本文介绍多活容灾服务的收费项、价格与折扣信息。 当前多活容灾服务涉及计费的资源及价格如下表所示。 资源类型 包月标准价格 按需标准价格 备注 容灾管理中心 6000元/月/个 9元/小时/个 1. 若购买故障演练包，须与容灾管理中心配套采购。 2. 一次故障演练：指用户可通过可视化编排界面构建完整演练流程，支持自定义预案阶段划分，每个阶段可集成脚本任务、系统内置任务、人工任务等多类型操作任务，形成端到端的自动化演练方案。 故障演练包 800元/月/个 1. 若购买故障演练包，须与容灾管理中心配套采购。 2. 一次故障演练：指用户可通过可视化编排界面构建完整演练流程，支持自定义预案阶段划分，每个阶段可集成脚本任务、系统内置任务、人工任务等多类型操作任务，形成端到端的自动化演练方案。 主机高可用 6800元/年/个 1. 所列资源（包括主机高可用、持续数据保护、数据定时灾备、数据库双活、文件存储数据灾备、对象存储数据灾备）均采用许可制收费模式。费用仅涵盖数据同步工具的使用权，不包含服务运行所需的基础设施资源（如计算实例、存储空间、网络配置等），该类资源需由用户根据业务需求自行准备。 持续数据保护 6900元/年/个 1. 所列资源（包括主机高可用、持续数据保护、数据定时灾备、数据库双活、文件存储数据灾备、对象存储数据灾备）均采用许可制收费模式。费用仅涵盖数据同步工具的使用权，不包含服务运行所需的基础设施资源（如计算实例、存储空间、网络配置等），该类资源需由用户根据业务需求自行准备。 数据定时备份 1700元/年/TB 1. 所列资源（包括主机高可用、持续数据保护、数据定时灾备、数据库双活、文件存储数据灾备、对象存储数据灾备）均采用许可制收费模式。费用仅涵盖数据同步工具的使用权，不包含服务运行所需的基础设施资源（如计算实例、存储空间、网络配置等），该类资源需由用户根据业务需求自行准备。 数据库双活 47000元/年/个 1. 所列资源（包括主机高可用、持续数据保护、数据定时灾备、数据库双活、文件存储数据灾备、对象存储数据灾备）均采用许可制收费模式。费用仅涵盖数据同步工具的使用权，不包含服务运行所需的基础设施资源（如计算实例、存储空间、网络配置等），该类资源需由用户根据业务需求自行准备。 文件存储数据灾备 14500元/年/个 1. 所列资源（包括主机高可用、持续数据保护、数据定时灾备、数据库双活、文件存储数据灾备、对象存储数据灾备）均采用许可制收费模式。费用仅涵盖数据同步工具的使用权，不包含服务运行所需的基础设施资源（如计算实例、存储空间、网络配置等），该类资源需由用户根据业务需求自行准备。 对象存储数据灾备 3700元/年/TB 1. 所列资源（包括主机高可用、持续数据保护、数据定时灾备、数据库双活、文件存储数据灾备、对象存储数据灾备）均采用许可制收费模式。费用仅涵盖数据同步工具的使用权，不包含服务运行所需的基础设施资源（如计算实例、存储空间、网络配置等），该类资源需由用户根据业务需求自行准备。 说明 包年优惠政策： 1. 容灾管理中心和故障演练包在包月标准价基础上，包年优惠为一年9折，两年85折。 2. 主机高可用、持续数据保护、数据定时灾备、数据库双活、文件存储数据灾备、对象存储数据灾备在包年标准价基础上，购买2年或3年为8折，购买4年或5年为7折。 注意 故障演练包 1. 故障演练包不支持续订，支持试用包（每个账号仅支持购买一次试用包，试用包的限额次数：10次）。 2. 包月计费故障演练包的限额次数：60次购买时长（单位：月）。 3. 包年计费故障演练包的限额次数：720次购买时长（单位：年）。时间到期或次数用尽都视为故障演练包到期。 计费示例 以某金融行业用户典型容灾架构为例，具体资源配比与许可采购方案如下： 1. 业务层架构 1. 资源部署：生产中心部署1台云主机，灾备中心部署1台同规格云主机 2. 技术对应：实现主备间应用级故障切换 3. 许可需求：需采购2个主机高可用许可（主备机器各需安装1个许可） 2. 数据层架构 1. 数据库双活 1. 资源部署：生产中心1台主机部署MySQL集群，灾备中心部署1台主机部署同步镜像集群 2. 技术对应：实现跨AZ实时数据同步 3. 许可需求：需采购2个数据库双活许可（主备机器各需安装1个许可） 2. 核心数据保护 1. 持续保护：对交易系统核心表实施持续数据保护 2. 技术对应：实现持续数据保护和任意时刻数据恢复 3. 许可需求：需采购2个持续数据保护许可（主备机器各需安装1个许可） 3. 历史数据保护 1. 定时备份：对历史数据执行每日增量备份+每周全备，备份后数据量为100TB 2. 技术对应：实现数据定时备份 3. 许可需求：需采购100TB数据定时灾备容量（数据定时灾备许可按TB收费） 4. 容灾演练方案 1. 演练频率：每年执行多次全链路容灾验证 2. 技术对应：支持自定义演练阶段（如模拟故障→切换→回切→验证），集成自动化脚本执行与人工确认节点 3. 许可需求：需采购1个容灾管理中心，1个容灾演练包（含可视化编排，每月60次） 计费总结： 资源类型 数量 单位 备注 主机高可用 2 个/年 实现业务层故障切换 数据库双活 2 个/年 实现数据库双活 持续数据保护 2 个/年 实现数据保护 数据定时备份 100 TB/年 实现数据保护 容灾管理中心 1 个/年 实现容灾演练 故障演练包 1 个/年 实现容灾演练

