本节介绍操作手册,方便用户更好使用本产品。 分布式容器云平台用户操作手册.pdf

本节介绍了该产品的服务等级协议。 弹性容器实例产品服务等级协议，详情请参见这里。

当您关联MySQl实例后,还需要为DRDS实例创建Schema。 前提条件 DRDS实例已关联MySQL实例，且MySQL未处于只读状态。 注意事项 创建Schema时，DRDS将在关联的MySQL实例上新建数据库，该操作不会影响已有库表。 创建Schema时，一个DRDS实例可以创建多个Schema。 操作步骤 1. 进入Schema管理页面。 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 分布式关系型数据库 ，进入分布式关系型数据库产品页面。然后单击管理控制台 ，进入概览页面。 2. 在左侧导航栏，选择DRDS > 实例管理，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 3. 在实例列表中，找到目标实例，单击实例名称或单击操作 列的管理 ，进入实例基本信息页面。 4. 单击Schema管理页签，进入Schema管理页面。 2. 单击创建Schema ，进入创建Schema页面。 3. 在基本信息设置 页面，根据实际情况配置如下参数，然后单击下一步。 参数 说明 Schema名称 请以小写字母开头，长度为350个字符。 Schema字符集 支持选择utf8或utf8mb4。 注意 创建后不支持修改。 Schema引擎 支持选择InnoDB或MyISAM。 注意 创建后不支持修改。 关联数据库设置 选中作为存储节点的MySQL实例，并设置对应MySQL实例的分片数量。 4. 在分片节点设置 页面，设置数据库名称，然后单击下一步。 据库名称默认为Schema名称 数字编号，数字编号从1开始递增。您也可以根据需求设置MySQL实例中数据库名称。 5. 在创建页面，开始创建Schema。 您可以单击Schema管理 ，跳转到Schema管理 页面，也可以等待一段时间，系统将自动跳转到Schema管理页面。

本章介绍天翼云关系型数据库包含哪些实例类型。 数据库实例是关系型数据库的最小管理单元。一个实例代表了一个独立运行的关系型数据库。您可以在一个实例中创建和管理多个数据库，并且可以使用与独立访问数据库实例相同的工具和应用进行访问。使用管理控制台或API可以方便地创建或者修改数据库实例。关系型数据库服务对运行实例数量没有限制，但每个数据库实例都有唯一的标识符。 实例可进行如下分类： 实例类型 实例类型 简介 使用说明 ::: 单机实例 采用单个数据库节点部署架构。与主流的主备实例相比，它只包含一个节点，但具有高性价比。 单机版出现故障后，无法保障及时恢复。 主备实例 采用一主一备的经典高可用架构，主备实例的每个节点的规格保持一致。 备机提高了实例的可靠性，创建主机的过程中，会同步创建备机，备机创建成功后，用户不可见。 当主节点故障后，会自动发生主备切换，数据库客户端会发生短暂中断，数据库客户端需要支持重新连接。 只读实例 采用单个物理节点的架构（没有备节点）。 只读实例是单机版本，当物理机故障或者数据库复制异常后，需要较长时间重建和恢复（取决于数据量）。 集群版实例 采用微软AlwaysOn高可用架构，支持1主1备5只读集群模式，拥有更高可用性，可靠性，可拓展能力。 仅限 RDS for SQL Server使用。 RDS for SQL Server 2017企业版支持只读实例。 用户可以在关系型数据库系统中自助创建及管理各种数据库引擎的实例。

本文为您提供迁移服务的常见异常问题及问题的处理,请您阅读。 迁移完成后，没有失败对象的情况下，为什么目的端桶对象个数/大小与源端桶对象个数/大小不一致？ 若源端桶内对象个数>目的端桶内对象个数： 可能为源端存在新增数据，您可以再次创建评估任务，查看评估后的结果源端已扫描对象数是否与上次迁移的数据一致。若比对已扫描对象数不一致，则为存在新增数据。 若源端桶内对象总大小>目的端桶内对象总大小： 源端存在碎片文件：迁移服务无法迁移碎片文件。 源端开启多版本对象：迁移服务不支持迁移多版本数据，仅迁移最新版的对象。 对象大小统计规则差异：部分源端云服务商在对象不足64 KB时，统一按照64 KB统计，导致容量不一致。 若源端桶内对象个数<目的端桶内对象个数： 对象存储控制台，统计可能存在部分时延，迁移后需要等待少许时间。 迁移时业务系统已经切换到天翼云，并自动写入的新数据导致。 若源端桶内对象总大小<目的端桶内对象总大小： 目的端桶存在残留的碎片文件（任务暂停后未重新恢复，迁移服务会在目的端存在碎片文件）。您可清除目的端桶的残留碎片文件。 输入对象前缀时，实际并未迁移指定前缀的对象，是什么原因？ 可能是前缀的输入有误。迁移服务支持源端指定对象前缀，该前缀为包含着对象所在目录路径的内容，而非仅对象名称的部分，格式为：文件夹/对象前缀。 例如：桶内的根目录有目录A，目录A下有待迁移对象的名为oldfiletest.jpg 和 oldimage.png，则实际待迁移对象的名称应为：A/oldfiletest.jpg 和 A/oldimage.png。指定前缀时，不能仅输入“old”，而应该输入“A/old”。

本节介绍使用集群联邦实现应用多活容灾。 CCE One集群联邦支持将工作负载的实例分发至多个集群中，避免单集群故障引发业务中断，保障业务连续性。 前提条件 1. 已创建两个及以上的注册集群，具体操作参见 订购注册集群 章节。若已有集群，无需重复操作。 2. 已开通CCE One集群联邦实例。 环境搭建 1. 登录CCE One控制台，在左侧导航栏选择“集群资源” > “集群管理”，进入集群管理界面，确认待操作集群均处于“运行中”状态。 2. 在CCE One控制台左侧导航栏选择“舰队联邦” > “舰队管理”，新建一个容器舰队，并将待操作集群添加至舰队中。 3. 在CCE One控制台左侧导航栏选择“舰队联邦” > “联邦管理”，选择待操作联邦实例，进入联邦管理界面，查看“成员信息”，确认舰队及其下集群已接入联邦。 4. 在联邦管理界面左侧导航栏选择“工作负载” > “无状态”，创建一个nginx无状态负载。 填写负载名称、命名空间、实例数量、容器镜像等信息后，点击”下一步：调度与差异化“。 调度与差异化配置中，调度方式选择“集群权重”，并将两个集群权重设置为1:1。 注意 1. 如果待操作的多个集群位于不同资源池，建议打开“差异化配置”，按集群所在的资源池配置对应容器镜像，避免镜像拉取失败。 2. 配置完成后，点击“创建工作负载”进行创建，等待工作负载运行。

