本节介绍云下节点池用户指南。 云下节点池为Anywhere集群特有，用于管理Anywhere集群IDC节点的按需扩缩容场景需求。 前提条件 已创建Anywhere集群，并已经完成部署。 若IDC节点为已安装操作系统的节点，请先确保节点已安装以下工具软件：conntrack（必选）、s3fs工具（可选）。 创建云下节点池 1. 登录分布式容器云平台，选择 集群资源 > 集群管理，在集群列表中，选中目标集群，点击进入； 2. 在目标集群页面，选择节点管理 > 节点池，在节点池页面，单击 创建云下节点池； 3. 在创建云下节点池对话框中，完成云下节点池的配置项。云下节点池创建完成之后，在节点池列表右侧支持编辑云下节点池部分配置项。 节点池配置项内容如下所示： 配置项 说明 是否支持修改 节点池名称 自定义节点池名称 × 架构 节点架构：X86、ARM × 节点类型 物理机(托管)：未装操作系统的物理机节点，节点池扩容时自动安装操作系统； 物理机(纳管）：请提供已安装操作系统的物理机节点； 虚拟机：请提供已安装操作系统的虚拟机节点； × 节点数量 如当前无需创建节点，可填写为0，仅配置节点池信息，后续再进行扩容节点； 填写数量>0时，需填写对应数量的节点信息，完成节点池创建并扩容对应节点到集群内； × 节点网络 节点类型为物理机(托管)类型时，需填写以下网络信息： 子网掩码：节点设备所属子网范围； 网关：节点设备所属子网网关； DNS：节点配置的DNS服务器地址，用于解析域名； × 操作系统 当节点类型为物理机(托管)类型时，选择节点需要安装的操作系统。 × 高级配置（选填） 配置项 说明 是否支持修改 节点标签 为扩容的节点添加标签，采用键值对形式。 √ 节点污点 为扩容节点添加污点，污点包含键、值和Effect(效果)。 Effect可选择NoSchedule、NoExecute、PreferNoSchedule。 NoSchedule：节点上若存在Effect值为NoSchedule的污点，则Pod不会分配到该节点； NoExecute：不能忍受此污点的Pod会被驱逐； PreferNoSchedule：尽量避免调度未忍受该污点的Pod到该节点，但不会强制执行； √ 自定义Kubelet参数 支持自定义Kubelet参数，在节点加入集群时配置； ×

在服务开发、服务上线前，您需要创建一个环境，本章节介绍环境管理相关内容 概述 在服务开发、服务上线前，您需要创建一个环境。一个环境可以导入包括云容器引擎、ECS、注册配置中心、弹性负载均衡、云原生网关、关系数据库、分布式缓存、分布式消息等资源。 环境列表 左侧导航栏，选择环境管理，可以查看当前资源池下环境列表。通过上方选择环境类型可以筛选出对应类型的环境列表。也可输入环境名称，模糊匹配对应名称的环境。 环境创建 左侧导航栏，选择环境管理，在环境列表左上方点击创建环境按钮。 环境名称：输入合法环境名称。 环境编码：输入环境名称后自动带出，可手动进行修改。 环境类型：选择对应的环境类型。 资源池：选择资源池。 VPC：选择环境对应的VPC，没有VPC可点击创建虚拟私有云按钮进行创建。 可用区：选择当前环境对应的可用区，可多选。每个可用区下会自动创建一个部署单元，后续发布应用选择部署单元后，会匹配对应的可用区，将应用调度到对应可用区的节点。 企业项目：选择对应的企业项目。 输入以上信息后，点击保存按钮，会弹出授权微服务云应用平台创建VPCE的弹窗，VPCE为打通网络组件所需，需授权创建才能保证应用功能正常。 环境详情 左侧导航栏，选择环境管理，点击环境名称，进入到环境详情页面。在环境详情页面展示了VPC、可用区、应用实例数、资源数、资源列表、部署单元等信息。

本章节介绍云数据库ClickHouse数据备份和数据恢复功能。 备份恢复方案 云数据库ClickHouse支持自动备份和手动备份，您可以定期对数据库进行备份，当数据库故障或数据损坏时，可以通过备份文件恢复数据库，从而保证数据可靠性。实例恢复可根据备份任务做相应的数据恢复。可选择恢复到本实例，也可以选择恢复到同region下同租户的其他ClickHouse实例。恢复的实例必须要求和备份实例节点top结构一致。 说明 在备份过程中会进行数据文件的读取与复制，这可能会影响集群的读写效率。建议在业务低峰期启动备份任务。 备份内容 云数据库ClickHouse备份分为元数据备份和数据备份。数据备份时，选择相应库表备份，选中后会把集群内所有节点当前表都选中。 元数据备份：云数据库ClickHouse只针对实例库表数据结构进行备份。 数据备份：云数据库ClickHouse会把库表和数据文件一起备份。 备份位置 云数据库ClickHouse目前备份都存放在对象存储中，不会占用实例的存储空间。 根据保留时间，备份的数据到期后会自动删除。 注意 由于对象存储是按需计费的，余额欠费后，不会影响自动备份和手动备份功能，实例备份占用的备份空间会持续扣费。 备份操作步骤 1. 登入++天翼云ClickHouse 控制台++，在实例列表选择对应的实例，进入实例详情页面单击备份恢复。 2. 如果备份任务页出现未开启备份服务页面，可先去点击开启下备份设置（开启过程会涉及几分钟，请耐心等待）。 3. 点击创建备份，可以手动开启一次备份，手动备份任务是实时启动。也可以在备份策略页面，设置两种备份的备份策略，系统会根据设置的策略周期性进行备份任务，同时根据设置的保留时间，对定时备份进行到期清理。 4. 在备份任务页面，可查看所有的备份任务。备份过程中，正在备份的任务也可以进行取消，后台会把备份进行暂停，同时删除备份过程的数据。

