云原生API网关产品服务协议详情请参见这里

云原生API网关产品服务等级协议详情请查看这里

本节主要介绍OBS服务协议。 自2021年11月11日起，新版对象存储服务协议生效，详情请参见这里。 中国电信天翼对象存储系统服务协议 历史版本（2012年11月10日）

目前微服务云应用平台处于公测阶段，服务协议请参见公测产品服务协议。

天翼云为您提供对象存储服务等级协议,请您点击查看。 自2021年11月11日起，新版对象存储服务等级协议生效，详情请参见这里。 中国电信天翼对象存储系统服务等级协议 历史版本（2012年11月10日）

本节主要介绍OBS服务等级协议。 自2021年11月11日起，新版对象存储服务协议生效，详情请参见这里。 中国电信天翼对象存储系统服务协议 历史版本（2012年11月10日）

对象存储服务协议生效，详情请参见这里。

对象存储服务等级协议生效，详情请参见这里。 中国电信天翼对象存储系统服务等级协议 历史版本（2012年11月10日）。

问题类型 帮助文档 计费类 操作类 权限类

本文介绍如何创建和管理访问控制策略。 创建访问控制策略，具体可参考创建访问控制策略。 访问控制策略管理，具体可参考访问控制策略管理。

本文介绍应用计费和操作中的常见问题。 问题类型 帮助文档 计费类 计费类 操作类 操作类

nodelay: false [可选]当设置为 true 时，如果限速插件功能临时不可用，将会自动允许请求继续。默认 false allowdegradation: false

配置模板 plaintext [必填]正则过滤数组，不可重复。如果当前请求 URI 命中其中任何一个，则将响应代码设置为 rejectedcode 以退出当前用户请求 blockrules: test.com+ [可选]当请求 URI 命中 blockrules 中的任何一个时，将返回的 HTTP 状态代码。有效值[200,599], 默认值403 rejectedcode: 403 [可选]当请求 URI 命中 blockrules 中的任何一个时，将返回的 HTTP 响应体 rejectedmsg: “This URI is not allowed to be accessed ” [可选]匹配URI时是否忽略大小写.默认false caseinsensitive: false

本文将详细介绍clientcontrol插件功能、配置和使用。 功能说明 clientcontrol 插件通过设置客户端请求体大小上限来动态控制客户端的请求。当设置较大的限制时可能导致内存使用增加，需根据实际需求合理配置。 配置字段 名称 类型 填写要求 默认值 有效值 描述 maxbodysize integer 可选 [0,...] 动态设置 clientmaxbodysize 的大小 配置示例 clientcontrol 使用示例 plaintext maxbodysize: 1 根据该场景请求路由 plaintext curl d '123' 由于请求路由的请求体大小超过了所设置的客户端请求体大小上限，请求返回413. plaintext HTTP/1.1 413 Request Entity Too Large ...... 配置模板 plaintext [可选]设置客户端请求体大小上限.有效范围[0,...] maxbodysize: 1024

本文将详细介绍limitconn插件功能、配置和使用。 功能说明 limitconn 插件用于限制客户端对单个服务的并发请求数。当客户端对路由的并发请求数达到限制时，可以返回自定义的状态码和响应信息 配置字段 名称 类型 填写要求 默认值 有效值 描述 conn integer 必填 conn > 0 允许的最大并发请求数。超过 conn 的限制、但是低于 conn + burst 的请求，将被延迟处理。 burst integer 必填 burst > 0 每秒允许被延迟处理的额外并发请求数。 defaultconndelay number 必填 defaultconndelay > 0 默认的典型连接（或请求）的处理延迟时间。 onlyusedefaultdelay boolean 可选 false 延迟时间的严格模式。当设置为 true 时，将会严格按照设置的 defaultconndelay 时间来进行延迟处理。 keytype string 可选 "var" ["var", "varcombination"] key 的类型。 key string 可选 用来做请求计数的依据。如果 keytype 为 "var"，那么 key 会被当作变量名称，如 remoteaddr 和 consumername；如果 keytype 为 "varcombination"，那么 key 会当作变量组合，如 $remoteaddr $consumername；如果 key 的值为空，$remoteaddr 会被作为默认 key。 rejectedcode integer 可选 503 [200,...,599] 当请求数超过 conn + burst 阈值时，返回的 HTTP 状态码。 rejectedmsg string 可选 非空 当请求数超过 conn + burst 阈值时，返回的信息。 allowdegradation boolean 可选 false 当设置为 true 时，启用插件降级并自动允许请求继续。

