基于iptables，阻断终端与任意 IP 的出入站访问，仅保留与大模型平台的连接，遏制威胁扩散；点击 可以取消当前主机的隔离。

合规资质 WAF已通过CIMMI5、可信认证等各项国际权威认证，参与制定《信息安全技术 网络弹性评价准则》国家标准，并作为试点产品通过测评要求最高等级AAA级测评验证。 如何使用WAF WAF使用流程如下，更多详细信息及操作步骤，请参见开启WAF防护。 典型用户及产品价值 政府及企业用户 背景 政务门户网站作为政府、企业提供给互联网用户获取信息服务的重要渠道，会面临网页被篡改、网页挂马、SQL注入攻击等多种安全问题，同时也面临上级单位和测评机构的安全检测的压力。一旦发生安全事件，将严重影响其形象和公信力。因此门户网站的安全性对于政府部门运营人员来说非常重要。 产品价值 一键接入Web应用防火墙防御，轻松配置，隐藏并保护源站。 保证网站不会被黑客入侵，数据不被窃取，保证政府服务正常可用，民众访问满意畅通。 金融用户 背景 金融行业面临注入、跨站等多种安全问题，导致用户账号密码泄露，危及用户资金财产安全，进而严重影响企业的形象并承受经济损失。 产品价值 提供应用层业务防护，避免业务入侵、篡改、窃取等。 过滤各类BOT垃圾流量，抵御CC攻击，避免网站瘫痪，保证业务稳定运营。 高可用，随业务增长弹性扩展，节省成本。

本文主要介绍了RDSPostgreSQL产品的高级防护优势，主要体现为：访问控制、网络隔离、数据销毁、防DDoS攻击、安全保护。 访问控制 RDSPostgreSQL实例创建时，可以在虚拟私有云中对实例所在的安全组入站和出站规则进行限制，从而实现基于安全组的访问控制。这样就能够控制可以连接数据库的网络范围，从而提升数据库的安全性。 网络隔离 为了实现对数据库服务的网络隔离，可以利用虚拟私有云（Virtual Private Cloud，简称VPC）和网络安全组等网络安全技术。使用虚拟私有云可以让租户配置入站IP地址范围，这样就能够控制可以连接数据库的IP地址段。同时，RDSPostgreSQL实例可以运行在租户独立的虚拟私有云内，这样就能够提升数据库实例的安全性。通过综合运用子网和安全组的配置，可以进一步实现对关系数据库实例的网络隔离。 数据销毁 在删除关系数据库PostgreSQL版实例时，存储在数据库实例中的数据都会被删除，并且不会被恢复或重新创建。安全删除不仅包括数据库实例所挂载的磁盘，同时还包括备份数据的存储空间。这样可以确保数据得到完全的清除和保护，防止数据被不当使用或者泄露给未经授权的人员。 安全保护 RDSPostgreSQL处于天翼云多层防火墙保护之下，能够有效抗击各种恶意攻击，保障数据的安全性。在防御DDoS攻击、防SQL注入等方面具有优异的性能。为了进一步提升数据库的安全性，建议您使用内网方式访问RDSPostgreSQL实例，这样可以有效地避免DDoS攻击的影响。

本页介绍了关系数据库MySQL版产品的高级防护优势。 关系数据库MySQL版产品的高级防护主要体现为：访问控制、数据传输加密、网络隔离、数据销毁、防DDoS攻击、安全保护。 访问控制 关系数据库MySQL版实例创建时，可以在虚拟私有云中对实例所在的安全组入站和出站规则进行限制，从而实现基于安全组的访问控制。这样就能够控制可以连接数据库的网络范围，从而提升数据库的安全性。 数据传输加密 通过TLS加密和SSL加密，可以实现对数据传输过程的加密保护。此外，可以使用从服务控制台下载的CA根证书来验证和认证数据库服务端，在连接数据库时提供该证书，从而保证数据传输的安全性和可靠性。 网络隔离 为了实现对数据库服务的网络隔离，可以利用虚拟私有云（Virtual Private Cloud，简称VPC）和网络安全组等网络安全技术。使用虚拟私有云可以让租户配置入站IP地址范围，这样就能够控制可以连接数据库的IP地址段。同时，关系数据库MySQL版实例可以运行在租户独立的虚拟私有云内，这样就能够提升数据库实例的安全性。通过综合运用子网和安全组的配置，可以进一步实现对关系数据库实例的网络隔离。 数据销毁 在删除关系数据库MySQL版实例时，存储在数据库实例中的数据都会被删除，并且不会被恢复或重新创建。安全删除不仅包括数据库实例所挂载的磁盘，同时还包括备份数据的存储空间。这样可以确保数据得到完全的清除和保护，防止数据被不当使用或者泄露给未经授权的人员。