本节主要介绍创建ServiceStage自定义策略 如果系统预置的ServiceStage权限，不满足您的授权要求，可以创建自定义策略。 目前支持以下两种方式创建自定义策略： 可视化视图创建自定义策略：无需了解策略语法，按可视化视图导航栏选择云服务、操作、资源、条件等策略内容，可自动生成策略。 JSON视图创建自定义策略：可以在选择策略模板后，根据具体需求编辑策略内容；也可以直接在编辑框内编写JSON格式的策略内容。 具体创建步骤请参见：“帮助中心 > 统一身份认证服务 > 用户指南 > 用户指南 > 权限管理 > 自定义策略 > 创建自定义策略”。本章为您介绍常用的ServiceStage自定义策略样例。 自定义策略样例 如下以定制一个IAM用户禁止创建及删除微服务引擎的策略为例。 { "Version": "1.1", "Statement": [ { "Action": [ "cse::" ], "Effect": "Allow" }, { "Action": [ "cse:engine:create", "cse:engine:delete" ], "Effect": "Deny" } ] } 拒绝策略需要同时配合其他策略使用，否则没有实际作用。用户被授予的策略中，一个授权项的作用如果同时存在Allow和Deny，则遵循Deny优先原则。 权限授予成功后，用户可以通过控制台以及REST API等多种方式验证。 此处以上述自定义策略为例，介绍用户如何通过登录ServiceStage控制台验证自定义禁止创建微服务引擎的权限： 1. 使用新创建的用户登录云服务，登录方法选择为“IAM用户”。 租户名为该IAM用户所属云服务帐号的名称。 IAM用户名和IAM用户密码为以租户名在IAM创建用户时输入的用户名和密码。 2. 在“微服务引擎 CSE”页面，创建微服务引擎，返回403错误，表示权限配置正确并已生效。

本节介绍了通过数据盘创建数据盘镜像的流程等内容。 操作场景 数据盘镜像是只包含用户业务数据的镜像，您可以通过创建数据盘镜像将云主机数据盘上的业务数据保存。数据盘镜像可用来创建新的云硬盘，从而实现用户业务数据的迁移。 如果您有以下使用场景，建议通过数据盘镜像来实现。 云主机上的业务数据迁移到另一个账号。 实现方式：A账号将数据盘制作成数据盘镜像，共享给B账号，然后B账号使用数据盘 镜像创建新的数据盘。 场景示例：通过制作数据盘镜像，将快到期云主机的磁盘数据导出。 背景知识 通过云主机的数据盘创建数据盘镜像的过程如下：从现有数据盘开始，挂载至云主机实例，初始化数据盘并写入数据，创建数据盘镜像，并最终创建新的数据盘，如下图所示。 数据盘镜像使用流程 前提条件 云主机已挂载数据盘，并且云主机处于开机或关机状态。 如未挂载，请参考“《云硬盘操作指南》 > 快速入门 > 挂载云硬盘”挂载数据盘。 用于创建数据盘镜像的数据盘，磁盘容量需≤1TB。 数据盘容量大于1TB时，不支持创建数据盘镜像，此时请选择创建整机镜像。 操作步骤 1.登录IMS控制台。 登录控制台。 选择“镜像服务”。进入镜像服务页面。 2.创建数据盘镜像。 单击右上角的“创建私有镜像”，进入创建私有镜像页面。 在“镜像类型”区域，选择镜像的创建方式为“数据盘镜像”。 镜像源选择“云主机”，在云主机已挂载的磁盘列表中选择一块数据盘。 在“配置信息”区域，输入镜像名称，选择企业项目，并根据需要输入镜像的描述和标签。 加密属性依据数据盘而定，使用未加密的数据盘创建的私有镜像为未加密的私有镜像。在创建镜像时不可更改此属性，创建成功后，可以通过区域内复制更改加密属性。 单击“立即创建”。 根据界面提示，确认镜像参数。阅读并勾选协议，单击“提交申请”。 返回私有镜像列表，等待数据盘镜像创建成功。 3.返回私有镜像列表，查看创建的数据盘镜像。