本章节介绍如何部署bookinfo应用到CSM实例 前提条件 1. 已开通云容器引擎，至少有一个云容器引擎实例。产品入口：云容器引擎。 2. 开通天翼云服务网格实例。 操作步骤 创建命名空间 首先到云容器引擎控制台找到当前添加到服务网格的云容器引擎集群，创建测试应用部署的sample命名空间，同时给命名空间打上istioinjection: enabled的标签以保证该命名空间下的pod会被注入sidecar。 部署应用 使用如下yaml部署我们的bookinfo应用，注意根据当前集群所在的资源池替换镜像的地址（当前云容器引擎实例在华东1资源池）；如果您想要把演示应用部署到其他namespace也可以修改yaml里面的namespace字段实现，示例yaml如下： apiVersion: v1 kind: Service metadata: name: details labels: withServiceMesh: "true" workloadKind: Deployment workloadName: detailsv1 spec: ports: port: 9080 targetPort: 9080 name: http selector: app: details apiVersion: apps/v1 kind: Deployment metadata: name: detailsv1 labels: withServiceMesh: "true" spec: replicas: 1 selector: matchLabels: name: detailsv1 template: metadata: labels: app: details version: v1 name: detailsv1 source: CCSE csmAutoEnable: "on" "sidecar.istio.io/inject": "true" annotations: "sidecar.istio.io/inject": "true" spec: containers: name: details image: 'registryvpccrshuadong1.cnspinternal.ctyun.cn/library/istioexamplesbookinfodetailsv1:1.16.2' imagePullPolicy: IfNotPresent resources: limits: cpu: "200m" memory: "256Mi" requests: cpu: "50m" memory: "64Mi" apiVersion: v1 kind: Service metadata: name: ratings labels: withServiceMesh: "true" workloadKind: Deployment workloadName: ratingsv1 spec: ports: port: 9080 targetPort: 9080 name: http selector: app: ratings apiVersion: apps/v1 kind: Deployment metadata: name: ratingsv1 labels: withServiceMesh: "true" spec: replicas: 1 selector: matchLabels: name: ratingsv1 template: metadata: labels: app: ratings version: v1 name: ratingsv1 source: CCSE "sidecar.istio.io/inject": "true" csmAutoEnable: "on" annotations: "sidecar.istio.io/inject": "true" spec: containers: name: ratings image: 'registryvpccrshuadong1.cnspinternal.ctyun.cn/library/istioexamplesbookinforatingsv1:1.16.2' imagePullPolicy: IfNotPresent resources: limits: cpu: "200m" memory: "256Mi" requests: cpu: "50m" memory: "64Mi" apiVersion: v1 kind: Service metadata: name: reviews labels: withServiceMesh: "true" workloadKind: Deployment workloadName: reviewsv1 spec: ports: port: 9080 targetPort: 9080 name: http selector: app: reviews apiVersion: apps/v1 kind: Deployment metadata: name: reviewsv1 labels: withServiceMesh: "true" spec: replicas: 1 selector: matchLabels: name: reviewsv1 template: metadata: labels: app: reviews version: v1 name: reviewsv1 source: CCSE "sidecar.istio.io/inject": "true" csmAutoEnable: "on" annotations: "sidecar.istio.io/inject": "true" spec: containers: name: reviews image: 'registryvpccrshuadong1.cnspinternal.ctyun.cn/library/istioexamplesbookinforeviewsv1:1.16.2' imagePullPolicy: IfNotPresent env: name: LOGDIR value: "/tmp/logs" volumeMounts: name: tmp mountPath: /tmp name: wlpoutput mountPath: /opt/ibm/wlp/output volumes: name: wlpoutput emptyDir: {} name: tmp emptyDir: {} apiVersion: v1 kind: Service metadata: name: productpage labels: withServiceMesh: "true" workloadKind: Deployment workloadName: productpagev1 spec: ports: port: 9080 targetPort: 9080 name: http selector: app: productpage type: NodePort apiVersion: apps/v1 kind: Deployment metadata: name: productpagev1 labels: withServiceMesh: "true" spec: replicas: 1 selector: matchLabels: name: productpagev1 template: metadata: labels: app: productpage version: v1 name: productpagev1 source: CCSE "sidecar.istio.io/inject": "true" csmAutoEnable: "on" annotations: "sidecar.istio.io/inject": "true" spec: containers: name: productpage image: 'registryvpccrshuadong1.cnspinternal.ctyun.cn/library/istioexamplesbookinfoproductpagev1:1.16.2' imagePullPolicy: IfNotPresent resources: limits: cpu: "200m" memory: "256Mi" requests: cpu: "50m" memory: "64Mi" volumeMounts: name: tmp mountPath: /tmp volumes: name: tmp emptyDir: {} 在云容器引擎控制台选择我们要部署的sample命名空间，通过工作负载>无状态>新增yaml，依次部署上面的deployment； 通过网络>服务>新增yaml依次部署上面的Service填入我们准备的yaml文件，保存即可； 部署完成后，可以在工作负载>无状态列表里看到bookinfo相关的部署信息，在网络>Service菜单下可以看到刚部署的Service列表。

本章节介绍API网关的消费者(应用)管理功能 应用列表 操作步骤 1. 进入微服务引擎MSE控制台； 2. 在顶部菜单栏选择资源池； 3. 单击左侧导航栏云原生网关 > 应用列表 ； 创建应用 操作步骤 1. 进入微服务引擎MSE控制台； 2. 在顶部菜单栏选择资源池； 3. 单击左侧导航栏云原生网关 > 应用列表 ； 4. 点击创建应用按钮，填写应用名称、AppKey、AppSecret、AppCode、描述等信息；AppKey、AppSecret、AppCode为空时，将自动生成； 编辑应用 操作步骤 1. 进入微服务引擎MSE控制台； 2. 在顶部菜单栏选择资源池； 3. 单击左侧导航栏云原生网关 > 应用列表 ； 4. 选择某个应用，点击应用的编辑按钮 ，可修改应用的名称和描述信息；确定后完成编辑； 查询应用信息 操作步骤 1. 进入微服务引擎MSE控制台； 2. 在顶部菜单栏选择资源池； 3. 单击左侧导航栏云原生网关 > 应用列表 ； 4. 点击应用名称，进入应用详情页，可以查看当前应用有哪些授权的路由、API，查看应用的AppKey、AppSecret，支持重置AppSecret、AppCode； 添加应用授权 应用授权需要在路由或者API的视角下完成，且只有路由、API的认证方式为APP时才允许进行授权操作。 注意 ：Mock路由中对应用设置过期时间的使用限制参见云原生网关常见问题说明

此小节介绍云堡垒机的应用运维。 运维用户获取应用发布资源访问操作权限后，即可在应用运维列表查看已授权资源，并设置资源标签。 查看应用运维列表并设置资源标签 约束限制 每个用户可自定义资源标签，资源标签仅能个人帐号使用，不能与系统内用户共用。 前提条件 已获取“应用运维”模块管理权限。 已获取资源访问控制权限，即已被关联访问控制策略或访问授权工单已审批通过。 操作步骤 1 登录云堡垒机系统 2 选择“运维>应用运维”，进入应用运维列表页面。 3 查询应用资源。 快速查询：在搜索框中输入关键字，根据自动识别、应用名称、应用地址等快速查询资源。 4 添加标签。 选择目标资源，在相应“标签”列单击，弹出标签编辑窗口。 输入标签类型回车选定标签，或选择已有标签类型。 单击“确认”，返回运维列表，即可查看已添加的标签。 5 批量添加标签。 选择多个目标资源，单击列表左下角“添加标签”，弹出标签编辑窗口。 输入标签类型回车选定标签，或选择已有标签类型。 单击“确认”，返回运维列表，即可查看已添加的标签。 6 删除标签。 选择一个或多个目标资源，单击列表左下角“删除标签”，弹出删除标签确认窗口。 确认信息无误后，单击“确认”，返回运维列表，标签已删除。 通过Web浏览器登录应用资源进行运维 通过Web浏览器登录应用资源，提供“协同分享”、“文件传输”、“文件管理”等功能。用户在应用上执行的所有操作，被云堡垒机记录并生成审计数据。 “协同分享”指会话创建者将当前会话链接发送给协助者，协助者通过链接登录创建者的会话中参与运维，实现运维协同操作。 “文件管理”指参与会话的用户获取操作权限后，可对云主机和主机网盘中文件或文件夹进行管理。 支持新建文件夹。 支持修改文件或文件夹名称。 支持批量删除。 “文件传输”指参与会话的用户获取操作权限后，可对云主机和主机网盘中文件进行上传或下载。 支持上传/下载文件。 支持上传文件夹。 目标地址为“主机网盘”，支持上传多个文件或一个文件夹到主机网盘，支持从主机网盘下载文件到本地保存。 本小节主要介绍如何通过Web浏览器登录应用资源，以及应用运维会话窗口操作说明。

