对等连接支持配置路由打通两个VPC互访,本文帮助您快速熟悉如何配置同账户对等连接路由。 操作场景 相同账户创建VPC对等连接，默认接受请求，要使对等连接的VPC可以路由数据，还需要添加VPC对等连接路由信息，确保网络流量能够正确地传输，从而实现VPC之间的直接通信。 操作步骤 添加本端路由信息 1. 登录控制中心，单击控制中心左上角的，选择地域，此处选择华东华东1。 2. 点击“网络 >虚拟私有云”，进入虚拟私有云主页面。 3. 在左侧导航栏选择“对等连接”。 4. 在对等连接列表，选择指定的对等连接名称，进入对等连接详情页面。 5. 点击“本端路由”页签，根据界面提示，点击“路由表”超链接，进入本端VPC路由表的详情页面。 6. 在路由表详情页面，选择“路由规则”页签，点击“创建”按钮。 7. 根据页面提示，添加本端路由信息。 参数 说明 IP类型 根据实际情况选择使用IPv4还是IPv6。 目的地址 目的地址，对端vpc或子网的网段。 下一跳类型 选择“对等连接网关”。 对等连接网关 选择当前对等连接的名称。 描述 路由的描述信息，非必填项。 8. 路由信息设置完成后，点击“确定”。

本文为您介绍更新Palworld幻兽帕鲁的最佳实践。 如果您进入游戏时遇到如图报错，请参考本文对游戏进行更新。 Ubuntu 启动云主机时可以触发后台的自动检查游戏版本，如需更新游戏，在云主机控制台点击“重启”即可。 Windows 自动更新 启动云主机时可以触发后台的自动检查游戏版本，如需更新游戏，在云主机控制台点击“重启”即可。 手动更新 1. 在本地Windows电脑搜索远程桌面连接，并输入云主机的公网IP地址。 2. 使用设置的密码进行登录，用户为Administrator，密码输入设置的云主机密码并连接。 3. 打开任务管理器，找到Pal进程，右键点击并选择结束任务。

本节为您接受如何为麒麟系统云主机配置图形化界面。 操作场景 为了提供纯净的弹性云主机系统给客户，麒麟系统云主机默认没有安装图形化界面，如果您需要图形化界面，请参见本节内容进行安装。 操作步骤 1. 配置网络，确保yum源可以正常使用。银河麒麟服务器操作系统在有外网的环境下可以直接使用yum源，而在无外网的环境下需要挂载镜像作为本地源。 2. 在字符界面执行以下命令，列出可安装的图形化包组 yum group list 3. 在字符界面执行yum groupinstall y "带GUI的服务器"命令，安装图形化桌面相关包，如下示例： yum groupinstall y "Server with UKUI GUI" 4. 在字符界面执行以下命令，设置系统默认的启动方式为graphical.target，即图形化启动 systemctl setdefault graphical.target 5. 在字符界面执行以下命令，重启系统使其生效 reboot 6. 重启系统后即可进入图形化界面 7. 输入用户名与密码，进入系统 安装图形化桌面相关包报错 操作背景 一般地，Linux 基础镜像不会默认安装图形化桌面相关包。银河麒麟高级服务器操作系统可按照本文档指导以上步骤自行安装。经用户反馈，有些条件下会有如下报错，可按以下方法进行解决。 经分析，银河麒麟高级服务器操作系统 V10 SP3（2303）使用以下路径的官方源。 < 存量基础镜像出于安全等因素所预装的 selinuxpolicy 相关包的版本是 3.14.276.se.29.01.ky10，但截至此篇 FAQ 发布时，官方源的最新版本已回退为 3.14.276.se.26.08.ky10，导致安装图形化桌面相关包时存在无法自动处理的依赖冲突问题。

配置项 说明 域名 填写需要接入边缘安全加速平台安全与加速服务的域名，包括精确域名（例如www.ctyun.cn）或者泛域名（例如.ctyun.cn）。 若服务区域选择“中国内地”或者“全球”，域名需要完成ICP备案并且域名需要进行 服务区域 若所订购套餐的服务区域为“全球”，则可指定域名的服务区域： 仅需加速中国内地用户请选择“中国内地”。 仅需加速全球（不含中国内地）用户请选择“全球（不含中国内地）”。 同时加速中国内地和全球（不含中国内地）用户请选择“全球”。 若所订购套餐的服务区域不是“全球”，则服务区域不可配置。 IPv6开关 新增域名时，IPv6开关默认开启，如您不需要IPv6可选择关闭。开启IPv6后，当您的用户处于IPv6环境时，客户端可以通过IPv6协议访问天翼云边缘云节点，如果要解决IPv6天窗问题（提升二、三级链接IPv6支持度）需要订购高级版以上版本，通过 源站 支持IP或域名，支持配置多个源站地址，多源站场景下，支持设置源站的主备优先级和权重，实现负载均衡。 注意：源站域名不能与加速域名相同，否则会造成循环解析，导致无法回源。 回源协议 指边缘云节点回源站请求资源时使用的协议。配置该功能后，边缘云节点将根据指定的协议回源。 HTTP：边缘云节点以HTTP协议回源。 HTTPS：边缘云节点以HTTPS协议回源。 跟随协议：客户端以HTTP或HTTPS协议请求边缘云节点，边缘云节点跟随客户端的协议请求源站（源站需要同时支持HTTP协议和HTTPS协议，否则可能会造成回源失败）。 回源端口 源站端口，是指源站接收用户请求时所用的端口，一般http协议和https协议使用不同的源站端口。 如果跟随请求端口回源开关置为开启，则会使用请求服务端口回源。 回源HOST 回源HOST决定了回源请求访问到源站的哪个站点，默认值为加速域名。 当您的源站有多个站点，且需要回源的站点不是加速域名对应的站点时，您需要配置回源HOST，在回源过程中会根据HOST信息去对应站点获取资源。 Https开关 支持开启和关闭HTTPS，如果开启HTTPS协议，需要上传HTTPS证书。 缓存设置 您可以设置缓存过期时间，指源站资源在边缘节点缓存的时长，达到预设时间，资源将会被边缘云节点标记为缓存过期。 默认配置如下： 静态加速：默认开启，关闭后将全部文件不缓存，无法享受缓存加速能力。