本文将详细介绍csrf插件功能、配置和使用。 功能说明 csrf 插件可保护用户的 API 免于 CSRF 攻击。 在此插件运行时，GET、HEAD 和 OPTIONS 会被定义为 safemethods，其他的请求方法则定义为 unsafemethods。因此 GET、HEAD 和 OPTIONS 方法的调用不会被检查拦截。 使用 GET 请求 API 时，在响应中会有一个携带了加密 Token 的 Cookie。Token 字段名称为插件配置中的 name 值，默认为 agwcsrftoken。 注意 每一个请求都会返回一个新的 Cookie。 在后续对该路由进行的 unsafemethods 请求中，需要从 Cookie 中读取加密的 Token，并在请求头中携带该 Token。请求头字段的名称为插件属性中的 name。 配置字段 名称 类型 填写要求 默认值 有效值 描述 key string 必填 加密 Token 的密钥。 name string 可选 agwcsrftoken 生成的 Cookie 中的 Token 名称，需要使用此名称在请求头携带 Cookie 中的内容。 expires number 可选 7200 CSRF Cookie 的过期时间，单位为秒。当设置为 0 时，会忽略 CSRF Cookie 过期时间检查。 配置示例 plaintext key: "edd1c9f034335f136f87ad84b625c8f1" 启用插件后，使用 curl 命令尝试直接对该路由发起 POST 请求，会返回 Unauthorized 字样的报错提示： plaintext curl i X POST HTTP/1.1 401 Unauthorized {"errormsg":"no csrf token in headers"} 当发起 GET 请求时，返回结果中会有携带 Token 的 Cookie： plaintext curl i i HTTP/1.1 200 OK SetCookie: agwcsrftokeneyJyYW5kb20iOjAuNzgyMDk5MTE4NjUxNjQsInNpZ24iOiIwNTEyZDFkZDRiMmNjYTIxMTRlYWRhYWUxOTkxNmNiZGYzMWE2ZGI0MzRkNWQ5MzRjODkzZWM3M2ZmNTQxZTJlIiwiZXhwaXJlcyI6MTc0NTQ4ODkxM30;path/;SameSiteLax;ExpiresThu, 24Apr25 12:01:53 GMT 在请求之前，用户需要从 Cookie 中读取 Token，并在后续的 unsafemethods 请求的请求头中携带。 例如，你可以在客户端使用 jscookie 读取 Cookie，使用 axios 发送请求： plaintext const token Cookie.get('agwcsrftoken'); const instance axios.create({ headers: {'agwcsrftoken': token} }); 使用 curl 命令发送请求，确保请求中携带了 Cookie 信息，如果返回 200 HTTP 状态码则表示请求成功： plaintext curl i X POST H 'agwcsrftoken: eyJyYW5kb20iOjAuNjg4OTcyMzA4ODM1NDMsImV4cGlyZXMiOjcyMDAsInNpZ24iOiJcL09uZEF4WUZDZGYwSnBiNDlKREtnbzVoYkJjbzhkS0JRZXVDQm44MG9ldz0ifQ' b 'agwcsrftokeneyJyYW5kb20iOjAuNjg4OTcyMzA4ODM1NDMsImV4cGlyZXMiOjcyMDAsInNpZ24iOiJcL09uZEF4WUZDZGYwSnBiNDlKREtnbzVoYkJjbzhkS0JRZXVDQm44MG9ldz0ifQ' HTTP/1.1 200 OK

