacos的实例，单击目标实例ID、实例名称或者目标行“管理”按钮均可跳转至实例基础信息页面； 6. 选择迁移上云> 概览页面，点击安装按钮安装迁移工具； 7. 安装完成后，打开迁移集群管理页面，点击新增集群按钮新增自建集群； 8. 在弹出框中输入集群名称、选择集群类型、填写用户名密码以及源集群的公网IP列表，点击新建按钮即可添加自建集群； 9. 打开同步任务管理页面，点击新增任务，输入任务名称、选择自建集群与目标命名空间、勾选需要同步的服务，最后点击新增按钮完成同步任务的新增； 10. 打开服务管理> 服务列表，选择目标命名空间，确认自建集群的服务是否迁移成功；

参数 是否必填 参数类型 说明 示例 下级对象 clientToken 是 String 客户端存根，用于保证订单幂等性, 长度 1 64 79fa97e3c48bxxxx9f466a13d8163678 regionID 是 String 区域ID 81f7728662dd11ec810800155d307d5b targetGroupID 是 String 后端服务组ID tgxxx description 否 String 支持拉丁字母、中文、数字, 特殊字符：~!@$%^&()+ <>?:'{},./;'[,]·！@￥%……&（） —— +{},《》？：“”【】、；‘'，。、，不能以 http: / https: 开头，长度 0 128 desc instanceType 是 String 实例类型。取值范围：VM、BM、ECI、IP、IDC VM instanceID 是 String 实例ID，非IDC类型时必传，IP类型传网卡id xxxx protocolPort 是 Integer 协议端口。取值范围：165535 2000 weight 否 Integer 权重。取值范围：1256，默认为100 256 instanceVpc 否 String 当 instanceType 为 IDC 时，必须传 vpcxxxx instanceIP 否 String 后端服务IP，当 instanceType 为 IDC 时，必须传，当 instanceType 为IP类型且指定网卡IP 时，传入指定的IP 192.2.22.2

实践 描述 云防火墙提供了“标准版”供您使用，包括访问控制、入侵防御、流量分析以及日志审计等功能，本实践介绍如何进行防火墙使用。 本实践以配置IP地址组和服务组为例，说明如何批量配置IP地址和服务访问控制策略。

参数 说明 权限 ACL 策略的操作权限分为两类：允许和拒绝。 若只设置允许规则，则除允许的规则外的其他IP或网段都无法连接实例。 若只设置拒绝规则，则除拒绝的规则外的其他IP或网段需要设置了允许规则后才可以连接实例。 若同时设置允许规则和拒绝规则，则只有允许规则中的IP或网段可以连接实例，其他IP或网段都无法连接实例。 用户 选择需要设置权限的用户。 IP或网段 填写需要设置权限的 IP 或网段，用 ; 隔开，若 IP 为空，则默认为全部 IP 添加权限。 操作 选择策略生效的动作，即向 Topic 生产或消费消息。 自动应用后续所有新增topic 开启后，后续页面上创建的Topic会自动关联此规则，多个策略只允许一条策略开启。

参数 说明 权限 ACL 策略的操作权限分为两类：允许和拒绝。 若只设置允许规则，则除允许的规则外的其他IP或网段都无法连接实例。 若只设置拒绝规则，则除拒绝的规则外的其他IP或网段需要设置了允许规则后才可以连接实例。 若同时设置允许规则和拒绝规则，则只有允许规则中的IP或网段可以连接实例，其他IP或网段都无法连接实例。 用户 选择需要设置权限的用户。 IP或网段 填写需要设置权限的 IP 或网段，用 ; 隔开，若 IP 为空，则默认为全部 IP 添加权限。 操作 选择策略生效的动作，即向 Topic 生产或消费消息。 自动应用后续所有新增topic 开启后，后续页面上创建的Topic会自动关联此规则，多个策略只允许一条策略开启。

本节介绍了:容器水平伸缩(HPA)的用户指南。 容器水平伸缩 云容器引擎支持在控制台界面上快速创建支持HPA的应用，实现容器资源的弹性伸缩。您也可通过定义HPA（Horizontal Pod Autoscaling）的YAML来进行配置。 背景信息 从v1.18开始，K8s v2beta2 API允许通过HPA的behavior字段配置扩缩行为。在behavior字段中的scaleUp和scaleDown分别指定扩容和缩容行为。当您在使用HPA时，希望只进行扩容或者只进行缩容的Pod伸缩，则可以通过开启指标伸缩，单击禁止缩容或者禁止扩容来实现。 默认值：均不禁止 禁止扩容：selectPolicy的值Disabled会关闭给定方向的扩容。因此使用以下策略，将会阻止扩容。 plaintext behavior: scaleUp: selectPolicy: Disabled 禁用缩容：selectPolicy的值Disabled会关闭给定方向的缩容。因此使用以下策略，将会阻止缩容。 plaintext behavior: scaleDown: selectPolicy: Disabled 伸缩规则 HPA总体支持两种度量指标，一种为资源度量指标 ，默认情况下仅支持cpu、内存这两种资源指标，它不仅支持资源百分比也支持平均值；另一种为自定义度量指标，包含Pod度量跟Object度量两大类。 资源度量指标 以CPU为例，配置示意如下： plaintext type: Resource resource: name: cpu target: type: Utilization averageUtilization: 50

本页介绍分布式融合数据库HTAP快速入门的相关准备工作。 在创建分布式融合数据库HTAP实例之前，您需要进行一些准备工作，确保正确配置和管理实例的网络环境和安全性。 首先，您需要设置一个虚拟私有云（VPC）。VPC是一个隔离的网络环境，用于托管分布式融合数据库HTAP实例。通过VPC，您可以自主配置和管理实例的网络，确保数据和通信的安全性。 其次，为了更好地管理和划分网络，您需要在VPC内创建一个或多个子网。子网是VPC内部的子网络，可以用于将不同的部分和区域进行划分。这样的划分可以更好地组织实例和资源，并提高网络的可扩展性。 最后，您需要配置一个安全组。安全组用于控制实例的入站和出站流量，确保实例的安全性。通过设置安全组规则，您可以限制允许访问实例的IP范围，从而防止未经授权的访问。 每个分布式融合数据库HTAP实例都将被部署在特定的VPC中，并与特定的子网和安全组相关联。如果您已经有现成的VPC、子网和安全组，可以重复使用它们，无需重复创建。这将节省时间和资源，并确保实例的一致性和可靠性。 VPC和子网 VPC和子网可重复使用，您也可以使用不同的VPC和子网来配置实例，您可根据实际需要进行配置。在创建VPC和子网时应注意如下要求： VPC与分布式融合数据库服务应在相同的区域。 如无特殊需求，创建VPC和子网的配置参数使用默认配置即可。 创建VPC和子网的操作请参考虚拟私有云创建VPC、子网搭建私有网络。 若需要在已有VPC上创建和使用新的子网，请参考虚拟私有云子网管理创建子网。