本章节主要介绍翼MapReduce组件Spark使用说明。 1. 任一用户登录集群客户端节点。 2. 配置/usr/local/ 下spark客户端目录 conf下的配置，主要是Sparkenv.sh 需要配置SPARKHOME、HADOOPHOME、HADOOPCLASSPATH等。 3. 如果当前集群已启用Kerberos认证，执行以下命令认证当前用户。如果当前集群未启用Kerberos认证，则无需执行此命令。 1. 首先klist kt ，获取keytab文件的principal，例如 klist kt user.keytab 获得 user/hostname@realm。 2. 然后kinit kt ，例如 kinit kt user.keytab user/hostname@realm。 3. Kinit认证完成登录后，可以klist l查看。 4. 如果SPARKHOME/bin 已经配置到系统环境变量中，可以直接sparkshell 进入。否则需要去到SPARKHOME/bin下执行。

本章节主要介绍翼MapReduce的多租户流程。 在实际业务中，管理员需要先明确使用集群资源的业务场景，规划租户。然后在FusionInsight Manager界面添加租户，并配置租户的动态资源、存储资源以及所关联的服务。 创建租户的具体操作流程如流程概述所示。 创建租户的操作说明如下表所示。 操作 说明 添加租户 可配置待添加租户的计算资源、存储资源和关联服务。 添加子租户 可配置待添加子租户的计算资源、存储资源和关联服务。 添加用户并绑定租户的角色 若一个用户想要使用“tenant1”租户包含的资源，或为“tenant1”租户添加/删除子租户，则需要同时绑定“Managertenant”和“tenant1集群ID”两个角色。

本章节主要介绍翼MapReduce的其他任务管理说明操作。 操作场景 FusionInsight Manager还支持对备份恢复进行不同的维护管理功能。 操作步骤 1. 登录FusionInsight Manager。 2. 选择“运维 > 备份恢复 > 备份管理”或“运维 > 备份恢复 > 恢复管理”。 3. 在任务列表指定任务的“操作”列，选择需要执行的操作。 更多维护管理功能 操作入口 说明 “配置” 修改备份任务的参数。 “恢复” 部分业务数据的备份任务执行成功后，可以直接使用此功能快速恢复数据。 “更多 > 即时备份” 立即运行备份任务。 “更多 > 停止” 可以停止正在运行的任务。 “更多 > 删除”或“删除” 删除任务。 “更多 > 挂起” 禁用自动备份任务。 “更多 > 重新执行” 启用自动备份任务。 “更多 > 查询历史”或“查询历史” 打开任务运行日志窗口，查看运行详细情况以及备份路径。 “查看” 检查恢复任务的参数设置。 “执行” 运行恢复任务。

参数名称 参数说明 取值样例 计费模式 仅支持包年/包月模式 包年/包月 区域 配额的“区域”建议与主机的“区域”相同。 HSS不支持跨区域使用，如果您购买了与主机不在同一区域的配额，请退订配额后重新购买主机所在区域的配额。 苏州 版本选择 仅支持企业版。若需开启按需计费，你可参照开启容器节点防护直接开启防护即可。 企业版 购买节点数 购买的容器版配额数量。 10 购买时长 根据您的需求选择时长。 为避免因服务到期未及时续费导致您的主机遭受攻击，建议勾选“自动续费”。 勾选“自动续费”后，当购买的企业主机安全到期时，如果账号余额充足，系统将自动为购买的企业主机安全续费，续费周期与购买时长保持一致。 1年 标签 标签用于标识云资源，当您拥有相同类型的许多云资源时，可以使用标签按各种维度（例如用途、所有者或环境）对云资源进行分类。如果需要该功能，您的账号需要具备TMS administrator权限，没有该权限您无法为防护配额添加标签并且界面会有“permission error”的错误提示。 cgsdata

云日志服务用户手册.pdf

本文介绍文档数据库服务的使用限制说明。 为了提高实例的稳定性和安全性，文档数据库服务在使用上有一些固定限制。 操作 使用限制 :: 连接DDS实例 通过内网连接DDS实例时，需要为已准备的弹性云主机绑定弹性IP，并确保实例与该弹性云主机在同一个区域、可用区、虚拟私有云子网内。 文档数据库服务和弹性云主机在不同的安全组默认不能访问，需要在文档数据库服务安全组添加一条“入”的访问规则。 文档数据库服务默认端口：8635，需要手动修改才能访问其它端口。 部署 实例所部署的弹性云主机，对用户不可见，即只允许应用程序通过IP地址和端口访问数据库。 数据库的rwuser权限 创建实例页面只提供管理员帐户rwuser权限。 该权限下用户需要关注的命令请参见[]( 5.12%E6%94%AF%E6%8C%81%E4%B8%8E%E9%99%90%E5%88%B6%E7%9A%84%E5%91%BD%E4%BB%A4)支持与限制的命令。 配置数据库参数 用户创建的参数组中大部分数据库参数可以修改，具体请参见编辑参数组。 数据迁移 可以通过命令行工具和数据复制服务迁移数据，具体请参见数据迁移[](

本文将为您介绍如何从备份策略中解绑存储库。 操作场景 当绑定的存储库不再使用此备份策略进行自动备份，您可以选择将存储库从备份策略中解绑。解绑后该备份策略无法执行自动备份，直到绑定至其他存储库。 操作步骤 1. 登录控制中心。 2. 单击控制中心左上角的，选择地域。 3. 单击“存储>云硬盘备份”，单击“备份策略”，进入云硬盘备份策略页签。 4. 单击已绑定存储库的备份策略“操作”列的“解绑存储库”。 5. 在解绑确认框中，单击“确定”，即可成功解绑存储库。