本文介绍如何指定vCPU和内存创建实例。 大部分场景下，如果没有特殊的规格需求（如GPU、本地盘等），推荐您指定vCPU和内存来创建ECI实例，系统会尝试使用多种ECS规格进行支撑，以提供比ECS单规格更好的弹性和资源供应能力。 规格说明 您可以指定实例或者容器的vCPU和内存来创建ECI实例。如果指定的vCPU和内存不符合要求，系统将自动按照ECI支持的规格进行规整。规整时将向最接近的ECI规格进行规整，同时需满足指定的vCPU和内存≤ECI规格的vCPU和内存。例如：在华东1地域创建ECI实例时，声明了7 vCPU，13 GiB内存，则实际创建的ECI实例为8 vCPU，16 GiB内存。所有ECI支持地域均支持的规格： CPU( 核） 内存（ GB ） 1 2、4 2 4、8、16 4 8、16、32 8 16、32、64 12 24、48 16 32、64 32 64、128 64 128、256 配置说明 指定vCPU和内存创建ECI Pod时，支持以下两种： 1. 指定Pod内容器的vCPU和内存：通过定义Containers的limits或requests来指定。 2. 指定Pod级别的vCPU和内存：通过在Pod metadata中添加k8s.ctyun.cn/eciusespecs的Annotation来指定。 指定ECI Pod内容器的vCPU和内存 每个ECI Pod最多支持20个容器，每个容器的vCPU和内存规格可以自定义配置，但汇总到Pod级别时需满足ECI Pod的vCPU和内存约束。对于不满足的情况，系统会进行自动规整，并按规整后的规格进行计费。

在使用天翼云关系型数据库MySQL前，您需要先创建实例。本文为您详细介绍如何创建天翼云关系数据库MySQL版实例。 背景信息 您可以根据业务需要定制相应计算能力和存储空间的关系型数据库实例，其中，计费模式支持包年包月（包周期）和按需计费。 创建实例时，系统默认开启自动备份策略。 实例创建成功后，您可以根据实际情况修改，具体操作，请参见修改备份策略。 数据库端口默认为13049。您也可在订购页自定义端口。 实例创建成功后，您可以根据实际情况修改，具体操作，请参见修改数据库端口。 操作步骤 1. 进入数据库实例订购页面。 方法一： 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 关系数据库MySQL版 ，进入关系数据库MySQL产品页面。然后单击管理控制台 ，进入概览页面。 2. 在左侧导航栏，选择MySQL > 实例管理，进入实例列表页面。然后在顶部菜单栏，选择区域和项目。 注意 如需要对II 类型资源池广州4、苏州进行实例创建和管理，需要先在控制台的实例列表页面的左上角单击数据库资源池切换，并选择对应的资源池，然后进行管理和订购等操作。 3. 在实例列表上方，单击创建实例，进入数据库实例订购页面。 方法二： 1. 在天翼云官网首页的顶部菜单栏，选择产品 > 数据库 > 关系型数据库 > 关系数据库MySQL版 ，进入关系数据库MySQL产品页面。然后单击立即开通，进入数据库实例订购页面。 2. 在顶部菜单栏，选择区域和项目。 2. 根据实际情况，配置如下实例相关参数。 模块 参数 描述 基本信息 组件引擎和版本 选择数据库组件引擎和版本： 说明 选用MySQL数据库时，请根据实际业务需求选择合适的数据库引擎版本。建议您选择当前可用的最高版本数据库，因其性能更稳定，安全性更高，使用更可靠。 引擎：MySQL 版本：5.7或者8.0 基本信息 区域 租户当前所在区域。支持在顶部菜单栏左上角切换到其他区域。 注意 不同区域内的产品内网不互通，且购买后不能更换，请谨慎选择。 基本信息 计费模式 选择计费模式： 包年/包月：若选择该模式，则按照购买时长进行计费，一次性扣除。 按需计费：若选择该模式，则会从余额中进行扣除费用。 基本信息 模式 选择实例模式： 非MGR：实例类型可以选择单机版、一主一备和一主两备。 MGR：模式选择MGR后，实例类型默认只能选择一主两备 。更多MGR集群信息，请参见MGR集群。 基本信息 实例类型 根据具体的业务需求选择对应的实例类型。详细的实例类型信息，请参见实例类型。 基本信息 可用区 选择实例所在的可用区。针对支持多可用区的资源池，您可以将订购的非单机版实例节点分布在不同的可用区，即跨可用区部署实例。一个可用区不受其他可用区故障的影响，保证您数据库服务的可用性。 注意 跨可用区功能仅II类型资源池中的部分资源池支持，I类型资源池不支持该功能，以订购页实际显示为准。更多资源池信息，请参见功能概览。 规格与存储 CPU类型 部分资源池提供了X86和ARM架构，具体资源池加载情况以实际受理页为准。 规格与存储 性能类型 支持选择通用型、计算增强型和内存优化型的主机类型。关于各主机类型具体说明和适用场景，请参见实例规格。 说明 对应的主机类型提供对应六代机或七代机，目前七代机的表现整体优于六代机。 规格与存储 性能规格 选择实例的CPU和内存。不同性能规格对应不同连接数和最大IOPS。 创建成功后，支持进行规格变更。 规格与存储 存储类型 实例的存储类型决定实例的读写速度。最大吞吐量越高，读写速度越快。具体存储类型差异，请参见实例存储类型。 规格与存储 存储空间 您申请的存储空间会有必要的文件系统开销，这些开销包括索引节点和保留块，以及数据库运行必需的空间。存储空间支持100GB到32TB，您选择的容量大小必须为10的整数倍。 存储空间自动扩展：可选择开通自动扩容，开通后实例将根据选择的阈值进行自动扩展，无需担心空间满问题，建议扩容上限值设置大一些，以备不时之需。 磁盘加密：可选择磁盘是否加密，有效保护数据安全，此项功能仅支持在订购时进行设置，在控制台暂不支持设置。 注意 磁盘加密功能仅II类型资源池中的部分资源池支持，I类型资源池不支持该功能，以订购页实际显示为准。更多资源池信息，请参见功能概览。 规格与存储 备份空间 如果备份类型是云硬盘方式，备份空间大小需要大于等于存储空间。 如果备份类型是对象存储方式，默认会赠送和订购时选择的存储空间大小相等的对象存储空间。 注意 对象存储方式仅II类型资源池中的部分资源池支持，I类型资源池不支持该方式，以订购页实际显示为准。更多资源池信息，请参见功能概览。 免费备份空间额度仅与首次购买的存储空间大小绑定，后续扩容不额外增加免费额度。 备份空间实际用量超过免费额度时，系统将自动对超出部分按标准费率计费。 企业项目 企业项目 企业项目权限实现细粒度控制。将云资源、企业成员按企业项目进行管理，通过企业项目将云资源、带有权限的用户组绑定到一起，用户使用企业项目内云资源的权限受用户组的权限限制。 网络 虚拟私有云 关系数据库MySQL版实例所在的虚拟专用网络，可以对不同业务进行网络隔离。您需要创建或选择所需的虚拟私有云。如何创建虚拟私有云，请参见创建虚拟私有云VPC。 如果没有可选的虚拟私有云，关系型数据库服务默认为您分配资源。 注意 目前关系数据库MySQL版实例创建完成后不支持切换虚拟私有云，请谨慎选择所属虚拟私有云。 网络 子网 通过子网提供与其他网络隔离的、可以独享的网络资源，以提高网络安全性。子网在可用区内才会有效，创建关系数据库MySQL版实例的子网默认开启DHCP功能，不可关闭。 创建实例时关系数据库MySQL版会自动为您配置内网地址，您也可输入子网号段内未使用的内网地址，实例创建成功后该内网地址可修改。 网络 IP地址 创建实例时RDS会自动为您配置内网地址，您也可输入子网号段内未使用的内网地址，实例创建成功后该内网地址不可修改。 注意 手动输入指定IP地址功能仅II类型资源池支持，I类型资源池不支持该功能，以订购页实际显示为准。更多资源池信息，请参见功能概览。 网络 安全组 安全组限制实例的安全访问规则，加强关系数据库MySQL版服务与其他服务间的安全访问。请确保所选取的安全组允许客户端访问数据库实例。 如果不创建安全组或没有可选的安全组，关系数据库MySQL版服务默认为您分配安全组资源。 集群配置 实例名称 长度为4~64个字符，必须以字母开头，不区分大小写，可以包含字母、数字、中划线或下划线，不能包含其他特殊字符。 集群配置 设置密码 您可以在订购的时候设置密码，也可以选择在创建后进行设置密码，提高订购开通效率。 集群配置 管理员账号 数据库的登录名默认为root。 集群配置 管理员密码 长度为8~26位，需为字母、数字和特殊字符~!@