本节介绍了用户指南：使用OceanFS动态存储卷（subPath模式）。 云容器引擎支持使用天翼云海量文件存储持久卷。cstorcsi插件支持使用海量文件服务动态存储卷和静态存储卷，通过将存储卷挂载到容器指定目录，以满足数据持久化需求。 subPath模式是指将海量文件存储中的指定子目录作为持久卷使用。当用户挂载持久卷声明时，持久卷中记录的子目录会被挂载到容器中。 前提条件 已创建容器集群 已在插件市场安装存储插件cstorcsi，插件版本>3.6.0，且插件正常运行。（建议使用>4.0的CSI版本） 使用限制 参见海量文件使用限制 通过控制台使用海量文件动态存储卷 1、创建存储类（StorageClass） 登录“云容器引擎”管理控制台； 在集群列表页点击进入指定集群； 进入主菜单“存储”——“存储类”，单击左上角“创建”； 在创建对话框，配置存储类StorageClass的相关参数。配置项说明如下： 配置项 说明 名称 StorageClass的名称。 存储类型 当前支持云盘、弹性文件、对象存储、并行文件、海量文件，这里选择海量文件。 具体创建页中展示的存储类型由当前资源池支持情况决定。 存储驱动 采用默认CSI驱动。 模式 新建海量文件：每次创建持久卷申明时，均创建一个新的海量文件与之对应。 新建子目录：基于某个已经存在的海量文件，每次创建持久卷申明时，在这个海量文件上创建一个子目录与之对应。 选择新建子目录模式。 计费模式 可以选择按需计费或者包年包月。 回收策略 回收策略，默认为Deleted。 Retained（保留）：用户可以手动回收资源。当 PVC对象被删除时，PV 卷仍然存在，对应的数据卷被视为"已释放（released）"。 Deleted（删除）：对于支持 Delete 回收策略的卷插件，删除动作会将 PV对象从 Kubernetes 中移除，同时也会从外部基础设施中移除所关联的存储资产。 如果对数据安全性要求高，推荐使用Retain方式，以免误删数据。 绑定策略 绑定策略，仅支持Immediate。 Immediate 模式：表示一旦创建了 PVC，也就完成了卷绑定和动态供应。 对于由于拓扑限制而非集群所有节点可达的存储后端，PV会在不知道 Pod 调度要求的情况下绑定或者制备。 支持扩容 默认该开关是打开的，一般也建议打开。 如果关闭该开关，则使用该存储类的pvc，无法被扩容。 挂载选项 挂载参数，用户可根据自己的情况实际定制相关参数。 注意：请务必在挂载时使用noresvport参数，该参数可以在网络故障时自动切换端口，保障网络连接，防止文件系统卡住。挂载参数的说明参见 查看这里 参数 海量文件名称：需要选择一个海量文件，后续会基于该海量文件分配子目录 子目录回收策略： 保留：当持久卷被csi删除时，会保留子目录在文件存储中，不做删除。默认为该选项。 删除：当持久卷被csi删除时，会删除文件存储中对应的子目录，数据无法恢复。 注意 删除子目录属于高危操作，请谨慎选择“删除”子目录回收策略。 参数配置完成后，点击“确定”。创建成功后，可以在存储类列表查看。

本章主要介绍API控制策略常见问题。 API流量控制 是否支持对请求并发次数做自定义控制？ 不支持。流控策略只控制单位时间内调用次数，无请求并发次数控制。 每个子域名每天最多可以访问1000次，如果帐号为企业帐号，是否还有这个限制？ 每个子域名每天最多可以访问1000次的限制同样适用于企业帐号。 API调用是否存在带宽限制 专享版API网关存在带宽限制，在创建实例时可以选择公网入口以及出口带宽。 流量控制策略不生效怎么办？ 若流控策略的API流量限制或源IP流量限制不生效，检查API是否绑定流控策略。 若流控策略的用户流量限制不生效，检查API的安全认证方式是否为IAM认证。 若流控策略的应用流量限制不生效，检查API的安全认证方式是否为APP认证。 API访问控制 怎样给指定的用户开放API 可以采用以下两种方式： 注册API时可选取APP认证方式，APP key和APP Secret分享给指定的用户。 使用访问控制策略，按照IP地址或者帐号名，只允许符合允许策略的用户调用API。 配置了身份认证的API，如何在特殊场景下（如指定IP地址）允许不校验身份？ 认证方式不能基于某个特殊场景进行选择性认证。 方案1：创建API时选择无认证方式，然后利用“访问控制策略”功能进行IP白名单过滤，使得所有调用都不需要校验身份。 方案2：考虑拆分成2个API，其中一个使用身份认证（IAM认证或APP认证），另一个使用“无认证”并设置访问控制策略，以确保安全。

本文介绍如何查看用户在租户控制台相关操作的操作日志。 操作步骤 1. 登录ECX控制台。 2. 点击左侧栏的【服务管理】。 3. 点击左侧栏的【操作日志】，进入操作日志查看页面。 4. 操作日志支持多维度查询对应的操作行为。选择时间范围、操作结果、功能、动作、操作对象等查询条件，可以筛选及查看到对应时间段用户的相关操作记录。 操作记录内容： 操作时间：执行操作的具体时间点。 操作人(名称/邮箱)：执行操作的用户名称、邮箱，如果是系统自动触发行为，会显示为“系统”。 功能：被操作的功能及路径。 动作：包括创建、删除、修改实例配置等具体操作动作。 操作对象：被操作的实例ID、名称或IP等信息。 操作结果：成功、失败。 描述：对操作行为记录的进一步补充，如编辑的具体内容等。 操作平台：发起操作的平台或版块。 记录范围 目前操作记录范围包括： 虚拟机实例创建及管理。 裸金属实例创建及管理。 存储创建及管理。 安全组创建及管理。 VPC创建及管理。 公网IP创建及管理。 负载均衡创建及管理。 NAT网关创建及管理等。

网站及应用加速 业务挑战：门户资讯、在线社区、社交论坛等新媒体场景下，注册、登录、聊天、搜索、发帖等信息交互对实时性提出更高的要求，这些动态类请求都需要实时回源。 方案优势：天翼云全站加速凭借全球2300+三网节点覆盖，通过智能调度，传输优化等自研技术，可实时计算优质回源路径，时刻保障访问体验。 热点新闻 业务挑战：媒体网站不定期会出现热点新闻，尤其是特殊会议期间易产生高并发，而源站承压及扩容能力不足，需要保障媒体源站的实时弹性扩容及持续高可用性。 方案优势：天翼云全站加速提供有序回源、连接复用、多源负载均衡、实时弹性扩容等能力，高并发场景下仍能保障业务连续性和高可用性。 方案价值 便捷的接入方式 客户只需要修改DNS记录，即可一键CNAME接入CDN, 源站无需做任何改动。 优质的节点及线路 全国拥有1800+个节点，海外500+节点，覆盖各大洲，各大省市、运营商，具备精品CN2和163网络线路。 高效的加速效果 自研的缓存技术、负载均衡技术、传输优化、选路技术、内核优化技术等，保障极致、高效的CDN加速体验。 灵活的售卖机制 可根据需要选择流量包或按量计费方式，可按日、按月、按年计费，灵活售卖。 专业的售后保障 31省本地化的销售网络体系，724小时技术支持，VIP客户一对一专属项目经理。