本文帮助您快速熟悉如何修改对等连接。 操作场景 对等连接在任何状态下，两端账户均有权限修改对等连接。目前仅支持修改对等连接的名称及描述。 操作步骤 1. 登录控制中心，单击控制中心左上角的，选择地域，此处选择华东华东1。 2. 点击“网络 >虚拟私有云”，进入虚拟私有云主页面。 3. 在左侧导航栏选择“对等连接”。 4. 在对等连接列表中选择要修改的对等连接，点击“操作”列下的“修改”按钮。 5. 在弹出的窗口中，修改对等连接的名称及描述，点击“确定”，完成信息修改。

本文介绍了云防火墙（原生版）产品的操作日志功能。 约束条件 最多支持查看最近7天的日志。 查看日志列表 1. 登录云防火墙（原生版）控制台。 2. 在左侧导航栏，选择“日志审计 > 操作日志”，进入操作日志页面。 3. 在页面上方切换防火墙实例。 4. 查询日志：该列表可根据命中时间、危险等级、操作行为、日志内容进行筛选。 5. 操作日志列表包括发生时间、危险等级、操作行为、日志内容。 导出日志 说明 最多支持导出10000条数据。 单击“导出”，可以将查询列表中的日志记录导出为csv格式。

本节为您介绍云迁移服务CMS成本评估查看TCO分析图表功能。 1. 云迁移服务CMS 提供成本评估查看TCO分析图表功能。用户可以点击左侧导航栏选择迁移评估选项，点击【成本评估】进入[成本评估]界面。点击【查看TCO分析图表】按钮，进入[TCO分析图表]界面。如图所示。 2. 进入[TCO分析图表]界面，用户可以查看产品成本对比，并提供成本饼图账单明细功能。如图所示。 3. 点击【PDF打印】按钮，在线下载PDF文件。如图所示。

本文主要介绍远程桌面连接Windows云主机报错:0x1104如何处理。 问题描述 使用MSTSC方式登录Windows Server 2008操作系统的云主机，系统报错：检测到一个协议错误（代码 0x1104）。 图 协议错误（代码 0x1104） 可能原因 服务端安全组3389端口未开启。 服务端防火墙关闭。 服务端3389端口被其他进程占用。 远程桌面会话主机配置不正确。 处理方法 步骤 1 检查安全组设置。 检查3389端口入方向是否开启，若已开启，执行步骤2。 步骤 2 检查防火墙是否关闭。 1.登录Windows云主机。 2.单击桌面左下角的Windows图标，选择“控制面板 > Windows防火墙”。 3.单击“启用或关闭Windows防火墙”。 查看并设置防火墙的具体状态：开启或关闭。 如果正常，请执行步骤3。 步骤 3 使用VNC方式登录云主机，查看端口信息。 1.进入cmd命令窗，并执行以下命令。 netstat ano findstr ：3389 图 检查3389端口 如上图所示，3389端口被占用，进程PID为4。 2.打开任务管理器，查看PID为4的进程为System系统进程。 3.通常IIS服务和SQL Server会以System进程运行，执行以下HTTP命令进一步查看。 netsh http show servicestate 图 查看系统进程 4.如果可以看到3389端口被HTTP协议使用，可以确定是被IIS服务占用。 5.在浏览器输入“ 6.修改IIS使用其他端口，重启IIS服务。 步骤 4 如果以上检查均没有问题，请执行步骤5，检查是否由于远程桌面会话主机配置导致。 步骤 5 检查远程桌面会话主机配置。 1.通过VNC登录云主机。 2.打开cmd运行窗口，并输入“gpedit.msc”。 3.单击“确定”，打开“本地组策略编辑器”。 4.选择“计算机配置 > 管理模板 > Windows组件”，查找并双击“远程桌面服务”。 图 远程桌面服务 5.选择“远程桌面会话主机 > 安全 > 远程（RDP）连接要求使用指定的安全层”。 图 远程（RDP）连接要求使用指定的安全层 6.选择“已启用”，并将“安全层”设置为“RDP”。 图 设置安全层 7.单击“确定”。 8.配置完成后，打开“cmd”命令窗。 9.执行以下命令，刷新组策略。 gpupdate 图 刷新组策略

本节介绍如何创建VPC边界防火墙。 VPC边界防火墙能够检测和统计VPC间的通信流量数据，帮助您发现异常流量。开启VPC边界防火墙之前，您需要先创建VPC边界防火墙并关联企业路由器。 前提条件 当前账号下需存在可用的企业路由器。 关于企业路由器的收费，请参见《企业路由器用户指南> 计费说明》。 创建企业路由器请参见《企业路由器用户指南> 创建企业路由器》。 说明 创建时，建议取消勾选“默认路由表关联”和“默认路由表传播”。 创建说明 创建防火墙时为了引流需选择企业路由器和配置IPV4网段。 企业路由器用于引流，选择时需满足以下限制： 没有与其它防火墙实例关联。 需归属本账号，非共享企业路由器。 需关闭“默认路由表关联”、“默认路由表传播”和“自动接收共享连接”功能。 网段用于将流量转发至云防火墙，选择时需注意以下限制： 该网段不可与需要开启防护的私网网段重合，否则会导致路由冲突。 10.6.0.0/1610.7.0.0/16网段为防火墙保留网段，不可使用。 创建VPC边界防火墙 1. 登录管理控制台。 2. 在左侧导航栏中，单击左上方的，选择“安全> 云防火墙”，进入云防火墙的总览页面。 3. （可选）当前账号下仅存在单个防火墙实例时，自动进入防火墙详情页面，存在多个防火墙实例时，单击防火墙列表“操作”列的“查看”，进入防火墙详情页面。 4. 在左侧导航栏中，选择“资产管理> VPC边界防火墙管理”，进入“VPC边界防火墙管理”页面。 5. 单击“创建防火墙”，选择企业路由器并配置合适的网段。 企业路由器用于引流，选择时需满足以下限制： 没有与其它防火墙实例关联。 需归属本账号，非共享企业路由器。 需关闭“默认路由表关联”、“默认路由表传播”和“自动接收共享连接”功能。 网段配置后默认创建InspectionVPC将流量转发至云防火墙，并自动分配云墙关联子网，将云防火墙流量转发到企业路由器，选择时需注意以下限制： 创建防火墙后不支持修改网段。 该网段需满足以下条件： 仅支持私网地址段（即在10.0.0.0/8、172.16.0.0/12、192.168.0.0/16范围中），否则可能在SNAT等访问公网的场景下产生路由冲突， 10.6.0.0/1610.7.0.0/16网段为防火墙保留网段，不可使用。 不可与需要开启防护的私网网段重合，否则会因路由冲突，导致该网段无法防护。 如果您参数界面如下图所示，则您目前云防火墙版本为旧版，VPC边界防火墙配置请参见“企业路由器模式”。 6. 单击“确认”，需等待35分钟，完成防火墙创建。 创建过程中您只能浏览“概览”页，防火墙的“状态”会变为“升级中”。

