通过代码包部署应用时，云应用引擎支持的技术栈语言和运行环境如下表，部署前需要先制作符合云应用应用引擎要求的代码包。如果以下列表不包含您使用的技术栈语言和运行环境，则需要使用镜像部署应用。 配置项 说明 示例 运行环境 目前支持Java、Python特定版本的运行环境： Java：支持 8、11、17、19 Python：支持 3.6、3.9、3.10 Go：支持1.x 如果与您的代码兼容，则可以使用代码包部署应用。 Java8 代码包 目前只支持以zip包形式上传代码包，您需要将依赖一同打包到zip包。一次部署最多只能上传一个zip包文件。 Demo.zip 代码包版本 代码包版本会作为镜像版本，可使用时间戳自动生成，也可按需指定。 1756797405250 操作指引 1. 在 应用创建 基础信息设置 页面， 应用部署方式 选择 代码包部署 ，单击右侧的 选择代码包 。 2. 在弹出的 设置代码包窗口，选择应用所属的技术栈语言以及应用所需的运行环境。 3. 上传含有应用执行程序的Zip包。 4. 设置代码包版本 ，并单击左下方的 确认 。 5. 在设置完应用基础信息后，在下一步的页面中，设置 启动命令 。 6. 单击 创建应用 。 填写效果

通过代码包部署应用时，云应用引擎支持的技术栈语言和运行环境如下表，部署前需要先制作符合云应用应用引擎要求的代码包。如果以下列表不包含您使用的技术栈语言和运行环境，则需要使用镜像部署应用。 配置项 说明 示例 运行环境 目前支持Java、Python特定版本的运行环境： Java：支持 8、11、17、19 Python：支持 3.6、3.9、3.10 Go：支持1.x 如果与您的代码兼容，则可以使用代码包部署应用。 Java8 代码包 目前只支持以zip包形式上传代码包，您需要将依赖一同打包到zip包。一次部署最多只能上传一个zip包文件。 Demo.zip 代码包版本 代码包版本会作为镜像版本，可使用时间戳自动生成，也可按需指定。 1756797405250 操作指引 1. 在应用创建 基础信息设置 页面，应用部署方式 选择代码包部署 ，单击右侧的选择代码包， 2. 在弹出的设置代码包窗口，选择应用所属的技术栈语言以及应用所需的运行环境 3. 上传含有应用执行程序的Zip包 4. 设置代码包版本 ，并单击左下方的确认 5. 在设置完应用基础信息后，在下一步的页面中，设置启动命令 6. 单击创建应用 填写效果

本节主要介绍查看参数修改历史。 操作场景 您可以查看目标参数模板和当前实例的参数修改历史，以满足业务需要。 说明 用户创建或导出的新参数模板，在未进行参数修改前，无修改历史。 查看目标参数模板的参数修改历史 1. 登录管理控制台。 2. 在服务列表中选择“数据库 > 云数据库 GeminiDB”。 3. 在“参数模板管理”页面的“自定义”页签，选择目标参数模板，单击参数模板名称。 4. 单击左侧导航栏中的“参数修改历史”，您可查看参数对应的参数名称、修改前参数值、修改后参数值、修改状态和修改时间。 图1 查看目标参数模板的参数修改历史 如果修改后参数模板未应用，请根据业务需要，参考应用参数模板，将其应用到对应实例。 查看当前实例的参数修改历史 1. 登录管理控制台。 2. 在服务列表中选择“数据库 > 云数据库 GeminiDB”。 3. 在“实例管理”页面，选择指定实例，单击实例名称，进入“基本信息”页面。 4. 单击左侧导航栏中的“参数修改”，单击“参数修改历史”，您可查看参数对应的参数名称、修改前参数值、修改后参数值、修改状态和修改时间。 图2 查看当前实例的参数修改历史

本文主要介绍弹性伸缩支持审计的关键操作 弹性伸缩（Auto Scaling，以下简称AS）是根据用户的业务需求，通过策略自动调整其业务资源的服务。您可以根据业务需求自行定义伸缩配置和伸缩策略，降低人为反复调整资源以应对业务变化和高峰压力的工作量，帮助您节约资源和人力成本。 通过云审计服务，您可以记录与弹性伸缩相关的操作事件，便于日后的查询、审计和回溯。 表 云审计服务支持的AS操作列表 操作名称 资源类型 事件名称 创建伸缩组 scalinggroup createScalingGroup 修改伸缩组 scalinggroup modifyScalingGroup 删除伸缩组 scalinggroup deleteScalingGroup 启用伸缩组 scalinggroup enableScalingGroup 停用伸缩组 scalinggroup disableScalingGroup 创建伸缩配置 scalingconfiguration createScalingConfiguration 删除伸缩配置 scalingconfiguration deleteScalingConfiguration 批量删除伸缩配置 scalingconfiguration batchDeleteScalingConfiguration 创建伸缩策略 scalingpolicy createScalingPolicy 修改伸缩策略 scalingpolicy modifyScalingPolicy 删除伸缩策略 scalingpolicy deleteScalingPolicy 启用伸缩策略 scalingpolicy enableScalingPolicy 停用伸缩策略 scalingpolicy disableScalingPolicy 执行伸缩策略 scalingpolicy executeScalingPolicy 移除伸缩组实例 scalinginstance removeInstance 批量移除实例 scalinginstance batchRemoveInstances 批量添加实例 scalinginstance batchAddInstances 批量设置实例保护 scalinginstance batchProtectInstances 批量取消实例保护 scalinginstance batchUnprotectInstances 删除标签 scalingtag deleteScalingTag 创建/更新标签 scalingtag updateScalingTag