本文简述天翼云全站加速产品支持的访问控制功能。 访问控制的作用 访问控制是按用户身份及其所归属的某项定义组来限制用户对某些资源的访问，或限制对某些控制功能的使用的一种技术。访问控制通常用于系统管理员控制用户对服务器、目录、文件等网络资源的访问。 主要有以下作用： 防止非法用户进入受保护的网络资源。 允许合法用户访问受保护的网络资源。 防止合法的用户对受保护的网络资源进行非授权的访问。 天翼云全站加速产品提供了丰富的访问控制策略，您可以根据您的需要，选择合适的策略，来对您的网络资源进行保护，防止非法用户入侵。 访问控制概述 访问控制模块主要介绍天翼云全站加速产品支持的访问控制策略及配置方法，包括：Referer防盗链、IP黑/白名单、URL鉴权、UA黑/白名单、URI黑/白名单、全网带宽控制、有序回源等策略。 目前，Referer防盗链、IP黑/白名单、URL鉴权、UA黑/白名单支持在控制台自助配置，其他访问控制功能需提工单配置。 相关功能 功能 说明 IP黑白名单 通过配置IP黑/白名单，全站加速边缘节点可以识别客户端IP，拒绝黑名单中IP的访问，或者放行白名单中IP的访问，可以解决恶意IP攻击等问题。 Referer防盗链 Referer防盗链功能，是通过设置HTTP请求头中Referer字段的黑白名单来实现访问控制策略的，从而能可以对用户的身份进行识别和筛选，防止网站资源被盗用。配置Referer防盗链功能后，全站加速边缘节点会根据Referer黑/白名单中的内容，允许合法访问、拒绝非法请求。拒绝访问时，全站加速节点会返回403状态码。 UA黑白名单 UserAgent（简称UA）是HTTP请求头的组成部分之一，包含访客使用的浏览器类型及版本、操作系统及版本等信息。因此UserAgent是访客身份的象征，标志访客访问时所使用的工具。通过识别HTTP请求中的UserAgent字段中包含的部分信息，可以规范访客的行为，拦截或允许某一类访客的访问，实现防盗链、防盗刷、防攻击的目的。 URL黑白名单 URL黑白名单是网络安全管理中的一种重要机制，主要用于控制用户对特定资源的访问权限。 URL鉴权配置 为了防止站点资源被恶意下载或者非法盗用，避免产生不必要的带宽浪费，可以配置URL鉴权功能。配置URL鉴权后，全站加速产品会对加密串及时间戳进行校验，从而有效地保护用户站点资源。 远程同步鉴权 可以通过配置远程同步鉴权功能，在全站加速节点收到用户请求后，将请求转发回提前设定的鉴权源站，在源站鉴权许可后，全站加速节点才给用户返回对应内容，从而实现用户鉴权规则由源站全权定义。 全网带宽控制 天翼云全网带宽控制功能可通过设置单个域名或多个域名的总带宽值来控制带宽总用量，避免因带宽突发带来更多的带宽费用。 有序回源 全站加速的有序回源功能是一种流量求并发回源时控制方法，用于大量请的排队管理。 单请求限速 单请求限速功能可以限制全站加速节点响应给用户的下行速率，从而减少域名的整体带宽，节省成本。 IP访问限频 IP访问限频功能可以限制单个用户IP在天翼云全站加速单台服务器上的请求频次，防御CC攻击，防止恶意用户盗刷。

make sure the NVIDIA modules are loaded on boot with nvidiapersistenced if available nvidiapersistenced; then $SUDO touch /etc/modulesload.d/nvidia.conf MODULES"nvidia nvidiauvm" for MODULE in $MODULES; do if ! grep qxF "$MODULE" /etc/modulesload.d/nvidia.conf; then echo "$MODULE" $SUDO tee a /etc/modulesload.d/nvidia.conf > /dev/null fi done fi status "NVIDIA GPU ready." installsuccess 2. 执行安装 plaintext bash installollama.sh 如下显示则为安装成功。 3. 测试ollama服务安装情况 plaintext ollama ps 2. 下载模型 天翼云镜像站也为常见镜像提供了加速能力，包括1.5B7B14B70B671B 等相关模型，可以通过如下手段体验其他模型，以14B 模型为例： plaintext mkdir deepseekr114b cd deepseekr114b wget wget ollama create deepseekr1:14b f ModelFile 如果你想体验其他模型，也可以直接通过ollama下载。 plaintext ollama pull deepseekr1:14b 3. 使用ollama运行模型 plaintext ollama run deepseekr1:14b 4. 通过web界面进行交互 1. 安装openwebui plaintext docker pull ghcr.io/openwebui/openwebui:main 2. 启动容器 plaintext docker run d nethost e PORT3000 e OLLAMABASEURL e ENABLESIGNUPtrue e ENABLEOPENAIAPIFalse v openwebui:/app/backend/data name openwebui restart always ghcr.io/openwebui/openwebui:main 后续请参考上文“快速体验DeepSeek——步骤二：使用deepseek模型” 。

本文主要介绍资源包使用。 日志资源包是天翼云云日志服务LTS针对不同的计费项推出的优惠套餐，您购买资源包后，即可使用资源包额度抵扣云日志服务中所有的计费项，包括存储、读写与索引流量。与按需计费方式对比，资源包包年期时长越长，折扣优惠力度越大，若您每月的日志消费相对固定，建议您使用资源包来获取更多折扣优惠。 资源包价格 规格/时长 1个月 3个月 6个月 1年 2年 3年 10CU 10元 30元 60元 90元 168元 180元 100CU 100元 300元 600元 900元 1680元 1800元 500CU 500元 1500元 3000元 4500元 8400元 9000元 1000CU 1000元 3000元 6000元 9000元 16800元 18000元 5000CU 5000元 15000元 30000元 45000元 84000元 90000元 10000CU 10000元 30000元 60000元 90000元 168000元 180000元 购买须知 1. 资源包有效期以您下单购买成功后的时间开始计算。例如您在2024年6月5日购买3个月的资源包，购买成功后立即生效，则资源包有效期为2024年6月5日至2024年9月4日。 2. 资源包每个周期拥有相同的额度，该额度即为您在购买资源包时所选的规格，若周期内额度未使用完，不累计到下一个周期。 3. 资源包支持叠加购买，您可一次性购买多个资源包，且资源包的规格叠加，但有效时长不叠加。关于生效时间请参考[资源包有效期](