本节介绍了在移动设备上登录Windows云主机的操作场景、前提条件、操作步骤。 操作场景 本节操作以“Windows Server 2012 R2 数据中心版 64位”操作系统为例，介绍如何通过Microsoft Remote Desktop客户端登录Windows实例。 前提条件 云主机状态为“运行中”。 已获取Windows云主机用户名和密码。 云主机已经绑定弹性IP，绑定方式请参见绑定弹性公网IP。 所在安全组入方向已开放3389端口，配置方式请参见配置安全组规则。 移动设备已安装Microsoft Remote Desktop。 操作步骤 1. 启动RD Client。 2. 在“Remote Desktop”页面右上角，单击图标，选择“Desktop”。 图 Remote Desktop 3. 在“Add desktop”页面，设置登录信息后，单击“SAVE”。 − PC name：输入需要登录的Windows实例的弹性公网IP地址。 − 按以下步骤设置“User name”： i. 单击“User name”，在下拉列表中选择“Add user account”。 弹出“Add user account”对话框。 ii. 输入Windows实例帐号“administrator”，并输入实例的登录密码，单击“SAVE”。 图 输入登录信息 图 保存填写的登录信息 4. 在“Remote Desktop”页面，单击需要登录的Windows实例图标。 图 登录Windows实例 5. 确认信息后，单击“CONNECT”。 图 CONNECT 至此，您已经登录Windows实例。 图 登录成功

加载logging.ini配置 此操作是用于加载logging.ini 配置文件,文件处于handler 目录下。加载这份配置才能够使用后续功能。 plaintext logging.config.fileConfig("../handler/logging.ini") 获取logger 实例：root 此操作是用于使用原生的logger 功能，即不将logger日志上传到云日志服务。其中root参数可以省略。 plaintext logger logging.getLogger() 下面这个格式也生效 logger logging.getLogger('root') logger 使用 logger.info("log message,level:info") 获取logger 实例：synclogging 此操作是使用同步单线程的形式将logger日志上传到云日志服务(同时也会输出到控制台)，这种方式调用logger生成一条日志，就会发送一次http请求将日志上传。这种方式简单，但当调用频率很高时，会出现阻塞情况，发送效率不高。 plaintext logger logging.getLogger('synclogging') logger.info("sync log message 1,level:info") logger.info("sync log message 2,level:info") logger.info("sync log message 3,level:info") 获取logger 实例：asynclogging 此操作是使用异步批量多线程的形式将logger日志上传到云日志服务(同时也会输出到控制台)，这种方式调用logger生成一条日志后，会发送到一个日志累加器内，当日志累加器的日志量超过预设的大小或条数，或者等待指定时间后，日志累加器的日志会被打包成一个任务，然后开启一个线程将这些日志一次批量发送到云日志服务。这种方式效率高，异步非阻塞，非常适合需要频繁上传日志的场景。 plaintext logger logging.getLogger('asynclogging') logger.info("async log message 1,level:info") logger.info("async log message 2,level:info") logger.info("async log message 3,level:info")

本文介绍了云防火墙(原生版)产品入侵防御的防护配置功能。 云防火墙（原生版）的入侵防御功能支持防护网络攻击，可以实时检测并拦截恶意端口扫描、暴力破解、远程代码执行、漏洞利用等云上常见等网络攻击，避免服务器被挖矿或勒索。 防护配置 1. 登录云防火墙（原生版）控制台。 2. 在左侧导航栏，选择“入侵防御 > 防护配置”。 3. 在页面上方切换云防火墙实例。 4. 配置防护模式。 观察模式：针对攻击行为仅记录及告警，不拦截。 拦截模式：自动拦截攻击行为，并记录且告警。 5. 高级设置。 虚拟补丁：针对可被远程利用的高危漏洞，应急漏洞，在网络层提供热补丁，实时拦截漏洞攻击行为，避免修复主机漏洞时对业务产生的中断影响。 DDoS防护：针对常见DDoS攻击进行实时自动防御。 病毒防护：通过病毒特征检测来识别病毒文件并产生日志。 6. 创建白名单。 说明 部分实例不支持使用白名单功能。 参数名称 参数说明 名称 自定义名单名称。名称长度不能超过100个字符。 IP版本 支持IPv4、IPv6。 源IP地址 根据所选IP版本，输入对应的IP地址或使用已添加的地址簿： 输入IP：使用“/”隔开掩码。 注意 添加出向规则时，源IP地址配置请配置弹性IP所绑定的内网IP，切勿直接配置弹性IP地址，否则规则无法正常生效。 地址簿选择：通过下拉框选择已添加的IP地址簿，添加IP地址簿请参见[添加IP地址簿](

添加域名组 1. 登录管理控制台。 2. 在左侧导航栏中，单击左上方的，选择“安全 > 云防火墙”，进入云防火墙的总览页面。 3. （可选）当前账号下仅存在单个防火墙实例时，自动进入防火墙详情页面，存在多个防火墙实例时，单击防火墙列表“操作”列的“查看”，进入防火墙详情页面。 4. 在左侧导航栏中，选择“访问控制 > 对象组管理”，进入“对象组管理”界面。 5. （可选）如果添加网络域名组，则选择“网络域名组”页签。 6. 切换至“域名组”页签，单击“添加域名组”，弹出“添加域名组”，填写参数如下所示。 参数名称 参数说明 域名组类型 应用型/网络型 域名组名称 自定义域名组名称。 描述 （可选）设置该域名组的备注信息。 域名 输入域名，规则如下： 支持多级别单域名（例如，一级域名example.com，二级域名www.example.com等）和泛域名（例如，.example.com）。 多个域名以英文逗号、英文分号、换行符、空格分隔。 说明 输入的域名请勿重复。 添加域名组中域名 1. 登录管理控制台。 2. 在左侧导航栏中，单击左上方的，选择“安全> 云防火墙”，进入云防火墙的总览页面。 3. （可选）当前账号下仅存在单个防火墙实例时，自动进入防火墙详情页面，存在多个防火墙实例时，单击防火墙列表“操作”列的“查看”，进入防火墙详情页面。 4. 在左侧导航栏中，选择“访问控制> 对象组管理”，进入“对象组管理”界面。 5. 切换至“域名组”页签，单击添加的域名组名称。弹出“域名组”弹窗。 6. 单击“添加域名”，弹出“添加域名”对话框，填写域名信息。 单击添加可添加多个域名。 7. 确认无误后，单击“确认”，完成添加。