本文指导您如何上传已有SSL证书至证书管理服务控制台。 您可以将线下的SSL证书（已在其他平台购买并签发的SSL证书）上传至证书管理服务控制台进行统一管理。 证书上传后，支持查看证书详情，上传后的证书支持一键部署到天翼云服务。 约束限制 不支持上传已过期的证书。 已上传的证书不支持重复上传。 前提条件 目前仅支持上传PEM格式的证书。若证书为其他格式，需要转换成PEM格式后才能上传，详细操作请参见SSL证书格式转换。 操作步骤 1. 登录证书管理服务控制台。 2. 在左侧导航栏选择“SSL证书管理 > 上传证书”。 3. 单击“上传证书”，页面右侧弹出上传证书窗口。 4. 在上传证书窗口中，选择证书标准、配置证书名称。 参数 说明 证书标准 支持上传“国际标准”和“国密标准”的证书。 证书名称 自定义证书的名称。 名称仅支持英文、数字、“.”、“”、“”，长度为215个字符。 5. 上传证书文件。 证书标准 需要上传的文件 格式说明 上传说明 国际标准 证书文件 证书里的PEM格式的文件（后缀名为“.pem”） 方式一：单击“上传”，直接上传满足需求的证书文件。 方式二：以文本方式打开待上传的证书文件，将证书内容复制到参数框。 国际标准 证书私钥 证书里的KEY格式的文件（后缀名为“.key”） 方式一：单击“上传”，直接上传满足需求的证书文件。 方式二：以文本方式打开待上传的证书文件，将证书内容复制到参数框。 国际标准 证书链 可选，若有则上传 方式一：单击“上传”，直接上传满足需求的证书文件。 方式二：以文本方式打开待上传的证书文件，将证书内容复制到参数框。 国密标准 证书文件 证书里的签名证书文件（后缀名为“.pem”） 方式一：单击“上传”，直接上传满足需求的证书文件。 方式二：以文本方式打开待上传的证书文件，将证书内容复制到参数框。 国密标准 证书私钥 证书里的签名私钥文件（后缀名为“.key”） 方式一：单击“上传”，直接上传满足需求的证书文件。 方式二：以文本方式打开待上传的证书文件，将证书内容复制到参数框。 国密标准 加密证书 证书里的加密证书文件（后缀名为“.pem”） 方式一：单击“上传”，直接上传满足需求的证书文件。 方式二：以文本方式打开待上传的证书文件，将证书内容复制到参数框。 国密标准 加密私钥 证书里的加密私钥文件（后缀名为“.key”） 方式一：单击“上传”，直接上传满足需求的证书文件。 方式二：以文本方式打开待上传的证书文件，将证书内容复制到参数框。 国密标准 证书链 可选，若有则上传 方式一：单击“上传”，直接上传满足需求的证书文件。 方式二：以文本方式打开待上传的证书文件，将证书内容复制到参数框。 6. 填写完成后，单击“确认”。 待证书状态为“上传成功”时，操作完成。

操作步骤 1. 使用Putty或其他终端以root用户登录到已安装Agent的弹性云主机中。 2. 执行如下命令，下载并运行批量安装脚本。 plaintext cd /usr/local && curl k O && bash batchagentinstall.sh r cnjssz1 u 0.1.9 t 2.5.6 d ces.cnjssz1.ctyun.cn 注：命令中的部分内容为示例说明（苏州资源池举例：uniagentcnjssz1.obs.cnjssz1.ctyun.cn，cnjssz1，ces.cnjssz1.ctyun.cn），对应资源池请登录控制台Agent安装引导页面，选择您需要安装Agent的资源池获取具体Agent包地址，或者通过前提条件表格获取。 3. 安装完成后，登录云监控服务管理控制台，单击左侧导航栏的“主机监控”。查看所有已安装Agent的弹性云服务器列表。 说明 Agent插件配置完成后，因监控数据暂未上报，插件状态仍显示“未安装”，等待35分钟，刷新即可。 4. （可选）安装完成后如果不需要pexpect模块，则执行如下命令，到python安装目录下删除pexepct和ptyprocess模块。 plaintext cd /usr/lib/python2.7/sitepackages rm pexpect3.2py2.7.egginfo f rm ptyprocess0.5.2py2.7.egginfo f