标签路由是将每个服务打上一个标签，通过标签将标签相同的服务分为同一个分组，然后约束流量在同一个分组内流转，以此实现灰度发布、金丝雀发布、蓝绿发布等功能。 功能入口 1. 完成灰度应用部署后，即可查看应用当前存在的标签。 2. 登录云应用引擎控制台。 3. 在左侧导航栏选择 应用管理 > 应用列表，单击目标应用名称。 4. 应用基础信息页面，选择 微服务治理 > 流量治理，单击 标签路由 使用标签路由 1. 在标签路由页单击流量分配，为标签按比例分配流量。 2. 在标签路由页的流量规则栏新增流量规则。 流量规则参数说明： 参数 说明 路由名称 路由规则的名称。 应用 所选的应用。 标签 设置的标签名。 应用实例 设置了该标签的实例ip。 是否链路传递 代表开启全链路流控。 框架类型 Spring Cloud Dubbo。 Path SpringCloud为path路径，Dubbo为接口。 条件模式 满足一个条件，或者满足所有条件。 条件列表 可以设置Header、Cookie、Parameter和Body Content四种参数类型。 是否开启流量规则 流量规则开关。

本小节介绍配置登录白名单。 通过配置目标服务器IP、登录端IP以及登录端用户名完成登录白名单添加，添加后HSS对白名单内IP、用户名的登录、访问行为进行忽略。 注意 配置的目标服务器IP、登录端IP以及登录端用户名需同时满足白名单配置的信息，检测时才会忽略。 如果将已经产生告警的目标IP通过添加登录告警白名单方式加入白名单，加入白名单之后的检测会对目标IP进行忽略，但已经产生的告警不会自动放行，仍需对告警进行处理，处理详情请参见查看入侵告警事件。 您可以通过以下两种方式添加登录白名单： 处理告警事件时，将“帐户暴力破解”和“帐户异常登录”类型的告警事件加入到登录白名单，详细信息请参见入侵告警事件。 在“登录白名单”页面，添加登录白名单。 约束限制 需开启旗舰版、网页防篡改版、容器版任一防护版本。 添加登录告警白名单 1、登录管理控制台。 2、在页面左上角选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、选择“入侵检测 > 白名单管理 > 登录白名单”，进入“白名单管理”页面，单击“添加”。 4、在“添加登录安全白名单”对话框中，输入“服务器IP”、“登录IP”和“登录用户名”。 添加登录安全白名单 登录安全白名单参数说明 参数名称 参数说明 取值样例 服务器IP 支持IPv4地址。 支持单个IP、IP范围、IP掩码，以英文逗号分隔。 192.168.1.1 192.168.2.1192.168.6.1 192.168.7.0/24 登录IP 登录用户名 当前登录用户名。 hsstest 5、单击“确认”，完成登录白名单的添加。

本节主要介绍网关访问保留源IP 操作场景 服务通过网关访问时，默认情况下，目标容器中看到的不是客户端的源IP，如果需要保留源IP，请参考本节指导操作。 配置方法 请在CCE控制台“服务发现”页面，istiosystem命名空间下，更新服务所关联的网关服务，将服务亲和改成“节点级别”。前提是已开启ELB的获取客户端IP功能（当前为默认开启）。 externalTrafficPolicy：表示此Service是否希望将外部流量路由到节点本地或集群范围的端点。有两个可用选项：Cluster（默认）和Local。Cluster隐藏了客户端IP，可能导致第二跳到另一个节点，但具有良好的整体负载分布。Local保留客户端源IP并避免LoadBalancer和NodePort类型服务的第二跳，但存在潜在的不均衡流量传播风险。 验证方式 结合httpbin镜像在“xforwardfor”字段中可以看到源IP，httpbin是一个HTTP Request & Response Service，可以向他发送请求，他将会按照指定的规则将请求返回。httpbin镜像可在SWR中搜索。使用httpbin镜像进行验证时请确保集群已开通网格。 1. 登录ASM应用服务网格控制台，选择一个可用的测试网格并单击进入。 2. 选择左侧“网格配置”查看其关联的集群。 3. 单击集群名称进入集群详情页，单击对应集群右上角第三个图标“工作负载”进入“工作负载”页签。 4. 配置工作负载的信息。 5. 单击右下角“确定”完成服务创建。 6. 单击右下角“创建工作负载”完成工作负载创建。 7. 在集群详情页选择左侧“服务发现”页签，可在服务列表中查看到所创建的httpbin服务。 8. 返回ASM应用服务网格，选择左侧“服务管理”页签，在服务管理中可查看到httpbin的配置诊断显示为异常。 9. 单击此服务配置诊断中的“处理”按钮，按照弹出“配置诊断”页面对应的修复指导进行修复。 10. 选择左侧“网关管理”页签，单击右上角“添加网关”，在弹出“添加网关”页面输入配置信息。 11. 单击“确定”完成网关添加。 12. 选择左侧“服务管理”页签，可以在“访问地址”查看到所创建路由的外部访问地址。 13. 单击之前添加路由时设置映射的外部访问地址，可以在“xforwardfor”字段中查看网关获取的IP为容器段IP。 14. 返回集群详情页，选择左侧导航栏“服务发现”，更改服务所关联的网关服务的配置。方法如下： 下拉上方“命名空间”列表选择“istiosystem”。 展开服务后方“更多”选项，单击“更新”，在弹出“更新服务”页面将“服务亲和”更改为“节点级别”，单击“确定”。 15. 返回13中访问的外部地址并刷新，若设置之后“xforwardfor”字段中显示的网关获取IP的结果为本机源IP，则完成验证。

本小节介绍微隔离防火墙创建工作组方法。 在接入工作负载之前，推荐先根据业务情况创建工作组，以便于后续工作负载直接接入对应的工作组（也可以先预设几个组，接入工作负载后，再根据业务进行组的划分）。 新建组标签 1.首先点击菜单栏的标签管理： 2.进入标签管理页面后，根据业务属性，创建对应的位置、环境、应用标签（用于后续定义工作组）。 3.标签分为名称及显示名称，名称支持英文、数字及下划线组合，且唯一。显示名称可以为中文，不唯一。 创建工作组 1.点击菜单栏的工作组，进入工作组管理页面： 2.点击新建，在弹出的对话框中输入此工作组的相关信息，根据业务情况选择事先创建的标签。每个工作组由03个组标签定义，若某一项无标签，可不选择。 注意 当工作组无标签时，无法匹配策略。 3.点击确定后，工作组建立完成，拓扑图中会出现该工作组。 安全风险说明 说明 不建议暴露安全产品管理端口到公网，存在一定安全风险，请使用安全组进行防护。 案例：安全组防护微隔离防火墙管理端口6443。 登录控制台的云主机实例详情页面，选择【安全组】功能。这里您可以创建和管理安全组规则。 其次，点击【配置规则】下的【入方向规则】。在规则配置中，选择【添加入方向规则】，限制源地址为您日常登录使用的IP或IP段。例如限制为您公司办公网络。

本章节为您介绍 如何排查数据库资产连通性失败？ 数据库添加完成后，该数据库的“连通性”为“检查中”，此时，DSC会测试数据库的连通性，如果数据库的“连通性”为“失败”，请按照以下步骤进行排查： 1. 检查添加资产的IP、帐号、密码、数据库名是否正确。 不正确，修改添加资产的IP、帐号、密码、数据库名。 正确，执行2。 2. 检查您资产安全组的出方向是否全部放开。 没有全部放开，需要添加出方向规则，安全组的出方向全部放开后再编辑数据库重新添加，如果仍失败，执行3。 已全部放开，执行3。 3. 检查数据库对应IP子网的可用IP数是否为0。 由于DSC服务需要对数据库进行网络打通，至少需要一个可用IP数。如果数据库对应IP子网的可用IP数为0，则需要在对应数据库服务中添加可用IP。