前置需求 开通天翼云云搜索服务OpenSearch实例，获取内网地址和实例密码。 准备好云主机环境用来部署Dify，需要和OpenSearch实例网络互通。 准备好Deepseek模型、Embedding向量模型、Rerank重排序模型。 安装好Docker环境。 RAG流程 1. 用户通过Dify对话。 2. 调用Embedding模型将查询向量化。 3. 使用OpenSearch分别对字段和向量进行全文检索和向量检索，通过Rerank模型来重排序，返回最终召回的文档。 4. 检索到的文档以及对话的上下文通过Deepseek大模型总结归纳生成详细准确的回复。 步骤一：部署Dify 本文以云主机自建Dify为例，讲述搭建应用的操作步骤： 1. 克隆Dify的源码到云主机上，以下以v1.3.0为例。 2. 进入dify源码的docker目录 plaintext cd dify/docker 3. 拷贝文件 plaintext cp dockercompose.yaml dockercompose.yaml.bak cp .env.example .env 4. 修改.env文件 plaintext vim .env 使用opensearch作为全文检索库和向量检索库，将VECTORSTORE的值修改为opensearch plaintext VECTORSTOREopensearch 根据以下表格配置OpenSearch实例的相关信息 参数 含义 OPENSEARCHHOST OpenSearch的内网地址 OPENSEARCHPORT 端口号，云搜索服务默认9200 OPENSEARCHUSER 用户默认admin OPENSEARCHPASSWORD OpenSearch实例的密码 OPENSEARCHSECURE OpenSearch实例为https模型则设置为true，http则设置为false plaintext OPENSEARCHHOSTip OPENSEARCHPORT9200 OPENSEARCHUSERadmin OPENSEARCHPASSWORD OPENSEARCHSECUREtrue 5. 修改dockercompose文件。 plaintext vim dockercompose.yaml 为防止拉取公网镜像，将镜像名为opensearch和opensearchdashboards部分的配置注释掉。 plaintext

本文介绍如何收集Serverless集群控制平面组件日志。 基于Serverless 集群的运维需求，Serverless容器引擎为您提供了便捷的控制平面日志收集能力。通过此功能，您可以轻松地将集群控制面产生的日志汇集到您账号下的云日志服务中，以便进行集中化的管理和分析。 前提条件 确保您已经创建Serverless集群，具体操作请参阅创建Serverless集群。 采集的日志将以日志流的形式发送到您账号下指定的云日志服务的日志项目中，且云日志服务使用统一的按量付费方式计费。 操作步骤 安装ctglogoperator日志插件 收集控制平面组件日志需要先安装日志插件。 1. 登录云容器引擎管理控制台，在左侧导航栏选择“集群列表”。 2. 在集群列表页面，单击目标集群名称，然后在左侧导航栏，选择“插件” > “插件市场”。 3. 在插件市场页面，在插件列表中选择要安装的ctglogoperator插件，点击“安装”按钮。 也可以通过在左侧导航栏，选择运维管理下的日志中心，点击“安装插件”。 等待ctglogoperator插件安装完成。 4. 在左侧导航栏，选择运维管理下的日志中心。 5. 在日志中心页面，单击“控制平面组件日志”页签，然后单击“立即开启”。 6. 选择创建或使用已有日志项目，修改日志存储时间，点击“确定”。 说明 Serverless集群支持kubeapiserver，kubecontrollermanager和kubescheduler三种控制平面组件日志查询方式。

本章节主要介绍云搜索服务如何进行标签管理。 标签是集群的标识。为集群添加标签，可以方便用户识别和管理拥有的集群资源。 您可以在创建集群时添加标签，也可以在集群创建完成后，在集群的详情页添加标签。 为集群添加标签 1.登录云搜索服务管理控制台。 2.在创建集群页面，“高级配置”选择“自定义”后，为集群添加标签。 您可以选择预定义标签，并为此标签设置“标签值”。您可以单击“查看预定义标签”，进入“标签管理服务”，了解此用户下已有的标签。 您也可以自定义“标签键”和“标签值”。 云搜索服务的每个集群最多可以设置10个标签。当设置不正确时，可单击标签右侧的“删除”按钮，删除此标签。当不设置标签时，可保持为空。 标签命名规则 参数 说明 标签键 不能为空。 对于同一个集群，标签键值唯一。 长度不超过36个字符。 只能包含数字、英文字母、下划线、中划线和中文。 标签值 长度不超过43个字符。 只能包含数字、英文字母、下划线、中划线和中文。 不能为空。 通过标签搜索集群 1.登录云搜索服务管理控制台。 2.在集群管理页面，单击集群列表右上角的“标签搜索”。 3.输入需要搜索的标签键和标签值。 标签键和标签值仅支持从下拉列表中选择，当标签键和标签值全匹配时，系统可以自动查询到目标集群。当有多个标签条件时，会取各个标签的交集，进行集群查询。 系统最多支持10个不同标签的组合搜索。 4.单击“搜索”。 系统根据标签键和标签值搜索目标集群。

本章节主要介绍云搜索服务针对安全集群如何配置公网访问。 针对安全集群，云搜索服务的集群支持配置公网访问，配置完成后，通过提供的公网IP，您可以在外网接入安全集群。 创建集群时配置公网访问 1.登录云搜索服务管理控制台。 2.在创建集群页面，开启“安全模式”。 6.5.4及之后版本的集群支持开启“安全模式”。 3.“公网访问”选择“自动绑定”，配置公网访问相关参数。 公网访问参数说明 参数 说明 带宽 设置公网访问的带宽。 访问控制开关 如果关闭访问控制开关，则允许任何IP通过公网IP访问集群。如果开启访问控制开关，则只允许白名单列表中的IP通过公网IP访问集群。 白名单 设置允许访问的IP地址或网段，中间用英文逗号隔开。 已有集群公网访问管理 您可以对已经创建集群的公网访问进行修改，查看，解绑，也可以配置公网访问。 1.登录云搜索服务管理控制台。 2.在集群管理页面，单击需要配置公网访问的集群名称，进入集群基本信息页面。 配置公网访问 如果创建集群时，未配置公网访问，集群配置成功后，可以在集群基本信息页面配置公网访问。 单击“公网访问”参数右侧的“绑定”，设置访问带宽后，单击“确定”。 如果绑定失败，用户可以等待几分钟后，再次尝试重新绑定公网访问。 修改 对已经配置了公网访问的集群，可以通过单击“带宽”参数右侧的“修改”，修改带宽大小，也可以通过单击“访问控制”右侧的“设置”，设置访问控制开关和访问白名单。 查看 在“基本信息”页面，可以查看当前集群绑定的公网IP地址。 解绑 对于已经绑定的公网IP，可以通过单击“公网访问”参数右侧的“解绑”，解绑公网IP。

