本章介绍天翼云关系型数据库到期策略和欠费场景。 服务到期 “按需计费”实例，没有到期的概念。 “包年/包月”实例到期后无法在数据库管理控制台进行该实例的操作，相关接口也无法调用，自动化监控或告警等运维也会停止。如果在冻结期结束时您没有续费，实例将终止服务，系统中的数据也将被永久删除。 欠费 “包年/包月”实例，没有欠费的概念。 “按需计费”实例是按每小时扣费，当余额不足，无法对上一个小时的费用进行扣费，就会导致实例欠费。您续费后解冻实例，可继续正常使用，请注意在保留期进行的续费，是以原到期时间作为生效时间，您应当支付从进入保留期开始到续费时的服务费用。

本章介绍天翼云关系型数据库的备份计费策略有哪些。 （1）数据库在使用期间提供了部分免费存储空间用于存放备份数据，其容量为购买容量的100%，备份存储用量超过数据库存储容量空间的100%后，开始按对象存储价格按需计费。 （2）免费的存储空间是在收取了数据盘的存储空间费用后赠送的，由于数据盘存储空间冻结以后不再收费，因此不再享受备份赠送空间。 用户实例冻结后，将没有免费的存储空间，会导致实例原有自动备份收费，直到实例删除后，自动备份随之删除（手动备份需要在控制台手动删除，否则不会删除）。 如果选择解冻实例，将恢复免费的存储空间。 如果直接删除冻结的实例，原有的自动备份将会同时被删除，备份空间不会继续针对自动备份收费。

场景描述 云审计服务能够为您提供云服务资源的操作记录，记录的信息包括发起操作的用户身份、IP地址、具体的操作内容的信息，以及操作返回的响应信息。根据这些操作记录，您可以很方便地实现安全审计、问题跟踪、资源定位，帮助您更好地规划和利用已有资源、甄别违规或高危操作。 什么是事件 事件即云审计服务追踪并保存的云服务资源的操作日志，操作包括用户对云服务资源新增、修改、删除等操作。您可以通过“事件”了解到谁在什么时间对系统哪些资源做了什么操作。 约束与限制 用户通过云审计控制台只能查询最近7天的操作记录，过期自动删除，不支持人工删除。如果需要查询超过7天的操作记录，您必须配置转储到对象存储服务（OBS）或云日志服务（LTS），才可在OBS桶或LTS日志组里面查看历史事件信息。否则，您将无法追溯7天以前的操作记录。 用户对云服务资源做出创建、修改、删除等操作后，1分钟内可以通过云审计控制台查询管理类事件操作记录，5分钟后才可通过云审计控制台查询数据类事件操作记录。 CTS新版事件列表不显示数据类审计事件，您需要在旧版事件列表查看数据类审计事件。 在CTS新版事件列表查看审计事件 1. 登录控制台，选择“管理与部署 > 云审计服务”，进入云审计服务页面。 2. 单击左侧导航栏的“事件列表”，进入事件列表信息页面。 3. 在列表上方，可以通过筛选时间范围，查询最近1小时、最近1天、最近1周的操作事件，也可以自定义最近7天内任意时间段的操作事件。 4. 事件列表支持通过高级搜索来查询对应的操作事件，您可以在筛选器组合一个或多个筛选条件。 5. 参数名称 说明 事件名称 操作事件的名称。 输入的值区分大小写，需全字符匹配，不支持模糊匹配模式。 各个云服务支持审计的操作事件的名称请参见《云审计服务用户指南》的“支持审计的服务及操作列表”章节。 示例：updateAlarm 云服务 云服务的名称缩写。 输入的值区分大小写，需全字符匹配，不支持模糊匹配模式。 示例：IAM 资源名称 操作事件涉及的云资源名称。 输入的值区分大小写，需全字符匹配，不支持模糊匹配模式。 当该事件所涉及的云资源无资源名称或对应的API接口操作不涉及资源名称参数时，该字段为空。 示例：ecsname 资源ID 操作事件涉及的云资源ID。 输入的值区分大小写，需全字符匹配，不支持模糊匹配模式。 当该资源类型无资源ID或资源创建失败时，该字段为空。 示例：{虚拟机ID} 事件ID 操作事件日志上报到CTS后，查看事件中的traceid参数值。 输入的值需全字符匹配，不支持模糊匹配模式。 示例：01d18a1b56ee11f0ac811e229 资源类型 操作事件涉及的资源类型。 输入的值区分大小写，需全字符匹配，不支持模糊匹配模式。 各个云服务的资源类型请参见《云审计服务用户指南》的“支持审计的服务及操作列表”章节。 示例：user 操作用户 触发事件的操作用户。 下拉选项中选择一个或多个操作用户。 查看事件中的tracetype的值为“SystemAction”时，表示本次操作由服务内部触发，该条事件对应的操作用户可能为空。 事件级别 下拉选项包含“normal”、“warning”、“incident”，只可选择其中一项。 normal代表操作成功。 warning代表操作失败。 incident代表比操作失败更严重的情况，如引起其他故障等。 6. 在事件列表页面，您还可以导出操作记录文件、刷新列表、设置列表展示信息等。 1. 在搜索框中输入任意关键字，按下Enter键，可以在事件列表搜索符合条件的数据。 2. 单击“导出”按钮，云审计服务会将查询结果以.xlsx格式的表格文件导出，该.xlsx文件包含了本次查询结果的所有事件，且最多导出5000条信息。 3. 单击按钮，可以获取到事件操作记录的最新信息。 4. 单击按钮，可以自定义事件列表的展示信息。启用表格内容折行开关，可让表格内容自动折行，禁用此功能将会截断文本，默认停用此开关。 7. （可选）在新版事件列表页面，单击右上方的“返回旧版”按钮，可切换至旧版事件列表页面。