本文将详细介绍realip插件功能、配置和使用。 功能说明 realip 插件支持动态改变传递到网关的客户端的 IP 地址和端口。其工作方式和 NGINX 中的 ngxhttprealipmodule 模块一样，并且更加灵活。 配置字段 名称 类型 填写要求 默认值 有效值 描述 source string 必填 任何 NGINX 变量，如 argrealip 或 httpxforwardedfor 动态设置客户端的 IP 地址和端口。如果该值不包含端口，则不会更改客户端的端口。如果该值的地址丢失或无效，则不会更改客户端的地址。 trustedaddresses array[string] 可选 IP 或 CIDR 范围列表。 受信任地址，用于动态设置 setrealipfrom 字段。 recursive boolean 可选 false 如果禁用递归搜索，则与受信任地址之一匹配的原始客户端地址将替换为配置的source中发送的最后一个地址。如果启用递归搜索，则与受信任地址之一匹配的原始客户端地址将替换为配置的source中发送的最后一个非受信任地址。 配置示例 realip 使用示例 plaintext source: "argrealip" trustedaddresses: 127.0.0.0/24 该配置表示从请求参数realip中获取客户端的IP地址和端口，并且设置发出请求的受信任地址CIDR范围为127.0.0.0/24，即127.0.0.0127.0.0.255。 根据该场景请求路由 plaintext curl 若发出请求的受信任地址在配置的CIDR范围内，则传递给网关的客户端IP地址和端口将被设置为1.2.3.4和27151

配置项 说明 标签 用于对 PV 对象进行标记和分类的元数据属性，可以赋予 PV 以自定义的属性或标识。 持久卷类型 当前支持云盘、弹性文件、对象存储、并行文件和海量文件，这里选择云盘。 具体创建页中展示的存储类型由当前资源池支持情况决定。 存储驱动 采用默认CSI驱动。 访问模式 单机读写（ReadWriteOnce）：卷可以被一个节点以读写方式挂载。 多机只读（ReadOnlyMany）：卷可以被多个节点以只读方式挂载。 多机读写（ReadWriteMany）：卷可以被多个节点以读写方式挂载。 说明：如果使用非共享盘存储，访问模式不能为ReadWriteMany或者ReadOnlyMany。仅PVC为块设备模式（Block）时，才可以使用共享盘，访问模式才可以为ReadWriteMany或者ReadOnlyMany。 挂载类型 当前支持ext4、xfs。 挂载选项 挂载参数，用户可根据自己的情况实际定制相关参数。 比如设置挂载参数为： discard：表示在挂载文件系统时指定 discard 参数，文件系统中删除文件后会自动触发 discard 操作，通知块设备释放掉未使用的 Block 。 卷模式 文件系统（Filesystem）：默认方式，该类型卷会被 Pod 挂载（Mount） 到某个目录。 如果卷的存储来自某块设备而该设备目前为空，Kuberneretes 会在第一次挂载卷之前在设备上创建文件系统。 块设备（Block）： 这类卷以块设备的方式交给 Pod 使用，其上没有任何文件系统。 这种模式对于为 Pod 提供一种使用最快可能方式来访问卷而言很有帮助， Pod 和卷之间不存在文件系统层。 说明：如果使用共享盘存储，卷模式仅支持块设备（Block）。 名称 PV的名称，以pvc开头。 已有存储类 选择存储类功能在静态存储卷场景下较少使用。 仅当已存在带有存储类声明的持久卷申明（PVC）时，才需在此处配置匹配的存储类以实现绑定。 云盘ID 选择已有云盘实例。单击会弹出选择云盘会话，会话中会展示可使用的云盘信息，可使用条件包括： 云盘所在可用区与集群节点可用区相同。 磁盘模式为VBD、磁盘为非加密盘。 磁盘为非系统盘 及非云主机成套资源 。 磁盘状态可用。 如磁盘为非共享盘，磁盘需未被挂载。 注意 同一个云硬盘不能导入到两个持久卷中使用，这样会造成一些K8S的使用问题。用户需要辨别哪些云硬盘已经被pv使用，需要避免出现两个持久卷指向同一个云硬盘的情况。

参数 描述 业务网络 该网段用于业务与系统之间的数据传输。IP CIDR格式。 如果指定业务网，请确保服务器上有与指定网段相符的IP，系统会自动选取该IP和客户端进行通信。 如果未指定业务网络，或指定了业务网络，但指定的网段与服务器所有IP均不相符，系统会使用您在第2步指定的服务器IP进行数据传输，该服务器IP不可指定为localhost、127.0.0.1或0:0:0:0:0:0:0:1。

响应示例2 plaintext HTTP/1.1 200 OK xhblockrequestid: b859187a66164328b538bc421c2861da Connection: keepalive ContentLength: 1096 Date: Thu, 24 Jul 2025 08:36:15 GMT ContentType: application/json;charsetutf8 Server: HBlock { "data": { "targetName": "target03", "maxSessions": 2, "iSCSITargets": [ { "iqn": "iqn.201208.cn.ctyunapi.oos:target03.5", "ips": [ { "ip": "192.168.0.67", "port": 3260 } ], "serverId": "hblock3", "allowlist": { "initiator": [ { "names": [ "iqn.199105.com.microsoft:songt0001" ], "IPs": [ "192.168.0.70" ] }, { "IPs": [ "192.168.0.66" ] } ], "target": [ { "IPs": [ "192.168.0.64" ] }, { "IPs": [ "192.168.0.65" ] }, { "IPs": [ "192.168.0.67" ] }, { "IPs": [ "192.168.0.64", "192.168.0.65", "192.168.0.67" ] }, { "IPs": [ "192.168.0.71" ] } ] } }, { "iqn": "iqn.201208.cn.ctyunapi.oos:target03.6", "ips": [ { "ip": "192.168.0.65", "port": 3260 } ], "serverId": "hblock1", "allowlist": { "initiator": [ { "names": [ "iqn.199105.com.microsoft:songt0001" ], "IPs": [ "192.168.0.70" ] }, { "IPs": [ "192.168.0.66" ] } ], "target": [ { "IPs": [ "192.168.0.64" ] }, { "IPs": [ "192.168.0.65" ] }, { "IPs": [ "192.168.0.67" ] }, { "IPs": [ "192.168.0.64", "192.168.0.65", "192.168.0.67" ] }, { "IPs": [ "192.168.0.71" ] } ] } } ], "luns": [ { "lunName": "lun03a", "number": 0 }, { "lunName": "lun03b", "number": 1 } ], "chap": { "name": "chaptest", "status": "Disabled" }, "createTime": 1752111720420, "serverIds": [ "hblock1", "hblock3" ], "num": 2, "reclaimPolicy": "Delete" } }