产品优势 在边缘节点就近响应用户请求，大大减少了回源带来的网络时延。 采用WebAssembly技术，将函数冷启动优化到5微秒，把对网络时延的影响降到最低。 相对于传统的容器技术，无需预留实例资源。 按照用户实际的使用量计费，并且精确到请求调用次数。对比传统的云虚拟机，提供了更大的资源利用率和更低的成本。 当业务流量突增时，边缘函数全网快速调度，弹性伸缩，支持全网上百万QPS的超高并发。 企业研发人员使用边缘函数部署业务时，无需关注部署地区，无需进行资源规划，彻底免去底层机器的运维和管理，释放人力成本。 核心功能 我们提供了易上手的开发者工具，丰富的编程语言生态，符合W3C标准的Service Worker API、Streams API、Web Crypto，以及可读可写、全球同步的边缘存储。 从而帮助企业网站在边缘节点上完成自定义鉴权、访问控制、内容改写、内容生成以及AB测试。 对比传统CDN处理流程，开发者平台在边缘节点直接处理客户的动态请求，大大减少了CDN回源的次数，分担了中心源站的计算和存储压力。 工作原理 开发者平台边缘函数为边缘节点提供了Serverless模式的JavaScript代码执行环境。您只需编写业务函数代码并设置触发规则，无需配置和管理服务器等基础设施。这样，您的代码可以弹性、安全地在靠近用户的边缘节点上运行。 使用边缘函数前的请求处理过程： 1. 网关收到客户端请求时，执行控制台标准化配置对请求进行处理。 2. 如果符合缓存规则，网关将处理后的请求转发给缓存组件，由缓存组件命中后响应，或者请求回源。 3. 如果不符合缓存规则，则由网关处理后，请求回源。 4. 源站返回响应内容，网关响应给客户端。 使用边缘函数后的请求处理过程： 1. 网关收到客户端请求时，执行边缘函数，对用户的请求进行业务处理。 2. 网关处理完边缘函数的业务逻辑后，根据函数中的逻辑选择继续处理CDN标准化配置从而完成响应，或者直接在边缘响应出客户的个性化内容。

本节主要介绍静态IP直接访问的非标场景如何进行整改。 如何将静态IP直接访问的非标场景修改为域名访问的标准场景？ 将IP替换为域名 “${桶名}.obs.${regioncode}.ctyun.cn”。 其中：${桶名} 替换为实际业务使用的桶，${regioncode} 替换为桶所在的区域编码 示例： IP访问请求：GET 180.101.142.100为天翼云苏州局点公网静态IP，该请求直接使用此IP列举桶内对象，需整改为域名访问的方式，苏州局点的区域编码为cnjssz1，整改需将IP替换为“桶名.obs.cnjssz1.ctyun.cn”。 整改后请求：GET 附：各局点对应的区域编码如下： 局点 区域编码 :: 广州4 cngdgz1 贵州 cngz1 苏州 cnjssz1 内蒙3 cnnmhh1 华北 cnnorth1 西安2 cnsnxy1 芜湖 cnahwh1 福州 cnfz1 武汉2 cnhbwh1 长沙2 cnhncs1 杭州 cnhz1 成都3 cnsccd1 上海4 cnsh1 深圳 cnsz1 北京2 cnbj1 重庆 cncq1 兰州 cngslz1 南宁 cngxnn1 郑州 cnhazz1 石家庄 cnhesjz1 海口 cnhihk1 哈尔滨 cnhlhrb1 长春 cnjlcc1 南昌 cnjxnc1 沈阳3 cnlnsy1 中卫 cnnxyc1 西宁 cnqhxn1 青岛 cnsdqd1 太原 cnsxty1 天津 cntj1 乌鲁木齐 cnxjcj1 昆明 cnynkm1

本章主要介绍安全问题 是否支持项目成员只能查看任务（工作项）不能查看代码？ 支持。 软件开发生产线中对代码仓库设置了专门的成员管理策略，项目成员只要未被添加为仓库成员，就没有权限查看代码仓库信息；用户登录后，代码托管服务页面中不会显示该帐号没有权限的代码仓库，详见“《代码托管用户指南》>配置代码托管仓库>安全管理>IP白名单”。 是否支持限制员工只能在办公场所访问代码仓库？ 支持。 代码托管服务提供“IP白名单”设置，只有在IP白名单范围内的仓库访问才是允许的，除此之外其他IP发起的访问一律被拒绝。管理员可以对每个代码仓库进行IP白名单设置，以此来限制访问场所。详细操作请参考“《代码托管用户指南》>使用代码托管仓库>管理仓库成员>配置成员管理”。

本文介绍IP地址转换函数的基本语法及示例。 函数列表 函数名称 语法 说明 inetaton inetaton(x) 把ip转为无符号整型。 inetntoa inetntoa(x) 把无符号整型的ip转为字符串式的地址。 inetaton函数 把ip转为无符号整型。 语法 plaintext inetaton(x) 参数说明 参数名称 说明 类型 是否必选 x 需要转换的参数 string类型 是 返回值类型 unsigned int类型 示例 类型 示例 统计分析语句 返回结果 2130706433 inetntoa函数 把无符号整型的ip转为字符串式的地址。 语法 plaintext inetntoa(x) 参数说明 参数名称 说明 类型 是否必选 x 需要转换的参数 unsigned int类型 是 返回值类型 string类型 示例 类型 示例 统计分析语句 返回结果 127.0.0.1