本节主要介绍OOS数据迁移工具运行环境。 迁移工具支持部署在Windows或Linux客户端，运行环境要求如下： Windows7及以上版本或Linux CentOS 7.x及以上版本。 Java 1.8及以上版本。 迁移工具所在的服务器可以访问源云存储资源池和OOS资源池。

字段 填写说明 触发器类型 选择“云审计服务（CTS）”。 通知名称 输入您自定义的通知名称，例如：Test。 服务类型 选择“FunctionGraph”。 资源类型 所选服务下对应的资源类型，如触发器、实例、函数等。 操作名称 所选资源类型下对应的操作，如创建、删除触发器等。

名称 描述 AccessControlPolicy 响应的容器。 类型：容器。 子节点：Owner、AccessControlList。 Owner 存储Bucket所属账户信息的容器。 类型：容器。 父节点：AccessControlPolicy。 子节点：ID、DisplayName。 ID Bucket所属账户的ID信息。 类型：字符串。 父节点：Owner。 AccessControlList 存储ACL信息的容器。 类型：容器。 父节点：AccessControlPolicy。 子节点：Grant。 Grant 存储Permission和Grantee的容器。 类型：容器。 父节点：AccessControlList。 子节点：Grantee。 Grantee 用来存储Display和拥有ID的用户被承认的许可的容器。 Permission 对一个Bucket认可的许可信息。 类型：字符串。 父节点：Grant。 有效值：READ（公共读）、FULLCONTROL（公共读写）、空（私有）。

构造请求 本节介绍REST API请求的组成，以调用云主机产品的"根据regionID查询用户资源"举例说明如何调用该API。 请求示例 POST ContentType:application/json ctyuneoprequestid:0ffb9b07d5a84e19b3ce12dfb9705a1d EopAuthorization:4a4bdc57e06542199b5f98d4cd107be2 Headersctyuneoprequestid;eopdate Signatureb2WEo4nh9ewn6SWOP0ii5g8L0z9CT5gprpDWntlCX9I Eopdate:20221107T093029Z 请求URI {URIscheme}://{Endpoint}/{resourcepath}?{querystring} 参数 描述 URIscheme 表示用于传输请求的协议，当前所有API均采用HTTPS协议 Endpoint 指定承载REST服务端点的服务器域名或IP，不同服务不同区域的Endpoint不同，您可以从地区和终端节点获取。例如云主机产品服务在某个区域的Endpoint为“ctecsxxx.ctapi.ctyun.cn” resourcepath 资源路径，即API访问路径。从具体API的URI模块获取，例如"根据regionID查询用户资源"API的resourcepath为“/v4/region/customerResources” querystring 查询参数，是可选部分，并不是每个API都有查询参数。查询参数前面需要带一个“?”，形式为“参数名参数取值”，例如“?limit10”，表示查询不超过10条数据 示例： 云主机根据regionID查询用户资源，则需使用云主机产品在对应区域的Endpoint（ctecsxxx.ctapi.ctyun.cn），并在"根据regionID查询用户资源"的URI部分找到resourcepath（/v4/region/customerResources），拼接起来如下所示。 < 说明： 为方便查看，在每个具体API的URI部分，只给出resourcepath部分，并将请求方法写在一起。这是因为URIscheme都是HTTPS，而Endpoint在同一个区域也相同，所以简洁起见将这两部分省略。 {resourcepath}资源路径，使用编码的规范URI示例： 前： /v4/region/customerResources api/code 后： /v4/region/customerResources%20api/code 说明： 资源路径{resourcepath}是从HTTP Host结束到查询字符串参数（如果有）的问号字符（“?”）中间的部分。 需要根据RFC 3986标准化URI路径规范移除冗余和相对路径部分。路径中每个部分都必须进行URI编码。 {querystring}查询参数，使用规范查询字符串示例： 前： prodInstId11&startTime20210404T06:01:46Z 后： prodInstId11&startTime20210404T06%3A01%3A46Z 说明： {querystring}为键值对，使用等号字符()拼接。值需进行URI编码，同样需要满足RFC 3986关于URL编码规范的定义要求。键则不需要。对没有值的参数使用空字符串。 在每个参数值后追加与字符(&)，列表中最后一个值除外。 使用 %XY 对所有其他字符进行百分比编码，其中“X”和“Y”为十六进制字符（09和大写字母AF）。例如，空格字符必须编码为 %20（不像某些编码方案那样使用“+”)，扩展UTF8字符必须采用格式 %XY%ZA%BC。 RFC 3986规范的具体要求： 字符AZ、az、09 以及字符、、.、不编码。 对其它ASCII码字符进行编码。编码格式为%加上16进制的ASCII码。例如半角双引号（"）将被编码为%22。空格编码成%20，而不是加号（+）。 非ASCII码通过UTF8编码。