本文介绍如何为弹性云主机更改时区。 操作场景 弹性云主机默认时区设置取决于您制作镜像时选择的时区。如果您需要修改弹性云主机的时区，按照本节内容进行操作，将系统时间与本地时间同步或更改为其他所需的时区。 更改Linux弹性云主机的时区 更改Linux弹性云主机的时区可以通过修改系统配置文件来实现。以下是在CentOS中更改时区的详细操作方法： 1. 登录到您的CentOS弹性云主机：使用您的凭据登录到弹性云主机。 2. 打开终端或使用远程登录工具：获取访问弹性云主机的命令行界面。 3. 查看当前时区：您可以使用以下命令来查看当前的时区设置： timedatectl 您可以使用以下命令列出系统中可用的时区： timedatectl listtimezones 4. 使用以下命令将新时区应用到系统中，将“YourTimeZone”替换为您要设置的时区： sudo timedatectl settimezone YourTimeZone 例如“Asia/Shanghai”： 5. 保存更改并退出编辑器：在Vi编辑器中，按下Esc键，然后输入":wq"保存更改并退出编辑器。 :wq 6. 使用以下命令再次运行 timedatectl 来验证时区是否已更改： timedatectl 系统将显示当前日期和时间，确保显示的时间与您所设置的时区一致，如下图示。 7. 至此，您已完成CentOS中更改时区。 更改Windows弹性云主机的时区 1. 使用您的凭据登录到您的Windows弹性云主机，本次以Windows Server 2016为例。 2. 点击Windows开始菜单，选择“控制面板”。 3. 在控制面板中，选择“日期和时间”或“时钟和区域”（具体名称可能会略有不同）。 4. 在日期和时间设置页面，点击“更改时区”按钮。 5. 在时区设置对话框中，选择适合您所在地区的时区。您可以通过从下拉列表中选择时区，或者在搜索框中键入相关的地区名称进行搜索。 6. 在选择了适当的时区后，点击“确定”按钮以保存更改。 7. 打开系统的日期和时间显示，或者运行命令提示符（CMD）并输入"date"命令，确保显示的时间与您所设置的时区一致。 8. 至此，您已在Windows弹性云主机上成功更改时区。

第三方云站点 第三方云站点单路由接入方式资费，如下表所示。 带宽速率（bps） 标准价格（元/月） 2M 3035 4M 4310 6M 6008 8M 7695 10M 9311 20M 16642 30M 23313 40M 29734 50M 35988 60M 42243 70M 48497 80M 54751 90M 61006 100M 67260 200M 113785 300M 134460 400M 155135 500M 175810 600M 196485 700M 217160 800M 237835 900M 258510 1G 283996 2G 485265 3G 688114 4G 892540 5G 1096967 6G 1301394 7G 1505820 8G 1710247 9G 1914674 10G 2119100 价格说明 1. 对于标准价格中未提及的非标准带宽速率价格，可参考价格折算公式进行计算，公式为：假设速率为X，收费标准为 F，其相邻的低速率为 X1，资费标准为 F1，高速率为 X2，资费标准为 F2，则速率 X 的收费标准 F 应为： 2. 以上资费标准适用于使用中国电信大陆境内（不包括台湾、香港、澳门地区）业务的政企客户。

本文帮助您快速熟悉如何查看对等连接路由信息。 操作场景 对等连接建立后，您可以查看本端VPC和对端VPC添加的路由信息。如果您发现对等连接无法通信，您可以参考本章节的内容检查本端VPC和对端VPC的路由配置情况，并及时进行调整，以确保网络的连通性和正常运行。 约束与限制 对于跨账户路由信息，本端账户仅可查看本端路由信息，对端账户仅可查看对端路由信息。 查看对等连接的路由（同账户） 1. 登录控制中心，单击控制中心左上角的，选择地域，此处选择华东华东1。 2. 点击“网络 >虚拟私有云”，进入虚拟私有云主页面。 3. 在左侧导航栏选择“对等连接”。 4. 在对等连接列表，选择指定的对等连接名称，进入对等连接详情页面。 5. 点击“本端路由”页签，可查看此对等连接的本端路由信息。点击“对端路由”页签，可查看此对等连接的对端路由信息。 查看对等连接的路由（跨账户） 查看本端路由信息 1. 本端账户登录控制中心，单击控制中心左上角的，选择地域，此处选择华东华东1。 2. 点击“网络 >虚拟私有云”，进入虚拟私有云主页面。 3. 在左侧导航栏选择“对等连接”。 4. 在对等连接列表，选择指定的对等连接名称，进入对等连接详情页面。 5. 在本端路由页签下，即可查看本端路由信息。

本节介绍通过配置策略，对用户终端与云手机之间的数据传输和操作权限进行控制的操作说明。 操作场景 管理员可以通过配置策略，对用户终端与云手机之间的数据传输和操作权限进行控制。 新建策略 管理员可以根据实际情况自定义云手机策略。 1.进入“云手机”控制台； 2.点击“策略管理”，进入“策略管理”页面； 3.单击“新建策略”，进入新建策略页面； 4.填写“策略名称”； 5.选择策略对应的“安全组”； 6.并根据需求配置其他策略项； 7.点击“确认提交”，完成自定义云手机策略生成。 说明：云手机策略包括以下选项内容： 文件与剪切板 管理员可以通过配置“文件重定向”来控制用户终端文件读写的权限。 水印 管理员可启用云手机水印功能，加强数据安全管理。可对水印的内容进行设定样式。用户接入虚拟机后，在云手机屏幕上显示水印。 分配策略 管理员可以根据实际情况，对终端用户云手机分配策略，从而满足对用户终端与云手机之间的数据传输和外设接入的权限进行控制。 1.进入“云手机”控制台； 2.点击“策略管理”，进入“策略管理”页面； 3.在需要分配的策略所在行，单击“分配”。弹出“策略分配”对话框； 4.选择需要分配策略的云手机，单击“确定”，即完成策略分配。