本文介绍网络地址转换功能的使用场景及操作步骤。 网络地址转换功能，支持配置DNAT规则，实现将内网地址转换为虚拟IP，用户通过虚拟IP访问内网应用。 应用场景 为避免路由冲突，当前应用配置中会校验不允许将相同应用地址关联到不同的连接器集群。 然后在部分网络环境中，不同连接器集群（或不同分支机构）下的应用可能具备相同的IP地址。 为解决不同分支内网IP冲突的场景，可通过配置DNAT规则，实现网络地址转换。 操作步骤 1.登录边缘安全加速平台控制台。 2.在左侧导航栏选择AOne零信任网络网络地址转换。 3.点击新增按钮，添加DNAT规则。 配置项 说明 规则名称 自定义规则名称 连接器集群 选择需要应用DNAT的规则的连接器集群名称。 注意 1、含Windows连接器实例的集群，暂不支持DNAT，请勿选择。 2、请确保连接器实例版本为3.9.0及以上。 状态 可选择启用或停用DNAT规则 转换规则 分类：支持配置IP地址、IP范围、IP段 DNAT地址：配置转后的地址 内网IP地址：配置需要进行转换的内网IP地址 注意 当内网IP地址进行转换后，应用配置中应用地址应配置DNAT地址。

本文介绍添加文字水印和图片水印的具体使用参数及示例。 在网站做相关宣传推广或版权保护的场景中，通常会在对应图片上添加水印，以达成相应效果。 开通图片处理后，客户可通过URL请求中携带的相关参数，在原图上添加水印，目前同时支持文字水印和图片水印。 注意 图片处理为付费服务，目前处于公测期间，暂不收取费用，收费时间另行通知。 参数说明及示例 文字水印 参数名称：textwatermarks。 参数 说明 默认值 text 经urlsafebase64编码后的水印文字。例如对“天翼云”做base64编码后为 "5aSp5785LqR"。 无 size 字号，值类型为int。 无 color 颜色，值为十六进制编码（hex）形式，范围为[000000FFFFFF]，例如："FF0000"代表红色。 默认为白色，即"FFFFFF" angle 旋转角度，值范围为[0,360]。 默认为0 t 水印文字的透明度，值为[0,100] ；数字越小透明度越高，100代表完全不透明。 默认为100 g 由一组g，x，y值唯一指定水印在图片中的基准点位置，这里的基准点随g值的不同而不同。 g代表原图及水印的基准点位置，值为如下： NW：左上 N：上，左右居中 NE：右上 W : 左，上下居中 C ：全图居中 E : 右，上下居中 SW：左下 S : 下，左右居中 SE：右下 默认为NW左上 x 距离原图基准点g的水平距离，需在图片宽度范围内，单位：px(像素)，与y成对出现；x轴的方向为从左到右，但g值为NE、E、SE时，向右会超出原图，故这3个g值对应x轴方向为从右向左。 默认为0 y 距离原图基准点g的垂直距离，需在图片高度范围内，单位：px(像素)，与x成对出现；y轴的方向为从上到下，但g值为SW、S、SE时，向下会超出原图，故这3个g值对应y轴方向为从下到上。 默认为0 font 字体, 支持如下值： SourceHanSans，中文为思源黑体 SourceHanSerif，中文为思源宋体 SourceHanMono，中文为思源等宽 GenShinGothic，中文为思源真黑 GenJyuuGothic，中文为思源柔黑 NotoSans NotoSansMono 默认为思源黑体 相同的x，y值，以及相同水印大小情况下，g代表的基准点（包含原图及水印）不同时，水印的位置如下图所示： 蓝色圆点：代表基于g值的原图基准点及水印基准点； 绿色长方形：代表基于g值的原图基准点及x、y轴距离得出水印基准点后（水印基准点取值与原图基准点相同），再基于size大小得出的水印位置示意图。 一组g,x,y值定义的原点及x、y轴方向如下： N：上部中间位置为坐标原点，x轴方向从左到右，y轴方向从上到下。 NE：右上角位置为坐标原点，x轴方向从右到左，y轴方向从上到下。 W：左边缘中间位置为坐标原点，x轴方向从左到右，y轴方向从上到下。 C：正中间位置为坐标原点，x轴方向从左到右，y轴方向从上到下。 E：右边缘的中间位置为坐标原点，x轴方向从右到左，y轴方向从上到下。 SW：左下角为坐标原点，x轴方向从左到右，y轴方向从下到上。 S：下边缘的中间为坐标原点，x轴方向从左到右，y轴方向从下到上。 SE：右下角坐标原点，x轴方向从右到左，y轴方向从下到上。 访问示例： 访问该URL时，将以原图的左上角NW向右50像素，向下50像素点作为文字水印左上角的位置，插入字号为50，字体为思源宋体的“天翼云”水印logo。