本章节主要介绍如何查看主机和组件日志。 操作步骤 1. 登录翼MR管理控制台。 2. 选择“我的集群”，选中一个运行中的集群并单击集群名称，进入集群信息页面。 3. 在“节点管理”页签中单击Master节点，选择要进入的Master节点。 4. 单击该节点右侧的“远程连接”。 5. 根据界面提示，输入Master节点的用户名和密码，用户名、密码分别为root和创建集群时设置的密码。 6. 进入对应组件的日志目录，查看相关日志。

本章节主要介绍翼MapReduce服务Yarn健康检查指标项说明。 服务健康状态 指标项名称： 服务状态 指标项含义 ：检查Yarn服务状态是否正常。如果当前无法获取NodeManager节点数时，则认为不健康。 恢复指导： 如果该指标项异常，建议参见告警进行处理并确认网络无异常。 检查告警 指标项名称： 告警信息 指标项含义 ：检查服务是否存在未清除的告警。如果存在，则认为不健康。 恢复指导： 如果该指标项异常，建议参见告警进行处理。

性能保障型负载均衡 性能保障型负载均衡适用于对性能有较高要求的应用场景，能够提供更强大的性能和扩展能力。 性能保障型负载均衡为收费产品，为集群模式部署，支持经典型升级为性能保障型，支持规格升级、降级。 经典型升级性能保障型 随着业务规模发展，存量经典型实例的性能无法满足业务需求时，可选择升级性能保障型，以获得更高的负载性能和性能保障 注意 经典型升级性能保障型，升级过程涉及底层迁移，有秒级流量中断，建议在业务低谷时段维护窗口操作。 规格升级、降级 升配：当用户业务快速增长，当前规格无法满足性能要求时，可使用规格变配功能，平滑升级更高规格； 降配：用户购买规格过大，或业务量出现持续一段时间的低谷时，可选择降配，将大规格降低成小规格，节省使用成本； 性能保障型负载均衡有如下规格： 规格 最大并发连接数 新建连接数（CPS） QPS（HTTP） QPS（HTTPS） 标准型I 100000 10000 10000 2000 标准型II 200000 20000 20000 4000 增强型I 400000 30000 30000 6000 增强型II 600000 50000 50000 10000 高阶型I 1000000 50000 50000 10000 高阶型II 2000000 100000 80000 16000 超强型I 4000000 200000 100000 20000 超强型II 10000000 500000 200000 40000 超强型II应用型 10000000 500000 200000 100000 超强型III 20000000 1000000 300000 300000 说明 在支持性能保障型负载均衡的资源池中，高阶型II、超强型I、超强型II、超强型II应用型、超强型III规格的负载均衡实例默认不支持创建。如果您在集群模式资源池需要使用高阶型II、超强型I、超强型II、超强型II应用型、超强型III规格的负载均衡实例，可以通过天翼云控制台提工单进行申请。性能保障型负载均衡提供项目定制型规格，最大支持2000万并发、100万CPS、100万QPS，如有需求，请联系客户经理。

名称 描述 是否必须 BucketName 存储桶名称。 是 CORSConfiguration 最多包含100个CORSRule元素的容器。 类型：容器。 子节点：CORSRule。 是 CORSRule 用户允许跨域的源和方法。 类型：容器。 子节点：AllowedOrigin、AllowedMethod、AllowedHeader、MaxAgeSeconds、ExposeHeader、ID。 父节点：CORSConfiguration。 是 ID 规则的唯一标识。最长255个字符。 类型：字符串。 父节点：CORSRule。 否 AllowedMethod 允许跨域的HTTP方法。每个CORSRule应至少包含一个源和一个方法。 类型: 枚举 (GET, PUT, HEAD, POST, DELETE)。 父节点：CORSRule。 是 AllowedOrigin 允许跨域的源。每个CORSRule应至少包含一个源和一个方法。 可以包含通配符，但最多只能包含一个，比如： 表示允许所有源跨域访问。 类型：字符串。 父节点：CORSRule。 是 AllowedHeader 控制在预检OPTIONS请求中AccessControlRequestHeaders头中指定的header是否允许。AccessControlRequestHeaders 中的每个请求头名称，必须在规则中有匹配的条目。 规则中的每个 AllowedHeader最多可以包含一个 通配符字符。例如，xamz。 类型：字符串。 父节点：CORSRule。 否 MaxAgeSeconds 指定浏览器对特定资源的预检（OPTIONS）请求返回结果的缓存时间，单位为秒。通过缓存响应，在需要重复原始请求时，浏览器无需向 OOS 发送预检请求。 一个CORSRule最多包含一个MaxAgeSeconds元素。 类型：整型。 取值：大于等于1的整数。1表示禁用缓存。 父节点：CORSRule。 否 ExposeHeader 指定客户应用程序(例如，JavaScript XMLHttpRequest文件)能够访问的响应头。 类型：字符串。 父节点: CORSRule。 否

本页介绍了分布式融合数据库HTAP的创建实例流程。 详细的创建实例过程能够帮助您更好的开始使用天翼云分布式融合数据库HTAP产品。 操作场景 本节将介绍分布式融合数据库HTAP的创建实例过程。 分布式融合数据库HTAP支持“包年/包月”和“按需计费”购买，您可以根据业务需要定制相应计算能力和存储空间的数据库实例。 注意事项 分布式融合数据库HTAP的性能，取决于用户订购分布式融合数据库HTAP时所选择的配置。可供用户选择的硬件配置为性能规格、存储类型以及存储空间等。 操作步骤 1. 登陆天翼云官网。 2. 选择“产品 > 数据库 > 分布式融合数据库HTAP”，进入分布式融合数据库HTAP 产品详情页面，点击【立即开通】。 3. 进入开通页面，选择或输入实例的相关配置信息。 其中基础配置包括计费模式、区域、引擎类型、版本和可用区，可用区可以选择1个或者3个。 实例规格包括配置模板、性能类型、各节点规格及数量。 配置模板给出了入门配置和标准配置两种建议，您也可以自定义配置。 性能类型有三种，通用型、计算增强型、内存优化型，并可以搭配六代机和七代机使用。 计算节点至少1个，行存节点至少3个，列存节点可以为0个，管理节点固定为3个，监控节点固定为1个。计算节点、行存节点、列存节点可根据需求自定义数量，最大数量不超过50个。 数据备份默认开启，开启数据备份后，至少要添加一个同步节点。若不开启数据备份，则不用添加同步节点。 网络配置包括虚拟私有云、子网、安全组。 数据库设置可以设置实例名称，如果批量订购多个实例，从第二个实例开始，实例名称1，第三个实例名称2。 购买量包括购买时长、购买数量、是否自动续订，最多可以批量购买50个实例。 最后阅读相关产品协议，确认协议内容，同意则勾选协议。 4. 点击【确认订单】跳转到支付页面，可以看到所需开通实例的配置信息，包括开通页面中所选则的配置信息、购买量、资源池及购买时长，确认支付费用，确认无误后点击【立即支付】。 5. 支付成功后返回订单列表页面，能看到实例状态为 “开通中”。稍等一会后，刷新页面，待实例状态显示“已完成”，创建实例成功。