如何判断服务器的固件类型？ 源端服务器安装并启动迁移Agent后，在天翼云SMS控制台的“迁移服务器”页面，单击服务器名称，进入服务器概览页面，可查看采集到的源端服务器固件类型。 迁移配置完成，保存配置时，提示“保存配置失败”怎么处理？ 迁移配置完成，保存配置时，提示“保存配置失败”。目的端系统镜像为私有镜像，该私有镜像在私有镜像列表中被删除，SMS无法识别该私有镜像信息导致保存配置失败。在弹性云服务器 ECS控制台，重装或者切换目的端主机操作系统。 Linux迁移，设置迁移Agent资源限制 SMS为Linux迁移提供了源端资源限制功能，主要用于限制SMSAgent在源端的CPU占用率，内存使用量和磁盘吞吐量。 使用须知 资源限制功能依赖于源端Linux服务器内置的cgroups功能。若源端服务器的cgroups功能存在缺陷或异常情况，可能会导致资源限制失效。如在实施过程中发现资源限制未达预期效果，请联系主机迁移服务技术支持人员协助排查。 前提条件 源端Linux主机安装并启用了cgroups功能 。 在源端主机执行如下命令，查看是否有cgroups功能。 mount grep cgroup 如果查询到如下cgroups V1/V2版本挂载情况时，代表源端主机已启用了cgroups功能；如果查不到类似的挂载情况，则源端主机没有安装或没有启用cgroups功能。 如需使用SMS提供的资源限制功能，需要您自行评估安装或者启用cgroups是否会影响源端业务。如果您源端业务本身和cgroups相关，请通过提交工单，提前咨询SMS迁移专家，确认SMS资源限制和源端业务是否有冲突。 图 cgroups V1 版本 以下3个挂载点分别对应CPU，内存和磁盘IO的控制系统。 /sys/fs/cgroup/CPU,CPUacct /sys/fs/cgroup/memory /sys/fs/cgroup/blkio 图 cgroups V2 版本 可以看到cgroups V2 挂载在 /sys/fs/cgroup ，V2版本和V1版本略有区别，V2版本不会挂载在具体的资源项。

本章节主要介绍 ALM12072 floatip资源异常。 告警解释 HA每9秒周期性检测Manager的floatip资源。当HA连续3次检测到floatip资源异常时，产生该告警。 当HA检测到floatip资源正常后，告警恢复。 floatip资源为单主资源，一般资源异常会导致主备倒换，看到告警时，基本已经主备倒换，并在新主环境上启动新的floatip资源，告警恢复。该告警用于提示用户，Manager主备倒换的原因。 告警属性 告警ID 告警级别 是否自动清除 12072 重要 是 告警参数 参数名称 参数含义 来源 产生告警的集群或系统名称。 服务名 产生告警的服务名称。 角色名 产生告警的角色名称。 主机名 产生告警的主机名。 对系统的影响 Manager主备倒换。 floatip进程持续重启，可能引起无法访问服务原生UI界面。 可能原因 浮动IP地址异常。 处理步骤 检查主管理节点的浮动IP地址状态 1.打开FusionInsight Manager页面，在告警列表中，单击此告警所在行的，查看该告警的主机地址及资源名称。 2.以root用户登录主管理节点。 3.执行以下命令进入“${BIGDATAHOME}/omserver/om/sbin/”目录。 su omm cd ${BIGDATAHOME}/omserver/om/sbin/ 4.执行“ sh statusoms.sh ”命令，执行statusoms.sh脚本检查主Manager的浮动IP是否正常，查看回显中，主管理节点的“ResName”为“floatip”的一行，是否显示以下信息： 例如： 101010160 floatip NormalNormal Singleactive 是，执行步骤8。 否，执行步骤5。 5.执行ifconfig命令检查浮动IP地址的网卡是否存在。 是，执行步骤8。 否，执行步骤6。 6.执行命令ifconfig 网卡名称 浮动IP地址 netmask 子网掩码重新配置浮动IP网卡（例如， ifconfig eth0 10.10.10.102 netmask 255.255.255.0 ）。 7.等待5分钟，查看告警列表中，该告警是否已清除。 是，处理完毕。 否，执行步骤8。

本章节主要向您介绍如何创建网络ACL与添加网络ACL规则。 创建网络ACL 操作场景 您可以创建自定义网络ACL。默认情况下，创建的网络ACL没有关联子网和出入规则且处于停用状态。每个用户默认可以创建200个网络ACL。 操作步骤 1. 登录管理控制台。 2. 在系统首页，选择“网络 > 虚拟私有云”。 3. 在左侧导航栏选择“访问控制 > 网络ACL”。 4. 在页面右侧区域，单击“创建网络ACL”。 5. 在“创建网络ACL”页面，根据提示，填写网络ACL参数。 表 网络ACL参数说明 参数 参数说明 取值样例 名称 网络ACL的名称，必填项。 网络ACL的名称只能由中文、英文字母、数字、下划线、中划线组成，且不能有空格，长度不能大于64个字符。 fw92d3 描述 网络ACL的描述信息，非必填项。 描述信息内容不能超过255个字符，且不能包含 符号。 6. 单击“确定”，完成创建。 添加网络ACL规则 操作场景 您可根据自身网络需求，在出方向和入方向添加相应规则。 操作步骤 1. 登录管理控制台。 2. 在系统首页，选择“网络 > 虚拟私有云”。 3. 在左侧导航栏选择“访问控制 > 网络ACL”。 4. 在“网络ACL”列表区域，选择网络ACL的名称列，单击目标“网络ACL名称”进入网络ACL详情页面。 5. 在入方向规则或出方向规则页签，单击“添加规则”，添加入方向或出方向规则。 − 单击“+”可以依次增加多条规则。 − 单击网络ACL规则操作列下的“复制”，复制已有的网络ACL规则。 表 参数说明 参数 参数说明 取值样例 策略 网络ACL策略。必选项，单击下拉按钮可选择。目前支持“允许”和“拒绝”。 允许 协议 网络ACL支持的协议。必选项，单击下拉按钮可选择。目前只支持选择TCP、UDP、全部、ICMP协议，当选择全部或者ICMP时，端口信息不可填写。 TCP 源地址 此方向允许的源地址。 可以是IP地址默认值为0.0.0.0/0，代表支持所有的IP地址。 例如： xxx.xxx.xxx.xxx/32（IP地址） xxx.xxx.xxx.0/24（子网） 0.0.0.0/0（任意地址） 0.0.0.0/0 源端口范围 源端口范围，取值范围是1～65535的数字。 表示某一范围时，两个数字必须以短划线分隔。例如，1100。选择TCP或UDP协议时必须填写。 22或2230 目的地址 此方向允许的目的地址。默认值为0.0.0.0/0，代表支持所有的IP地址。 例如： xxx.xxx.xxx.xxx/32（IP地址） 0.0.0.0/0（任意地址） 0.0.0.0/0 目的端口范围 目的端口范围，取值范围是介于1～65535的数字。 表示某一范围时，两个数字必须以短划线分隔。例如，1100。选择TCP或UDP协议时必须填写。 22或2230 描述 网络ACL规则的描述信息，非必填项。描述信息内容不能超过255个字符，且不能包含 符号。 6. 单击“确定”，添加网络ACL规则。