虚拟私有云支持主动访问公网,本文带您快速了解通过单个ECS访问公网和多个ECS访问公网。 单个弹性云主机访问公网 当您的某台弹性云主机需要主动访问公网，可以为弹性云主机绑定弹性IP，即可实现公网访问。 多个弹性云主机访问公网 如果您有多个弹性云主机实例需要访问公网，可以使用NAT网关服务，并将多个弹性云主机实例与NAT网关关联。按子网配置SNAT规则，轻松构建VPC的公网出口。对比弹性IP访问公网，在未配置DNAT规则时，外部用户无法通过公网直接访问NAT网关的公网地址，保证了弹性云主机的相对安全。 对于可用区资源池，云主机使用弹性IP或者NAT网关的操作方法可以参考如何通过弹性IP或者NAT网关访问公网页面。

本文主要介绍VPC流日志简介。 VPC流日志功能可以记录虚拟私有云中的流量信息，帮助您检查和优化安全组和网络ACL控制规则、监控网络流量、进行网络攻击分析等。 注意 VPC流日志本身是免费的，但需要为使用过程中用到的其他云资源付费。例如，流日志数据存储在云日志服务中，将按云日志服务的标准收费，详情请参考云日志服务用户指南。 说明 VPC流日志功能支持区域： 华北华北，广东，广州4，北京北京2， 江苏苏州, 重庆重庆，陕西西安2，上海上海4，贵州贵州，湖南长沙2， 福建福州，浙江杭州，湖北武汉2，四川成都3，江西南昌 VPC流日志功能需要与云日志服务LTS结合使用，先在云日志服务中创建日志组和日志主题，然后再创建VPC流日志。配置流程如下图所示。 图配置VPC流日志 约束与限制 一个用户在单个区域内，最多可创建10个VPC流日志。

跨VPC后端 跨VPC后端支持添加通过以VPC对等连接、VPN连接与专线连接互通的后端云主机。使用跨VPC后端功能时，请注意以下事项： 请前往负载均衡器基本信息页面开启跨VPC后端功能，否则该功能无法正常使用。 添加的跨VPC后端的IP地址只允许为IPv4类型的地址。 若要使用跨VPC后端功能，请先正确配置VPC路由，确保后端可达。 只有TCP，HTTP，HTTPS类型监听器支持跨VPC后端功能。 请确保负载均衡器的后端子网有足够的IP地址（至少有16个可用IP地址），否则该功能无法正常使用。可以通过负载均衡器的“基本信息 > 后端子网”添加多个后端子网来增加后端子网的IP地址。 跨VPC后端的安全组规则必须放通负载均衡器的后端子网网段，否则会导后端业务流量与健康检查异常。 跨VPC后端功能开启后无法关闭。 通过跨VPC后端功能添加的后端云主机，默认的源地址透传功能会失效。

参数 是否必填 参数类型 说明 示例 下级对象 instanceId 是 String 实例ID 58c5689018334b30a08ff9a3f8d5f314 autoPay 是 String 预付费下单自动支付 true engineType 是 String 引擎类型 nacos、zookeeper cycleType 是 String 订购周期类型，3表示按月订购，cycleCnt属性为1表示订购1个月；101表示按需订购，此时cycleCnt不需要赋值 3 cycleCnt 是 String 订购周期，取值范围：值需大于零，不超过60个月 12 autoRenewStatus 否 String 仅包周期有效 是否自动续订 true autoRenewCycleType 是 String 3按月，autoRenewStatus为true时需要传 3 autoRenewCycleCount 是 String 周期数，autoRenewStatus为true时需要传 1 resSize 是 Integer 集群数量resSize，3,5,7,9 3 cpuNum 是 Integer CPU核数 4 memSize 是 Integer 内存8G 8 securityGroupUuid 是 String 安全组ID,对应vpc列表接口返回的foreigngroupid 59893 vpcUuid 是 String VPCID对应vpc列表接口返回的networkId 60144 subnetUuid 是 String 子网ID对应子网列表接口返回的subNetworkId 25024 azInfo 是 Array of Objects 可用区信息 azInfo

网站扫描查看漏洞修复建议的方法。 1. 登录管理控制台。 2. 在左侧导航树中，单击，选择“安全 > 漏洞扫描（专业版）”，进入漏洞扫描服务页面。 3. 在“资产列表 > 网站”页签，进入网站列表入口。 4. 查看网站资产列表，相关参数说明如下表所示。 参数 参数说明 域名信息 域名/IP地址 域名别称 认证状态 “已认证” ：目标域名已完成域名认证。 “未认证” ：目标域名未完成域名认证。单击“去认证”进行域名认证。 上次扫描时间 域名最近一次扫描任务的时间。 上一次扫描结果 域名最近一次扫描结果信息，包括得分和各等级的漏洞数量。单击得分或者“查看详情”，进入“扫描详情”界面查看扫描概况。 5. 在目标域名所在行的“上一次扫描结果”列，单击分数或者“查看详情”，查看扫描任务详情。 6. 选择“漏洞列表”页签，查看漏洞信息。 7. 单击漏洞名称，查看相应漏洞的“漏洞详情”、“漏洞简介”、“修复建议”，用户可以根据修复建议修复漏洞。