本文为您介绍CTCCLSlowdetect最佳实践。 在4台A8008，每台节点有8张mlx网卡，RoCE组网，部署慢节点工具套件。其中，在4节点上容器化部署模型训练基础环境以及llama27b训练模型，在node1上容器化部署ctccm服务，并在每一台节点上容器化部署ctcclprofiler服务。 在训练任务代码中调用ctcclprofilercomm API： 在训练脚本中配置相关环境变量 启动ctccmslowdetect服务 export PATH"/usr/local/python3/bin:$PATH"（替换为自己的安装路径） && ctccm nnodes 4 port 8002 debug 启动所有节点上的ctcclprofilernet服务 启动分布式训练任务，ctccm会收到任务的逻辑拓扑 ctccm在训练中检测集群中是否存在慢节点，一旦发现慢节点则下发开始收集细粒度的监控信息的控制信号，并做慢节点定位定界。 当计算慢时，ctccm会给出计算慢的TP通信域所包含的rank。 当通信慢时，ctccm会给出慢的QP以及它所对应的网卡对和所在节点。

本章节介绍通过调用链和日志排查异常的方法 概述 在微服务架构中，上层服务收到请求后，往往会拆分成多个子请求，最后将这些子请求的处理结果进行汇总。例如，商品服务收到请求，可能会再去访问订单服务、价格服务、营销服务，最后汇总数据返回。服务发起了哪些子请求？这些子请求的耗时如何？哪个子请求报错了？错误日志是什么？都可以通过调用链和对应的应用日志来查看。 前提条件 创建应用实例时，需添加日志收集配置，相关文档，请参见++应用运维>容器应用实例>创建制品微服务++ ++，++查看应用高级配置——日志收集管理文档。 查看慢调用信息 1.左侧导航栏，选择容器应用实例 > 应用发布 > 应用实例。 2.点击应用实例，进入到应用实例详情，点击左侧应用监控导航栏，在监控概览table页展示了总请求量、平均响应时间、错误数、异常数、慢调用等信息。 3.监控概览table页面往下翻，可以看到慢调用的详细信息，展示了时间、服务名、IP、耗时、TraceId等信息。 查看慢调用日志信息 1.左侧导航栏，选择容器应用实例 > 应用发布 > 应用实例。 2.点击应用实例，进入到应用实例详情，点击左侧应用监控导航栏，在调用链查询table页，展示了调用链列表。 3.根据慢调用TraceId查询调用链信息。 4.单击查看，在详情页面展示了对应的耗时信息。

本小节介绍如何购买DDoS高防IP实例。 DDoS高防IP不支持试用。若需要使用DDoS高防IP，请参照本文订购步骤进行购买。 操作步骤 1. 使用天翼云账号登录DDoS高防IP管理控制台。 2. 单击“立即购买”进入订购页面。 3. 配置相关参数，根据需求进行购买。 参数 说明 基本信息 IP个数 默认为1个高防IP，不支持修改。 基本信息 接入方式 支持静态防护和动态防护。 静态防护：提供1个高防IP，在一个高防中心使用。 动态防护：提供1个高防IP，并且在多个高防中心使用，实现负载调度近源清洗。 基本信息 高防节点 仅“静态防护”接入方式需要选择高防节点。 当前提供了华北地区、华东地区1、华东地区2、华南地区共4个节点。 源站端口根据选择的防护节点有如下规则： 华北 1：可以选择任意端口进行转发； 华东 1：可以选择任意端口进行转发； 华东 2：可以选择任意端口进行转发； 华南 1：可以选择任意端口进行转发； 网站类业务：限定选择80、8080、8081、443、7443、8443之一。 非网站类业务：可以选择任意端口进行转发。 产品配置 业务类型 选择业务类型，支持非网站类和网站类。 网站类业务还需要填写域名个数。默认提供50个免费域名，可按需付费增加。增加步长为5个，最多支持200个域名。 产品配置 保底防护带宽 选择保底防护带宽，保底防护带宽包月计费。 注意 保底防护带宽选择100Gbps及以上时只能包年订购，支持1年~5年。 产品配置 回源业务带宽 默认赠送100Mbps回源带宽，可按需付费增加。 产品配置 端口数量 默认赠送50个端口，可按需付费增加。增加步长为5个，最多支持100个。 订购时长 可以单击加减号调整订购时长，步长为1；也可以在其中直接输入。 自动续订 支持开启“自动续订”，当服务到期前，系统会自动按照默认的续费周期生成续费订单并进行续费，无须用户手动续费。 按月购买，自动续费周期默认为1个月。 按年购买，自动续费周期默认为1年。 如需要修改自动续费周期，可进入天翼云“费用中心 > 订单管理 > 续订管理”页面，找到对应的资源进行修改。 企业/用户名称 该信息仅用于建立通知与防护功能，不做他用。 4. 在页面左下角确认配置费用后，勾选“我已阅读，理解并接受《天翼云高防IP产品服务协议》”，单击“立即订购”。 5. 进入付款页面，完成付款。

本小节介绍渗透测试的服务流程，帮助您了解服务开展过程。 渗透测试服务以人工服务为主，我们的渗透测试人员在取得您的授权后，将对目标系统进行全面的渗透测试工作，总体流程如下： 1. 客户订购与需求匹配的服务规格并下单付款。 2. 客户经理会与您取得联系，协助您完成《业务需求单》及《渗透测试授权书》的填写，您需要如实填写以下内容： 域名备案信息比对，必须为真实、合法信息。 被检测的IP主机信息。 如您为天翼云托管用户，需要提供域名清单，解析后必须为天翼云主机IP，才可提供渗透测试服务。 您所提供的应用URL描述须写明功能是什么或用途是什么。 业务接口人联系方式，您需提供一个具有对渗透测试方案及渗透测试过程中出现的问题有决定权的业务接口人联系人。 如您有安全防护设备，应在渗透测试开始阶段将渗透测试所用的公网IP加入安全防护设备白名单，避免因渗透测试工作带来的告警。（如在渗透测试开始阶段客户未将渗透测试所用的公网IP加入安全防护设备白名单，由此产生的告警及对渗透测试结果的影响，我方不承担责任。） 您需签订渗透测试授权书。 3. 我们会根据您提供的信息，与您进行沟通，编写渗透测试方案，并与您确认测试细节，双方确认无误后，将进入渗透测试环境，渗透测试工作主要包含如下步骤： 明确目标：确定渗透测试的范围，如IP、域名、内外网、整站或部分模块，确定规则，如能渗透到什么程度，是发现漏洞为止还是继续利用漏洞，确定需求，如Web应用的漏洞，业务逻辑漏洞，人员权限管理漏洞。 信息收集：在信息收集阶段要尽量收集关于项目软件的各种信息，例如，对于一个Web应用程序，要收集脚本类型、服务器类型、数据库类型以及项目所用到的框架、开源软件等。 漏洞探测：进行漏洞探测，包括手动和自动探测。 漏洞验证：对探测出的漏洞进行验证，确定其真实存在。 信息分析：对收集到的信息进行分析，尝试利用漏洞获取数据。 利用漏洞获取数据：如果能够利用漏洞获取数据，则进行数据获取。 信息整理：对获取到的数据进行整理，方便后续分析。 形成报告：根据渗透测试的实际情况，形成详细、专业的报告。 4. 形成报告后，我们会将报告发送给您，您可以根据报告内容，发现系统漏洞，及时加固完善。 以上为渗透测试的基本服务流程，如您在服务过程中有任何问题，请您与客户经理联系并反馈，我们会尽快为您处理。