图云下和云上二层网络组网 表云下和云上二层网络说明 网络说明 企业交换机优势 企业交换机基于VPN或者云专线网络，在云下IDC和云上VPC之间建立二层网络。 云下IDC子网和云上VPC子网网段可以重叠。 如果客户IDC子网和VPC子网网段存在重叠，使用企业交换机后，上云不用修改IDC侧IP地址，减少业务对环境感知，加快上云进度。 网络迁移粒度由“子网”变为“虚拟机”，同时支持同一个子网跨云上和云下互通。 按照“虚拟机”粒度迁移上云，支持业务系统灰度上云，应对核心业务分批上云，避免业务在迁移过程中受损，减少上云风险。

本节介绍裸金属带宽的简介及查看方式。 概述 裸金属实例支持通过公网IP进行网络访问，同一集群内的裸金属通过不同VLAN进行网络隔离。 裸金属公网IP可以绑定独享带宽，也可以绑定共享带宽。当使用共享带宽时，各个裸金属绑定IP产生的公网流量使用共享带宽实例作为计费锚点。 独享带宽/共享带宽、带宽大小、计费方式在开通裸金属服务器时进行配置。 用户可以在【带宽列表】页面可以查看完整的裸金属服务器IP。 查看裸金属带宽 1. 登录ECX控制台。 2. 单击左侧导航栏的【边缘裸金属>带宽列表】。 3. 查看已创建的带宽列表。

本文为您介绍分布式消息服务MQTT的快速入门创建实例。 实例介绍 MQTT实例订购支持用户自定义规格和自定义特性，采用物理隔离的方式部署。租户独占MQTT实例，可根据业务需要可定制相应规格的MQTT实例。在新的资源池节点上，还支持选择主机类型和存储规格等丰富用户选项。 操作步骤 1、在产品详情页点击立即开通按钮，或者进入消息管理控制台创建实例，进入订购分布式消息MQTT页面。 2、 创建实例，注意选择产品规格。 （1）填写实例名称，长度4~40个字符，大小写字母开头，只能包含大小写字母、数字及分隔符()。 （2）选择计费模式：包年包月/按需计费，两种模式说明参见计费模式。 （3）购买时长按照计费模式选择变化： 计费模式为包年包月，可选择购买时长16个月、13年。该模式提供自动续期功能，勾选后可以自动续期购买时长：16个月、13年。 计费模式为按需计费，则该选项隐藏无需选择。 （4）部署方式有单可用区和多可用区两个选项，目前仅支持单可用区和3可用区部署,单可用区部署请选中任意一个AZ；多可用区部署请选中3个AZ，系统会自动将Broker节点平均分配至各可用区。 （5）设置节点数，可选择3/5/7/9。MQTT 的节点数是指MQTT 集群中的节点数量。在MQTT 集群中，可以有多个节点组成一个集群，每个节点都是一个独立的MQTT 服务器实例。 （6）下拉选择主机类型，可选择通用型和计算增强型。通用型云主机共享宿主机的CPU资源，主要提供基本水平的vCPU性能、平衡的计算、内存和网络资源，具有较高性价比，支持通用的业务运行。计算增强型云主机独享宿主机的CPU资源，实例间无CPU争抢，并且没有进行资源超配，同时搭载全新网络加速引擎，实现接近物理服务器的强劲稳定性能。 （7）选择实例规格，分布式消息服务MQTT提供通用型和计算增强型各3类规格，各规格详细说明参见弹性云主机规格。 （8）选择存储空间，包括磁盘类型和空间。 磁盘类型提供高IO/普通IO/超高IO三类。普通IO适用于大容量、读写速率中等、事务性处理较少的应用场景。高IO：适用于主流的高性能、高可靠应用场景。超高IO：适用于超高IOPS、超大带宽需求的读写密集型应用场景。了解更多磁盘类型说明参见云硬盘规格。 磁盘空间以100G起步，可以以100倍数增加磁盘空间。 （9）选择已有虚拟私有云，若无虚拟私有云，点击创建跳转到虚拟私有云页面新增，了解更多内容参见虚拟私有云。 （10）选择已有子网，若无子网，点击创建跳转到子网页面新增，了解更多内容参见虚拟私有云子网管理 创建子网。 （11）选择已有安全组，若无安全组，点击创建跳转到安全组页面新增，了解更多内容参见虚拟私有云安全组 创建安全组。 3、 填写完上述信息后，单击“下一步”，进入费用确认页面。 4、 确认实例信息无误后，提交请求。 5、 在实例列表页面，查看MQTT实例是否创建成功。创建实例大约需要3到15分钟，此时实例状态为“创建中”。

枚举参数 参数名 key 枚举值 类型 说明 dir Integer 方向 1:出向; 2:入向 ipproto Integer IP协议 1:v4; 2:v6 proto Integer 协议 1:icmp; 6:tcp; 17:udp sip String 源IP dip String 目的IP sport String 源端口 dport String 目的端口 appid String 应用id action Integer 动作, 1:pass; 2:drop ruleid String 规则id（流量/访问控制日志传访问控制规则id；入侵防御日志传ips特征id；病毒日志没有该参数） originbytes String 正向字节数（只有流量日志传该参数） originpackets String 正向报文数（只有流量日志传该参数） responsebytes String 应答字节数（只有流量日志传该参数） responsepackets String 应答报文数（只有流量日志传该参数） origin String 来源, 1：基础防御 3：访问控制，4：黑名单；5：白名单（流量/访问控制日志传3，4，5；入侵防御日志传1；病毒日志不传） level String 事件等级, Low;Middle; High（只有入侵防御日志传该参数） virus String 病毒名称（只有病毒日志传该参数） 请求示例 请求url 无 请求头header { "loggroup": "100054c0416811e9a6690242ac110002", "logunit": "100054c0416811e9a6690242ac110002", "urlType": "CTAPI" "page": "1" "size": "10" } 请求体body { "startTime": "2024/11/14 10:37:34", "endTime": "2024/11/15 10:37:34", "isFullIndex": 1, "judgeMode": 1, "keys": [ { "key": "ipproto", "value": "1", "judgeMode": 1 }, { "key": "proto", "value": "1", "judgeMode": 1 }, { "key": "dir", "value": "2", "judgeMode": 1 }, { "key": "origin", "value": "3", "judgeMode": 1 } ] }