删除监听器 1. 登录ECX控制台。 2. 单击左侧导航栏的【边缘网络>弹性负载均衡>负载均衡器】，选择对应的地域，查看当前地域下已创建的负载均衡实例。 3. 在负载均衡实例列表中选择需要删除监听器的负载均衡实例并单击负载均衡实例名称进入负载均衡详情页，单击【监听器】查看该负载均衡下已有的监听器信息。 4. 在监听器的信息栏中选中要删除的监听器，并单击删除图标按钮，在删除确认弹框中单击【确认】执行删除。

本章节介绍如何使用服务网格的能力，将应用部署到服务网格 概述 项目中有多种语言的应用，希望多语言应用也能集成监控和治理的能力。那么就需要用到服务网格的能力，下面以发布bookinfo图书系统为例，发布接入服务网格应用。 前提条件 1. 您已开通微服务云应用平台 2. 您已开通应用性能监控 3. 您已订购一个云容器引擎 4. 您已订购服务网格 操作步骤 1. 创建应用 2. 创建容器应用实例 3. 发布应用 4. 查看监控信息 具体操作： 1. 创建 productpage/reviews/details/ratings 四个应用，技术栈选择参照下面信息进行选择。 productpage 对应 PYTHONRUNTIME reviews 对应 SPRINGBOOT details 对应 NODEJS ratings 对应 NODEJS 2. 创建容器应用实例 基本信息填写： 应用选择1中创建的应用 部署单元可多选，应用pod会均匀分配到部署单元对应的可用区。 部署配置填写： 集群选择，需要选择已经开通服务网格的集群 工作负载类型选择无状态应用 镜像类型选择demo镜像 镜像选择对应应用名称的镜像productpage ，reviews ，details ，ratings 勾选接入服务网格，若集群没有开通服务网格则无法勾选，需先开通服务网格 应用服务网格配置信息： 协议选择 TCP 服务名称同应用名称 productpage ，reviews ，details ，ratings 端口都为 9080 3. 发布应用 进入应用实例，版本信息tab栏，发布应用 将productpage ，reviews ，details ，ratings应用都进行发布 进入ratings应用终端，访问productpage应用接口。curl service ip}:9080/productpage，查看是否有请求返回是否正常，请求返回正常则应用部署成功。 4. 查看监控信息

项目 说明 版本 表示OMS版本，与FusionInsight Manager版本相同。 IP模式 表示当前集群网络的IP地址模式。 HA模式 表示OMS工作模式，由安装FusionInsight Manager时的配置文件指定。 当前主用 表示OMS主进程节点主机名，即主管理节点主机名。单击主机名可进入对应的主机详情页面。 当前备用 表示OMS备进程节点主机名，即备管理节点主机名。单击主机名可进入对应的主机详情页面。 持续时间 表示OMS进程启动持续的时间。

前提条件 已获取服务器管理员帐号与密码。 操作步骤 1 使用管理员帐号登录服务器。 2 在服务器中，下载RemoteaProxyInstallerxxx.zip（xxx为版本号）压缩包。 服务器需要有公网访问权限（绑定弹性EIP）。 3 在应用服务器中，将RemoteaProxyInstallerxxx.zip（xxx为版本号）压缩包进行解压。 4 双击“RemoteaProxyInstallerxxx.msi”（xxx为版本号）启动安装。 安装时请选择默认的安装路径。 5 安装完成后，单击“关闭”。

本章按照数据库实例规格大小介绍收费模式。 按照版本不同分为MySQL、PostgreSQL、SQL Server。基于云计算平台，稳定可靠、可弹性伸缩、即开即用的在线数据库服务，实现数据库数据备份、智能监控、便捷迁移。资费包括主备实例、主实例、只读实例、存储和备份租用费。 收费标准（根据天翼云价格调整策略，2021年6月1日零点采用新的资费标准） 包年预付费优惠政策：一年85折，2年7折，3年享受5折优惠。 Web版单机实例 CPU(核) 内存（GB） 标准资费（元/小时） 标准资费（元/月） :::: 2 4 0.49 240 2 8 0.67 324 4 8 0.99 480 4 16 1.33 648 8 16 1.97 960 8 32 2.66 1296 16 64 5.33 2592 标准版主备实例 CPU(核) 内存（GB） 标准资费（元/小时） 标准资费（元/月） :::: 2 4 2.2 1105 2 8 6.69 3120.5 2 16 7.09 3307.73 4 8 4.19 2090 4 16 13.38 6241 4 32 13.83 6534 8 16 8.71 4180 8 32 26.78 12482 8 64 27.77 13068 16 32 15.84 7600 16 64 53.95 24963 16 128 55.53 26137 24 192 83.3 39205.5 32 256 83.14 39903.8 60 512 148.47 71250