本节介绍如何添加WAF防护策略。 前提条件 已添加防护网站。 约束条件 一个防护域名只能绑定一个防护策略。 操作步骤 步骤1 登录管理控制台。 步骤2 单击管理控制台右上角的，选择区域或项目。 步骤3 单击页面左上方的，选择“安全 > Web应用防火墙（独享版）”。 步骤4 在左侧导航树中，选择“防护策略”，进入“防护策略”页面。 步骤5 在列表的左上角，单击“添加防护策略”。 步骤6 在弹出的对话框中，输入策略名称，单击“确定”。 步骤7 在目标策略所在行，单击策略名称，进入防护规则配置页面。 相关操作 若想修改策略名称，单击目标策略名称后的编辑按钮，在弹出的对话框中，重新输入新的策略名称即可。 若想删除添加的防护策略，在目标策略所在行的“操作”列，单击“删除”。 如果您想批量删除防护策略，勾选需要删除的策略，单击策略列表上方的“批量删除”。

此小节介绍删除防护域名，您可以通过Web应用防火墙服务对不再防护的网站执行删除操作。 前提条件 已添加防护域名。 系统影响 删除网站后，1分钟内生效，且不可恢复，请谨慎删除防护网站。 操作步骤 步骤1 登录管理控制台。 步骤2 单击管理控制台右上角的，选择区域或项目。 步骤3 单击页面左上方的，选择“安全 > Web应用防火墙（独享版）”。 步骤4 在左侧导航树中，选择“网站设置”，进入“网站设置”页面。 步骤5 在目标防护域名所在行的“操作”列中，单击“删除”，进入删除防护域名对话框界面。 步骤6 在删除防护网站对话框中，确认删除防护网站。如果需要保留该域名绑定的防护策略，可以勾选“保留该域名的防护策略”。 步骤7 单击“确定”，页面右上角弹出“删除成功”，则说明删除操作成功。

图片上传到OOS后，可以通过以下两种方式生成url访问，但是图片会以附件形式下载到本地： 将Bucket设置为公共读，然后按照模板访问，模板：BucketName.ooscn.ctyunapi.cn/ObjectName，或者ooscn.ctyunapi.cn/BucketName/ObjectName。 通过生成共享链接： 使用SDK中的generatePresignedUrl(GeneratePresignedUrlRequest)方法，生成共享链接 URL。 使用控制台“存储桶列表”>“文件列表”页文件分享功能生成共享链接。 基于安全合规要求， OOS禁止通过OOS的默认域名（存储桶访问地址或存储桶自定义域名）在线预览图片、网页等类型的文件，而是以附件形式下载。如果想通过url直接访问预览，需要通过静态网托管功能实现，即将已备案自定义域名和存储桶进行绑定，然后通过访问自定义域名实现在线预览。为Bucket绑定自定义域名请先联系天翼云客服申请，然后可以通过以下方法配置静态网站托管功能： 通过控制台进行配置，详见网站。 通过API进行配置，详见PUT Bucket Website。

创建托管前，需先创建托管视图，本节介绍如何创建托管视图。 操作步骤 1. 登录管理控制台。 2. 单击页面左上方的，选择“安全 > 态势感知（专业版）”，进入态势感知（专业版）管理页面。 3. 在左侧导航栏选择“工作空间 > 空间托管”，进入空间托管管理页面。 4. 在“托管视图”页签中，单击“创建托管视图”，右侧弹出创建托管视图页面。 5. 配置托管视图参数。 参数名称 参数说明 托管视图名称 设置托管视图名称。 绑定空间名称 选择需要绑定的工作空间。 描述 自定义托管视图描述信息。 6. 单击“确定”。 创建成功后，可以在“空间管理”或“空间托管”页面中查看已创建的托管视图。 相关操作 编辑托管视图 1. 在待编辑托管视图所在行“操作”列，单击“编辑”。 2. 在弹出的编辑托管视图中，修改托管视图参数后，单击“确定”。 删除托管视图 1. 在待删除视图所在行“操作”列，单击“删除”。 2. 在弹出确认框中，单击“确认”。

本章主要介绍API认证鉴权常见问题。 是否支持HTTPS的双向认证？ 专享版：支持，在创建API时，可配置双向认证。 “无认证”方式的API该怎么鉴权与调用？ “无认证”即API网关对收到的调用请求不做身份认证，您只需要按照API提供者提供的接口说明，封装规范的HTTP请求，发送给API网关即可。 说明 无认证方式下，API网关把请求内容透传给后端服务。因此，如果您希望在API后端服务进行鉴权，可以使用“无认证”方式，API调用方传递鉴权所需字段给后端服务，由后端服务进行鉴权。 TLS加密协议支持什么版本？ API网关支持TLS 1.1及TLS 1.2版本，暂不支持TLS 1.0或TLS 1.3。 安全认证签名的内容是否包括Body体 包括。除了几个必选的请求头部参数，Body体也是签名要素之一。例如有一个使用POST方法上传文件的API，那么在签名过程中，会取这个文件的hash值，参与生成签名信息。