本文介绍了云防火墙（原生版）产品的入侵防御日志功能。 约束条件 最多支持查看最近7天的日志。 查看日志列表 1. 登录云防火墙（原生版）控制台。 2. 在左侧导航栏，选择“日志审计 > 入侵防御日志”，进入入侵防御日志页面。 3. 在页面上方切换防火墙实例。 4. 查询日志：该列表可根据命中时间、应用、攻击类型、攻击等级、判断来源、目的IP地址、源IP地址、方向进行筛选。 5. 入侵防御日志列表包括发生时间、源IP地址、源端口、目的IP地址、目的端口、应用、攻击类型、等级、命中规则ID、命中规则名称、判断来源、方向和防御状态。 导出日志 说明 最多支持导出10000条数据。 单击“导出”，可以将查询列表中的日志记录导出为csv格式。

本章节介绍应用服务网格CSM计费项 应用服务网格计费项（按需付费） 应用服务网格当前支持按需付费模式，计费项包括网格实例、弹性负载均衡实例两项，计费规则：(网格实例计费单价+弹性负载均衡计费单价)×使用时长（小时）。 计费项一：不同的网格实例版本收取的计费单价如下： 版本 支持pod数量 收费模式 说明 标准版 1000 6元/小时/实例 计费项二：不同的弹性负载均衡实例规格的计费单价如下： 规格 价格（元 /小时） :: 标准型I 0.600 标准型II 1.200 增强型I 1.667 增强型II 2.167 高阶型I 3.000 高阶型II 4.167 超强型I 7.500 超强型II 16.667

处置建议 基于聚合分析提供的数据，有以下处置建议： 受攻击资产IP立即修改密码。 受攻击资产IP关闭非预期开放的端口。 受攻击资产IP基于漏洞修复方案完成全部漏洞修复。 使用态势感知弱口令检测功能排查网内资产存在的弱口令风险。

Agent管理页面中用户自定义接入主机的IP是如何获取的？ AOM会默认遍历虚机上的所有网卡设备，按照以太网卡、Bond网卡、无线网卡等优先级顺序获取IP，如果获取到的不是期望的地址，可以在启动ICAgent时设置进程的环境变量ICNETCARD网卡名，获取指定网卡IP。 举例： 1、在/etc/profile中增加export ICNETCARDeth2。 2、执行source /etc/profile使环境变量在当前shell生效。 3、进入/opt/oss/servicemgr/ICAgent/bin/manual/目录，停止并重新启动icagent。 bash mstop.sh bash mstart.sh 4、查看该环境变量是否正确传递到应用中。 strings /proc/{icagentprocid}/envrion grep ICNETCARD 说明 如果ICAgent显示的IP地址是127.0.0.1，则可能是ICAgent启动时未获取到本机的IP导致，例如VM掉电重启时会出现。此时您需要重启ICAgent即可。 若您的主机IP发生变更（例如续租时分配了新的IP），此时Agent管理页面中显示的可能还是原来的IP，需要您重启ICAgent即可。 Windows环境下安装icagent失败，并提示SERVICE STOP 现象：在Windows环境下安装icagent失败，提示SERVICE STOP。任务管理器中不存在icagent任务。系统服务列表中不存在icagent服务。命令行下执行sc query icagent提示未找到。 原因：一般为360安全卫士等杀毒软件拦截了icagent服务注册。 解决方法： 1. 检查360安全卫士等杀毒软件是否正在运行。 2. 关闭360安全卫士后再进行icagent安装。 说明 Windows下icagent采集文件类型需要手动配置采集路径.log、 .trace、 .out等文本文件，不支持二进制文件、不支持Windows系统日志。

参数 参数说明 填写样例 任务名称 填写任务名称，要求不能与已有任务名称重复； Test1 IP段 填写IP区间，如192.168.1.1100；或填写多个IP，并以逗号隔开； 192.168.1.1100 指定端口 填写端口区间，如01521； 若填写多个端口，并以逗号隔开； 若待扫描的IP段范围较大，强烈建议填写本项，输入指定端口可有效节省扫描所需时间； 01521 周期 您可以选择不同周期，来对该主机进行定时扫描。 手动执行

本文解释域名解析相关的概念。 什么是域名解析？ 域名解析是指将域名映射为服务器IP的过程。互联网上用户访问某个网站时，通常要定位到具体的目标服务器。由于目标服务器均为IP，不便于用户记忆，也不易调整和维护，因此引入域名概念，用户仅记住域名即可。而由域名映射到IP的过程，就是域名解析。例如www.ctyun.cn就是一个域名，它对应一个IP地址。有了域名，网站调整服务器ip，只需要调整域名解析记录即可。 为什么要解析域名？ 为了确保外部用户能通过域名访问到正确的服务器IP地址，从而访问到正确的网站内容，需要网站先完成域名解析。 如何进行域名解析？ 中国内地的域名注册商基本都有自己的DNS服务器。客户可以在自己的域名注册商完成域名解析配置。 域名解析中的几种常见记录类型有哪些？ CNAME记录：CNAME记录即别名记录，一个域名在具体某个地区一般只会有一个CNAME记录，代表该域名在该地区的解析权将授权给另一个域名。CDN加速原理中，即是通过CNAME记录，完成客户域名到CDN厂商域名的解析授权过程，详情请见：天翼云CDN加速简介 中的“加速原理”部分。 A记录：A (Address) 记录是用来指定域名对应的IP地址记录，是最常见的域名解析记录类型，一个域名可以有多个A记录，即指向多个服务器IP。如果网站未进行CDN加速，则其域名解析结果直接为A记录。 CNAME记录与A记录的关系：CNAME记录只是一个别名的过程记录，最终仍需要通过A记录解析到具体服务器IP，因此用户访问CDN加速后的域名，往往要先经过CNAME记录再到A记录后，才能完成整个DNS解析过程。使用CNAME后，如果网站未进行CDN加速，也可以通过将多个域名均CNAME至同个地址，调整服务器IP时只需调整该CNAME域名A记录即可，运营维护会更为简单方便；如果网站有通过CNAME将域名解析授权至CDN，则可以起到隐藏真实网站IP（即CDN的源站）的作用，更好的保护源站不受外部攻击。