参数 说明 示例 实例 选择分布式消息服务Kafka实例。 instancexxx Topic 选择分布式消息服务Kafka实例的Topic。 topic1 消息体 选择消息体（Body）的内容，更多内容请参考 部分事件 plaintext $.data.value 消息键值 选择消息键值（Key）的内容，更多内容请参考 部分事件 plaintext $.data.value

功能介绍 天翼云全站加速产品提供页面优化功能，配置了页面优化功能后，全站加速产品会自动删除页面中的冗余内容，例如HTML页面、JavaScript和CSS中的注释内容和重复的空白符，从而达到缩小文件体积、提升文件分发效率。 注意事项 若源站文件开启了MD5校验，则不能开启页面优化功能。因为全站加速产品进行页面优化时会改变文件的MD5值，从而导致优化后文件的MD5值和原文件MD5值的不一致。 若源站开启了压缩功能，全站加速的页面优化功能将会失效。 全站加速平台，页面优化功和压缩功能不允许同时开启，同时开启时，压缩功能失效。 配置说明 如需开启页面优化功能，请提供以下信息，并提交工单给天翼云客服，由其帮您配置。 参数 说明 是否忽略部分状态码 是/否。 忽略状态码 提供具体需要忽略的状态码，全站加速将对配置的忽略状态码对应的页面内容不进行页面优化处理。 状态码选项：301、302、303、304、307、400、401、402、403、404、500、501、502、503、504。

范本案例 []( 【案例】天翼云认证账号类型为：企业用户，认证企业名称为：A公司。 A公司在天翼云平台提交了一个名为“B”的签名，就需要获得B公司的授权。那授权书正确填写的内容应该为下图所示案例： 说明:建议授权书有效期不能太短，如果授权书过期也会导致您平台短信内容需要重新提供授权，为了不影响您短信的正常使用，建议有效期时间保证在1年以上。

本小节介绍日志审计(原生版)产品介绍类常见问题。 日志审计（原生版）是什么？ 日志审计（原生版）系统能够实时不间断地采集汇聚企业中不同厂商不同种类的安全设备、网络设备、主机、操作系统、用户业务系统的日志信息，协助用户进行安全分析及合规审计，及时、有效的发现异常安全事件及违规事件。 系统提供了众多基于日志分析的强大功能，如安全日志的集中采集、分析挖掘、合规审计、实时监控及安全告警等，系统配备了全球IP归属及地理位置信息数据，为安全事件的分析、溯源提供了有力支撑，综合日志审计分析系统能够同时满足企业实际运维分析需求及审计合规需求，是企业日常信息安全工作的重要支撑平台。 日志审计（原生版）市场需求有哪些？ 日志审计需求主要源自于两个方面的驱动力： 一方面，从企业和组织自身安全的需要出发，日志审计能够帮助用户获悉信息系统的安全运行状态，识别针对信息系统的攻击和入侵，以及来自内部的违规和信息泄露，能够为事后的问题分析和调查取证提供必要的信息； 另一方面，从国家法律法规、行业标准和规范的角度出发，日志审计已经成为了满足合规与内控需求的必备功能。 日志审计（原生版）适用范畴？ 日志审计（原生版）系统提供了众多基于日志分析功能，系统具有广泛的应用范围和客户群，在政府、企业、电信、金融、电力、公安、军工、等行业均有成功的应用，满足企业实际运维分析需求及审计合规需求，是企业日常信息安全工作的重要支撑平台。