本文将详细介绍clientcontrol插件功能、配置和使用。 功能说明 clientcontrol 插件通过设置客户端请求体大小上限来动态控制客户端的请求。当设置较大的限制时可能导致内存使用增加，需根据实际需求合理配置。 配置字段 名称 类型 填写要求 默认值 有效值 描述 maxbodysize integer 可选 [0,...] 动态设置 clientmaxbodysize 的大小 配置示例 clientcontrol 使用示例 plaintext maxbodysize: 1 根据该场景请求路由 plaintext curl d '123' 由于请求路由的请求体大小超过了所设置的客户端请求体大小上限，请求返回413. plaintext HTTP/1.1 413 Request Entity Too Large ...... 413 Request Entity Too Large 413 Request Entity Too Large openresty Powered by CGW. 配置模板 plaintext [可选]设置客户端请求体大小上限.有效范围[0,...] maxbodysize: 1024

本文将详细介绍limitcount插件功能、配置和使用。 功能说明 limitcount 插件使用固定时间窗口算法，主要用于限制单个客户端在指定的时间范围内对服务的总请求数，并且会在 HTTP 响应头中返回剩余可以请求的个数. 配置字段 名称 类型 填写要求 默认值 有效值 描述 count integer 必填 count> 0 每个客户端在指定时间窗口内的总请求数量阈值。 timewindow integer 必填 timewindow> 0 时间窗口的大小（以秒为单位）。超过该属性定义的时间，则会重新开始计数。 rejectedcode integer 可选 503 [200,...,599] 当请求超过阈值被拒绝时，返回的 HTTP 状态码。 keytype string 可选 "var" ["var", "varcombination", "constant"] key 的类型。 key string 可选 "remoteaddr" 用来做请求计数的依据。如果 keytype 为 constant，那么 key 会被当作常量；如果 keytype 为 var，那么 key 会被当作变量；如果 keytype 为 varcombination，那么 key 会被当作变量组合，如 $remoteaddr $consumername，插件会同时受 $remoteaddr 和 $consumername 两个变量的约束；如果 key 的值为空，$remoteaddr 会被作为默认 key。 rejectedmsg string 可选 非空 当请求超过阈值被拒绝时，返回的响应体。 allowdegradation boolean 可选 false 当插件功能临时不可用时（例如 Redis 超时），当设置为 true 时，则表示可以允许插件降级并进行继续请求的操作。 showlimitquotaheader boolean 可选 true 当设置为 true 时，在响应头中显示 XRateLimitLimit（限制的总请求数）和 XRateLimitRemaining（剩余还可以发送的请求数）字段。

本文将详细介绍realip插件功能、配置和使用。 功能说明 realip 插件支持动态改变传递到网关的客户端的 IP 地址和端口。其工作方式和 NGINX 中的 ngxhttprealipmodule 模块一样，并且更加灵活。 配置字段 名称 类型 填写要求 默认值 有效值 描述 source string 必填 任何 NGINX 变量，如 argrealip 或 httpxforwardedfor 动态设置客户端的 IP 地址和端口。如果该值不包含端口，则不会更改客户端的端口。如果该值的地址丢失或无效，则不会更改客户端的地址。 trustedaddresses array[string] 可选 IP 或 CIDR 范围列表。 受信任地址，用于动态设置 setrealipfrom 字段。 recursive boolean 可选 false 如果禁用递归搜索，则与受信任地址之一匹配的原始客户端地址将替换为配置的source中发送的最后一个地址。如果启用递归搜索，则与受信任地址之一匹配的原始客户端地址将替换为配置的source中发送的最后一个非受信任地址。 配置示例 realip 使用示例 plaintext source: "argrealip" trustedaddresses: 127.0.0.0/24 该配置表示从请求参数realip中获取客户端的IP地址和端口，并且设置发出请求的受信任地址CIDR范围为127.0.0.0/24，即127.0.0.0127.0.0.255。 根据该场景请求路由 plaintext curl 若发出请求的受信任地址在配置的CIDR范围内，则传递给网关的客户端IP地址和端口将被设置为1.2.3.4和27151