本文介绍如何修改带宽大小。 使用场景 带宽上限太小导致业务受影响，出现业务响应慢等问题时，建议调整带宽上限。 使用说明 只允许修改带宽大小，暂不支持修改带宽计费类型。 修改的带宽值必须大于原有的带宽值。 如果控制台最大带宽上限不足以满足您的需求，您可以联系您的客户经理、线上咨询或拨打客服热线电话寻求帮助，热线电话：4008109889转1。 操作步骤 1. 登录ECX控制台。 2. 选择左侧导航栏的【边缘网络>公网访问>公网IP】，选择需要操作的公网IP，单击【操作>修改带宽】。 3. 在修改带宽大小弹窗页面，设置带宽上限值，设置完成后，点击【提交】。控制台暂只允许升配带宽大小，如需降低带宽大小请联系客户经理前往BCP系统操作。 4. 系统会自动跳转至费用中心进行费用确认并支付。 5. 支付成功后，可以在公网IP列表查看对应的带宽大小已修改。

操作步骤 1. 登录微服务引擎MSE注册配置中心管理控制台，选择资源池。 2. 在左侧导航栏，选择注册配置中心 > 实例列表，单击实例ID 或者管理按钮跳转至基础信息页面。 3. 在基础信息页面，左侧菜单点击配置管理> 监听查询，选择命名空间。 4. 可以根据需要选择查询维度：配置或则IP。配置维度查询需要输入或选择分组和Data ID，点击查询监听该配置的客户端信息，包括客户端IP、客户端当前配置的MD5和客户端当前Nacos版本等信息。 5. IP维度查询该机器监听的所有配置，需要填入IP作为参数查询。 查询推送轨迹 客户端监听配置，当配置变更时，服务端将变更推送至客户端。如果修改某个客户端配置未生效，则可以借助推送轨迹定位问题。 操作步骤 1. 登录微服务引擎MSE注册配置中心管理控制台，选择资源池。 2. 在左侧导航栏，选择注册配置中心 > 实例列表，单击实例ID 或者管理按钮跳转至基础信息页面。 3. 在基础信息页面，左侧菜单点击配置管理> 推送轨迹，选择命名空间。 4. 找到目标配置所在行，点击推送轨迹按钮，可以快速查看该配置服务的推送轨迹。也可以直接点击配置管理> 推送轨迹，然后选择命名空间，选择Data ID和分组，查看对应配置的推送轨迹数据。 5. 在推送轨迹页面，还可以根据需要选择查询维度：配置或则IP。配置维度查询需要输入或选择分组和Data ID，选择时间或者自定义时间，点击查询。IP维度查询客户端收到的全部推送信息,需要输入客户端IP作为查询参数.

本文介绍内外网隔离的适用场景和配置方法。 基本概念 内网：即局域网，是指在某一区域内由多台计算机互联成的计算机组。局域网内的IP是可以自定义分配管理，局域网是封闭型的，仅局域网内进行互联互通。 外网：即广域网，又称公网。是连接不同地区局域网或城域网计算机通信的远程网。公网的IP是固定分配的，一般不会随意变更，且公网IP是需要进行相关报备。 内外网隔离指的是将内部网络（内网）与外部网络（外网）物理或逻辑上分开，以防止未经授权的访问和数据泄露。通过内外网隔离，企业组织可以显著提高其安全性，因为即使外网遭受攻击，攻击者也难以渗透到内网，从而保护了组织的核心资产和数据。零信任模型强调的是一种持续的、动态的安全策略，它要求组织不断地评估和改进其安全措施，以应对不断变化的威胁环境。 功能说明 可针对常用的互联网域名、ip设定黑白名单进行互联网行为控制，主要差异如下： 互联网流量白名单设置：适用于重保、企业安全要求等级较高的场景，需要牺牲一定的客户体验。设置需访问、且安全的域名或IP为白名单，连接内网时仅放行白名单内的互联网流量，其他均不可访问；断开内网才可访问互联网流量。 互联网流量黑名单设置：仅设置已识别到的攻击域名或IP，访问该域名或IP时进行阻断，比如企业内部已识别该域名为钓鱼网站，则可直接配置禁用。

一键封锁IP 当需要禁止终端访问目标主机时或禁止目标主机访问终端时，可设置一键封锁IP。 1. 登录大模型安全卫士实例。 2. 在菜单栏选择“策略管理 > 微隔离 > 微隔离”，选择“混合模式”。 3. 选择“终端规则”页签，点击“一键封锁IP” 。 4. 进入一键封锁IP页面，编辑相关信息，点击“确定”。 详细配置请参见下表。 参数 说明 规则名称 长度为1~30位，支持中文、英文、数字、“”、“”、“.”。 封锁IP 设置终端禁止访问的IP（被封锁的IP也无法访问终端）。可设置多个，用回车分隔，例如：192.168.1.1、192.168.1.0/24、192.168.1.1192.168.1.254。 应用终端 封锁规则应用的终端。点击“选择终端”，设置规则应用的终端。 一键关闭端口 当需要禁止使用终端的指定端口，可设置一键关闭端口。 1. 登录大模型安全卫士实例。 2. 在菜单栏选择“策略管理 > 微隔离 > 微隔离”，选择“混合模式”。 3. 选择“终端规则”页签，点击“一键关闭端口”。 4. 进入一键关闭端口页面，编辑相关信息，点击“确定”即可关闭该终端的端口。 详细配置请参见下表： 参数 说明 规则名称 长度为1~30字符，支持中文、英文、数字、“”、“”、“.”。 封锁端口 例如445，输入多个端口请用回车分隔。 应用终端 选择规则应用的终端。点击“选择终端”，设置规则应用的终端。