应用场景 场景一：基于用户请求将匹配的业务流量切分到新版本 假设在当前线上环境中，您已经有一套服务Service v1对外提供7层服务，此时开发了一些新的功能，现需发布新版本Service v2服务。但又不想直接替换Service v1服务，而是希望将请求头包含 “foobar” 或者Cookie包含 “foobar” 的客户端请求转发到Service v2服务中，验证一下新版本功能是否正常，待稳定运行后，再逐步全量切到Service v2服务，平滑下线Service v1服务。示意图如下： 场景二：基于服务权重将业务流量切分到新版本 假设当前线上环境，您已经有一套服务Service v1对外提供7层服务，此时修复了一些问题，需要发布上线一个新的版本Service v2。但又不想将所有客户端流量切换到新版本Service v2中，而是希望将20%的流量灰度到Service v2，待稳定运行后，逐步全量切到Service v2，平滑下线Service v1。示意图如下： 操作步骤 场景一：基于用户请求将匹配的业务流量切分到新版本 步骤一：部署旧版本Service v1和常规Ingress 这里使用Ingress作为service v1应用服务，并且为方便观测流量切分的效果，将nginx欢迎页设置为“v1”。 1. 创建配置configmap，key为index.html，value为v1。 2. 创建nginx工作负载，配置数据卷为刚才创建的configmap；配置镜像和挂载卷，挂载容器路径为：/usr/share/nginx/html；配置访问设置，选择虚拟集群IP类型，容器端口80，服务端口30080。 3. 创建旧版本service v1的常规ingress。灰度ingress一栏选择否，在域名路径规则一栏填写域名，指定服务名称以及端口等。 4. 检查通过Ingress域名能正常访问旧版本service v1服务。 步骤二：部署新版本Service v2 这里同样使用Ingress作为service v2应用服务，并且为方便观测流量切分的效果，将nginx欢迎页设置为“v2”。 1. 创建配置configmap，key为index.html，value为v2。 2. 创建Ingress工作负载，配置数据卷为刚才创建的configmap；配置镜像和挂载卷，挂载容器路径为：/usr/share/nginx/html；配置访问设置，选择虚拟集群IP类型，容器端口80，服务端口30081。 步骤三：创建灰度ingress，在灰度发布新版本 1. 基于Header创建新版本service v2的Ingress。 2. 在灰度Ingress一栏选择是；在生产ingress一栏选择旧版本service v1的常规Ingress；在流量切换方式一栏选择灰度，基于Header的区分方式，填写Header key为foo，Header value为bar，精确匹配；在域名路径规则一栏填写域名，指定服务名称和端口等。 执行命令进行访问测试， 为Nginx Ingress对外暴露的IP：

本文为您介绍Web应用防火墙（边缘云版）基础概念。 CNAME记录 CNAME ( Canonical Name )，即别名，用于把一个域名解析到另一个域名，当DNS系统在查询CNAME 左面的名称的时候，都会转向CNAME右面的名称再进行查询，一直追踪到最后的PTR或A名称，成功查询后才会做出回应，否则失败。例如，您有一台服务器，使用www.ctyun.cn访问，您又希望通过www.example.ctyun.cn1也能访问该服务器，那么就需要在您的DNS解析服务商添加一条CNAME记录，将www.example.ctyun.cn1指向www.ctyun.cn，添加该条CNAME记录后，所有访问www.example.ctyun.cn1的请求都会被转到www.ctyun.cn，获得相同的内容。 DNS DNS即Domain Name System，是域名解析服务的意思。它在互联网的作用是：把域名转换成为网络可以识别的ip地址。人们习惯记忆域名，但机器间互相只认IP地址，域名与IP地址之间是一一对应的，它们之间的转换工作称为域名解析，域名解析需要由专门的域名解析服务器来完成，整个过程是自动进行的。比如：上网时输入的www.ctyun.cn会自动转换成为220.181.112.143。 常见的DNS解析服务商有：阿里云解析，万网解析，DNSPod，新网解析，Route53（AWS），Dyn，Cloudflare等。 边缘安全节点 边缘安全节点是相对于网络的复杂结构而提出的一个概念，指距离最终用户接入具有较少的中间环节的网络节点，对最终接入用户有较好的响应能力和连接速度。其作用是将访问量较大的网页内容和对象保存在服务器前端的专用Cache设备上，以此来提高网站访问的速度和质量。

本章节介绍ECS应用实例监控相关功能 分页查看调用链列表 1. 在Ecs应用详情左边导航栏中选择“应用监控“ 在顶部菜单栏中选择“调用链查询”，在右侧输入框中选择查询时间即可分页查询调用链 具体使用说明可参考应用性能监控用户指南调用链查询 查询调用链列表 1. 在Ecs应用详情左边导航栏中选择“应用监控“ 2. 在顶部菜单栏中选择“调用链查询>常用查询” 客户端应用名：调用链中第一段的发起调用的应用名称 接口名称：显示发起API调用时的接口名称 TraceId：调用链的唯一标识 客户端IP：调用链中第一段的发起调用的应用的IP地址 服务端IP：调用链中第一段的被调用的应用的IP地址 耗时大于等于(ms)：调用耗时时间大于指定值 其他查询：其他查询主要包括调用类型，状态，响应码 自定义查询：调用链查询支持自定义查询，您可以输入常用的标签，或是上报数据时自定义的标签进行查询。标签样例请参见“APM常用标签” 查看调用链详情 1. 在Ecs应用详情左边导航栏中选择“应用监控” 2. 在顶部菜单栏中选择“调用链查询” 3. 在应用列表中选择您想查看的应用，点击「 应用名称 」打开新的应用详情链接 4. 点击TraceID，打开Trace详情弹窗 具体使用说明可参考应用性能监控>用户指南>Trace详情

本章节为您介绍新增数据库代理。 数据库加密机网关对数据库的加解密是通过解析改写数据库二进制协议实现的。 本章节将指导您如何将您的数据库服务纳入数据加密网关管理之下。 新增数据库代理 1. 使用运维账号登录数据加密网关。 2. 在左侧导航栏选择“数据库管理 > 数据库列表”，进入“数据库列表”页面。 3. 单击页面左上角的“新增”按钮，进入“新增代理实例”页面。 4. 填写数据库实例代理相关内容，填写完成后单击“提交”，即可完成数据库代理配置。 参数 参数说明 数据库类型 根据您自身的业务需求选择数据库类型，具体支持选择的数据库类型请参考使用限制。 数据库版本 选择数据库版本号，具体支持的数据库版本请参考使用限制。 实例IP 填写物理数据库的IP地址，请确保填写的IP地址准确。 实例端口 填写物理数据库连接端口，请确保填写的实例端口准确。 代理端口 自定义代理数据库的服务端口。 是否大小写敏感 选择是否敏感，请根据物理数据库实际情况选择。 实例类型 选择“单节点”或者“主从”，请确认您的数据库部署方式正确选择。 单节点：单节点是指是指数据库软件安装在一台服务器上。 主从：主从是指数据库软件安装在两台或多台服务器上。 当您选择“主从”时，需要填写关联实例的IP、端口和代理端口信息。 描述 对新建的代理服务进行描述。 模式名包裹符号 与物理数据库保持一致。 字段值包裹符号 与物理数据库保持一致。 密文数据格式 根据您自身的业务需求选择“base64”或“hex”。 通配符 自定义通配符。