本文介绍HBlock、CSI插件和Cinder驱动插件的生命周期策略。 通过HBlock、CSI插件和Cinder驱动插件的产品生命周期支持策略，您可以了解各生命周期阶段的服务变化，以便合理规划产品使用与续保服务，有序实施版本更新或升级，最大限度保证数据安全及业务连续性。 定义 阶段 服务支持 全面支持阶段（General Availability，GA） 产品发布，进入全面支持阶段，针对该阶段发现的软件缺陷和安全漏洞提供修复版本，维护产品更新和升级。 终止支持阶段（End of Support Life，EOSL） 停止该版本产品所有支持，请尽快升级到提供支持的产品版本。 HBlock各版本生命周期 版本 全面支持阶段 终止支持阶段 4.0 2026年03月24日 2028年09月24日 3.10 2025年09月25日 2028年03月25日 3.9 2025年04月21日 2027年10月21日 3.8 2025年02月14日 2027年08月14日 3.7 2024年08月08日 2027年02月08日 3.6 2024年06月03日 2026年12月03日 3.5 2024年03月04日 2026年09月04日 3.4 2023年07月12日 2026年01月12日 3.3 2022年12月23日 2025年06月23日 3.2 2022年09月26日 2025年03月26日 3.1 2022年06月14日 2024年12月14日 3.0 2022年01月18日 2024年07月18日 2.1 2021年08月27日 2024年02月27日 2.0 2021年05月28日 2023年11月28日

本章节进行API网关整体介绍 概述 API网关是API 托管服务，提供 API 的完整生命周期管理，包括创建、维护、发布、运行、下线、运维监测、安全管控等阶段。通过API网关服务，可以将您的数据、业务逻辑或功能安全可靠的开放出来，以快速建设以API为核心的系统架构，为业务系统、合作伙伴提供连接。 消费者 消费者通常是网关的调用方，比如可以是客户端程序等，所以通常也可以称为应用；当消费者请求路由到网关时，网关会对消费者进行识别。网关要判断这个调用者有没有访问当前路由的权限，如果没有，网关就会拒绝当前请求，否则就会通过路由请求并对请求进行进一步的处理。识别过程我们叫做鉴权，那么鉴权之前，为确保具有路由请求的权限，以允许对应消费者访问路由，会给目标路由进行授权，也即是消费者授权或者叫做应用授权。 摘要签名认证 当前网关支持的认证鉴权方式为摘要签名认证方式。API网关提供前端签名及验签能力，前端签名及验签主要两点用途： 1. 验证客户端请求的合法性，确认请求中携带授权后的AK生成的签名。 2. 防止请求数据在网络传输过程中被篡改。 API的拥有者可以在网关控制台的应用管理页面生成APP，每个APP会携带一对签名密钥（APP Key和APP Secret），API拥有者将API授权给指定的APP（APP可以是API拥有者颁发或者API调用者所有）后，API调用者就可以用APP的签名密钥来调用相关的API了。

1. 引言 服务网格接入虚机是为了让传统应用在不改造架构的前提下，也能获得服务网格的治理能力，例如统一的服务发现、流量控制、故障治理与安全通信，从而支撑平滑上云和系统演进。 2. 架构 3. 准备工作 3.1 创建网格实例 确保在控制面中已创建好可用的 服务网格实例，并确认网格状态为 Running。 后续步骤中的虚拟机将加入此网格实例以实现统一流量管理与安全控制。 注意 确保目标虚拟机和网格实例之间网络互通。 3.2. 创建接入网格的虚拟机 准备一台或多台计划纳入网格的虚拟机； 说明 权限要求：具备 root 或具有 sudo 权限的用户； 网络要求：可以访问到 容器集群 API Server 的地址； 3.3 上传 istioctl 与 kubectl 工具 下载并将以下二进制文件上传至虚拟机（例如存放于 /usr/local/bin）： istioctl kubectl 执行以下命令添加到系统环境变量： plaintext export PATH$PATH:/usr/local/bin 验证： plaintext kubectl version client istioctl version 3.4 配置 kubeconfig 文件 将容器集群的 kubeconfig 文件拷贝至虚拟机，使 kubectl 可正常访问主集群。 文件路径： ～/.kube/config 验证连接是否成功 kubectl get ns 若能列出命名空间列表，说明连接正常。 3.5 创建istioproxy用户 在虚拟机中创建 istioproxy 用户及用户组，用于运行 Sidecar 代理进程。 sudo useradd r M s /sbin/nologin istioproxy r 表示创建系统用户； M 不创建 home 目录； s /sbin/nologin 表示该用户不可直接登录； Sidecar 启动将以该用户身份运行。