本章节主要介绍 ALM27001 DBService服务不可用的告警。 告警解释 告警模块按30秒周期检测DBService服务状态。当DBService服务不可用时产生该告警。 DBService服务恢复时，告警清除。 告警属性 告警ID 告警级别 是否自动清除 27001 紧急 是 告警参数 参数名称 参数含义 来源 产生告警的集群名称。 服务名 产生告警的服务名称。 角色名 产生告警的角色名称。 主机名 产生告警的主机名。 对系统的影响 数据库服务不可用，无法对上层服务提供数据入库、查询等功能，使部分服务异常。 可能原因 浮动IP不存在。 没有主DBServer实例。 主备DBServer进程都异常。 处理步骤 检查集群环境中是否存在浮动IP 。 1. 在FusionInsight Manager首页，选择“集群 > 待操作集群的名称 > 服务 >DBService > 实例”。 2. 查看是否有主实例存在。 是，执行步骤3。 否，执行步骤9。 3. 选择主DBServer实例，记录IP地址。 4. 以root用户登录上述IP所在主机，执行ifconfig命令查看DBService的浮动IP在该节点是否存在。 是，执行步骤5。 否，执行步骤9。 5. 执行ping 浮动IP地址命令检查DBService的浮动IP的状态，是否能ping通。 是，执行步骤6。 否，执行步骤9。 6. 以root用户登录DBService浮动IP所在主机，执行以下命令删除浮动IP地址。 ifconfig interface down 7. 在FusionInsight Manager首页，选择“ 集群 > 待操作集群的名称 > 服务 > DBService > 更多 > 重启服务”重启DBService服务，检查是否启动成功。 是，执行步骤8。 否，执行步骤9。 8. 等待约两分钟，查看告警列表中的DBService服务不可用告警是否恢复。 是，处理完毕。 否，执行步骤14。

本文介绍网络地址转换功能的使用场景及操作步骤。 网络地址转换功能，支持配置DNAT规则，实现将内网地址转换为虚拟IP，用户通过虚拟IP访问内网应用。 应用场景 为避免路由冲突，当前应用配置中会校验不允许将相同应用地址关联到不同的连接器集群。 然后在部分网络环境中，不同连接器集群（或不同分支机构）下的应用可能具备相同的IP地址。 为解决不同分支内网IP冲突的场景，可通过配置DNAT规则，实现网络地址转换。 操作步骤 1.登录边缘安全加速平台控制台。 2.在左侧导航栏选择AOne零信任网络网络地址转换。 3.点击新增按钮，添加DNAT规则。 配置项 说明 规则名称 自定义规则名称 连接器集群 选择需要应用DNAT的规则的连接器集群名称。 注意 1、含Windows连接器实例的集群，暂不支持DNAT，请勿选择。 2、请确保连接器实例版本为3.9.0及以上。 状态 可选择启用或停用DNAT规则 转换规则 分类：支持配置IP地址、IP范围、IP段 DNAT地址：配置转后的地址 内网IP地址：配置需要进行转换的内网IP地址 注意 当内网IP地址进行转换后，应用配置中应用地址应配置DNAT地址。

本节介绍如何设置AntiDDoS流量清洗阈值。 AntiDDoS为天翼云上的公网IP资源自动开启DDoS攻击防护，即AntiDDoS对天翼云上购买的EIP自动开启DDoS攻击防护。 AntiDDoS防护策略支持以下两种设置方法： 默认防护 默认防护策略作为系统初始策略，对所有新购买的公网IP生效。默认防护的“流量清洗阈值”为120Mbps，不支持修改。 手动设置 手动为公网IP设置特定的防护策略，支持批量操作和单个操作。手动设置了防护策略的公网IP将不再使用默认防护策略。 操作步骤 1. 登录管理控制台。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表中，选择“安全 > AntiDDoS流量清洗”，进入AntiDDoS服务管理界面。 4. 选择“公网IP”页签，在需要调整流量清洗阈值的公网IP所在行的“操作”列，单击“防护设置”。或者勾选多个公网IP后，单击页面上方的“防护设置”，进行批量设置。 5. 根据实际情况修改防护参数。 防护参数说明： 参数 说明 防护设置 可以选择“默认防护”，或进行“手动设置”。 流量清洗阈值 AntiDDoS检测到IP的入流量超过该阈值时，触发流量清洗。 “默认防护”为“120Mbps”。 “手动设置”支持更多档位。 说明 当实际业务流量触发流量清洗阈值时，AntiDDoS仅拦截攻击流量；当实际业务流量未触发流量清洗阈值时，无论是否为攻击流量，都不会进行拦截。 请按照实际业务访问流量选择参数。建议选择与所购买带宽最接近的数值，但不超过购买带宽。 6. 单击“确定”，完成设置。

本文介绍如何查看ECI实例日志、监控信息。 前提条件 部署ECI实例后，您可以通过弹性容器实例控制台查看该ECI实例的日志信息和监控信息。 操作步骤 查看日志信息 1. 在弹性容器实例控制台左侧导航栏中选择“容器组”，进入容器组列表页。 2. 在容器组列表中找到该实例，点击实例名称进入实例详情页面。参考如下图： 3. 在实例详情页面点击日志页签查看该实例的日志信息。参考如下图： 查看监控信息 1. 在弹性容器实例控制台左侧导航栏中选择“容器组”，进入容器组列表页。 2. 在容器组列表中找到该实例，点击实例名称进入实例详情页面。参考如下图： 3. 在实例详情页面点击监控页签查看该实例的监控信息。参考如下图：