构造请求 本节介绍REST API请求的组成，以调用云主机产品的"根据regionID查询用户资源"举例说明如何调用该API。 请求示例 POST ContentType:application/json ctyuneoprequestid:0ffb9b07d5a84e19b3ce12dfb9705a1d EopAuthorization:4a4bdc57e06542199b5f98d4cd107be2 Headersctyuneoprequestid;eopdate Signatureb2WEo4nh9ewn6SWOP0ii5g8L0z9CT5gprpDWntlCX9I Eopdate:20221107T093029Z 请求URI {URIscheme}://{Endpoint}/{resourcepath}?{querystring} 参数 描述 URIscheme 表示用于传输请求的协议，当前所有API均采用HTTPS协议 Endpoint 指定承载REST服务端点的服务器域名或IP，不同服务不同区域的Endpoint不同，您可以从地区和终端节点获取。例如云主机产品服务在某个区域的Endpoint为“ctecsxxx.ctapi.ctyun.cn” resourcepath 资源路径，即API访问路径。从具体API的URI模块获取，例如"根据regionID查询用户资源"API的resourcepath为“/v4/region/customerResources” querystring 查询参数，是可选部分，并不是每个API都有查询参数。查询参数前面需要带一个“?”，形式为“参数名参数取值”，例如“?limit10”，表示查询不超过10条数据 示例： 云主机根据regionID查询用户资源，则需使用云主机产品在对应区域的Endpoint（ctecsxxx.ctapi.ctyun.cn），并在"根据regionID查询用户资源"的URI部分找到resourcepath（/v4/region/customerResources），拼接起来如下所示。 < 说明： 为方便查看，在每个具体API的URI部分，只给出resourcepath部分，并将请求方法写在一起。这是因为URIscheme都是HTTPS，而Endpoint在同一个区域也相同，所以简洁起见将这两部分省略。 {resourcepath}资源路径，使用编码的规范URI示例： 前： /v4/region/customerResources api/code 后： /v4/region/customerResources%20api/code 说明： 资源路径{resourcepath}是从HTTP Host结束到查询字符串参数（如果有）的问号字符（“?”）中间的部分。 需要根据RFC 3986标准化URI路径规范移除冗余和相对路径部分。路径中每个部分都必须进行URI编码。 {querystring}查询参数，使用规范查询字符串示例： 前： prodInstId11&startTime20210404T06:01:46Z 后： prodInstId11&startTime20210404T06%3A01%3A46Z 说明： {querystring}为键值对，使用等号字符()拼接。值需进行URI编码，同样需要满足RFC 3986关于URL编码规范的定义要求。键则不需要。对没有值的参数使用空字符串。 在每个参数值后追加与字符(&)，列表中最后一个值除外。 使用 %XY 对所有其他字符进行百分比编码，其中“X”和“Y”为十六进制字符（09和大写字母AF）。例如，空格字符必须编码为 %20（不像某些编码方案那样使用“+”)，扩展UTF8字符必须采用格式 %XY%ZA%BC。 RFC 3986规范的具体要求： 字符AZ、az、09 以及字符、、.、不编码。 对其它ASCII码字符进行编码。编码格式为%加上16进制的ASCII码。例如半角双引号（"）将被编码为%22。空格编码成%20，而不是加号（+）。 非ASCII码通过UTF8编码。