步骤三：目标集群创建与纳管 在这个阶段，您将评估目标集群所需规格信息并创建对应的天翼云CCE集群；然后将该目标集群关联到分布式容器云平台CCE One注册集群； 云容器引擎允许用户对集群资源进行个性化选取，以精准匹配其多样化的业务诉求。如下所示的表中，列举了集群的指标参数，并提供了参考规划选择；用户应依据自身业务的确切需求，对相关设置做出合理调配，其间，我们建议尽可能保持与原集群性能配置的一致性水平。 主要指标参数 指标参数说明 本示例规划 kubernetes版本 1.27.8 1.29.3 1.29.3 网络插件 cubecni：cubecni 是云容器引擎自研的网络插件，支持基于 Kubernetes 标准的网络策略来定义容器间的访问策略 calico：使用社区 calico CNI 插件的IP模式 cubecni apiserver访问 API Server的访问需要依赖ELB实例，您可根据需要选择合适的ELB规格，系统将根据该规格创建一个私网ELB实例。规格选择请见：了解ELB实例规格 标准型I 控制节点数 1：单控制节点，无高可用能力，不建议在生产环境使用 3：基本的高可用能力 5：更多冗余的高可用能力 3 节点规格 分为控制节点规格和工作节点规格，如何选择可以参考：集群规格推荐规划 通用型4C8G 工作节点操作系统 公有镜像：ctyunos23.01 私有镜像：用户自定义镜像 ctyunos23.01 在目标CCE集群创建好后，需要进入天翼云分布式容器云平台CCE One控制台，将目标CCE集群关联到CCE One的注册集群以便支持后期的纳管与联邦调度能力；

本文介绍边缘安全加速平台名词术语。 CNAME 记录 CNAME ( Canonical Name )，即别名，用于把一个域名解析到另一个域名，当 DNS 系统在查询 CNAME 左面的名称的时候，都会转向 CNAME 右面的名称再进行查询，一直追踪到最后的 PTR 或 A 名称，成功查询后才会做出回应，否则失败。例如，您有一台服务器，使用 ctyun.cn 访问，您又希望通过 ctyun.cn1 也能访问该服务器，那么就需要在您的 DNS 解析服务商添加一条 CNAME 记录，将 ctyun.cn 指向 ctyun.cn1，添加该条 CNAME 记录后，所有访问 ctyun.cn 的请求都会被转到 ctyun.cn1，获得相同的内容。 DNS DNS 即Domain Name System，是域名解析服务的意思。它在互联网的作用是：把域名转换成为网络可以识别的 IP 地址。人们习惯记忆域名，但机器间互相只认 IP 地址，域名与 IP 地址之间是一一对应的，它们之间的转换工作称为域名解析，域名解析需要由专门的域名解析服务器来完成，整个过程是自动进行的。比如：上网时输入的 www.ctyun.cn 会自动转换成为220.181.112.143。 常见的DNS解析服务商有：阿里云解析，万网解析，DNSPod，新网解析，Route53（AWS），Dyn，Cloudflare等。 边缘安全节点 边缘安全节点是相对于网络的复杂结构而提出的一个概念，指距离最终用户接入具有较少的中间环节的网络节点，对最终接入用户有较好的响应能力和连接速度。其作用是将访问量较大的网页内容和对象保存在服务器前端的专用 Cache 设备上，以此来提高网站访问的速度和质量。 回源 HOST 回源 host 决定回源请求访问到源站上的具体某个站点。 例1：源站是域名源站为 www.ctyun.cn，回源 host 为 www.ctyun.cn1，那么实际回源是请求到 www.ctyun.cn 解析到的IP，对应的主机上的站点 www.ctyun.cn1。 例2：源站是 IP 源站为1.1.1.1，回源 host 为www.ctyun.cn1，那么实际回源的是1.1.1.1对应的主机上的站点 www.ctyun.cn1。 协议回源 协议回源指回源时使用的协议和客户端访问资源时的协议保持一致，即如果客户端使用 HTTPS 方式请求资源，当 CDN 节点上未缓存该资源时，节点会使用相同的 HTTPS 方式回源获取资源；同理如果客户端使用 HTTP 协议的请求，CDN 节点回源时也使用 HTTP 协议。 过滤参数 过滤参数是指当URL请求中带“？”并携带参数请求到 CDN 节点的时候，CDN 节点在收到该请求后可根据配置决定是否将该带参数的 URL 请求回源站。当开启过滤参数时，该请求到 CDN 节点后会截取到没有参数的 URL 向源站请求。并且 CDN 节点仅保留一份副本。如果关闭该功能，则每个不同的 URL 都缓存不同的副本在 CDN 的节点上。 Web 安全 相关 Web 应用层面的安全问题与事件,包括各种 Web 组件、协议、应用等。 正则防护 经验规则集，自动为网站防御 SQL 注入、XSS 跨站、Webshell 上传、命令注入、后门隔离、非法文件请求、路径穿越、常见应用漏洞攻击等通用的 Web 攻击。 网站白名单 通过设置网站白名单，可以让满足条件的请求不经过任何 Web 应用防火墙防护模块的检测，直接访问源站服务器。 IP 黑名单 支持一键阻断来自指定 IP 地址、IP 地址段以及指定地理区域的 IP 地址的访问请求。 0Day 漏洞 0Day 是指在系统商在知晓并发布相关补丁前就被掌握或者公开的漏洞信息。 CC 安全防护 根据访问者的 URL，频率、行为等访问特征，智能识别 CC 攻击，迅速识别 CC 攻击并进行拦截，在大规模 CC 攻击时可以避免源站资源耗尽，保证企业网站的正常访问。 防敏感信息泄露 帮助网站过滤服务器返回内容（异常页面或关键字）中的敏感信息（例如身份证号、银行卡号、电话号码和敏感词汇），脱敏展示敏感信息或返回默认异常响应页面。 网络爬虫 又称为网页蜘蛛，网络机器人，是一种按照一定的规则，自动地抓取万维网信息的程序或者脚本。 挖矿 借助大量计算能力来计算产生虚拟货币。 多源评估 通过对多种输入信息源数据动态地进行综合分析与评估的能力。 访问主体 能访问客体的主动实体。 访问客体 能与主体建立访问连接的被动实体。 SSL 证书 SSL 证书（Secure Sockets Layer）指一种安全协议，目的是为互联网通信提供安全及数据完整性保障。SSL 证书遵循 SSL 协议，可安装在服务器上，实现数据传输加密。 云工作负载 指云环境中从应用程序层到管理程序或处理的自包含组件（如堆栈中的虚拟机和容器）的整个应用程序堆栈。 访问控制 确保对资产的访问是基于业务和安全要求进行授权和限制的手段。 零信任 一组围绕资源访问控制的安全策略、技术与过程的统称。从对访问主体的不信任开始，通过持续的身份鉴别和监测评估、最小权限原则等，动态调整访问策略和权限，实施精细化的访问控制和安全防护。 策略引擎 负责最终决定是否授予指定访问主体对资源（访问客体）的访问权限。策略引擎使用企业安全策略以及来自外部源的输入作为“信任算法”的输入，以决定授予或拒绝对该资源的访问。 连接器 放置在业务前端的引流设备，用于打通内外网业务，确保终端用户可以安全访问业务数据。 动态授权 基于零信任对访问主体永不信任的原则，根据用户所处的环境动态调整用户拥有的访问权限。 SDP 即软件定义边界，旨在对于网络安全防护中不信任任何设备、人物、身份、系统等相关，每一个步骤都要有所验证，有所根据，让所有安全防护的相关都变为可信安全。 TCP 协议 TCP 协议指传输控制协议（Transmission Control Protocol），是一种面向连接的、可靠的、基于字节流的传输层通信协议，由 IETF 的 RFC 793 定义。TCP 工作在网络 OSI 的七层模型中的第四层（传输层），连接到不同但互连的计算机通信网络的主计算机中的成对 进程之间依靠 TCP 提供可靠的通信服务。 UDP 协议 Internet 协议集支持一个无连接的传输协议，该协议称为用户数据包协议（UDP，User Datagram Protocol）。UDP 为应用程序提供了一种无需建立连接就可以发送封装的 IP 数据包的方法。RFC 768 描述了 UDP。 Internet 的传输层有两个主要协议，互为补充。无连接的是 UDP，它除了给应用程序发送 数据包功能并允许它们在所需的层次上架构自己的协议之外，几乎没有做什么特别的事情。 面向连接的是 TCP，该协议几乎做了所有的事情。 无服务器 Serverless 无服务器是一种云原生开发模型，可使开发人员专注构建和运行应用，而无需管理服务器。无服务器方案中仍然有服务器，但它们已从应用开发中抽离了出来。云提供商负责置备、维护和扩展服务器基础架构等例行工作。开发人员可以简单地将代码打包到容器中进行部署。部署之后，无服务器应用即可响应需求，并根据需要自动扩容。公共云提供商的无服务器产品通常通过一种事件驱动执行模型来按需计量。因此，当无服务器功能闲置时，不会产生费用。 函数即服务 FaaS 函数即服务（FaaS：Function as a service）是一种事件驱动计算执行模型；开发人员编写代码逻辑，部署到完全由平台管理的函数运行时中，然后按需执行。与 BaaS 不同，FaaS 可让开发人员拥有更大的掌控权力，他们可以创建自定义应用，而不依赖于包含预编写服务的库。 代码则部署到边缘安全加速平台管理的容器运行时中。具体而言，这些函数运行时具有以下特点： 无状态 让数据集成变得更加简单。 运行周期短 可以只运行非常短的时间。 事件触发 可在需要时自动运行。 这样，您只用为所需的计算能力付费，而不必管"闲置"的应用和服务器。 使用 FaaS 时，开发人员可以通过触发器调用无服务器应用。 触发器 用户绑定触发器和对应函数，来实现多种调用效果。目前支持定时触发器以及HTTP触发器。 HTTP 路由 用户绑定 HTTP 触发器和对应函数后，访问安全与加速服务中托管域名的特定路由，即可在边缘节点调用起对应函数计算逻辑。 KV 存储 OmniKV 边缘存储提供了 KeyValue 型边缘存储服务，使开发人员能够构建低时延、频繁读取、不频繁写入的数据驱动的边缘无服务器应用程序。借助 OmniKV，无服务器应用程序可以将数据存放在靠近用户的位置，避免从云端或本地解决方案中检索信息的需要，从而实现快速响应。用户快速可以构建高度动态的 API 和网站服务，部署轻量型的 API 网关、BaaS 服务。 运行时 用于在边缘节点运行用户自定义函数的安全隔离环境。函数运行时所支持的编程语言，目前支持 JavaScript。 开发者工具 开发人员使用命令行工具，在本地完成函数编写，构建，灰度上线。