本文为您介绍Web应用防火墙相关名词的主要含义。 CC攻击 CC攻击是针对Web服务器或应用程序的攻击，利用获取信息的标准的GET/POST请求，如请求涉及数据库操作的URI（Universal Resource Identifier）或其他消耗系统资源的URI，造成服务器资源耗尽，无法响应正常请求。 跨站请求伪造 跨站请求伪造攻击是一种常见的WEB攻击手法。攻击者通过伪造非受害者意愿的请求数据，诱导受害者访问，如果受害者浏览器保持目标站点的认证会话，则受害者在访问攻击者构造的页面或URL的同时，携带自己的认证身份向目标站点发起了攻击者伪造的请求。 扫描器 扫描器是一类自动检测本地或远程主机安全弱点的程序，它能够快速的准确的发现扫描目标存在的漏洞并提供给使用者扫描结果。 网页防篡改 网页防篡改为用户的文件提供保护功能，避免指定目录中的网页、电子文档、图片、数据库等类型的文件被黑客、病毒等非法篡改和破坏。 跨站脚本攻击 一种网站应用程序的安全漏洞攻击，攻击者将恶意代码注入到网页上，用户在浏览网页时恶意代码会被执行，从而达到恶意盗取用户信息的目的。 SQL注入 SQL注入攻击是一种常见的Web攻击方法，攻击者通过把SQL命令注入到Web后台数据库的查询字符串中，最终达到欺骗服务器执行恶意SQL命令的目的。例如可以从数据库获取敏感信息，或者利用数据库的特性执行添加用户、导出文件等一系列恶意操作，甚至有可能获取数据库乃至系统用户最高权限。

本章主要介绍开启跨域访问。 什么是跨域访问 浏览器出于安全性考虑，会限制从页面脚本内发起的跨域访问（CORS）请求，此时页面只能访问同源的资源，而CORS允许浏览器向跨域服务器，发送XMLHttpRequest请求，从而实现跨域访问。 图 跨域访问 浏览器将CORS请求分为两类： 简单请求 简单跨域请求的场景需要满足以下两个条件： a. 请求方法是HEAD，GET，或者POST。 b. HTTP的头信息不超出以下范围： Accept AcceptLanguage ContentLanguage LastEventID ContentType：取值范围：application/xwwwformurlencoded、multipart/formdata、text/plain 对于简单请求，浏览器自动在头信息之中，添加一个Origin字段，Origin字段用于说明本次请求来自哪个源（协议+域名+端口）。服务器根据这个值，决定是否同意这次请求。服务器响应消息中包含“AccessControlAllowOrigin”时，表示同意请求。 非简单请求 不满足简单请求两个条件的都为非简单请求。 对于非简单请求，在正式通信之前，浏览器会增加一次HTTP查询请求，称为预检请求。浏览器询问服务器，当前页面所在的源是否在服务器的许可名单之中，以及可以使用哪些HTTP请求方法和头信息字段。预检通过后，浏览器向服务器发送简单请求。 开启跨域访问 API网关默认不开启跨域访问，如果您需要开启，请参考以下说明完成跨域配置。如需自定义跨域的请求头、跨域的请求方法和指定授权访问的域，请使用跨域资源共享策略说明。 简单跨域访问 如果是创建新的API，在“安全配置”时，勾选“开启支持跨域（CORS）”开关。详细的使用指导，可参考[简单请求](

内网DNS可实现后端服务器故障，其他服务器接管此服务，本节帮助您了解后端服务器故障，其他服务器接管此服务的解决方案。 操作场景 当该网站在运行过程中，因ECS1故障，需要将业务切换到备份的云主机ECS2时，若云主机没有配置内网域名，则需要通过修改主业务节点ECS的代码来重新设置云主机的内网IP地址。该操作需要中断业务并重新发布网站，耗时耗力。 解决方案 为ECS1提供的服务创建一个内网域名，这样当ECS1故障时，通过修改内网DNS的域名解析记录即可切换为ECS2. 无需中断业务，也不需要重新发布网站。 表1内网域名配置详情： 设备 内网域名 关联VPC 内网IP 记录集类型 说明 ECS1 main.finance.test vpcfinance 10.0.0.4 A 公共接口ECS ECS2 vpcfinance 10.0.0.5 A 备份公共接口ECS RDS1 main.db.test vpcfinance 10.0.1.1 A 数据库，用于存储业务数据 RDS2 vpcfinance 10.0.1.2 A 备份数据库 操作步骤 1. 登录到内网DNS控制中心页面。 2. 单击控制中心顶部的，选择“地域”，此处我们选择华东1。 3. 单击“创建内网域名”。 4. 在“创建内网域名”弹窗，参考“表1内网域名配置详情”创建内网域名finance.test 和db.test。 5. 在创建好的内网域名，单击“管理记录集>添加记录集”创建A记录。 6. 参考“表1 内网域名配置详情”，完成内网域名及记录集创建配置。 7. 设置云主机的DNS服务地址为内网DNS地址。具体步骤可参见更改主机DNS使内网DNS配置生效。 8. 当ECS1故障时，在内网域名的记录集下修改记录集的IP地址为ECS2的地址。这样用户的程序和接口均不需要变化既可以替换到备用云主机继续提供服务。

3、设置授权回调域 应用创建完成后，在开发者接口中设置“企业微信授权登录”模块，点击“设置”按钮，再点击“设置授权回调域”按钮，设置授权回调域信息。 在Web网页模块设置授权回调域，这里填写的域名需和AOne的域名保持一致。 4、设置企业可信IP 应用创建完成后，在开发者接口中设置“企业可信IP”模块，点击“配置”按钮，设置企业可信IP。 填写企业可信IP，允许来自特定IP地址的请求访问企业数据。 管理员创建企业微信同步任务 仅将企业微信的用户与组织信息进行同步到AOne，AOne进行认证管理（即密码由AOne管理）。 1. 登录边缘安全加速。 2. 支持在AOne零信任工作台进行操作。 3. 在左侧导航栏身份第三方组织，选择同步身份源菜单。 4. 点击“添加同步任务”，按需选择同步任务，完成任务配置。