[可选]请求超过阈值被拒绝时，返回的 HTTP 状态码 rejectedcode: 429 [可选]当设置rejectedmsg时，非空。默认可不填 rejectedmsg: "Requests are too frequent, please try again later." [可选] 在异常错误时，是否中断用户请求，false 不中断，true 中断，默认不中断 errorinterrupt: false [可选] APP（消费者）限速规则，约定对指定APP(消费者)的限速规则 rulemap: 消费者名称 app1: [可选] 当前消费者的限流计数，不传时取最外层默认的count值 count: 3 [] 当前消费者的限流时间窗口大小（以秒为单位），不传时取最外层的默认timewindow值 timewindow: 10 消费者名称 app2: [可选] 当前消费者的限流计数，不传时取最外层默认的count值 count: 3 [可选] 当前消费者的限流时间窗口大小（以秒为单位），不传时取最外层的默认timewindow值 timewindow: 10

名称 类型 填写要求 默认值 有效值 描述 count integer 必填 count> 0 每个客户端在指定时间窗口内的总请求数量阈值。 timewindow integer 必填 timewindow> 0 时间窗口的大小（以秒为单位）。超过该属性定义的时间，则会重新开始计数。 rejectedcode integer 可选 429 [200,599] 当请求超过阈值被拒绝时，返回的 HTTP 状态码。 keytype string 可选 "var" ["var", "varcombination", "constant"] key 的类型。 key string 可选 "remoteaddr" 用来做请求计数的依据。如果 keytype 为 var，则 key 将被解释为变量。变量不需要以美元符号（$）为前缀。如果 keytype 为 varcombination，那么 key 会被当作变量组合，所有变量都应该以美元符号 ($) 为前缀。如 $remoteaddr $consumername，插件会同时受 $remoteaddr 和 $consumername 两个变量的约束；如果 keytype 为 constant，那么 key 会被当作常量。如果 key 的值为空，$remoteaddr 会被作为默认 key。 rejectedmsg string 可选 非空 当请求超过阈值被拒绝时，返回的响应体。 showlimitquotaheader boolean 可选 true 当设置为 true 时，在响应头中显示 XRateLimitLimit（限制的总请求数）和 XRateLimitRemaining（剩余还可以发送的请求数）字段。 group string 可选 非空 对多个API设置相同 group，则路由可以共享相同的速率限制计数器。注意同一个group下的插件配置值需相同。 policy string 可选 "local" ["local","redis"] 速率限制计数器的策略。如果是 local，则计数器存储在本地内存中，按照单个实例节点计数。如果是 redis，则计数器存储在 Redis 实例上，按照实例集群计数。 redishost string 当 policy 为 redis 时必填 Redis 节点的地址。 redisport integer 当 policy 为 redis 时必填 6379 [1,65535] Redis 节点的端口。 redisusername string 可选 如果使用 Redis ACL，则为 Redis 的用户名。如果使用旧式身份验证方法 requirepass，则仅配置 redispassword。 redispassword string 可选 Redis 节点的密码。

名称 类型 填写要求 默认值 有效值 描述 allowlist array[string] 可选 加入白名单的 UserAgent。 denylist array[string] 可选 加入黑名单的 UserAgent。 message string 可选 "Not allowed" 字符数[1,1024] 当未允许的 UserAgent 访问时返回的信息。 bypassmissing boolean 可选 false 当设置为 true 时，如果 UserAgent 请求头不存在或格式有误时，将绕过检查。

名称 类型 填写要求 默认值 有效值 描述 duration number 必填 延迟时间，可以指定小数 percentage integer 可选 [0, 100] 将被延迟的请求占比 vars array[] 可选 执行请求延迟的规则，当规则匹配通过后才会执行故障注。vars 是一个表达式的列表，来自