本文介绍Web应用防火墙（边缘云版）的接入防护前提条件以及防护能力概览。 接入防护前提条件 您需要先在控制台新增域名并接入边缘云WAF，具体操作可见WAF接入 防护能力概览 下表将为您描述目前边缘云WAF具备的防护能力以及应用场景 模块 防护能力 说明 应用场景 Web安全 []( 支持配置Web安全的防护开关，可调整防护处理动作以及防护规则集、无需检测的静态文件后缀 为Web安全的基础配置，您需要使用任何防护能力都需要先进行基础配置 Web安全 规则防护 目前已维护6套防护规则集，基于正则的规则防护引擎进行 Web 漏洞和未知威胁防护，能够抵御SQL 注入、XSS 攻击、恶意扫描、命令注入攻击、Web 应用漏洞、WebShell 上传、不合规协议、木马后门等17类通用的 Web 攻击 建议基于自身业务防护需求选择对应的防护规则集 Web安全 网页防篡改 位于高级防护模块下，能够保护网站核心静态页面，避免因为源站页面被恶意篡改带来的负面影响 希望网站防止被恶意篡改页面内容时配置 Web安全 防护敏感信息泄露 位于高级防护模块下，支持对网站返回的内容进行脱敏展示，过滤内容包括敏感信息（如身份证、手机号、银行卡、邮箱等） 希望网站避免泄露身份证、手机号等敏感信息时配置 Web安全 []( 支持检查HTTP协议头部，对HTTP请求信息中的方法以及参数长度等信息进行检测，对不符合的请求项进行拦截或告警 针对不在HTTP请求合规、上传内容合规、配置符合网站处理规范内的请求进行相应处理 Web安全 cookie防护 位于高级防护模块下，采用cookie加密、cookie签名等方式对cookie字段的字进行加密或签名，防护一些使用cookie中的弱key进行权限绕过的漏洞利用，也能在一定程度上限制基于cookie修改的爬虫 可以防护cookie盗用、cookie篡改、cookie信息泄露等攻击事件。需要客户端支持携带cookie，通常小程序、APP、API可能不支持 Web安全 攻击挑战 位于高级防护模块下，支持自动阻断短时间内发起多次Web攻击的IP，快速应对恶意扫描及代理、Web 攻击威胁等行为，可提升攻防对抗效率 攻防演练、恶意扫描及代理、Web攻击行为等 Web安全 CSRF防护 位于高级防护模块下，支持防护跨站请求伪造（英语：Crosssite request forgery，简称CSRF）攻击 针对发起CSRF攻击进行防护 Web安全 广告防护 位于高级防护模块下，支持解析源站响应页面代码，在body中插入广告检测js代码，实现广告防护和监测功能 针对网站出现的恶意广告（网站中出现未将网站所有者允许的广告内容）进行防护 Web安全 设置账户安全防护 从撞库、暴力破解两个攻击角度进行防护，保障用户的账户安全 针对账户安全的场景进行防护 Bot管理 Bot防护策略 通过cookie挑战、跳转挑战、人机挑战、爬虫阈值限制、爬虫陷阱等防爬策略，精准命中爬虫流量，拦截各类恶意爬虫 针对支持携带cookie的客户端请求，小程序、APP、API可能不支持 对于无法正常执行跳转的请求，可以设置跳转挑战 Bot管理 爬虫情报规则 支持针对搜索引擎IP放行、针对恶意Bot请求IP封禁，目前爬虫情报库已维护接近10万条数据 对已知搜索引擎IP放行处理，不经过Bot防护策略，提升网站SEO权重； 对已知恶意Bot请求IP拦截处理 Bot管理 IP情报规则 支持针对已维护的IP信誉库，从威胁类型维度（IDC服务器、傀儡机、漏洞利用等十几类）进行IP封禁，目前IP信誉库已维护接近120万条数据 对已知IDC IP进行封禁处理；拦截傀儡机、漏洞利用等已知恶意IP 访问控制/限流 []( 支持根据请求的URL，频率、行为等访问特征，迅速识别CC攻击并进行拦截 防护大规模CC攻击，避免源站资源耗尽，保证企业网站的正常访问 访问控制/限流 IP黑名单 支持针对指定IP以及指定地域IP进行封禁处理 封禁来自国外访问的IP 访问控制/限流 扫描防护 支持识别常见的扫描器类型，也支持自定义扫描器识别规则，做到精准拦截 拦截常见的扫描器类型，避免网站受到外部扫描 防护白名单 网站白名单 支持在访问控制中，针对特定请求设置为白名单，则不经过全局防护策略的检测 对于可信任流量可以设置为白名单，将不经过任务防护策略 防护白名单 Web规则白名单 支持针对防护规则集中的具体规则设置白名单，则指定请求不经过该规则的检测 某条域名规则出现误拦截时，可以将误拦截的请求设置为白名单 防护白名单 []( 支持针对Bot防护策略设置白名单，则指定请求将不经过Bot防护策略的检测 明确不需要经过Bot防护策略的请求，可以在Bot功能模块中设置为白名单 开启IPv6防护 开启IPv6防护 提供IPv4/IPv6双栈服务，能够解决网站“天窗”问题，并可以有效提升网站IPv6链接支持率 政策驱动，各地市对于当地企业网站的IPv6浓度有一定指标