产品优势 在边缘节点就近响应用户请求，大大减少了回源带来的网络时延。 采用WebAssembly技术，将函数冷启动优化到5微秒，把对网络时延的影响降到最低。 相对于传统的容器技术，无需预留实例资源。 按照用户实际的使用量计费，并且精确到请求调用次数。对比传统的云虚拟机，提供了更大的资源利用率和更低的成本。 当业务流量突增时，边缘函数全网快速调度，弹性伸缩，支持全网上百万QPS的超高并发。 企业研发人员使用边缘函数部署业务时，无需关注部署地区，无需进行资源规划，彻底免去底层机器的运维和管理，释放人力成本。 核心功能 我们提供了易上手的开发者工具，丰富的编程语言生态，符合W3C标准的Service Worker API、Streams API、Web Crypto。 从而帮助企业网站在边缘节点上完成自定义鉴权、访问控制、内容改写、内容生成以及AB测试。 对比传统CDN处理流程，开发者平台在边缘节点直接处理客户的动态请求，大大减少了回源次数，分担了中心源站的计算压力。 相关术语 无服务器 Serverless 无服务器是一种云原生开发模型，可使开发人员专注构建和运行应用，而无需管理服务器。无服务器方案中仍然有服务器，但它们已从应用开发中抽离了出来。云提供商负责置备、维护和扩展服务器基础架构等例行工作。开发人员可以简单地将代码打包到容器中进行部署。部署之后，无服务器应用即可响应需求，并根据需要自动扩容。公共云提供商的无服务器产品通常通过一种事件驱动执行模型来按需计量。因此，当无服务器功能闲置时，不会产生费用。 函数即服务 FaaS 函数即服务（FaaS：Function as a service）是一种事件驱动计算执行模型。开发人员编写代码逻辑，部署到完全由平台管理的函数运行时中，然后按需执行。与BaaS不同，FaaS可让开发人员拥有更大的掌控权力，他们可以创建自定义应用，而不依赖于包含预编写服务的库。 代码则部署到全站加速平台管理的容器运行时中。具体而言，这些函数运行时具有以下特点： 无状态 让数据集成变得更加简单。 运行周期短 可以只运行非常短的时间。 事件触发 可在需要时自动运行。 这样，您只用为所需的计算能力付费，而不必管"闲置"的应用和服务器。 使用FaaS时，开发人员可以通过触发器调用无服务器应用。 触发器 用户绑定触发器和对应函数，来实现多种调用效果。目前支持HTTP触发器。 HTTP 路由 用户绑定HTTP触发器和对应函数后，访问全站加速服务中托管域名的特定路由，即可在边缘节点调用起对应函数计算逻辑。 运行时 用于在边缘节点运行用户自定义函数的安全隔离环境。函数运行时所支持的编程语言，目前支持JavaScript。 开发者工具 开发人员使用命令行工具，在本地完成函数编写，构建，灰度上线。

修改性能参数 若干参数相关说明如下： “innodbspinwaitdelay”和“queryallocblocksize”依赖于实例的规格，设置过大时，可能会影响数据库的使用。 “maxconnections”参数值设置较小，将影响数据库访问。 “innodbbufferpoolsize”、“maxconnections”和“backlog”参数依赖于实例的规格，实例规格不同对应其默认值也不同。因此，这些参数在用户未设置前显示为“default”。 “innodbiocapacitymax”、“innodbiocapacity”参数依赖于磁盘类型，用户未设置前显示为“default”。 参数修改限制 “innodbadaptivehashindex”和“innodbbufferpoolsize”参数同时修改时，“innodbadaptivehashindex”的值由“OFF”改为“ON”会失败。 “innodbbufferpoolsize”参数值必须是“innodbbufferpoolinstances”和“innodbbufferpoolchunksize”参数值乘积的整数倍。 “innodbbufferpoolinstances”参数值设置为“2”时，“innodbbufferpoolsize”值必须大于等于1GB。 “maxpreparedstmtcount”：对于MySQL 8.0版本，如果内核版本低于8.0.18，参数取值上限为1048576，超过会修改失败。 RDS支持的最大IOPS是多少 关系型数据库服务支持的IOPS取决于云硬盘（Elastic Volume Service，简称EVS）的IO性能，具体请参见《云硬盘产品介绍》中“磁盘类型及功能特性”的内容。 如何提高RDS数据库的查询速度 可以参考如下建议： 如果产生了慢日志，可以通过查看慢日志来确定是否存在运行缓慢的SQL查询，以及各个查询的性能特征，从而定位查询运行缓慢的原因。 查看云数据库RDS实例的CPU使用率指标，协助定位问题。 可以创建只读实例专门负责查询，减轻主实例负载，分担数据库压力。 如果是实例规格较小但负载过高，您可以提高CPU/内存规格。 多表关联查询时，关联字段要加上索引。 可以指定字段或者添加where条件进行查询，避免用select语句进行全表扫描。

工具 对象URL 管理控制台 单击对象的【详情】，进入对象详情页，从对象详情中的URL选择复制文件URL，来获取到对象URL访问路径。注意：从控制台拷贝的私有对象URL，其访问有效期限为24小时。 XstorBrowser 右键点击对象，从对象属性中copy获取到对象URL访问路径或者直接选择复制链接。 SDK 媒体存储SDK提供预签名接口可以生成预签名URL。通过预签名URL，移动端APP可以直接上传或者下载文件，具体可参考： API 只支持公共读权限的桶和对象，请参照上面的对象拼接访问方式。