operatorlist)。 子项delay中每一项的配置字段说明如下。 名称 类型 填写要求 默认值 有效值 描述 duration number 必填 延迟时间，可以指定小数 percentage integer 可选 [0, 100] 将被延迟的请求占比 vars array[] 可选 执行请求延迟的规则，当规则匹配通过后才会执行故障注。vars 是一个表达式的列表，来自 luarestyexpr。 注： vars 是由 luarestyexpr 的表达式组成的列表，它可以灵活的实现规则之间的 AND/OR 关系，示例如下： plaintext [ [ [ "argname","","jack" ], [ "argage","",18 ] ], [ [ "argname2","","allen" ] ] ] 以上示例表示前两个表达式之间的关系是 AND，而前两个和第三个表达式之间的关系是 OR。 配置示例 场景1：故障注入 plaintext abort: httpstatus: 503 body: "Fault Injection!" 根据该配置，路由请求时会被拦截，返回自定义的状态码和响应体。 场景2：请求延迟 plaintext delay: duration: 3 根据该配置，路由请求时会延迟3秒后再执行 场景3：带条件的故障注入和请求延迟 plaintext abort: httpstatus: 504 body: "Fault Injection!" vars: [ [ [ "argname","","jack" ] ] ] delay: duration: 3 vars: [ [ [ "httpage","","18" ] ] ] 根据该配置，当请求参数中name值为jack的路由时会被拦截 plaintext curl HTTP/1.1 503 Service Temporarily Unavailable ...... Fault Injection! 当请求header中age值为18的路由时会延迟3秒执行 plaintext time curl H 'age: 18' HTTP/1.1 200 ...... real 0m3.008s user 0m0.003s sys 0m0.003s

本文将详细介绍uriblocker插件功能、配置和使用。 功能说明 uriblocker 插件通过指定一系列 blockrules 来拦截用户请求，实现了基于URI屏蔽HTTP请求，并且自定义返回码和响应体，可以用于防护部分资源不对外部暴露。 配置字段 名称 类型 填写要求 默认值 有效值 描述 blockrules array[string] 必填 正则过滤数组。它们都是正则规则，如果当前请求 URI 命中其中任何一个，则将响应代码设置为 rejectedcode 以退出当前用户请求。例如：["root.exe", "root.m+"]。 rejectedcode integer 可选 403 [200, ...] 当请求 URI 命中 blockrules 中的任何一个时，将返回的 HTTP 状态代码。 rejectedmsg string 可选 非空 当请求 URI 命中 blockrules 中的任何一个时，将返回的 HTTP 响应体。 caseinsensitive boolean 可选 false 是否忽略大小写。当设置为 true 时，在匹配请求 URI 时将忽略大小写。 配置示例 uriblocker 使用示例 plaintext blockrules: root.m+ root.exe rejectedcode: 405 rejectedmsg: “This uri is not allowed to be visited” caseinsensitive: true 根据该场景请求路由 plaintext curl curl 当前请求的URI命中了配置中的正则表达式，且在匹配时忽略大小写。请求将返回应答如下 plaintext HTTP/1.1 405 Not Allowed ...... {"errormsg":"This uri is not allowed to be visited"}

有条件地缓存响应 以下示例演示了如何配置 proxycache 插件以有条件地缓存响应。 使用 proxycache 插件创建路由并配置 nocache 属性，这样如果 URL 参数 nocache 和标头 nocache 的值中至少有一个不为空且不等于 0，则不会缓存响应： plaintext nocache: ["$argnocache", "$httpnocache"] 向路由发送一些请求，其中 URL 参数的 nocache 值表示绕过缓存： plaintext curl i " 您应该收到所有请求的 HTTP/1.1 200 OK 响应，并且每次都观察到以下标头： plaintext AgwCacheStatus: EXPIRED 向路由发送一些其他请求，其中 URL 参数 nocache 值为零： plaintext curl i " 您应该收到所有请求的 HTTP/1.1 200 OK 响应，并开始看到缓存被命中： plaintext AgwCacheStatus: HIT 您还可以在 nocache 标头中指定以下值： plaintext curl i " H "nocache: 1" 响应不应该被缓存： plaintext AgwCacheStatus: EXPIRED 有条件地从缓存中检索响应 以下示例演示了如何配置 proxycache 插件以有条件地从缓存中检索响应。 使用 proxycache 插件创建路由并配置 cachebypass 属性，这样如果 URL 参数 bypass 和标头 bypass 的值中至少有一个不为空且不等于 0，则不会从缓存中检索响应： plaintext cachebypass: ["$argbypass", "$httpbypass"] 向路由发送一个请求，其中 URL 参数值为 bypass，表示绕过缓存： plaintext curl i " 您应该看到带有以下标头的 HTTP/1.1 200 OK 响应： plaintext AgwCacheStatus: BYPASS 向路由发送另一个请求，其中 URL 参数 bypass 值为零： plaintext curl i " 您应该看到带有以下标头的 HTTP/1.1 200 OK 响应： plaintext AgwCacheStatus: MISS 您还可以在 bypass 标头中指定以下值： plaintext curl i " H "bypass: 1" 响应应该显示绕过缓存： plaintext AgwCacheStatus: BYPASS