采集配置 在使用主机接入完成日志接入时，采集配置的具体配置如下： 1. 采集配置名称：自定义采集配置名称，长度范围为1到64个字符，只支持输入英文、数字、中文、中划线、下划线以及小数点，且不能以小数点、下划线开头或以小数点结尾。 说明 导入旧版配置：将旧版主机接入配置导入到新版日志接入中。 若是新安装云日志服务的场景，页面没有显示“导入旧版配置”，则表示不需要导入旧版配置，直接新建配置即可。 若是升级云日志服务的场景，页面显示“导入旧版配置”，若需要旧版配置里的主机日志路径，可以选择导入旧版配置，或者直接新建配置。 2. 路径配置：添加您需要收集的日志路径，LTS将按照配置的路径进行日志采集。 采集路径支持递归路径，表示递归5层目录。 示例：采集路径配置为 /var/logs/ /a.log，日志匹配如下： /var/logs/1/a.log /var/logs/1/2/a.log /var/logs/1/2/3/a.log /var/logs/1/2/3/4/a.log /var/logs/1/2/3/4/5/a.log 说明 以上示例中的/1/2/3/4/5/，表示/var/logs目录中，往里递归的5个目录层级，在这5个目录层级中只要存在a.log，都能进行日志匹配。 采集路径中只能出现一次，不能出现两个及以上。正确示例：/var/logs//a.log；错误示例：/opt/test//log/。 采集路径中第一个层级不允许为（避免误采集系统文件），错误示例：//test。 − 采集路径支持模糊匹配，匹配目录或文件名中的任何字符。 说明 如果配置了C:windowssystem32类似的日志采集路径，但无法采集日志，请尝试打开WAF物理防火墙后重新配置。 示例1：采集路径配置为 /var/logs//a.log，表示/var/logs/目录下，任何一个目录中存在a.log，都能进行日志匹配，例如： /var/logs/1/a.log /var/logs/2/a.log 示例2：采集路径配置为 /var/logs/service/a.log，日志匹配示例： /var/logs/service1/a.log /var/logs/service2/a.log 示例3：采集路径配置为 /var/logs/service/a.log，日志匹配示例： /var/logs/service/a1.log /var/logs/service/a2.log − 采集路径如果配置的是目录，示例：/var/logs/，则只采集目录下后缀为“.log”、“.trace”和“.out”的文件。 如果配置的是文件名，则直接采集对应文件，只支持内容是文本格式的文件。可以通过file i 文件名命令，查询文件格式。 说明 请注意您的敏感信息是否在收集范围内。 目前只支持采集安装在ECS（主机）实例的日志。 日志采集路径不能重复配置，即相同主机的同一个日志采集路径不能重复配置，否则可能会导致日志采集异常。 相同主机的同一个日志采集路径，如果在AOM进行了配置，则不能在LTS重复配置。 配置采集的文件最后修改时间和当前时间差如果已超过12小时，则不会采集。 3. 设置采集黑名单：LTS支持对日志进行过滤采集，即通过设置黑名单，在采集时过滤指定的目录或文件。指定按目录过滤，可过滤掉该目录下的所有文件。 目录和文件名支持完全匹配，也支持模糊匹配，具体可参考路径配置内容进行设置。 说明 当设置的黑名单与配置的采集路径重复或者有重合时，优先过滤掉黑名单设置的文件。 4. 采集Windows事件日志：当选择Windows主机采集日志时，需要开启“采集Windows事件日志”，并且可以设置“日志类型”、“首次采集时间偏移量”、“事件等级”来过滤采集您所需要的日志内容。 5. 日志格式、日志时间具体说明如下： 日志采集信息 名称 说明 日志格式 单行日志：采集的日志文件中，如果您希望每一行日志在LTS界面中都显示为一条单独的日志数据，则选择单行日志。 多行日志：采集的日志中包含像java异常的日志，如果您希望多行异常的日志显示为一条日志，正常的日志则每一行都显示为一条单独的日志数据，则选择多行日志，方便您查看日志并且定位问题。 日志时间 系统时间：表示系统当前时间，默认为日志采集时间，每条日志的行首显示日志的采集时间。 说明 日志采集时间：ICAgent采集日志，并且发送到云日志服务的时间。 日志打印时间：系统产生并打印日志的时间。ICAgent采集日志并发送日志到云日志平台的频率为1秒钟。 采集日志时间限制：系统时间的前后24小时内。 时间通配符：用日志打印时间来标识一条日志数据，通过时间通配符来匹配日志，每条日志的行首显示日志的打印时间。 如果日志中的时间格式为：20190101 23:59:59.011，时间通配符应该填写为：YYYYMMDD hh:mm:ss.SSS。 如果日志中的时间格式为：1911 23:59:59.011，时间通配符应该填写为：YYMD hh:mm:ss.SSS。 说明 如果日志中不存在年份信息，则云日志会自动补齐年份数据为当前年份数据。 填写实例 YY year (19) YYYY year (2019) M month (1) MM month (01) D day (1) DD day (01) hh hours (23) mm minutes (59) ss seconds (59) SSS millisecond（999） hpm hours (03PM) h:mmpm hours:minutes (03:04PM) h:mm:sspm hours:minutes:seconds (03:04:05PM) hh:mm:ss ZZZZ (16:05:06 +0100) hh:mm:ss ZZZ (16:05:06 CET) hh:mm:ss ZZ (16:05:06 +01:00) 分行模式 日志格式选择多行日志时，需要选择分行模式，分行模式选择“日志时间”时，是以时间通配符来划分多行日志；当选择“正则模式”时，则以正则表达式划分多行日志。 正则表达式 此配置是用来标识一条日志数据的正则表达式。日志格式选择“多行日志”格式后且“分行模式”已选择“正则模式”后需要设置。 说明 时间通配和正则表达式均是从每行日志的开头进行严格匹配，如果匹配不上，则会默认使用系统时间上报，这样可能会和文件内容中的时间不一致。如果没有特殊需求，建议使用单行日志系统时间模式即可。