本小节介绍影响域名解析生效的原因。 同一子域名同时配置IPv6地址和IPv4地址，DNS如何解析？ 根据访问者客户端机器协议栈支持情况反馈解析结果。 访问者客户端机器协议栈为IPv6：客户端向LocalDNS发起IPv6地址请求，LocalDNS则也向云解析DNS请求IPv6地址，云解析DNS则根据LocalDNS的请求返回IPv6地址（即用户配置的类型为AAAA的解析记录值），最终由客户端将IPv6地址返回给访问者。 访问者客户端机器协议栈支持IPv4：客户端向LocalDNS发起IPv4地址请求，LocalDNS则也向云解析DNS请求IPv4地址，云解析DNS则根据LocalDNS的请求返回IPv4地址（即用户配置的类型为A的解析记录值），最终由客户端将IPv4地址返回给访问者。 影响域名解析生效的原因有哪些？ 1. 域名状态是否正常：先检查域名的状态，可以查看注册服务商提供的whois域名信息，如果域名状态为clienthold或serverhold状态，意味着域名是禁止解析的；这样状态下，即使设置了域名解析，也是无法生效的，域名是无法被访问到的，需要联系注册商取消这个状态。 2. 是否修改了解析：如果修改了域名解析，到最终新解析地址被访问到，主要取决于各运营商的缓存DNS是否生效，并不是DNS服务商所能解决的。一般情况下，修改解析后，生效时间最长为设置该条解析记录的TTL值时间，如果TTL值为10分钟，那修改解析后，10分钟后就可以完全生效。 3. 是否修改了DNS：与修改解析记录相似，修改域名DNS后，同样取决于各运营商的缓存是否生效；一般情况下，全球生效需要072小时。

本小节介绍Web应用防火墙本地接入云WAF测试。 本地接入云WAF 1. 获取CNAME值，您可以通过添加配置后在自服务界面WAF防护配置列表中获取WAF生成的CNAME记录值。 2. ping“CNAME”值并记录“CNAME”对应的IP地址。 以域名portal.damddos.com为例，该域名已添加到WAF的网站配置中，且WAF为其分配了以下CNAME 值：portal.damddos.com.iname.damddos.com。 在Windows中打开cmd命令行工具，运行 ping portal.damddos.com.iname.damddos.com 获取WAF的回源IP。如下图所示，在响应结果中可以看到用来防护您的域名的WAF回源IP。 3. 在本地修改hosts文件，将域名及“CNAME”对应的WAF回源IP添加到“hosts”文件。 1. 用记事本或notepad++等文本编辑器打开hosts文件，hosts文件一般位于“C: WindowsSystem32driversetc”路径下。 2. 在hosts文件添加记录内容，对应的IP地址即在上述步骤中获取的云WAF防护IP地址，后面的域名即被防护的域名。 3. 修改hosts文件后保存，然后本地ping一下被防护的域名。 此时解析到的IP地址应该是上述步骤中配置的云WAF防护IP地址。 如果依然是源站地址，可尝试刷新本地的DNS缓存（Windows的cmd命令行工具下可以使用 ipconfig /flushdns命令）。

本文为您介绍CC防护功能说明，以及如何配置系统默认、自定义防护策略。 网站域名接入云WAF后，您可以选择开启CC防护功能，为网站拦截针对页面请求的CC攻击。您也可以根据实际需求自定义CC安全防护的防护策略。 前提条件 已开通Web应用防火墙（原生版）实例。 已完成网站域名接入。 使用限制 基础版不支持CC防护，请升级到更高版本使用。 配置CC防护模式 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“防护配置 > 对象防护配置”，进入防护配置页面。 5. 在“防护配置”页面上方的“防护对象选择”下拉框，切换到要设置的域名。 6. 在“安全防护”页签定位到“CC防护”模块，可以选择开启/关闭防护状态；同时可以直接选择防护模式，配置信息如下。 配置项 说明 状态 开启或关闭CC安全防护功能。 防护模式 要应用的防护模式。可选值： 常规：只针对特别异常的请求进行拦截，误杀较少。建议您在网站无明显流量异常时应用此模式，避免误杀。 紧急：高效拦截CC攻击，可能造成较多误杀。当您发现有防护模式无法拦截的CC攻击，并出现网站响应缓慢，流量、CPU、内存等指标异常时，可以应用此模式。 自定义：自定义CC防护可以通过精确匹配条件过滤访问请求的基础上，基于用户访问源IP或者SESSION频率定义访问频率限制条件，对于超过频率限制的访问进行拦截。 策略配置方法，请参见下文[配置自定义CC防护策略](

本文为您介绍如何快速配置CC防护策略。 网站域名接入云WAF后，您可以选择开启CC防护功能，为网站拦截针对页面请求的CC攻击。您也可以根据实际需求自定义CC安全防护的防护策略。 前提条件 已开通Web应用防火墙（原生版）实例。 已完成网站域名接入。 使用限制 基础版不支持CC防护，请升级到更高版本使用。 CC防护模式配置 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“防护配置 > 对象防护配置”，进入防护配置页面。 5. 在“防护配置”页面上方的“防护对象选择”下拉框，切换到要设置的域名。 6. 在“安全防护”页签定位到“CC防护”区域，可以选择开启/关闭防护状态；同时可以直接选择防护模式。 配置项说明如下： 配置项 说明 状态 开启或关闭CC安全防护功能。 防护模式 要应用的防护模式。可选值： 常规：只针对特别异常的请求进行拦截，误杀较少。建议您在网站无明显流量异常时应用此模式，避免误杀。 紧急：高效拦截CC攻击，可能造成较多误杀。当您发现有防护模式无法拦截的CC攻击，并出现网站响应缓慢，流量、CPU、内存等指标异常时，可以应用此模式。 自定义：自定义CC防护可以通过精确匹配条件过滤访问请求，基于用户访问源IP或者SESSION频率定义访问频率限制条件，对于超过频率限制的访问进行拦截。 策略配置方法，请参见设置[自定义CC防护策略](

本章节主要介绍备份元数据。 操作场景 为了确保元数据信息安全，或者用户需要对元数据功能进行重大操作（如扩容缩容、安装补丁包、升级或迁移等）前后，需要对元数据进行备份，从而保证系统在出现异常或未达到预期结果时可以及时进行数据恢复，将对业务的影响降到最低。元数据包含OMS数据、LdapServer数据、DBService数据和NameNode数据。备份Manager数据包含同时备份OMS数据和LdapServer数据。 默认情况下，元数据备份由“default”任务支持。该任务指导用户通过MRS Manager创建备份任务并备份元数据。支持创建任务自动或手动备份数据。 前提条件 需要准备一个用于备份数据的备集群，且网络连通。每个集群的安全组，需分别添加对端集群的安全组入方向规则，允许安全组中所有弹性云主机全部协议全部端口的访问请求。 根据业务需要，规划备份的类型、周期和策略等规格，并检查主备管理节点“数据存放路径/LocalBackup/”是否有充足的空间。 操作步骤 创建备份任务 1. 在MRS Manager，选择“系统设置 > 备份管理”。 2. 单击“创建备份任务”。 设置备份策略 1. 在“任务名称”填写备份任务的名称。 2. 在“备份类型”选择备份任务的运行类型，“周期备份”表示按周期自动执行备份，“手动备份”表示由手工执行备份。 创建周期备份任务，还需要填写以下参数： “开始时间”：表示任务第一次启动的时间。 “周期”：表示任务下次启动，与上一次运行的时间间隔，支持“按小时”或“按天”。 “备份策略”：表示任务每次启动时备份的数据量。支持“首次全量备份，后续增量备份”、“每次都全量备份”和“每n次进行一次全量备份”。选择“每n次进行一次全量备份”时，需要指定n的值。