本文介绍如何管理应用访问策略。 前提条件 已创建访问控制策略。 修改访问控制策略 1. 登录应用托管控制台，在左侧导航栏单击【应用】>【应用访问策略】，进入访问控制策略列表页，点击【修改】。 2. 填写基础信息：策略名称、选择策略类型、IP地址/网段、描述。 3. 完成表单填写后，点击【确认】按钮，完成访问策略修改。 获取出口 IP 操作指引 在应用托管的访问策略 中，需要将您的公网出口 IP添加至白名单，才能正常访问应用实例，出口 IP 即您当前网络对外暴露的公网 IP 地址。 获取出口 IP 的常用方法 方法 1：通过浏览器查询（最简单） 1. 打开浏览器，访问IP查询网站，以下网址可参考： < < < 2. 页面会直接显示您当前网络的公网出口 IP （如：123.123.123.123）。 3. 复制该 IP，添加到在访问策略的白名单中。

响应结果 名称 类型 描述 iSCSITargets Array of iSCSITarget iSCSI target属性集合，详见“表3 响应参数iSCSITarget说明”。 表3 响应参数iSCSITarget说明 名称 类型 名称 iqn String iSCSI target IQN。 ips Array of ip iSCSI target的IP属性集合，详见“表4 响应参数ip说明”。 allowlist.initiator Array of initiator iSCSI发起方（initiator）允许访问列表。详见“表5 响应参数initiator说明”。 allowlist.target Array of target 目标端（target）的允许访问列表。详见“表6 响应参数target说明”。 表4 响应参数ip说明 名称 类型 名称 ip String iSCSI target的IP。 port Integer iSCSI target的端口号。 表5 响应参数initiator说明 名称 类型 描述 IPs Array of ip 根据initiator IP地址设置的iSCSI发起方允许访问列表。 names Array of name 根据initiator名称设置的iSCSI发起方允许访问列表。 表6 响应参数target说明 名称 类型 描述 IPs Array of ip 通过target端IP进行设置的target允许访问列表，表示只允许通过target端的指定IP访问target。 NICs Array of NIC 通过target端的网卡名称设置的target允许访问列表，表示只允许通过target端的指定网卡访问target。

响应结果 名称 类型 描述 luns Array of lun 卷的属性集合，详见“表2响应参数lun说明”。 表2 响应参数lun说明 名称 类型 描述 lunName String 关联卷的名称。 iSCSITargets Array of iSCSITarget iSCSI target属性集合，详见“表3 响应参数iSCSITarget说明”。 表3 响应参数iSCSITarget说明 名称 类型 描述 iqn String iSCSI target IQN。 status String 卷对应的iSCSI target的状态： Active：主target。 Standby：热备target。 Offline：离线target。 Unavailable：冷备target。 ips Array of ip iSCSI target的IP属性集合，详见“表4 响应参数ip说明”。 targetPortalIP Object iSCSI目标门户，详见“表5 响应参数targetPortalIP说明”。 表4 响应参数ip说明 名称 类型 描述 ip String iSCSI target的IP。 port Integer iSCSI target的端口号。 表5 响应参数targetPortalIP说明 名称 类型 描述 ips Array of ip iSCSI目标门户的IP属性集合，详见“表6 响应参数targetPortalIP.ip说明”。 status String iSCSI目标门户的状态： Enabled：启用状态。 Disabled：禁用状态。 表6 响应参数targetPortalIP.ip说明 名称 类型 描述 ip String iSCSI目标门户的IP地址。 port Integer iSCSI目标门户的端口号。