当WAF与访问者之间并无代理设备时，通过源IP来检测攻击行为较为精确，建议直接使用IP限速的方式进行访问频率限制。 攻击案例 竞争对手控制数台主机，持续向网站“www.example.com”发起HTTP Post请求，网站并无较大的负载能力，网站连接数、带宽等资源均被该攻击者大量占用，正常用户无法访问网站，最终竞争力急剧下降。 防护措施 步骤1 根据服务访问请求统计，判断网站是否有大量单IP请求发生，如果有则说明网站很有可能遭受了CC攻击。 步骤2 登录管理控制台，将您的网站成功接入Web应用防火墙。关于域名接入的具体操作请参见网站接入WAF。 步骤3 在目标域名所在行的“防护策略”栏中，单击“已开启N项防护”，进入“防护策略”页面，确认“CC攻击防护”的“状态”为“开启”。 步骤4 开启WAF的“CC攻击防护”后，添加CC防护规则，配置对指定路径下的请求进行基于IP限速的检测，针对业务特性，设置限速频率，并配置人机验证，防止误拦截正常用户，针对网站所有URL进行防护。 限速模式：选择“源限速”、“IP限速”，根据IP区分单个Web访问者。 限速频率：单个Web访问者在限速周期内可以正常访问的次数，如果超过该访问次数，Web应用防火墙服务将暂停该Web访问者的访问。 防护动作：防止误拦截正常用户，选择“人机验证”。 人机验证：表示在指定时间内访问超过次数限制后弹出验证码，进行人机验证，完成验证后，请求将不受访问限制。 阻断：表示在指定时间内访问超过次数限制将直接阻断。 仅记录：表示在指定时间内访问超过次数限制将只记录不阻断。 当用户访问超过限制后需要输入验证码才能继续访问。进入防护事件页面，可以查看攻击事件详情。

本章节向您介绍安全组的使用限制。 为了确保良好的网络性能体验，建议一个实例最多关联5个安全组。 默认情况下，一个安全组最多只允许拥有50条安全组规则。 默认情况下，一个云服务器或扩展网卡最多只能被添加到5个安全组中，安全组规则取并集生效。 建议一个安全组关联的实例数量不应超过6000个，否则有可能引起安全组性能下降，甚至造成安全组策略失效。 在一个安全组中，对于入方向规则来说，源地址是安全组的规则数量+源地址是IP地址组的规则数量+端口是不连续端口号的规则数量≤120条，否则超过数量的安全组规则将不生效。当同时存在IPv4和IPv6类型的安全组规则时，两种类型的安全组规则单独计算，即IPv4规则和IPv6规则可以各有120条。对于安全组出方向规则来说，目的地址和端口存在一样的限制。以安全组SgA的入方向IPv4规则为例，下表中提供了部分符合限制条件的规则供您参考。其中，当一条安全组规则同时符合多个限制时，比如规则A02既使用了不连续端口，又使用了安全组作为源地址，此时只占用一条配额。 规则编号 策略 类型 协议端口 源地址 规则A01 允许 IPv4 全部 当前安全组：SgA 规则A02 允许 IPv4 TCP: 22,25,27 其他安全组：SgB 规则A03 允许 IPv4 TCP: 8082 IP地址组：ipGroupA 规则A04 允许 IPv4 TCP: 2224,25 IP地址: 192.168.0.0/16 当您的组网中，ELB实例的监听器开启“获取客户端IP”功能时，来自ELB的流量将不受网络ACL和安全组规则的限制。比如规则已明确拒绝来自ELB实例的流量进入后端云主机，此时该规则无法拦截来自ELB的流量，流量依然会抵达后端云主机。

接口描述 查询实例的所有连接地址信息 请求方法 GET URI /v1/product/getpaasproductnetinfo 请求参数 名称 位置 类型 必选 说明 prodInstId query Long 是 实例id 响应参数 名称 二级节点 三级节点 类型 说明 message String 消息提示 statusCode Integer 状态码 returnObj Object 所有的返回信息都以JSON形式保存 master ProductNetInfo 主节点连接信息 ip String 连接ip port String 连接端口 slaves List 从节点连接信息，单节点实例为null vip ProductNetInfo vip连接信息，单节点实例为null 示例 请求示例 /v1/product/getPaasProductNetInfo?prodInstId1 响应示例 { "message": "SUCCESS", "opMessage": "", "returnObj": { "master": { "ip": "192.168.190.12", "port": "5200" }, "slaves": [ { "ip": "192.168.190.11", "port": "5200" } ], "vip": { "ip": "192.168.190.14", "port": "5202" } }, "statusCode": 800 } 错误码 访问ErrorCodes说明文档查看更多错误码。