本节为您介绍如何卸载集群Agent。 如果不再需要HSS为您的集群容器提供安全防护，您可以为集群卸载Agent。Agent卸载后，HSS将停止对容器的检测和防护，且已检测到的告警、漏洞信息等数据都将被删除。 CCE集群卸载Agent 1、登录管理控制台。 2、在页面左上角选择“区域”，选择“容器服务 > 云容器引擎”，进入云容器引擎界面。 3、单击目标集群名称，进入集群详情页。 4、在左侧导航栏，选择“工作负载”，进入“工作负载”界面。 5、选择“守护进程集”页签，删除名称为“installagentds”的工作负载。在工作负载所在行的操作列，选择“更多 > 删除”，删除该工作负载。 6、在左侧导航栏，选择“安装与配置”，进入“安装与配置”界面。 7、 选择“Agent管理”页签，卸载目标CCE集群所有容器节点服务器的Agent。 自建集群卸载Agent 1、登录k8s集群环境。 2、执行以下命令删除名称为“installagentds”的工作负载。 kubectl delete ds installagentds n default 3、登录管理控制台。 4、在左侧导航栏，选择“安装与配置”，进入“安装与配置”界面。 5、选择“Agent管理”页签，卸载目标自建集群所有容器节点服务器的Agent。

本节介绍态势感知的应用场景。 资产风险管理 云上业务众多，云上资产日益庞大，以及云资产的变化频繁，大大增加了云上安全风险。 态势感知集中呈现云上所有资产安全状况，实时监控云上业务整体安全，让服务器中的漏洞、威胁和攻击情况一目了然，保障所有资产的安全，帮助企业轻松应对资产安全风险。 威胁事件告警 面对云上各类安全威胁，以及不断涌出的新型威胁类型，态势感知通过汇集全网流量数据和安全防护设备日志信息，能够实时检测和监控云上安全风险，实时呈现告警事件的统计信息，并可对各种威胁事件进行汇聚统计。 此外，针对常见的暴力破解、Web攻击、僵尸主机威胁事件，可预制的安全防护策略有效防御威胁风险，提升运维效率。 风险配置管理 支持检测云服务关键配置项，通过执行扫描任务，检查云服务基线配置风险状态，分类呈现云服务配置检测结果，告警提示存在安全隐患的配置，并提供相应配置加固建议和帮助指导。

全流量分析服务内容有哪些？ 全流量分析服务通过对已接入托管检测与响应服务的云主机流量进行全面分析，人工验证病毒木马、APT攻击等安全事件，分析研判事件真实性，发现隐藏威胁，综合资产属性，制定有效的加固策略，提高托管服务价值。

本文主要介绍如何如何查看与升级插件版本。 1. 登录云容器引擎控制台，在左侧导航栏中选择“集群”并选择一个可用的集群。 2. 在左侧二级导航栏中选择“插件”“插件实例”。 3. 在插件实例列表中，“ctglogoperator”即为日志采集插件，可查看该插件的采集器版本 4. 若采集器版本过低，则点击“重新安装”按钮即可进行升级。

操作步骤 如需进行Redis到GeminiDB Redis的迁移，您可以在管理控制台右上角，选择“工单 > 新建工单”，联系技术支持进行处理。 迁移性能参考 环境：源端LevelDB和leveldbport部署在4U16GB的弹性云服务器上，目标端为2U8GB，3节点的GeminiDB Redis实例。 全量迁移：预置10GB数据，迁移速度约8MB/s。 增量迁移：设置value值大小为1KB，迁移速度约为7000qps。

本文介绍云容器引擎的续订处理。 续订支持以月为单位续订，也支持以年为单位续订，用户最多可续订11个月或1年的集群。 操作步骤 1.点击导航栏【资源管理】>【集群管理】，进入集群管理列表界面； 2.找到想要退订的集群列，点击【更多】>【续订】，进入集群续订界面； 3.依照页面提示，选择续订时长，并支付订单，实现集群续订。

步骤四：配置域名CNAME解析 1. 域名配置完成，生成域名CNAME，域名状态变更为【已启用】，即可以在【域名列表】进行对应防护域名配置的【查看/编辑/停用】等操作。 2. 获得域名CNAME后，需要将指定域名的DNS解析指向我们提供的CNAME，以确保访问请求能够转发到边缘云清洗节点上，操作步骤参考配置CNAME。

本章节主要介绍云搜索服务（ES）的资源池部署情况。 目前已在：苏州、广州4、上海4、福州、北京2、华北、西安2、长沙2、成都3、杭州、武汉2、芜湖、贵州、南昌、石家庄、重庆、兰州、郑州、乌鲁木齐、深圳等资源池开通，更多资源池规划部署中。 因用户权限不同，实际可选资源池请以控制台实际可见区域为准，如有疑问请咨询您的客户经理。

此小节介绍云堡垒机操作日志检索。 操作日志里admin可查看所有用户在页面上的操作的详细记录，其他有授权用户可查看到授权的账号数据角色的操作记录。 1.管理员登录并切换至“审计角色”，打开 “系统日志 > 操作日志审计” 2.单击“操作”列的“详情”可查看该条记录的详细信息。