本节介绍了如何使用Web应用防火墙（边缘云版）的规则防护引擎为您的网站做好WEB应用攻击防护。 应用场景 攻击者经常会采用SQL注入、XSS跨站、Webshell上传、命令注入、后门隔离、非法文件请求、路径穿越、常见应用漏洞攻击等Web攻击手段对网站进行攻击。您的网站接入WAF后，可以通过配置对应的WAF漏洞防护集合规则来抵御这些Web应用类型攻击。 如何配置防护策略 网站接入Web应用防火墙（边缘云版）时，Web应用防火墙（边缘云版）会根据您选择的防护等级和开发语言等选项自动为您选择合适的漏洞防护规则集合，Web应用防火墙（边缘云版）根据不同的漏洞防护规则集合提供不同程度的Web防护效果。每种漏洞集合针对不同的场景进行Web防护，减少正常请求的误报漏报，提高在您选择的场景下的拦截非法请求的成功率。 默认提供七种防护规则集合： 全量防护规则：适用于重保等级高，且允许一定程度误报的业务场景。该漏洞规则集防护包含全量规则，绝大部分规则处理动作为拦截（网站防护模式为拦截时则直接进行拦截）。 敏感防护规则集：适用于常规网站，且允许少量误报的业务场景。该漏洞规则集防护等级较为严格，容易误报的规则处理动作为告警，其他规则处理动作为拦截（网站防护模式为拦截时则直接进行拦截），存在一定误报可能性。 宽松防护规则集：适用于常规网站，允许存在一定漏报的业务场景。该漏洞规则集防护等级较为宽松，关闭容易产生误报的规则，可能存在一定漏报。 PHP防护规则集：适用于后台开发语言为PHP的网站业务。该漏洞规则集主要针对后台语言为PHP进行制定，关闭其他容易产生误报的规则。 JAVA防护规则集：适用于后台开发语言为JAVA的网站业务。该漏洞规则集主要针对后台语言为JAVA进行制定，关闭其他容易产生误报的规则。 非PHP和JAVA防护集：适用于后台开发语言明确非PHP和JAVA网站业务。该漏洞规则集主要针对后台语言为非PHP和JAVA进行制定，关闭其他容易产生误报的规则。 下载类业务规则集：适用于下载类业务，即包含zip、rar、tar、gz等下载类后缀的业务网站。该漏洞规则集主要针对下载类业务进行设定规则，关闭其他容易产生误报的规则。 关于域名规则开关的选项说明： 关闭：关闭规则防护，不会对Web攻击进行有效拦截和记录。 告警：Web应用防火墙（边缘云版）不会拦截任何Web攻击，仅会根据域名规则匹配到的Web攻击记录到攻击日志。 拦截：Web应用防火墙（边缘云版）会根据域名规则内容匹配，如果请求与域名规则匹配上会拦截请求，并记录到攻击日志中。 需要注意的是，Web应用防火墙（边缘云版）防护引擎是否会根据防护规则对攻击进行拦截，受防护总开关和域名规则开关的影响，仅在域名防护总开关与域名规则开关均为开启时生效。当您需要Web应用防火墙（边缘云版）根据防护规则及时拦截Web应用攻击时，您需要在“安全基础配置”页面设置防护模式为开启，处理动作修改为拦截，并且在“域名规则”页面将域名规则开关设置成拦截。 防护模式和处理动作配置如下图： 域名规则开关如下图： 当您需要修改某个域名子规则的处理动作，例如域名子规则5111的处理动作由告警修改为拦截状态时，可以通过提交工单，联系天翼云安全专家进行处理，联系方式见服务保障。除了控制全量域名规则的开关，您还可以根据您网站特性，选择一些误报率较高的域名规则进行关闭，减少误报率，如下图：

如何强制客户端使用HTTPS请求访问网站？ 当您想要提高网站访问的安全性，可以开启HTTPS强制跳转功能，此时所有客户端的HTTP请求都将强制转换为HTTPS请求，并默认跳转至443端口，详情请参见将网站接入WAF防护（域名接入）、将网站接入WAF防护（ 独享型接入）。 WAF原生版是否支持HTTP 3.0协议？ WAF原生版暂不支持HTTP 3.0协议，目前仅支持HTTP 1.0/2.0协议。 网站接入WAF防护时，源站IP可以填写云主机的内网IP吗？ 域名接入 源站IP不可以填写云主机的内网IP。 域名接入采用CNAME的方式将原本去向网站的请求转向的WAF，从而实现对网站访问的安全防护，这些用户请求将在WAF进行安全检测和过滤后，发送回源站。当前WAF提供的CNAME为公网解析的CNAME，只能解析到公网IP地址，无法解析到内网IP，所以源站IP地址不能填写云主机的内网IP。 注意 在网站接入WAF后，您应确保源站服务器已将WAF的全部回源IP放行（即加入白名单），否则可能会出现网站无法打开或打开极其缓慢等情况。 独享型接入 独享型实例与业务主机部署在同一VPC，源站IP可以填写云主机的内网IP。

本章节主要向您介绍VPN连接的产品功能。 VPN连接（Virtual Private Network Connection，以下简称VPN），用于在远端用户和虚拟私有云（Virtual Private Cloud，以下简称VPC）之间建立一条安全加密的公网通信隧道。当您作为远端用户需要访问VPC的业务资源时，您可以通过VPN连通VPC。 默认情况下，在虚拟私有云（VPC）中的弹性云主机无法与您自己的数据中心或私有网络进行通信。如果您需要将VPC中的弹性云主机和您的数据中心或私有网络连通，可以启用VPN功能。 经典版VPN 经典版VPN采用硬件防火墙作为网关，所有租户共享IPSec隧道资源；一个租户业务触发故障将会影响其他租户业务。 企业版VPN 企业版VPN采用虚拟网关软件作为网关，VPN网关由租户独占，不与其他租户共享，带宽、连接数可保障；一个租户网关故障时，不会影响其他租户网关。 VPN关联ER 传统方式下，本地数据中心同时对接不同VPC时，VPN侧需要配置多条VPN连接，分别对应到不同VPC。 使用VPN关联ER（Enterprise Router，企业路由器）功能后，VPN只需要对接到ER，VPC之间的网络路由通信均由ER实现，从而简化网络配置。