接口功能介绍 查询弹性文件设备的实时监控数据。 接口约束 regionID（资源池）存在，且存在弹性文件设备。 URI POST /v4/monitor/querysfslatestmetricdata 请求参数 请求体body参数 参数 参数类型 是否必填 示例 说明 下级对象 regionID String 是 81f7728662dd11ec810800155d307d5b 资源池ID deviceUUIDList Array of String 是 ["78rcvo7ff1lhyotd","c4sk6rmure0z52ip"] 查询设备ID列表，具体值参考监控对象查询返回字段deviceUUID pageNo Integer 否 1 页码，默认为1 page Integer 否 1 页码，默认为1，建议使用pageNo，该参数后续会下线 pageSize Integer 否 1 页大小，默认为20 响应参数 参数 参数类型 说明 示例 下级对象 statusCode Integer 返回状态码（800为成功，900为失败），默认值：800 800 errorCode String 失败时的错误代码，参见公共错误码说明 message String 失败时的错误描述，一般为英文描述 Success msgDesc String 失败时的错误描述，一般为中文描述 成功 returnObj Object 返回对象 returnObj 表returnObj 参数 参数类型 说明 示例 下级对象 result Array of Objects 返回数据结果 result totalCount Integer 获取对象数据条数 138 totalPage Integer 总页数 1 currentCount Integer 当前页记录数 2 page Integer 页码，建议参考请求参数pageNo，该参数后续会下线 1 pageSize Integer 页大小，建议参考请求参数pageSize，该参数后续会下线 10 表result 参数 参数类型 说明 示例 下级对象 regionID String 所属资源池ID 81f7728662dd11ec810800155d307d5b fUID String 唯一键 78rcvo7ff1lhyotd fuserLastUpdated String 最近更新时间 20221107 18:25:12 deviceUUID String 设备ID 78rcvo7ff1lhyotd itemList Object 监控项内容 itemList 表itemList 参数 参数类型 说明 示例 下级对象 samplingTime Integer 监控数据采集时间 1667816712 {item1} String 监控项具体内容 0.1168 {item2} String 监控项具体内容 0.1168 ... String 监控项具体内容

本页主要介绍关系数据库MySQL版的性能概述以及指标说明。 性能概述 天翼云关系数据库MySQL版是一款基于云计算平台的在线关系型数据库服务，完全兼容MySQL 5.7、MySQL 8.0，提供单机、主备、一主两备、只读四种实例类型，提供备份、恢复、扩容、监控等数据库服务。 具有即开即用、稳定可靠、安全运行、弹性伸缩等特点，您仅需要简单的几步配置，就可在分钟级获得可用的生产数据库。天翼云关系数据库MySQL版不断优化RDS的各项参数，不断提升服务质量，保证产品的高稳定、高可靠和高可用性。 指标说明 实例性能测试的指标包括： 每秒执行事务数TPS（Transactions Per Second） 数据库每秒执行的事务数，以COMMIT成功次数为准。 SysBench标准OLTP读写混合场景中一个事务包含18个读写SQL。 SysBench标准OLTP只读场景中一个事务包含14个读SQL（10条主键点查询、4条范围查询）。 SysBench标准OLTP只写场景中一个事务包含4个写SQL（2条UPDATE、1条DETELE、1条INSERT）。 每秒执行请求数QPS（Queries Per Second） 数据库每秒执行的SQL数，包含INSERT、SELECT、UPDATE、DETELE、COMMIT等。

本文为您介绍如何使用ECI快速部署ChatGLM6B。 背景信息 ChatGLM6B 是一个开源的、支持中英双语的对话语言模型，基于 General Language Model架构，具有 62 亿参数。结合模型量化技术，用户可以在消费级的显卡上进行本地部署（INT4 量化级别下最低只需 6GB 显存）。ChatGLM6B 使用了和 ChatGPT 相似的技术，针对中文问答和对话进行了优化。经过约 1T 标识符的中英双语训练，辅以监督微调、反馈自助、人类反馈强化学习等技术的加持，62 亿参数的 ChatGLM6B 已经能生成相当符合人类偏好的回答。如果没有GPU硬件的话，也可以在CPU上进行推理，但是推理速度会更慢。 前期准备 已开通天翼云弹性容器实例服务。 天翼云容器镜像服务CRS或私有镜像仓库中已推送开源ChatGLM6B镜像。 硬件需求 量化等级 最低GPU显存 无GPU情况下内存需求 INT4 6GB 32GB INT8 8GB 暂未测试 FP16（无量化） 13GB 暂未测试 操作步骤 下面将介绍如何在ECI上快速部署ChatGLM6B的CPU实例并进行推理。 1. 通过天翼云弹性容器实例订购页面创建ECI实例。 2. 根据上述硬件需求，配置合适的CPU，内存资源。 3. 镜像选择开源ChatGLM6B镜像，并指定镜像版本。 4. 在容器设置中，配置启动命令 python3 webdemo.py、cpu。 5. 提交订单，然后回到控制台页面等待ECI实例Running。

本文介绍WAF防护配置的防护层级、防护模块概览信息和防护顺序。 WAF防护配置是WAF防护的核心功能，对不同模块和不同层次的防护策略配置，可以实现灵活多变，适配不同场景的安全防护要求。WAF支持多层级的防护功能控制，也支持多模块的防护功能控制，通过对防护功能的设置，实现您对Web业务的安全防护需求。 WAF防护控制层级 WAF通过各级防护开关，支持通过开关一键控制WAF实例防护状态、某个域名的防护状态、域名的某个防护模块的防护状态以及某条防护规则的防护状态，从而实现对业务网站的灵活防护。WAF访问控制层级如下： WAF总开关：可以控制当前模式下所有防护对象的防护状态。关闭WAF总开关后，所有域名的防护状态均关闭，WAF将只进行流量转发，不会拦截攻击行为也不会记录攻击日志。 云SAAS型实例总开关 独享型实例总开关 域名防护开关：可以控制某个防护对象的防护状态。关闭防护开关后，该防护对象所有的防护功能关闭，WAF进入流量转发模式，不会拦截攻击行为也不会记录攻击日志。 防护模块开关：可以控制防护对象的某个防护模块的防护状态。用户可以根据防护需要，选择开启或关闭某个防护模块。 安全防护模块包括Web基础防护、CC防护、精准访问控制、IP黑白名单、地域访问控制、防敏感信息泄露、网页防篡改、防护白名单、BOT防护。 系统配置模块包括Cookie防篡改、隐私屏蔽、攻击惩罚。 防护规则开关：可以控制某条具体的防护规则的防护状态。用户可以根据防护需要，选择开启或关闭规则的防护状态。 例如，关闭某条防敏感信息泄露规则的防护状态。