在云容器引擎中安装Ingress APISIX 自主安装apisix、apisixingresscontroller和Dashboard组件。具体安装步骤可参考：Apache APISIX Helm Chart 参考安装。 对appa进行网络配置 针对入口应用appa，分别为基线版本和灰度版本配置两个K8s Service，用于Ingress APISIX转发流量。 1. 登录云容器引擎，选择左侧菜单“集群”，再点进目标集群。 2. 在集群管理页面，点击网络>服务。 3. 选择命名空间，点击“新增YAML”，依次创建下面两个YAML资源。 appabaseservice对应appa应用的基线版本： apiVersion: "v1" kind: "Service" metadata: name: "appabaseservice" namespace: "default" spec: ports: name: "http" port: 26160 protocol: "TCP" targetPort: 26160 selector: name: "appa" appabaseservice对应appa应用的基线版本： apiVersion: "v1" kind: "Service" metadata: name: "appagrayservice" namespace: "default" spec: ports: name: "http" port: 26160 protocol: "TCP" targetPort: 26160 selector: name: "appagray" 4. 登录APISIX控制台，点击“上游”，在上游管理页面中点击创建，分别为appa和appagray配置上游服务，配置详情如下： appa： appagray：

Apache Dubbo官方发布了CVE201917564漏洞通告，漏洞等级中危，Web应用防火墙提供了对该漏洞的防护。本章节介绍Apache Dubbo反序列化漏洞的最佳实践。 漏洞介绍 CVE201917564漏洞等级为中危。当用户选择HTTP协议进行通信时，攻击者可以通过发送POST请求的时候来执行一个反序列化的操作，由于没有任何安全校验，该漏洞可以造成反序列化执行任意代码。 影响的版本范围 漏洞影响的Apache Dubbo产品版本包括： 2.7.0～2.7.4、2.6.0～2.6.7、2.5.x的所有版本。 安全版本 Apache Dubbo 2.7.5版本。 解决方案 建议您将Apache Dubbo升级到2.7.5版本。 如果您无法快速升级版本，或者希望防护更多其他漏洞，可以使用天翼云Web应用防火墙对该漏洞进行防护，请参照以下步骤进行防护： 步骤 1 申请WAF独享引擎。 步骤 2 将网站域名添加到WAF中并完成域名接入，详细操作请参见网站接入WAF。 步骤 3 将Web基础防护的状态设置为“拦截”模式，详细操作请参见配置Web基础防护规则。

此小节介绍云堡垒机访认证设置。 管理员登录并切换管理角色，打开系统管理 > 认证设置，该配置为全局认证策略，默认配置“静态认证”“令牌认证”，应用于所有账号，为空的情况下默认为静态认证方式。 全局避险 开启全局避险开关以后，所有账号都可以使用静态认证方式登录。

用户组 用户组是用户的集合，IAM通过用户组功能实现用户的授权。您创建的IAM用户，需要加入特定用户组后，才具备对应的权限，否则IAM用户无法访问您帐号中的任何资源或者云服务。当某个用户加入多个用户组时，此用户同时拥多个用户组的权限，即多个用户组权限的全集。 “admin”为系统缺省提供的用户组，具有所有云服务资源的操作权限。将IAM用户加入该用户组后，IAM用户可以操作并使用所有云资源，包括但不仅限于创建用户组及用户、修改用户组权限、管理资源等。 图 用户组与用户 权限 如果您仅授予IAM用户ECS的权限，则该IAM用户除了ECS，不能访问其他任何服务，如果尝试访问其他服务，系统将会提示没有权限。 图 系统提示没有权限 权限根据授权的精细程度，分为策略和角色。 角色：角色是IAM早期提供的一种粗粒度的授权能力，当前有部分云服务不支持基于角色的授权。角色不能全部满足用户对精细化授权的要求。 策略：策略是IAM提供的最新细粒度授权能力，可以精确到具体操作、条件等。使用基于策略的授权是一种更加灵活地授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对ECS服务，管理员能够控制IAM用户仅能对某一类云主机资源进行指定的管理操作。 策略包含系统策略和自定义策略。 云服务在IAM预置了常用授权项，称为 系统策略 。管理员给用户组授权时，可以直接使用这些系统策略，系统策略只能使用，不能修改。如果管理员在IAM控制台给用户组或者委托授权时，无法找到特定服务的系统策略，原因是该服务暂时不支持IAM。 如果系统策略无法满足授权要求，管理员可以根据各服务支持的授权项，创建 自定义策略 ，并通过给用户组授予自定义策略来进行精细的访问控制，自定义策略是对系统策略的扩展和补充。目前支持可视化视图、JSON视图进行自定义策略配置。 图 权限策略示例