响应参数 参数 参数类型 说明 示例 下级对象 statusCode String 状态码 message String 返回信息 成功 error String 错误码：CFW0000 :成功!;CFW0001:参数错误！;CFW0002：业务错误！ CFW0000 returnObj Object 接口返回结果 BlackWhitePolicyEntity 表 BlackWhitePolicyEntity 参数 参数类型 说明 示例 下级对象 ruleId Long 规则id 1099 ruleName String 规则名称 1099 ipProto String ip协议 v4 blackWhiteType String 黑白类型 BLACK addressDirection String 地址方向 dst ip String ip地址 127.0.0.1/20 mask Integer 掩码 32 blackWhiteDesc String 黑白名单描述 status Integer 规则开关 10 ipBeginNum String ip的开始数字形式 127.0.0.1/20 ipEndNum String ip的结束数字形式 127.0.0.1/20 privateIps String 私网ips 192.168.1.1/24 ipGroupId Integer ip地址组 11 ipGroupName String ip地址组 562b89493b1a40e1b97ea05e50dd8170

本小节介绍处理主机告警事件。 主机安全可对您已开启的告警防御能力提供总览数据，帮助您快速了解安全告警概况包括存在告警的服务器、待处理告警事件、未处理告警事件、已拦截IP和已隔离文件。 事件列表仅保留近30天内发生的告警事件，您可以根据自己的业务需求，自行判断并处理告警，快速清除资产中的安全威胁。 告警事件处理完成后，告警事件将从“未处理”状态转化为“已处理”。 约束与限制 若不需要检测高危命令执行、提权操作、反弹Shell、异常Shell或者Webshell，您可以通过“策略管理”页面手动关闭指定策略的检测。关闭检测后，HSS不对策略组关联的服务器进行检测。 其他检测项不允许手动关闭检测。 未开启防护不支持告警事件相关操作。 操作步骤 当发生安全告警事件后，为了保障您的云服务器安全，可以根据以下方式处理安全告警事件。 注意 由于网络攻击手段、病毒样本在不断演变，实际的业务环境也有不同差异，因此，无法保证能实时检测防御所有的未知威胁，建议您基于安全告警处理、漏洞、基线检查等安全能力，提升整体安全防线，预防黑客入侵、盗取或破坏业务数据。 1、登录管理控制台。 2、在页面左上角选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3、在左侧导航栏中，单击“入侵检测 > 安全告警事件 > 主机安全告警”，进入“主机安全告警”页面。 安全告警统计说明 参数名称 告警事件状态说明 时间范围 支持选择固定周期，固定周期可选择如下： 最近24小时 最近3天 最近7天 最近30天 主机安全告警 存在告警的服务器 待处理告警事件 展示您资产中所有待处理告警的数量。 安全告警处理页面默认展示所有待处理告警信息。 已处理告警事件 展示您资产中所有已处理的告警事件数量。 已拦截IP 展示已拦截的IP。单击“已拦截IP”，可查看已拦截的IP地址列表。 已拦截IP列表展示“服务器名称”、“攻击源IP”、“登录类型”、“拦截状态”、“拦截次数”、“开始拦截时间”、“最近拦截时间”。 如果您发现有合法IP被误封禁（比如运维人员因为记错密码，多次输错密码导致被封禁），可以手工解除拦截。如果发现某个主机被频繁攻击，需要引起重视，建议及时修补漏洞，处理风险项。 须知 : 解除被拦截的IP后，主机将不会再拦截该IP地址对主机执行的操作。 每种软件最多拦截10000个ip。 如果您的linux主机不支持ipset，mysql和vsftp最多拦截50个ip。 如果您的linux主机既不支持ipset不支持hosts.deny，ssh最多拦截50个ip。 已隔离文件 主机安全可对检测到的威胁文件进行隔离处理，被成功隔离的文件会添加到“主机安全告警”的“文件隔离箱”中。 被成功隔离的文件一直保留在文件隔离箱中，您可以根据自己的需要进行一键恢复处理，关于文件隔离箱的详细信息，请参见管理文件隔离箱。 容器安全告警 存在告警的服务器 待处理告警事件 展示您资产中所有待处理告警的数量。 安全告警处理页面默认展示所有待处理告警信息。 已处理告警事件 展示您资产中所有已处理的告警事件数量。 威胁等级 将被告警按照不同等级进行统计：致命 、 高危 、 中危 、 低危。 TOP5事件类型 展示数量最多的前五种告警类型及数量。 4、处理告警事件。 注意 告警事件展示在“主机安全告警”页面中，事件列表仅展示最近30天的告警事件。 您需要根据自己的业务需求，自行判断并处理告警。告警事件处理完成后，告警事件将从“未处理”状态变更为“已处理”。HSS将不再对已处理的事件进行统计，并且不在“总览”页展示。 方式一：批量处理勾选的告警 任意选中“事件类型”，在事件列表勾选多个目标告警，单击“事件列表”下方的“批量处理”。 在弹窗中选择处理方式，确认无误，单击“确认”，完成勾选告警处理，处理方式详情如下表所示。 方式二：处理单个告警 选中目标“事件类型”，单击目标告警事件“操作”类的“处理”。选中目标“事件类型”，单击目标告警事件“操作”类的“处理”。 在弹窗中选择处理方式，确认无误，单击“确认”，完成单个告警处理，处理方式详情如下表所示。 处理告警事件说明 处理方式 处理方式说明 忽略 仅忽略本次告警。若再次出现相同的告警信息，HSS会再次告警。 隔离查杀 选择隔离查杀后，该程序无法执行“读/写”操作，同时该程序的进程将被立即终止。HSS将程序或者进程的源文件加入文件隔离箱，被隔离的文件不会对主机造成威胁。 您可以单击“文件隔离箱”，查看已隔离的文件，详细信息请参见管理文件隔离箱。 程序被隔离查杀时，该程序的进程将被立即终止，为避免影响业务，请及时确认检测结果，若隔离查杀有误报，您可以执行取消隔离/忽略操作。 手动处理 选择手动处理。您可以根据自己的需要为该事件添加“备注”信息，方便您记录手动处理该告警事件的详细信息。 加入登录白名单 如果确认“暴力破解”和“异常登录”类型的告警事件是误报，且不希望HSS再上报该告警，您可以将本次登录告警事件加入登录白名单。 HSS不会对登录白名单内的登录事件上报告警。加入登录白名单后，若再次出现该登录事件，则HSS不会告警。 有以下告警事件支持加入登录白名单。 暴力破解 异常登录 加入告警白名单 如果确认以下类型的告警事件是误报，且不希望HSS再上报该告警，您可以将本次告警事件加入告警白名单。 HSS不会对告警白名单内的告警事件上报告警。加入告警白名单后，若再次出现该告警事件，则HSS不会告警。