参数 参数说明 插件规格 并发域名解析能力，请根据业务需求选择插件规格。 如选择“自定义qps”，CoreDNS所能提供的域名解析QPS与CPU消耗成正相关，请根据业务需求，合理调整插件实例数和容器CPU/内存配额。 实例数 选择上方插件规格后，显示插件中的实例数。 容器 选择插件规格后，显示插件容器的CPU和内存配额。 参数配置 parameterSyncStrategy：插件升级时是否配置一致性检查。 ensureConsistent：表示启用配置一致性检查，如果集群中记录的配置和实际生效配置不一致，插件将无法升级。 force：表示升级时忽略配置一致性检查。请您自行确保当前生效配置和原配置一致。插件升级完毕后，需恢复parameterSyncStrategy值为ensureConsistent，重新启用配置一致性检查。 stubdomains：存根域，您可对自定义的域名配置域名服务器，格式为一个键值对，键为DNS后缀域名，值为一个或一组DNS IP地址。 upstreamnameservers：上游域名服务器地址。 servers: coredns 1.23.1插件版本开始开放servers配置，用户可对servers做定制化配置，参见

Web应用防火墙可以拦截Web页面调用其他接口的请求数据吗？ 当Web页面调用其他接口的请求数据在WAF防护域名内时，该请求数据将经过WAF，WAF会检测并阻断该请求数据。 如果Web页面调用其他接口的请求数据不在WAF防护域名内，则该请求数据不经过WAF，WAF不会拦截该请求数据。 Web应用防火墙可以设置域名限制访问吗？ WAF不能直接通过域名限制访问。WAF支持配置黑白名单规则（即设置IP黑/白名单），阻断、仅记录或放行指定IP或IP段的访问请求。 您可以通过配置黑白名单规则，阻断、仅记录或放行域名对应的IP或IP段的访问请求。 Web应用防火墙有IPS入侵防御系统模块吗？ Web应用防火墙没有传统防火墙的IPS模块，不支持IPS入侵防御，仅支持对HTTP/HTTPS协议的入侵检测。 WAF会缓存网站数据吗？ WAF的网页防篡改功能，可以为用户提供应用层的防护，只对网站的静态网页进行缓存，当用户访问网站时返回给用户缓存的正常页面，并随机检测网页是否被篡改。 独享版WAF是否支持跨VPC防护？ WAF独享引擎不支持跨VPC防护的场景。如果WAF独享引擎实例与源站不在同一个VPC中，建议您重新申请与源站在同一VPC下的WAF独享引擎实例进行防护。 Web应用防火墙是硬防火墙还是软防火墙？ Web应用防火墙是软防火墙。 有关域名接入WAF的详细操作，请参见接入WAF。

本文主要介绍授权管理 操作场景 如果您需要对容器镜像服务进行权限管理，您需要使用统一身份认证服务IAM对操作用户配置权限，当您具有SWR Admin或者Tenant Administrator系统权限时，您就拥有了SWR的管理员权限，可以在SWR中为其他IAM用户进行授权。 说明 拥有SWR管理员权限的用户，默认拥有所有组织下的镜像管理权限，即使该用户不在组织的授权用户列表中。 如果您没有SWR的管理员权限，就需要已拥有SWR管理员权限的用户在SWR中进行授权管理，为您添加对某个镜像的权限或对某个组织中所有镜像的权限。 场景示例： 示例一：我是拥有ServiceStage Developer权限（SWR只读权限）的IAM用户，想要下载SWR管理员所创建的“group”组织下的“nginx”镜像。 示例二：我是SWR管理员，需要给公司内部员工授权一个组织的镜像上传权限。 策略：您在组织详情“用户”页签下为该员工授予“编辑”权限。 授权方法 容器镜像服务中给IAM用户添加权限有如下两种方法： 在镜像详情中添加授权： 授权完成后，IAM用户享有读取/编辑/管理该镜像的权限。 在组织中添加授权： 使IAM用户对组织内所有镜像享有读取/编辑/管理的权限。 图 用户权限 容器镜像服务中为用户添加的权限有如下三种类型： 读取：只能下载镜像，不能上传。 编辑：下载镜像、上传镜像、编辑镜像属性以及添加触发器。 管理：下载镜像、上传镜像、删除镜像或版本、编辑镜像属性、添加授权、添加触发器以及共享镜像。 说明 页面上传镜像功能要求具备组织的编辑或管理权限，在镜像详情中添加的编辑或管理权限不支持页面上传镜像。

删除MCP服务 1. 登录微服务引擎 MSE注册配置中心管理控制台，选择资源池。 2. 在左侧导航栏，选择注册配置中心 > 实例列表，选择企业版Nacos实例，单击实例ID 或者管理按钮跳转至基础信息页面。 3. 在基础信息页面，左侧菜单点击MCP管理 > MCP列表，选择命名空间。 4. 选择目标项服务，点击对应操作列中的删除按钮，即可删除MCP服务。 禁用MCP服务 1. 登录微服务引擎 MSE注册配置中心管理控制台，选择资源池。 2. 在左侧导航栏，选择注册配置中心 > 实例列表，选择企业版Nacos实例，单击实例ID 或者管理按钮跳转至基础信息页面。 3. 在基础信息页面，左侧菜单点击MCP管理 > MCP列表，选择命名空间。 4. 选择目标项服务，点击对应操作列中的禁用按钮，即可禁用MCP服务。 创建/编辑/删除MCP工具 说明 MCP工具是MCP服务的可选的一部分，工具需要依托MCP服务存在，而不能脱离服务单独存在。所有下面描述中的创建/编辑/删除MCP工具均依托于MCP服务。 1. 登录微服务引擎 MSE注册配置中心管理控制台，选择资源池。 2. 在左侧导航栏，选择注册配置中心 > 实例列表，选择企业版Nacos实例，单击实例ID 或者管理按钮跳转至基础信息页面。 3. 在基础信息页面，左侧菜单点击MCP管理 > MCP列表，选择命名空间， 然后单击创建服务或者修改服务。 创建服务： 创建服务时可以新增MCP 工具，属性包括 工具名称、工具描述、参数名称、参数类型、参数描述等信息。 编辑服务： 1. 不修改服务版本号时，只能修改工具描述和参数描述。 2. 修改服务版本号时，可以新增工具，可以修改工具描述、参数名称、参数类型、参数描述等信息，可以删除工具。 4. 修改工具后需要点击服务的保存或保存并发布按钮将修改提交成功后才能生效。

本章节介绍如何查看主机和组件日志信息。 操作步骤 1. 登录翼MR管理控制台。 2. 选择“我的集群”，选中一个运行中的集群并单击集群名称，进入集群信息页面。 3. 在“节点管理”页选中单击Master节点，选择要进入的Master节点。 4. 单击该节点右侧的“远程连接”。 5. 根据界面提示，输入节点的用户名和密码，用户名为root。 6. 进入对应组件的日志目录，查看相关日志。