本文介绍基于标签快速查询某类域名统计数据的操作方法。 功能介绍 在完成域名绑定标签后，在日常运营时，如果您需要查询某一属性的域名数据，就可以基于标签筛选相关域名，查询对应的数据。 配置说明 1. 登录边缘安全加速控制台。 2. 单击左侧导航栏【运营管理】【数据分析】【域名用量分析】。 3. 在筛选工具模块，【范围】的首个框先选定目标产品，在提示【请选择标签】的第2个框，选定本次计划筛选并查询的目标【标签组】、【标签】。 4. 在选定标签组和标签之后，系统会自动过滤并在提示【请选择域名】的第3个框中只显示符合条件的域名，您可再根据自己的实际需求勾选目标域名，运营商，区域，协议类型，协议版本，时间范围等，最后提交单击【查询】，最终带宽/流量显示的将是您预期的数据。 参数名 配置值 说明 标签组 必选项，按标签组筛选域名 如果先勾选某个标签组，则默认筛选出该标签组内全部标签所绑定的域名。 标签 必选项，按标签筛选域名 在选定某个标签组后，可以选择所关联的一个或多个标签进行筛选，选出目标标签绑定的域名。

通过 NPM 方式接入 1. 访问 前端监控控制台。 2. 左侧导航栏选择 设置 > 接入步骤。 3. 根据需要修改所需的配置项，下方的接入代码会相应改变。 4. 根据指示，安装 @ctyun/femonitor 依赖，在项目里构建当前工程的 npm 库文件，并引入和实例化 SDK。 5. 根据页面提示将上报域名添加到小程序的安全域名中。 配置项说明 选项 说明 开启 API 自动全量上报 开启后，会自动监听并上报小程序应用发起的所有网络请求。 开启静态资源上报 开启后，会自动监听并上报小程序应用所有静态资源（js/css/图片等）的加载结果。 开启 setData 上报 开启后，会自动监听并上报小程序应用 setData 操作。 注意 1. 配置项只是下方 SDK 接入代码的快捷修改方式，并不会马上产生作用，每次修改后需要更新接入的代码重新部署才会生效。 2. API请求，静态资源上报与 setData 上报的数据量可能较大。可根据实际情况选择开启。

资源类型 计费说明 计费方式 计算资源（vCPU和内存） 以实例规格的形式提供计算资源，包括vCPU和内存，收取实例规格费用。 包年/包月、按量计费 镜像 镜像当前分为公共镜像、私有镜像、共享镜像与安全产品镜像。 根据镜像类型及使用情况决定 云硬盘 针对不同云硬盘类型与容量计费。购买云主机实例时会默认购买40GiB的系统盘，用户可以根据需要调整该容量。 包年/包月、按量计费 弹性IP 如有互联网访问需求，您需要购买弹性公网IP。弹性IP可根据带宽、流量进行计费。 按带宽包年包月、按带宽按量付费、按实际流量付费

本文介绍如果不配置集群管理权限，是否可以使用kubectl命令。 如果不配置集群管理权限，是否可以使用kubectl命令呢？ 使用kubectl命令无需经过IAM认证，因此理论上不配置集群管理（IAM）权限是可以使用kubectl命令的。但前提是需要获取具有命名空间权限的kubectl配置文件（kubeconfig），以下场景认证文件传递过程中均存在安全泄露风险，应在实际使用中注意。 场景一：如果某IAM子用户先配置了集群管理权限和命名空间权限，然后在界面下载kubeconfig认证文件。后面再删除集群管理权限（保留命名空间权限），依然可以使用kubectl来操作Kubernetes集群。因此如需彻底删除用户权限，必须同时吊销该子用户的kubeconfig文件。 场景二：如果某IAM用户拥有一定范围的集群管理权限和命名空间权限，然后在界面下载kubeconfig认证文件。此时云容器引擎根据用户信息的权限判断用户对应kubeconfig文件，相当于kubeconfig中就拥有这个用户的认证信息，若其他人获取了这个kubeconfig，则可以通过这个kubeconfig文件访问集群。

场景举例 如果您在轻量型云主机上部署了网站，即轻量型云主机作Web服务器用，希望用户能通过HTTP或HTTPS服务访问到您的网站，您需要给轻量型云主机添加以下防火墙规则。 防火墙配置方法 方向 协议 / 应用 端口 源地址 入方向 HTTP（80） 80 0.0.0.0/0 入方向 HTTPS（443） 443 0.0.0.0/0 轻量型云主机作DNS服务器 场景举例 如果您将轻量型云主机设置为DNS服务器，则必须确保TCP和UDP数据可通过53端口访问您的DNS服务器。您需要给轻量型云主机添加以下防火墙规则。 安全组配置方法 方向 协议 / 应用 端口 源地址 入方向 TCP 53 0.0.0.0/0 入方向 UDP 53 0.0.0.0/0 使用FTP上传或下载文件 场景举例 如果您需要使用FTP软件向轻量型云主机上传或下载文件，您需要添加防火墙规则。 防火墙配置方法 方向 协议 / 应用 端口 源地址 入方向 TCP 2021 0.0.0.0/0