计费构成 计费方式 计费项 计费描述 参考链接 基础套餐 预付费包月 流量计费 加速部分：按照防护清洗过后的干净流量计费，按下行流量与上行流量相加计费。DDos攻击产生的流量不计费。 基础套餐 预付费包月 带宽计费 带宽计费暂不支持官网订购，如果您有需要，可通过提交工单或拨打4008109889热线电话联系客服进行咨询。 基础套餐 预付费包月 DDoS防护次数 在一个自然月内，如果您订购了基础版，则支持防护攻击带宽峰值不超过40Gbps的DDoS攻击1次。发生DDos攻击当天（自然天）的攻击算一次。 套餐外超量费用 流量按需 流量计费 加速部分：按照防护清洗过后的干净流量计费，按下行流量与上行流量相加计费。 套餐外超量费用 带宽按需 带宽计费 带宽计费暂不支持官网订购，如果您有需要，可通过提交工单或拨打4008109889热线电话联系客服进行咨询。 套餐外超量费用 扩展服务 域名扩展包 按照加速域名数量收费。 套餐外超量费用 扩展服务 端口数 按照使用的TCP端口和UDP端口总数收费。 套餐外超量费用 扩展服务 DDoS防护带宽 针对易受攻击客户，支持DDoS防护带宽进行包周期套餐扩展，不限次数。 套餐外超量费用 扩展服务 DDoS弹性防护 在订购扩展服务DDoS防护带宽的基础上，可开启DDoS弹性防护；未开启扩展服务DDoS防护带宽，不允许开启DDoS弹性防护。 弹性峰值攻击峰值DDoS防护带宽， 弹性防护根据弹性峰值进行阶梯计费，按日收费。

本页主要介绍弹性容器实例产品的API使用说明。 OpenAPI门户提供了产品的API 文档、API调试、SDK中心等。 关于用户如何使用弹性容器实例产品API的详细介绍，请参见使用API。您可以在OpenAPI门户可以了解到具体的调用前必知、API概览、如何调用API以及具体的API的接口详细说明。

本节介绍了节点伸缩原理。 工作原理 在Kubernetes中，节点自动伸缩的工作原理与传统意义上基于使用率阈值的模型有所差别，这也是很多开发者在从传统的IDC或者其他编排系统迁移到Kubernetes后最难理解的地方。 传统的弹性伸缩模型是基于使用率的，例如：一个集群中有3个节点，当集群中的节点CPU、内存使用率超过特定的阈值时，此时弹出新的节点。但当深入思考时会发现以下几个问题： 阈值是如何选择与判断的？ 在一个集群中，部分热点节点的利用率会较高，而另外一个节点的利用率会很低。如果选择平均利用率的话可能会造成弹性伸缩的不及时。如果使用最低的节点的利用率，那么也会造成弹出资源的浪费。 弹出实例后是如何缓解压力的？ 在Kubernetes中，应用是以Pod为最小单元，部署在集群的不同节点上的。当一个Pod资源利用率较高的时候，即便此时所在的节点或者集群的总量触发了弹性扩容，但是该应用的Pod数目，以及Pod对应的Limit没有任何变换，那么负载的压力是无法转移到新扩容出的节点上的。 如何判断以及执行实例的缩容？ 如果基于资源利用率的方式判断节点是否缩容，那么很有可能出现，Request很大，但是Usage很小的Pod被驱逐，当集群中这种类型的Pod较多时，会导致集群的调度资源被占满，部分Pod无法调度。 Kubernetes节点伸缩是怎么解决以上问题的呢？Kubernetes是通过调度与资源解耦的两层弹性模型来解决的。 基于资源的使用率来触发应用副本的变化，也就是调度单元的变化。而当集群的调度水位达到100%的时候会触发资源层的弹性扩容，当资源弹出后，无法调度的单元会自动调度到新弹出的节点上，从而降低整个应用的负载状况。以下介绍Kubernetes弹性伸缩的技术细节： 如何判断节点的弹出？ clusterautoscaler是通过对处在Pending的Pod进行监听而触发的。当Pod处在Pending的原因是调度资源不足的时候，会触发clusterautoscaler的模拟调度，模拟调度器会计算在配置的伸缩组中哪个伸缩组弹出节点后可以调度这些Pending的Pod。如果有伸缩组可以满足，那么就弹出相应的节点。 模拟调度就是将一个伸缩组当成一个抽象的Node，伸缩组中配置的机型规格对应会成为Node的CPU/内存/GPU的容量，然后设置伸缩组上面的Label、Taint，也就是Node的Label与Taint。模拟调度器会在调度模拟的时候，将该抽象的Node纳入调度参考。如果Pending的Pod可以调度到抽象的Node，那么就会计算所需的Node的数目，驱动伸缩组弹出节点。 如何判断节点的缩容？ 首先只有弹性伸缩弹出的节点会被缩容，静态的节点是无法被clusterautoscaler接管的。缩容的判断是通过每个节点单独判断的。当任意一个节点的调度利用率低于所设置的调度阈值时，会触发节点的缩容判断。此时clusterautoscaler会尝试模拟驱逐节点上面的负载，判断当前节点是否可以排水彻底。有些特殊的Pod（kubesystem命名空间的非DaemonSet Pod、PDB控制的Pod等），则会跳过该节点而选择其他的候选节点。当节点发生驱逐时，会先进行排水，将节点上的Pod驱逐到其他的节点，然后再下线该节点。 多个分组之间如何选择？ 不同分组之间，实际上相当于不同的虚拟的Node之间的选择，和调度策略一样，这里也存在一个打分的机制。首先符合调度策略的Node会先过滤出来，在符合调度策略的Node中，会根据affinity等亲和性的策略进行选择。如果上述的策略都不存在，默认情况下clusterautoscaler会通过leastwaste的策略来进行抉择。leastwaste的策略的核心就是模拟弹出节点后，剩余的资源最少。此外，有一个特别的场景，当有一个GPU的伸缩组和CPU的伸缩组同时可以弹出生效时，默认CPU会优先于GPU弹出。 如何提高弹性伸缩的成功率？ 弹性伸缩的成功率主要取决如下两个因素： 1、调度策略是否满足 首先在配置好伸缩组后，开发者需要先确认下该伸缩组可以承载的Pod的调度策略范围。如果无法直接判断，最简单的方式是通过nodeSelector直接选择伸缩组的Label进行预弹模拟。 2、资源配置是否充分 当模拟调度通过后，会选择伸缩组进行弹出，但是伸缩组中配置的ECS规格是否有库存会直接决定是否可以成功弹出实例。因此配置多个节点池选择不同的规格可以大大提高弹出成功率。