本章节介绍Nacos访问鉴权 概述 MSE中Nacos引擎默认开启鉴权功能，限制未认证或者未授权的用户访问实例。本节介绍Nacos访问鉴权。 Nacos鉴权默认支持JWT认证，通过用户、密码、角色、权限共同作用来赋予用户权限。 前提条件 1. 已开通微服务引擎MSE 2. 已开通Nacos实例并且状态正常 用户管理 在控制台查看、创建、修改和删除用户。用户可以用来访问Nacos实例。 操作步骤 1. 登录微服务引擎MSE注册配置中心管理控制台，选择资源池。 2. 在左侧导航栏，选择注册配置中心 > 实例列表。 3. 在实例列表页面，单击目标实例ID、实例名称或者目标行“管理”按钮均可跳转至实例基础信息页面。 4. 选择权限控制> 用户管理页面，查看当前实例的用户列表。 5. 点击左上角创建用户，填入用户名、密码和确认密码，点击确定，即可创建。 6. 点击用户列表目标行操作列的编辑按钮，可以修改密码。 7. 点击用户列表目标行操作列的删除按钮，可以删除用户。 角色管理 在控制台查看、创建、删除角色。角色可以和用户绑定，这样用户就拥有了该角色的权限。 操作步骤 1. 进入权限控制> 角色管理页面，查看当前实例的用户列表； 2. 点击左上角添加角色，填入角色名，选择用户，即可创建； 3. 右上角输入框可以根据用户名搜索角色信息； 4. 点击角色列表目标行操作列的删除按钮，可以删除角色； 5. 点击右侧操作列“绑定用户”，可以给用户绑定该角色，通过角色的方式来赋予用户权限； 6. 点击角色列表行角色名前方的横向箭头，可以在展开的抽屉列表查看当前角色已经绑定成功的用户，并且在操作列可以删除已经绑定的用户； 权限管理 在控制台可以添加删除角色权限。角色可以和用户绑定，这样用户就实现了用户权限的控制。

策略名称 策略说明 支持的操作系统 企业版 旗舰版 网页防篡改版 容器安全 资产发现 检测系统中的软件信息，包含软件名称、软件路径、主要应用等，帮助用户识别异常资产。 Linux × √ √ √ 弱口令检测 检测系统帐户口令是否属于常用的弱口令，针对弱口令提示用户修改。 Linux √ （只支持自定义弱口令） √ √ √ 配置检测 对常见的Tomcat配置、Nginx配置、SSH登录配置进行检查，帮助用户识别不安全的配置项。 Linux × √ √ √ containerescape 对容器到宿主机的逃逸进行检测，避免出现漏洞风险。 Linux × × × √ Webshell检测 检测云服务器上Web目录中的文件，判断是否为Webshell木马文件。 Linux √ （只支持配置检测路径） √ √ √ 容器文件监控 检测违反安全策略的文件异常访问，安全运维人员可用于判断是否有黑客入侵并篡改敏感文件。 Linux × × × √ 容器进程白名单 检测违反安全策略的进程启动。 Linux × × × √ 文件保护 检测操作系统、应用程序软件和其他组件的文件，确定文件是否发生了可能遭受攻击的更改。 Linux × √ √ √ 登录安全检测 检测SSH、FTP、MySQL等帐户遭受的口令破解攻击。 如果30秒内，帐户暴力破解次数（连续输入错误密码）达到5次及以上，HSS就会拦截该源IP，禁止其再次登录，防止主机因帐户破解被入侵。 SSH类型攻击默认拦截12小时，其他类型攻击默认拦截24小时。根据帐户暴力破解告警详情，如“攻击源IP”、“攻击类型”和“拦截次数”，您能够快速识别出该源IP是否为可信IP，如果为可信IP，您可以通过手动解除拦截的方式，解除拦截的可信IP。 Linux × √ √ √ 恶意文件检测 反弹shell：实时监控用户的进程行为，及时发现进程的非法Shell连接操作产生的反弹Shell行为。 异常shell：检测系统中异常Shell的获取行为，包括对Shell文件的修改、删除、移动、复制、硬链接、访问权限变化。 Linux × √ √ √ 进程异常行为 通过对运行进程的管控，全局检测各个主机的运行信息，保障云主机的安全性。您可以建立自己的进程白名单，对于进程的非法行为、黑客入侵过程进行告警。 Linux × √ √ √ root提权 检测当前系统文件路径的root提权行为。 Linux × √ √ √ 实时进程 检测进程中高危命令的执行行为，发生高危命令执行时，触发告警。 Linux，Windows × √ √ √

参数 参数类型 说明 示例 下级对象 ListBucketResult Array of Objects 对象列表的容器。 ListBucketResult

参数 参数类型 说明 示例 下级对象 ListBucketResult Array of Objects 对象列表的容器 ListBucketResult

本节主要介绍包年/包月计费 先购买再使用的方式。这种购买方式相对于按需计费能够提供更大的折扣，对于长期使用者，推荐该方式。用户在购买时，系统会根据用户所选容器管理集群的规格对用户进行扣费。