本文向您介绍企业版VPN中带宽与网速类常见问题。 如何测试VPN速率情况？ 假设测试环境VPN连接已经创建，在VPN连接两端VPC的本端子网下分别创建ECS，并使两个VPC之间的ECS相互能够ping通的情况下，测试VPN的速率情况。 当用户购买的VPN网关的带宽为200Mbit/s时，测试情况如下。 1. 互为对端的ECS都使用Windows系统，测试速率可达180Mbit/s，使用iperf3和filezilla（是一款支持ftp的文件传输工具）测试均满足带宽要求。 说明 基于TCP的FTP协议有拥塞控制机制，180Mbit/s为平均速率，且IPsec协议会增加新的IP头，因此10%左右的速率误差在网络领域是正常现象。 使用iperf3客户端测试结果如下图所示。 使用iperf3服务器端测试结果如下图所示。 2. 互为对端的ECS都使用Centos7系统，测试速率可达180M，使用iperf3测试满足带宽要求。 3. 服务器端ECS使用Centos7系统，客户端使用Windows系统，测试速率只有20M左右，使用iperf3和filezilla测试均不能满足带宽要求。 原因在于Windows和Linux对TCP的实现不一致，导致速率慢。所以对端ECS使用不同的系统时，无法满足带宽要求。 使用iperf3测试结果如下图所示。 用户购买的VPN网关为网关的整体吞吐能力，即该VPN网关下所有VPN连接的带宽之和。在大带宽场景下，由于主机的转发性能限制，需要使用多台主机构建多条流量才能充分利用网关的带宽。这种场景下对ECS的配置要求也很高，建议ECS的网卡支持2G以上的带宽。 测试总结：综上测试结果，云网关能够满足带宽速率要求，但是建议两端主机使用相同的操作系统，并且网卡要达到配置要求。

本章节主要介绍翼MR Manager的主机管理特性。 主机管理页面概述 本章节主要介绍主机管理页面功能概述。 操作步骤 1. 登录翼MR管理控制台。 2. 单击“我的集群”，单击指定的集群名称，进入集群信息页面。 3. 单击“翼MR Manager”tab。 4. 单击“前往翼MR Manager”。 5. 进入翼MR Manager后，点击菜单“主机”，进入主机页面，如图所示： 说明 1. “主机列表”标签页，概述如下： 1. 主机列表上方为查询区域，支持主机IP/主机名进行查询。 2. 主机列表以数据列表视图列出。 3. 主机列表在左上角为操作区，可支持操作：置维护、取消维护、导出、健康检查。 4. 单击主机IP或主机名称可进入到主机详情页面。 2. “健康检查报告”标签页，概述如下： 1. 上方查询区域，筛选时间范围内主机健康检查报告记录。 2. 左侧“间隔设置”按钮，配置定期主机健康检查。 3. 健康检查报告列表以数据列表视图列出。

事中举措 当一个入侵者绕过防御机制时，如果您能及时发现并阻断，便可避免灾难的发生。 建议按照如下处理方式开展事中勒索防护： 迅速隔离感染设备： 确保在遭受勒索攻击后，立即采取断网、断电等方式切断勒索病毒外联扩散行为。及时修改感染设备的密码及同一局域网其他设备密码。 及时处置告警入侵事件： 确保对业务资源进行实时安全检测，可及时隔离阻断勒索病毒运行、拦截勒索主控端恶意IP及尝试爆破攻击源IP，阻断其运行、通信及联接行为。 事后举措 当前勒索攻击发展迅速，任何工具都无法提供100%防护。所以，在事后应及时恢复业务、开展网络安全加固以减弱勒索攻击带来的影响。 建议按照如下处理方式开展事后勒索恢复： 利用备份数据恢复数据： 根据遭受勒索攻击的设备备份情况，确认数据恢复范围、顺序及备份版本，利用备份副本恢复数据。 排查修复网络风险： 根据勒索攻击路径识别系统薄弱点，重点排查并修复系统薄弱项。

此小节介绍Web应用防火墙产品规格。 独享模式说明 独享模式相关说明如下表所示： 项目 说明 部署方式 独享引擎 使用场景 业务服务器部署在云上。 大型企业网站，具备较大的业务规模且基于业务特性具有定制化的安全需求。 防护对象 域名 IP 优势 部署灵活 独享引擎实例资源由用户独享 可以满足大规模流量攻击场景防护需求 独享引擎实例部署在VPC内，网络链路时延低 业务规格 WAF支持的业务规格如下表所示： 业务指标 规格 正常业务请求峰值 以下数据为单实例规格： WAF实例规格选择WI500，参考性能： − HTTP业务：建议QPS 5,000；极限QPS 10,000 − HTTPS业务：建议QPS 4,000；极限QPS 8,000 − Websocket业务：支持最大并发连接5,000 − 最大回源长连接：60,000 WAF实例规格选择WI100，参考性能： − HTTP业务：建议QPS 1,000；极限QPS 2,000 − HTTPS业务：建议QPS 800；极限QPS 1,600 − Websocket业务：支持最大并发连接1,000 − 最大回源长连接：60,000 说明 极限值为实验室测试值，高敏感业务请以实际业务测试数据为准。实际QPS与业务请求数据大小、自定义防护规则种类及数量相关。 业务吞吐量（源站服务器部署在云内） WAF实例规格选择WI500，参考性能：吞吐量：500 Mbps WAF实例规格选择WI100，参考性能：吞吐量：100 Mbps 域名个数 2,000个（支持2,000个一级域名） CC攻击防护峰值 WAF实例规格选择WI500，参考性能：防护峰值：20,000QPS WAF实例规格选择WI100，参考性能：防护峰值：4,000QPS CC攻击防护规则 100条 精准访问防护规则 100条 IP黑白名单规则 100条 地理位置封禁规则 100条 网页防篡改规则 100条 防敏感信息泄露 100条 误报屏蔽规则 1000条 隐私屏蔽规则 100条 说明 域名个数为一级域名（例如，ctyun.com）、单域名/子域名（例如，www.ctyun.com）和泛域名（例如，.ctyun.com）的总数。 同一个域名对应不同端口视为不同的域名，例如www.ctyun.com:8080和www.ctyun.com:8081视为两个不同的域名，将占用两个不同的域名防护额度。 安全功能特性： 功能模板 相关文档 支持添加泛域名 网站接入WAF 非80、443标准端口防护 WAF支持的端口 批量灵活配置防护策略 配置指导 常见的Web应用攻击防护，包括XSS攻击、SQL注入、爬虫检测等 配置Web基础防护规则 云端自动更新最新0Day漏洞防护规则，及时下发0Day漏洞虚拟补丁 配置Web基础防护规则 Webshell检测 配置Web基础防护规则 CC攻击防护 配置CC攻击防护规则 精准访问防护 配置精准访问防护规则 引用表管理 创建引用表 IP黑白名单设置 配置IP黑白名单规则 支持对指定国家、省份的IP自定义访问控制 配置地理位置访问控制规则 网页防篡改 配置网页防篡改规则 基于人机识别和数据风控的动态反爬虫 配置网站反爬虫防护规则 防敏感信息泄露 配置防敏感信息泄露规则 误报屏蔽 配置误报屏蔽规则 隐私屏蔽 配置隐私屏蔽规则