对比项 Cubecni Calico隧道模式 容器网络平面 构建Underlay网络，容器和节点均在同个网络平面，支持VPC内多集群Pod直接互通及VPC内直接互通 构建Overlay网络，基于集群节点网络构建 一层覆盖网络，不支持VPC内多集群Pod直接互通及VPC内直接互通 容器网络性能 无解封包开销，整体性能优于Overlay网络，其中Cubecni独占ENI模式性能无限接近主机 有解封包损耗 节点规模 不直接限制节点规模 受限于BGP Peer连接数等限制 网络访问控制 支持网络策略Network Policy，其中Cubecni独占ENi模式支持Pod粒度安全组配置 支持网络策略Network Policy 源地址审计 Pod访问VPC网络资源，源地址是容器IP，不经节点SNAT，便于审计 Pod访问VPC网络资源，需经节点SNAT，不便于审计 地址管理 无需按节点分配地址段，随用随分配，地址无浪费 每个节点提前分配虚拟地址段 ELB 支持ELB直通Pod，性能更优 不支持ELB直通Pod，需通过NodePort转发

对比项 单实例单并发 单实例多并发 日志打印 Node.js Runtime使用console.info()函数，Python Runtime使用print()函数，Java Runtime使用System.out.println()函数打印日志， 该方式会把当前请求的Request ID包含在日志内容中。 当多请求在同一个实例并发处理时，当前请求可能有很多个，继续使用这些函数打印日志会导致Request ID错乱。 此时应该使用context.getLogger()，获取一个日志输出对象，通过这个日志输出对象打印日志， 例如Python Runtime：log context.getLogger()log.info("test") 共享变量 不涉及 单实例多并发处理时，修改共享变量会导致错误。这要求您在编写函数时，对于非线程安全的变量修改要进行互斥保护。 监控指标 按实际情况进行监控。 相同负载下，函数的实例数明显减少。 流控错误 不涉及 太多请求时，body中的errorcode为“FSS.0429” ，响应头中的status为429 ， 错误信息提示：Your request has been controlled by overload sdk, please retry later。

section8ccc98d65a593df2)。 反弹Shell检测防御：防御网络上通过反弹Shell方式进行的网络攻击，配置方式请参见开启反弹Shell检测防御。 病毒防御（AV）：通过病毒特征检测来识别和处理病毒文件，避免由病毒文件引起的数据破坏、权限更改和系统崩溃等情况发生，支持检测HTTP、SMTP、POP3、FTP、IMAP4、SMB的协议类型。 病毒防御功能请参见拦截病毒文件。 防护动作介绍 观察：防火墙对匹配当前规则的流量，记录至攻击事件日志中，不做拦截。 拦截：防火墙对匹配当前规则的流量，记录至攻击事件日志中并进行拦截。 禁用：防火墙对匹配当前规则的流量，不记录、不拦截。 相关文档 整体防护概况请参见通过安全看板查看攻击防御信息，详细日志信息请参见攻击事件日志。

参数名称 说明 示例 数据库引擎 选择需要新增登录信息的数据库引擎。 MySQL 数据来源 目前支持如下数据来源： MySQL5.5、5.6、5.7、8.0版本实例。 PostgreSQL9.5、9.6、10、11、12版本实例。 SQL Server 2008、2012、2014、2016、2017版本实例，暂不支持HA集群。 ECS 端口 当数据来源选择ECS的时候，需要输入用户自建实例的端口，请以实际的数据库端口为准。 同时需要确保ECS所对应的安全组允许此端口被访问，为避免与系统保留端口冲突，建议实例端口范围为1024~65535。 3306 登录用户名 登录数据库的用户名。 该用户需要具有允许DAS的IP连接数据库的权限。 root 密码 登录数据库的用户密码。 您可以勾选记住密码，后续登录时不用重复输入密码。 描述 非必填项。 SQL执行记录 开启SQL执行记录后，允许DAS将您在SQL窗口中执行的SQL语句保存下来。 建议您开启SQL执行记录，开启后，便于在“SQL操作 > SQL执行记录”中查看，并可再次执行，无需重复输入。 开启

本文主要介绍权限类问题。 如果不配置集群管理权限，是否可以使用kubectl命令呢？ 使用kubectl命令无需经过IAM认证，因此理论上不配置集群管理（IAM）权限是可以使用kubectl命令的。但前提是需要获取具有命名空间权限的kubectl配置文件（kubeconfig），以下场景认证文件传递过程中均存在安全泄露风险，应在实际使用中注意。 场景一 如果某IAM子用户先配置了集群管理权限和命名空间权限，然后在界面下载kubeconfig认证文件。后面再删除集群管理权限（保留命名空间权限），依然可以使用kubectl来操作Kubernetes集群。因此如需彻底删除用户权限，必须同时删除该用户的集群管理权限和命名空间权限。 场景二 如果某IAM用户拥有一定范围的集群管理权限和命名空间权限，然后在界面下载kubeconfig认证文件。此时CCE根据用户信息的权限判断kubectl有权限访问哪些Kubernetes资源，即哪个用户获取的kubeconfig文件，kubeconfig中就拥有哪个用户的认证信息，任何人都可以通过这个kubeconfig文件访问集群