版本功能列表 下表描述了主要功能模块在不同套餐中的支持情况。 √：表示在当前版本中支持。 ×：表示在当前版本中不支持。 分类 功能模块 描述 免费版 基础版 高级版 企业版 旗舰版 业务接入 泛域名防护 支持接入泛域名。 √ √ √ √ √ 业务接入 静态加速 支持将静态资源缓存到边缘节点，达到加速效果。 √ √ √ √ √ 业务接入 动态加速 支持动态资源采用最优链路回源。 × √ √ √ √ 业务接入 WebSockets 支持WebSockets协议 × 持久连接时长最大：300s 持久连接时长最大：300s 持久连接时长最大：300s 持久连接时长最大：300s 业务接入 quic协议 支持quic协议 × × √ √ √ 业务接入 HTTPS防护 支持HTTPS防护。 √ √ √ √ √ 业务接入 免费证书 支持申请免费证书。 × √ √ √ √ 业务接入 IPv6 访问 支持对IPv6访问流量安全检测与防护。 √ √ √ √ √ 业务接入 IPv6 外链改造 提高网站链接的IPv6支持度，解决IPv6天窗问题。 × √ √ √ √ 业务接入 IPv6支持度检测 支持检测网站IPv6链接支持度，并输出分析结果与检测报告。 1 10 20 30 40 业务接入 非标准端口防护 支持防护80、443以外的非标准端口上的业务。 × × √ √ √ 业务接入 HTTP2防护 支持防护使用HTTP/2协议的网站。 √ √ √ √ √ 业务接入 回源IP管理 为了防止攻击者获取您的源站IP直接攻击源站，您可以设置源站服务器的访问控制策略，只放行边缘云节点回源IP段的入方向流量。 × √ √ √ √ 基础安全防护 DDoS防护 主动防御网络层DDoS攻击。 防护峰值：10Gbps 防护次数：1次 防护峰值：20Gbps 防护次数：2次 防护峰值：40Gbps 防护次数：2次 防护峰值：平台级尽力防 防护次数：2 防护峰值：平台级尽力防 防护次数：不限次数 基础安全防护 自定义防护界面 支持用户自定义响应给客户端的拦截界面。 × × √ √ √ 基础安全防护 规则防护引擎 支持防护常见的Web攻击。 √，（仅支持监测） √ √ √ √ 基础安全防护 自定义规则 支持自定义web防护规则。 × 10条规则/域名 20条规则/域名 50条规则/域名 200条规则/域名 基础安全防护 AI防护引擎 智能AI识别攻击和误拦截。 × × × × √ 基础安全防护 访问控制 支持基于基础字段和高级字段进行组合，设置白名单和黑名单。 5条/域名 10条/域名 20条/域名 50条/域名 100条/域名 基础安全防护 频率控制 支持基于基础字段和高级字段进行组合，设置访问频率。 5条/域名 10条/域名 20条/域名 50条/域名 100条/域名 基础安全防护 合规性检测 支持对HTTP请求信息中的方法以及参数长度等信息进行检测。 √ √ √ √ √ 基础安全防护 CC防护 支持防护常见的CC攻击，支持阈值和永久模式。 √，（默认策略） √，（默认策略 √ √ √ 基础安全防护 0Day 漏洞虚拟补丁 自定更新0day漏洞攻击防护规则。 × √ √ √ √ 基础安全防护 扫描防护 支持常见扫描工具封禁。 × √ √ √ √ 高级安全防护 网页防篡改 支持锁定网站页面，防止源站页面内容被恶意篡改带来的影响。 × √ √ √ √ 高级安全防护 防敏感信息泄露 支持防止网站敏感信息泄露（银行卡、身份证、手机号、邮箱）。 × √ √ √ √ 高级安全防护 Cookie防护 支持Cookie加密和Cookie签名。 × × √ √ √ 高级安全防护 广告防护 实现广告防护和监测功能。 × × √ √ √ 高级安全防护 账户安全 支持防护暴力破解、批量注册。 × × √ √ √ 高级安全防护 攻击挑战 支持识别反复攻击客户端IP，并且封禁 × √ √ √ √ 高级安全防护 智能防护 基于网站访问流量深度学习，自动生成防护策略。 × × × × √ 高级安全防护 验证码 为网页、小程序开发者提供全面的人机验证，适用于登录注册、电商大促、数据保护等场景。 × × √ √ √ 高级安全防护 Bot管理 缓解大量针对网站的爬取和异常注册登录行为。 × 付费支持 付费支持 付费支持 付费支持 高级安全防护 API安全 支持对已接入WAF的API资产进行全面安全防护。 × 付费支持 付费支持 付费支持 付费支持 网站风险监测 漏洞扫描 支持远程扫描Web漏洞和按照国际权威安全机构WASC分类的25种Web应用漏洞，全面覆盖OWASP Top 10 Web应用风险。 1/域名/次/月 1/域名/次/月 2/域名/次/月 3/域名/次/月 4/域名/次/月 网站风险监测 安全事件监测 支持监测网页中挂马及黑链的恶意代码，网页是否被非法篡改 × 任务数：1/个/域名 最小监测周期：24小时 任务数：1/个/域名 最小监测周期：12小时 任务数：1/个/域名 最小监测周期：6小时 任务数：1/个/域名 最小监测周期：3小时 网站风险监测 内容安全监测 支持监测网站文字和图片是否包含涉黄、涉毒、涉政、赌博、暴恐、邪教等敏感内容。 × 文本敏感词检测任务数：1/个/域名 最小监测周期：24小时 任务数：1/个/域名 最小监测周期：12小时 任务数：1/个/域名 最小监测周期：6小时 任务数：1/个/域名 最小监测周期：3小时 网站风险监测 DNS监测 多线路远程实时监测目标站点在多种网络协议下的响应速度、可访问性等反映网站性能状况的内容 × 任务数：1/个/域名 最小监测周期：60分钟 任务数：1/个/域名 最小监测周期：30分钟 任务数：1/个/域名 最小监测周期：10分钟 任务数：1/个/域名 最小监测周期：5分钟 网站风险监测 可用性监测 支持实时监测各地主流ISP的DNS缓存服务器和用户DNS授权服务器的解析过程及结果。 × 任务数：1/个/域名 最小监测周期：60分钟 任务数：1/个/域名 最小监测周期：30分钟 任务数：1/个/域名 最小监测周期：10分钟 任务数：1/个/域名 最小监测周期：5分钟 产品服务 日志服务 提供攻击日志、业务日志的报表查询 √ √ √ √ √ 产品服务 安全报表 提供Web攻击、CC攻击报表。 15天 31天 92天 180天 180天 产品服务 监控告警 支持自定义监控告警。 √ √ √ √ √ 产品服务 安全VIP服务 提供专业安全专家主动运营服务，持续深入定制整体防护方案。 × 付费支持 付费支持 付费支持 付费支持 产品服务 态势感知大屏 提供数据大屏服务，让安全攻防状态一目了然。 × 付费支持 付费支持 付费支持 付费支持

应用场景 场景一：基于用户请求将匹配的业务流量切分到新版本 假设在当前线上环境中，您已经有一套服务Service v1对外提供7层服务，此时开发了一些新的功能，现需发布新版本Service v2服务。但又不想直接替换Service v1服务，而是希望将请求头包含 “foobar” 或者Cookie包含 “foobar” 的客户端请求转发到Service v2服务中，验证一下新版本功能是否正常，待稳定运行后，再逐步全量切到Service v2服务，平滑下线Service v1服务。示意图如下： 场景二：基于服务权重将业务流量切分到新版本 假设当前线上环境，您已经有一套服务Service v1对外提供7层服务，此时修复了一些问题，需要发布上线一个新的版本Service v2。但又不想将所有客户端流量切换到新版本Service v2中，而是希望将20%的流量灰度到Service v2，待稳定运行后，逐步全量切到Service v2，平滑下线Service v1。示意图如下： 操作步骤 场景一：基于用户请求将匹配的业务流量切分到新版本 步骤一：部署旧版本Service v1和常规Ingress 这里使用Ingress作为service v1应用服务，并且为方便观测流量切分的效果，将nginx欢迎页设置为“v1”。 1. 创建配置configmap，key为index.html，value为v1。 2. 创建nginx工作负载，配置数据卷为刚才创建的configmap；配置镜像和挂载卷，挂载容器路径为：/usr/share/nginx/html；配置访问设置，选择虚拟集群IP类型，容器端口80，服务端口30080。 3. 创建旧版本service v1的常规ingress。灰度ingress一栏选择否，在域名路径规则一栏填写域名，指定服务名称以及端口等。 4. 检查通过Ingress域名能正常访问旧版本service v1服务。 步骤二：部署新版本Service v2 这里同样使用Ingress作为service v2应用服务，并且为方便观测流量切分的效果，将nginx欢迎页设置为“v2”。 1. 创建配置configmap，key为index.html，value为v2。 2. 创建Ingress工作负载，配置数据卷为刚才创建的configmap；配置镜像和挂载卷，挂载容器路径为：/usr/share/nginx/html；配置访问设置，选择虚拟集群IP类型，容器端口80，服务端口30081。 步骤三：创建灰度ingress，在灰度发布新版本 1. 基于Header创建新版本service v2的Ingress。 2. 在灰度Ingress一栏选择是；在生产ingress一栏选择旧版本service v1的常规Ingress；在流量切换方式一栏选择灰度，基于Header的区分方式，填写Header key为foo，Header value为bar，精确匹配；在域名路径规则一栏填写域名，指定服务名称和端口等。 执行命令进行访问测试， 为Nginx Ingress对外暴露的IP：