此章节为您介绍日志审计(原生版)操作日志的相关内容 选择“系统配置 > 操作日志”，可查看系统内所有用户的操作情况包括访问的模块和操作的内容。 用户名称：进行此操作的用户。 登录IP：进行操作用户登录的IP地址。 访问模块：用户进行操作的模块。 操作内容：用户进行的动作。 详细内容：用户进行具体操作的详细数据内容。 发生时间：此操作发生的时间。 是否成功：操作是否成功进行。

如何开启ipv6访问？ 在开通实例时，您需要选择已开启ipv6的VPC与子网，并打开ipv6开关。开通完成后，将自动为实例分配ipv6地址。您可登录实例控制台获取ipv6连接地址，可通过IPv6地址段访问实例。 应用客户端 连接拒绝Connect faild 解决方案：当出现这类问题时，检查当前网络并无异常时，并排查下ulimit –a openfiles是否为1024，修改至65535。 超时异常RemotingTimeoutException 服务器端日志出现RemotingTimeoutException：wait response on the channel timeout, 3000ms。 解决方案：这类情况一般由于客户端与服务端通信出现问题，可以ping Ip 以及telnet ip port 来排查这类，同时也要检查防火墙的问题。 找不到路由No route info of this topic 问题可能原因： 没创建topic。 name server填错了。 网络问题无法获取路由。 解决方案： 在管理台创建topic。 检查客户端配置的namesrv的地址是否配错了。 检查网络是否正常。 备不可用SLAVENOTAVAILABLE 当生产者发送消息时，出现“status:SLAVENOTAVAILABLE”，说明从节点发生状况。 解决方案： 从节点机器出现问题，重启从节点，并查看网络连接。 在多网卡情况下，broker配置文件properties中，需增加配置项，例如：brokerIP110.4.246.130，brokerIP210.4.246.130 防止网卡ip读取错误，取不到从节点信息。 消息体大小越界 客户端报此类异常Fail to send message, for: message body size over max message size, max: 524288。 解决方案： 检查服务端的最大消息体大小，即启动broker配置文件的maxMessageSize大小，如未配置，默认是512K。 检查客户端设置的最大消息体(默认128k)是否小于当前发送的消息体大小。 注意：ROCKETMQ建议消息体在50K或以下(压缩后)。

请求分析图表 请求分析图表展示请求趋势图，包含请求次数、QPS、带宽、响应码随时间变化的趋势。 不同趋势数据的说明如下： 请求次数：包含全部请求次数、全部攻击次数、Web入侵防护次数、CC安全防护次数、精准访问防护次数、地域访问控制防护次数、BOT防护次数、黑白名单防护次数、防敏感信息泄露防护次数、Cookie防篡改防护次数、攻击惩罚防护次数随时间的变化趋势。 QPS：包含全部请求QPS、全部攻击QPS、Web入侵防护QPS、CC安全防护QPS、精准访问防护QPS、地域访问控制QPS、BOT防护QPS、黑白名单QPS、防敏感信息泄露QPS、Cookie防篡改QPS、攻击惩罚QPS随时间的变化趋势。 带宽：包含入方向带宽和出方向带宽（单位：bps）随时间的变化趋势。 响应码：包含WAF返回给客户端、源站返回给WAF的5XX、405、499、302、404等异常响应码的数量随时间的变化趋势。 攻击事件分布 攻击事件分布可以展示域名受到攻击的分布、以及各类排行分析图。 各图表具体含义如下： 攻击类型：可查看指定域名被攻击的类型的数量占比。 受攻击防护对象TOP10：受攻击统计次数Top 10的域名以及各域名受到攻击次数的占比。 攻击源IP TOP10：攻击统计次数Top 10的攻击源IP以及各源IP发出攻击次数的占比。 受攻击URL TOP10：受攻击统计次数Top 10的URL以及各URL受攻击次数的占比。 攻击来源区域TOP10：攻击次数Top 10的地区以及各地区发起攻击次数的占比。 业务异常监控TOP10：业务异常的Top 10防护网站。可以按响应码查看业务异常的防护网站。

步骤四：为前端应用创建Ingress路由 创建ingress，参考如下： apiVersion: networking.k8s.io/v1 kind: Ingress metadata: name: nginxingress namespace: default annotations: kubernetes.io/ingress.class: "nginxingresscontroller" spec: rules: host: myingress.com http: paths: backend: service: name: nginxservice port: number: 30003 path: /nginx pathType: Prefix 步骤五：使用域名进行访问前端应用 在浏览器访问myingress.com域名需要在hosts中配置该域名对应的ELB的IP地址。这样在浏览器通过域名访问，DNS服务器把域名解析为ELB的IP，ELB把请求转给其中某个IngressController，IngressController通过域名转发到不同的集群内应用。