名称 类型 必选项 有效值 描述 uri string 否 转发到上游的新uri 地址。 regexuri array[string] 否 ["GET", "POST", "PUT", "HEAD", "DELETE", "OPTIONS","MKCOL", "COPY", "MOVE", "PROPFIND", "PROPFIND","LOCK", "UNLOCK", "PATCH", "TRACE"] 转发到上游的新uri 地址, 使用正则表达式匹配来自客户端的 uri，当匹配成功后使用模板替换转发到上游的 uri, 未匹配成功时将客户端请求的 uri 转发至上游。当 uri 和 regexuri 同时存在时，uri 优先被使用。 host string 否 转发到上游的新host 地址。

本节介绍白名单规则下有程序运行被阻止时，用户申请放行的流程。 申请放行 应用放行功能涉及审批流程，请先开通企业审批服务后使用该功能。开通及配置方法与上架审批相似，此处需先在“应用管理设置审批设置”开启应用放行审批，再前往审批流程流程配置中开通相应流程并设置审批人。 用户在桌面内运行不在白名单内的应用会被阻止并出现提示弹窗，可在弹窗中查看详情或发起申请。有多个程序被阻止时，可批量操作。 注： 1、当运行某款应用时出现未执行也未被阻止的无响应状况，可能已被Windows系统默认为风险拦截。遇此情况，右键该应用，并在在属性中解除Windows拦截即可。 2、绑定黑名单规则时，被阻止的应用不允许申请放行。 应用放行审批 申请人提交的应用放行申请，会展示在此列表下，审批人可逐条或批量处理；也可在客户端中进行审批，详细请见处理事项 。 结果通知 应用放行申请经审批人处理后，申请人会收到相关处理结果的通知。

黑名单列表 管理员还可以在黑名单列表中手动添加需要加入黑名单的应用。

在上架设置的页面中，管理员可以选择可见的对象范围（全部桌面或指定桌面）、上架时间（立即上架或指定时间）。

本节介绍企业应用的其他操作。 编辑和删除应用 在应用列表页面中，点击应用右侧的“更多”，还可以再次编辑应用信息或删除此应用。 注：只能删除状态为“未上架”的应用。 刷新页面 如刚修改的应用和版本信息未同步，可以刷新页面加载最新的页面信息。

参数 参数说明 templates 用于存放所有的template（模板）文件。 values.yaml 用于描述template文件所需的配置参数。 须知 定义template文件配置参数时，请注意此处定义的“镜像地址”务必和容器镜像仓库中对应的镜像地址保持一致。否则创建工作负载会异常，提示镜像拉取失败。 镜像地址获取方法如下：在CCE控制台，单击左侧导航栏的“镜像仓库”，进入容器镜像服务控制台。在“我的镜像 > 自有镜像”中，单击已上传镜像的名称，在“镜像版本 ”页签的“下载指令”栏中即可获取镜像地址，单击 按钮即可复制该指令。 README.md 一个markdown文件，包括： 描述Chart提供的工作负载或服务。 运行Chart的前提。 解释values.yaml文件中的配置。 安装和配置Chart的相关信息。 Chart.yaml 模板的基本信息说明。 .helmignore 设定在工作负载安装时不需要读取templates的某些文件或数据。