伸缩策略定义后，可基于资源变化、固定时间、固定周期自动触发实例的增减，从而降低人为反复调整资源以应对业务变化和高峰压力的工作量，帮助您节约资源和人力成本。 弹性伸缩：支持告警、定时、周期三种策略。配置完成后可基于资源变化、固定时间、固定周期自动触发实例的增减。 手动伸缩：配置完成后立即触发实例的增减。 说明： 伸缩策略优先级：手动伸缩和自动伸缩同时配置的情况下，在不执行手动伸缩时，资源调度以自动伸缩为准，伸缩按照监控信息自动触发，如果使用手动伸缩，自动伸缩会暂时失效。 弹性伸缩HPA/CustomedHPA 该弹性伸缩能力通过创建HPA或CustomedHPA策略实现，您可以前往弹性伸缩查看所有策略，或进行更多操作。 弹性伸缩基于AOM 您可以根据业务需求自行定义伸缩策略，降低人为反复调整资源以应对业务变化和高峰压力的工作量，帮助您节约资源和人力成本。 该伸缩能力由应用运维管理AOM服务提供，v1.17及以上版本的集群不支持该伸缩能力。 当前支持三种弹性伸缩策略： [](file:///C:/Users/shuan/Downloads/%E4%BA%91%E5%AE%B9%E5%99%A8%E5%BC%95%E6%93%8E%E7%94%A8%E6%88%B7%E6%8C%87%E5%8D%97202105%20(1).docx

方法二：开启访问控制功能 天翼云直播控制台支持自助配置访问控制功能，您可以针对域名访问特性进行配置，从而避免产生不必要的流量消耗。 功能 描述 Referer防盗链 Referer防盗链，是基于HTTP请求头中Referer字段（例如：Referer黑白名单）来设置访问控制规则，实现对访客的身份识别和过滤，防止网站资源被非法盗用。 IP黑/白名单 通过识别客户端IP来过滤用户请求，拦截特定IP的访问或者允许特定IP的访问，可以用来解决恶意IP盗刷、攻击等问题。 UA防盗链 UserAgent（简称UA）是HTTP请求头的一部分，可体现用户使用的终端标识。通过识别HTTP请求头中的UA字段，可以识别特定终端，从而限制用户行为，拦截或允许某一类用户的访问，实现防盗链、防盗刷、防攻击的目的。 URL鉴权 为了防止站点资源被恶意下载或者非法盗用，避免产生不必要的带宽浪费，可配置URL鉴权功能。配置URL鉴权后，视频直播会对加密串及时间戳进行校验，从而有效地保护用户站点资源。 远程鉴权 支持远程同步鉴权和异步鉴权功能。 ● 同步鉴权：在直播节点收到用户请求后，将请求转发回提前设定的鉴权源站，在源站鉴权许可后，直播节点才给用户返回对应内容，从而实现用户鉴权规则由源站全权定义。 ● 异步鉴权：在直播节点收到用户请求后，直播节点先响应直播流，并同时将请求转发回提前设定的鉴权源站，鉴权源站响应鉴权结果后，视频直播依据鉴权源站结果允许或者拒绝用户访问。

本文档为制作Linux系统私有镜像指导手册的步骤4,安装QEMUGuestAgent。 操作场景 QEMUGuestAgent（简称qga），是天翼云平台弹性云主机执行关键功能的依赖工具。包括： 云主机重置密码 创建云主机快照 安装QEMUGuestAgent 如果您已经参考步骤2完整安装了全量软件，则可以直接配置cloudinit。 如果您未安装cloudinit，请执行以下命令完成安装。 说明 以下命令均可直接全量复制到命令行执行。 Red Hat系列Linux操作系统使用如下命令 plaintext yum install y qemuguestagent Debian系列Linux操作系统使用如下命令 plaintext apt install y qemuguestagent 配置QEMUGuestAgent 1. 通过执行以下shell命令，完成对qemuga和qemuguestagent.service配置文件的修改。 plaintext 若 /etc/sysconfig/qemuga 文件存在，则确认 BLACKLISTRPC、FILTERRPCARGS 所在行已被注释。 qemugaconfig'/etc/sysconfig/qemuga' if [ f "$qemugaconfig" ]; then [ ! f "${qemugaconfig}.bak" ] && cp "$qemugaconfig" "${qemugaconfig}.bak" sed i '/^[[:space:]]BLACKLISTRPC/ s/^/ /' "$qemugaconfig" sed i '/^[[:space:]]FILTERRPCARGS/ s/^/ /' "$qemugaconfig" fi 自定义 qemuguestagent 服务配置。 if [ f '/lib/systemd/system/qemuguestagent.service' ] [ f '/usr/lib/systemd/system/qemuguestagent.service' ]; then qemugaservicedropindir'/etc/systemd/system/qemuguestagent.service.d/' mkdir p "$qemugaservicedropindir" cat <<'EOT' >"${qemugaservicedropindir}zzctims.conf" [Install] WantedBydevvirtiox2dportsorg.qemu.guestagent.0.device EOT systemctl daemonreload fi 2. 配置服务。 plaintext systemctl enable qemuguestagent 3. 检查服务状态。 plaintext systemctl status qemuguestagent

天翼AI云电脑是云计算技术和终端相结合的创新型产品。依托中国电信优质云网资源，结合自主研发的CLINK数据安全传输协议，具备多重数据安全防护机制，实现安全高效的AI云电脑使用体验。提供一键部署、灵活可配、集中管控能力，广泛应用于办公、教育、医疗等行业使用场景。 本文档提供了天翼AI云电脑（政企版）API 的描述、语法、参数说明及示例等内容。

安全体检购买类常见问题。 安全体检计费模式是什么？ 安全体检产品采用预付费模式，支持包月、包年订购，享受包年实付10个月折扣价，用户可自订单生效之日起享受购买期限内的服务，当购买的服务到期后，服务自动停止。服务按照IP数量定价，单个互联网安全体检规格包含5个互联网IP授权，详细价格参考如下表格： 产品规格 产品描述 标准价格（元/月） 年付价格（元/年） 互联网安全体检 提供5个及以内互联网IP安全体检服务，发现IP风险暴露情况、漏洞开放情况，推送安全体检报告。 280 2800 试用版 试用授权IP数量5个，试用次数为1次。 免费 免费 安全体检可以免费试用吗？ 可以。未开通过商用的用户支持免费试用1次，试用授权IP数量5个。若您已经开通过付费版本，无论资源是否在有效期内均无法再进行免费试用。 安全体检如何升配？ 安全体检支持增加授权体检IP数量，在控制台页面，点击“增加IP数”按钮，进入安全体检升配页面，用户可根据自身需求输入要增加的规格数量。然后点击立即升配并支付。 注意 单个互联网安全体检规格包含5个互联网IP授权，如果您需要增加6个互联网IP，仅需购买2个互联网安全体检即可。