编辑解决方案 在解决方案目录中，右键单击解决方案名称，选择“编辑”，修改名称和作业。 导出解决方案 在解决方案目录中，右键单击解决方案名称，选择“导出”，导出zip格式的解决方案文件至本地。 导入解决方案 导入解决方案功能依赖于OBS服务，如无OBS服务，可从本地导入。 在解决方案目录中，右键单击根目录“解决方案”，选择“导入解决方案”，导入已上传到OBS或者本地的解决方案文件。 说明 在硬锁策略下，如果锁在其他人手中，重名策略选择了覆盖，则会覆盖失败。软硬锁策略请参考 升级解决方案 在解决方案目录中，右键单击解决方案名称，选择“升级”，导入已上传到OBS中的解决方案文件。升级解决方案时，会停止其中正在运行的作业，系统将依据用户配置的升级重启策略，判断是否在升级完成后重新启动作业。 删除解决方案 在解决方案目录中，右键单击解决方案名称，选择“删除”，删除解决方案。删除的解决方案不可恢复，请谨慎操作。

构造请求 本节介绍REST API请求的组成，以调用云主机产品的"根据regionID查询用户资源"举例说明如何调用该API。 请求示例 POST ContentType:application/json ctyuneoprequestid:0ffb9b07d5a84e19b3ce12dfb9705a1d EopAuthorization:4a4bdc57e06542199b5f98d4cd107be2 Headersctyuneoprequestid;eopdate Signatureb2WEo4nh9ewn6SWOP0ii5g8L0z9CT5gprpDWntlCX9I Eopdate:20221107T093029Z 请求URI {URIscheme}://{Endpoint}/{resourcepath}?{querystring} 参数 描述 URIscheme 表示用于传输请求的协议，当前所有API均采用HTTPS协议 Endpoint 指定承载REST服务端点的服务器域名或IP，不同服务不同区域的Endpoint不同，您可以从地区和终端节点获取。例如云主机产品服务在某个区域的Endpoint为“ctecsxxx.ctapi.ctyun.cn” resourcepath 资源路径，即API访问路径。从具体API的URI模块获取，例如"根据regionID查询用户资源"API的resourcepath为“/v4/region/customerResources” querystring 查询参数，是可选部分，并不是每个API都有查询参数。查询参数前面需要带一个“?”，形式为“参数名参数取值”，例如“?limit10”，表示查询不超过10条数据 示例： 云主机根据regionID查询用户资源，则需使用云主机产品在对应区域的Endpoint（ctecsxxx.ctapi.ctyun.cn），并在"根据regionID查询用户资源"的URI部分找到resourcepath（/v4/region/customerResources），拼接起来如下所示。 < 说明： 为方便查看，在每个具体API的URI部分，只给出resourcepath部分，并将请求方法写在一起。这是因为URIscheme都是HTTPS，而Endpoint在同一个区域也相同，所以简洁起见将这两部分省略。 {resourcepath}资源路径，使用编码的规范URI示例： 前： /v4/region/customerResources api/code 后： /v4/region/customerResources%20api/code 说明： 资源路径{resourcepath}是从HTTP Host结束到查询字符串参数（如果有）的问号字符（“?”）中间的部分。 需要根据RFC 3986标准化URI路径规范移除冗余和相对路径部分。路径中每个部分都必须进行URI编码。 {querystring}查询参数，使用规范查询字符串示例： 前： prodInstId11&startTime20210404T06:01:46Z 后： prodInstId11&startTime20210404T06%3A01%3A46Z 说明： {querystring}为键值对，使用等号字符()拼接。值需进行URI编码，同样需要满足RFC 3986关于URL编码规范的定义要求。键则不需要。对没有值的参数使用空字符串。 在每个参数值后追加与字符(&)，列表中最后一个值除外。 使用 %XY 对所有其他字符进行百分比编码，其中“X”和“Y”为十六进制字符（09和大写字母AF）。例如，空格字符必须编码为 %20（不像某些编码方案那样使用“+”)，扩展UTF8字符必须采用格式 %XY%ZA%BC。 RFC 3986规范的具体要求： 字符AZ、az、09 以及字符、、.、不编码。 对其它ASCII码字符进行编码。编码格式为%加上16进制的ASCII码。例如半角双引号（"）将被编码为%22。空格编码成%20，而不是加号（+）。 非ASCII码通过UTF8编码。

构造请求 本节介绍REST API请求的组成，以调用云主机产品的"根据regionID查询用户资源"举例说明如何调用该API。 请求示例 POST ContentType:application/json ctyuneoprequestid:0ffb9b07d5a84e19b3ce12dfb9705a1d EopAuthorization:4a4bdc57e06542199b5f98d4cd107be2 Headersctyuneoprequestid;eopdate Signatureb2WEo4nh9ewn6SWOP0ii5g8L0z9CT5gprpDWntlCX9I Eopdate:20221107T093029Z 请求URI {URIscheme}://{Endpoint}/{resourcepath}?{querystring} 参数 描述 URIscheme 表示用于传输请求的协议，当前所有API均采用HTTPS协议 Endpoint 指定承载REST服务端点的服务器域名或IP，不同服务不同区域的Endpoint不同，您可以从地区和终端节点获取。例如云主机产品服务在某个区域的Endpoint为“ctecsxxx.ctapi.ctyun.cn” resourcepath 资源路径，即API访问路径。从具体API的URI模块获取，例如"根据regionID查询用户资源"API的resourcepath为“/v4/region/customerResources” querystring 查询参数，是可选部分，并不是每个API都有查询参数。查询参数前面需要带一个“?”，形式为“参数名参数取值”，例如“?limit10”，表示查询不超过10条数据 示例： 云主机根据regionID查询用户资源，则需使用云主机产品在对应区域的Endpoint（ctecsxxx.ctapi.ctyun.cn），并在"根据regionID查询用户资源"的URI部分找到resourcepath（/v4/region/customerResources），拼接起来如下所示。 < 说明： 为方便查看，在每个具体API的URI部分，只给出resourcepath部分，并将请求方法写在一起。这是因为URIscheme都是HTTPS，而Endpoint在同一个区域也相同，所以简洁起见将这两部分省略。 {resourcepath}资源路径，使用编码的规范URI示例： 前： /v4/region/customerResources api/code 后： /v4/region/customerResources%20api/code 说明： 资源路径{resourcepath}是从HTTP Host结束到查询字符串参数（如果有）的问号字符（“?”）中间的部分。 需要根据RFC 3986标准化URI路径规范移除冗余和相对路径部分。路径中每个部分都必须进行URI编码。 {querystring}查询参数，使用规范查询字符串示例： 前： prodInstId11&startTime20210404T06:01:46Z 后： prodInstId11&startTime20210404T06%3A01%3A46Z 说明： {querystring}为键值对，使用等号字符()拼接。值需进行URI编码，同样需要满足RFC 3986关于URL编码规范的定义要求。键则不需要。对没有值的参数使用空字符串。 在每个参数值后追加与字符(&)，列表中最后一个值除外。 使用 %XY 对所有其他字符进行百分比编码，其中“X”和“Y”为十六进制字符（09和大写字母AF）。例如，空格字符必须编码为 %20（不像某些编码方案那样使用“+”)，扩展UTF8字符必须采用格式 %XY%ZA%BC。 RFC 3986规范的具体要求： 字符AZ、az、09 以及字符、、.、不编码。 对其它ASCII码字符进行编码。编码格式为%加上16进制的ASCII码。例如半角双引号（"）将被编码为%22。空格编码成%20，而不是加号（+）。 非ASCII码通过UTF8编码。

本章介绍函数工作流的基本使用流程。 函数工作流FunctionGraph是一项基于事件驱动的函数托管计算服务。使用FunctionGraph函数，只需编写业务函数代码并设置运行的条件，无需配置和管理服务器等基础设施，函数以弹性、免运维、高可靠的方式运行。 函数使用流程 函数使用流程如下图所示。 1. 用户编写业务程序代码，打包上传至FunctionGraph函数，添加事件源（如SMN、OBS和APIG等），完成应用程序构建部署。 2. 通过RESTful API或者云产品事件源触发函数，生成函数实例，实现业务功能，函数在运行过程中的资源调度由FunctionGraph来管理。 3. 用户可以查看函数运行日志和监控信息，按照代码运行情况收费，代码未运行时不产生费用。 1. 编写代码：用户编写代码，目前支持Node.js、Python、Java、Go等语言。 2. 上传代码：目前支持在线编辑、上传ZIP或JAR包，从OBS引用ZIP包等。 3. API和云产品事件源触发函数执行：通过API和云产品事件源触发函数执行。 4. 弹性执行：函数在执行过程中，会根据请求量弹性扩容，支持请求峰值的执行，此过程用户无需配置，由FunctionGraph完成。 5. 查看日志：FunctionGraph函数实现了与云日志服务的对接，您无需配置，即可查看函数运行日志信息。 6. 查看监控：FunctionGraph函数实现了与云监控服务的对接，您无需配置，即可查看图形化监控信息。 7. 计费方式：函数执行结束后，根据函数请求执行次数和执行时间计费。

参数 参数类型 是否必填 说明 示例 clientToken String 是 客户端存根，用于保证订单幂等性。要求单个云平台账户内唯一 79fa97e3c48bxxxx9f466a13d8163678 regionID String 是 资源池ID 81f7728662dd11ec810800155d307d5b endpointServiceID String 是 终端节点服务ID endpser9hzaohgug8 email String 是 账户邮箱 test@test.com

参数 参数类型 是否必填 说明 示例 clientToken String 是 客户端存根，用于保证订单幂等性。要求单个云平台账户内唯一 79fa97e3c48bxxxx9f466a13d8163678 regionID String 是 资源池ID 81f7728662dd11ec810800155d307d5b endpointServiceID String 是 终端节点服务ID endpser9hzaohgug8 email String 是 账户邮箱 test@test.com

场景说明 云原生容器引擎、FaaS函数计算引擎、智算平台根据波峰波谷按需启动ECI实例来满足用户降本增效提速的需求。 能够实现 多种计算引擎统一调度：提供 Pod级别的运行底座支撑不同计算引擎调度。 快速弹性扩缩 ：满足用户流量波峰波谷的资源快速扩缩。