云搜索服务支持您在控制台修改OpenSearch.yml文件中的部分参数。 云搜索服务支持您在控制台修改OpenSearch.yml文件中的部分参数。 操作步骤 1. 登录云搜索服务管理控制台，在左侧导航栏，选择对应的实例类型，进入管理列表页面。 2. 点击实例名称进入对应实例详情，并选择“配置管理”。 3. 点击“修改配置”进入编辑状态，对所需的参数进行修改，修改时请关注填写规则和样例。 4. 修改完成后，点击“提交”，并在弹出的窗口中核对修改信息，需要知晓并勾选重启过程中可能会导致服务短暂不可用，确认后等待对应参数修改记录变为成功，即为已生效。若为失败，则未成功修改，参数仍为改前值。 5. 可在下方参数修改记录中查看近10次的修改记录和状态。 6. 如果有需要修改的参数不在列表内，请提报工单申请，由工程师为您修改。 指标分类 参数名称 填写说明 跨域访问 http.cors.enabled true表示启用跨域资源访问，false表示不启用 跨域访问 http.cors.alloworigin 支持 host/IP 和 port 组合、域名或号，例如node1:9200,127.0.0.1:9200，限制1100个，逗号隔开；号表示全部放开 跨域访问 http.cors.maxage 浏览器默认缓存时间。如果超过设置的时间后，缓存将自动清除。数值，取值范围[01728000]，单位秒 跨域访问 http.cors.allowcredentials 响应中是否允许返回allowcredentials取值true/false 跨域访问 http.cors.allowheaders 跨域访问允许的headers，XRequestedWith,ContentType,ContentLength中的任意一个或多个 跨域访问 http.cors.allowmethods 跨域访问允许的方法OPTIONS,HEAD,GET,POST,PUT,DELETE中的任意一个或多个 审计日志 plugins.security.audit.type 审计日志，默认关闭，开启后，系统会记录OpenSearch实例对应的操作产生的日志 Reindex索引迁移 reindex.remote.whitelist 添加远程集群的访问地址白名单，支持host/IP 和 port 组合，例如 node1:9200，127.0.0.1:9200，port必填。限制1100个，逗号隔开 索引自动创建、通配删除 action.destructiverequiresname 删除索引是否需要声明完整索引名 true：需要声明完整索引名 false：不需要声明完整索引名 自定义查询缓存 action.autocreateindex 是否允许自动根据文档创建索引 线程池 threadpool.forcemerge.size forcemerge场景下队列的大小 流量控制 flowcontrol.search.qps 每秒查询请求数，超过设定值，响应查询API则熔断 读写集群的线程池设置 threadpool.write.queuesize 写阈值线程池大小，整数类型，取值范围1100000 读写集群的线程池设置 threadpool.search.queuesize 读阈值线程池大小，整数类型，取值范围1100000 fielddata的堆内cache indices.fielddata.cache.size fielddata的cache size，百分比，取值范围1%39% 查询相关限制 indices.query.bool.maxclausecount 查询的bool语句允许的子语句大小，整数类型，取值范围11024

本节介绍AIuse云电脑的功能说明。 功能简介 AIuse云电脑致力为AI构建任务执行平台，它依托天翼AI云电脑的强大算例，通过意图识别，模拟用户操作，自动完成任务的规划、决策与实施，助力AI的商业化落地 多场景覆盖：搭建可定制云端桌面环境，依托标准化接口实现传统桌面软件自动化调用与批量操作，适配政企办公，研发测试等多场景使用。 灵活接入：提供标准化工具链与弹性运行环境、支持WebSdk、MCP等主流接入方式，无缝对接各种AI agent，兼容轻量调用与专业部署方式。 高效运行：依托天翼云强大算力底座，实现算力弹性伸缩与并发场景高效运行，保障桌面操作、软件运行及数据处理的流畅性与可靠性。 安全防护：采用企业级沙箱防护方案，构建多层次安全体系，用过严格权限隔离防范各类安全风险，保障企业核心业务数据安全合规。 试用申请说明 使用指南 您可以为您的不同场景/不同项目创建不同的AccessKey，用于灵活的分权控制对应的云电脑来实现不同的任务。 创建AccessKey 1. 进入协同套件Aiuse云电脑功能专区； 2. 再专区卡片点击前往管理； 3. 在服务管理页面，点击创建AccessKey； 4. 在输入框中输入AccessKey名称等相关信息，点击确定。 注意 AccessKey为重要鉴权凭证，为了您的信息安全请妥善保管，切勿随意分享给他人。

本文主要介绍高危操作及解决方案。 业务部署或运行过程中，用户可能会触发不同层面的高危操作，导致不同程度上的业务故障。为了能够更好地帮助用户预估及避免操作风险，本节将从集群/节点、网络与负载均衡、日志、云硬盘多个维度出发，为用户展示哪些高危操作会导致怎样的后果，以及为用户提供相应的误操作解决方案。 集群/节点 表 集群及节点高危操作 分类 高危操作 导致后果 误操作后解决方案 Master节点 修改集群内节点安全组 可能导致master节点无法使用说明命名规则：集群名称ccecontrol随机数 参照购买CCE集群的安全组进行修复，放通安全组。 节点到期或被销毁 该master节点不可用 不可恢复。 重装操作系统 master组件被删除 不可恢复。 自行升级master或者etcd组件版本 可能导致集群无法使用 回退到原始版本。 删除或格式化节点/etc/kubernetes等核心目录数据 该master节点不可用 不可恢复。 更改节点IP 该master节点不可用 改回原IP。 自行修改核心组件（etcd、kubeapiserver、docker等）参数 可能导致master节点不可用 按照推荐配置参数恢复，详情请参见配置管理 自行更换master或etcd证书 可能导致集群不可用 不可恢复。 Node节点 修改集群内节点安全组 可能导致节点无法使用说明命名规则：集群名称ccenode随机数 参照购买CCE集群的安全组进行修复，放通安全组。 节点被删除 该节点不可用 不可恢复。 重装操作系统 节点组件被删除，节点不可用 重置节点，具体请参见重置节点 升级节点内核 可能导致节点无法使用或网络异常说明节点运行依赖系统内核版本，如非必要， 请不要使用yum update更新或重装节点的操作系统内核 （使用原镜像或其它镜像重装均属高危操作） 重置节点，具体请参见重置节点 更改节点IP 节点不可用 改回原IP。 自行修改核心组件（kubelet、kubeproxy等）参数 可能导致节点不可用、修改安全相关配置导致组件不安全等 按照推荐配置参数恢复，详情请参见配置管理。 修改操作系统配置 可能导致节点不可用 尝试还原配置项或重置节点，具体请参见重置节点。 删除或修改/opt/cloud/cce、/var/paas目录，删除数据盘 节点不可用 重置节点，具体请参见重置节点。 修改节点内目录权限、容器目录权限等 权限异常 不建议修改，请自行恢复。 对节点进行磁盘格式化或分区，包括系统盘、docker盘和kubelet盘 可能导致节点不可用 重置节点，具体请参见重置节点。 在节点上安装自己的其他软件 导致安装在节点上的Kubernetes组件异常，节点状态变成不可用，无法部署工作负载到此节点 卸载已安装软件，尝试恢复或重置节点，具体请参见重置节点。 修改NetworkManager的配置 节点不可用 重置节点，具体请参见重置节点。 删除节点上的cfepause等系统镜像 导致无法正常创建容器，且无法拉取系统镜像 请从其他正常节点拷贝该镜像恢复

本文主要介绍如何删除IP地址组。 操作步骤 1.登录管理控制台。 2.在左侧导航树中，单击左上方的，选择“安全 > 云防火墙”，进入云防火墙的概览页面。 3.在左侧导航栏中，选择“访问控制 > IP地址组管理”，进入IP地址组管理界面。 4.在需要删除的IP地址组所在行的“操作”列，单击“删除”。 5.在弹出的“删除IP地址组”界面，单击“是”，完成删除。 说明 删除IP地址组后无法恢复，请谨慎操作。