本章节主要介绍自定义词库使用示例。 场景说明 通过给集群配置自定义词库，将“智能手机”设置为主词，“是”设置为停词，“开心”和“高兴”设置为同义词。使用配置好的集群，对文本内容“智能手机是很好用”进行关键词搜索，查看关键词查询效果；对文本内容“我今天获奖了我很开心”进行同义词搜索，查看同义词查询效果。 配置自定义词库 1.准备词库文件（UTF8无BOM格式编码的文本文件），上传到对应OBS路径下。 主词词库文件中包含词语“智能手机”；停词词库文件中包含词语“是”；同义词词库文件中包含一组同义词“开心”和“高兴”。 说明 由于系统默认词库的停用词包含了“是”、“的”等常用词，此类停用词可以不用上传。 2.在云搜索服务管理控制台，单击左侧导航栏的“集群管理”。 3.在“集群管理”页面，单击需要配置自定义词库的集群名称，进入集群基本信息页面。 4.在左侧导航栏，选择“自定义词库”，参考配置自定义词库为集群配置1准备好的词库文件。 5.待词库配置信息生效后，返回集群列表。单击集群操作列的“Kibana”接入集群。 6.在Kibana界面，单击左侧导航栏的“Dev Tools”，进入操作页面。 7.执行如下命令，查看自定义词库的不同分词策略的分词效果。 −使用iksmart分词策略对文本内容“智能手机是很好用”进行分词。 示例代码： POST /analyze { "analyzer":"iksmart", "text":"智能手机是很好用" } 运行结束后，查看分词效果： { "tokens": [ { "token": "智能手机", "startoffset": 0, "endoffset": 4, "type": "CNWORD", "position": 0 }, { "token": "很好用", "startoffset": 5, "endoffset": 8, "type": "CNWORD", "position": 1 } ] } −使用ikmaxword分词策略对文本内容“智能手机是很好用”进行分词。 示例代码： POST /analyze { "analyzer":"ikmaxword", "text":"智能手机是很好用" } 运行结束后，查看分词效果： { "tokens" : [ { "token" : "智能手机", "startoffset" : 0, "endoffset" : 4, "type" : "CNWORD", "position" : 0 }, { "token" : "智能", "startoffset" : 0, "endoffset" : 2, "type" : "CNWORD", "position" : 1 }, { "token" : "智", "startoffset" : 0, "endoffset" : 1, "type" : "CNWORD", "position" : 2 }, { "token" : "能手", "startoffset" : 1, "endoffset" : 3, "type" : "CNWORD", "position" : 3 }, { "token" : "手机", "startoffset" : 2, "endoffset" : 4, "type" : "CNWORD", "position" : 4 }, { "token" : "机", "startoffset" : 3, "endoffset" : 4, "type" : "CNWORD", "position" : 5 }, { "token" : "很好用", "startoffset" : 5, "endoffset" : 8, "type" : "CNWORD", "position" : 6 }, { "token" : "很好", "startoffset" : 5, "endoffset" : 7, "type" : "CNWORD", "position" : 7 }, { "token" : "好用", "startoffset" : 6, "endoffset" : 8, "type" : "CNWORD", "position" : 8 }, { "token" : "用", "startoffset" : 7, "endoffset" : 8, "type" : "CNWORD", "position" : 9 } ] }

本节介绍了安装CloudInit工具的操作场景、前提条件、安装步骤说明等内容。 操作场景 为了保证使用私有镜像创建的新云主机可以通过“用户数据注入”功能注入初始化自定义信息（例如为云主机设置登录密码），请在创建私有镜像前安装CloudInit工具。 安装CloudInit工具时需要从官网下载并安装，因此，需要提前为云主机绑定弹性公网IP。 不安装CloudInit工具，将无法对云主机进行自定义配置，只能使用镜像原有密码登录云主机。 使用公共镜像创建的云主机，默认已经安装CloudInit，不需要执行安装及配置操作。 用户导入镜像创建的云主机，请按照指导安装及配置CloudInit。配置CloudInit操作请参考配置CloudInit工具章节。 前提条件 已为云主机绑定弹性公网IP。 已登录云主机。 云主机的网卡属性为DHCP方式。 安装步骤说明 1. 请先检查是否已安装CloudInit工具。 具体操作请参考下文“检查是否已经安装CloudInit工具”。 2. 安装CloudInit工具。 CloudInit安装方式分为：采用官方提供的包源安装CloudInit工具（优先推荐）、采用官方提供的CloudInit源码包通过pip方式安装CloudInit工具和采用源码编译安装方法，如下文。 检查是否已经安装CloudInit工具 请先执行如下步骤检查是否已安装CloudInit工具。 在不同的操作系统下，查看是否已经安装CloudInit工具的方法不同，以CentOS 6系列为例，执行以下命令查看是否安装CloudInit工具。 rpm qa grep cloudinit 回显类似如下，表示已经安装CloudInit工具，无需重复安装。 cloudinit0.7.510.el6.centos.2.x8664 如果已安装CloudInit工具，还需要执行以下操作： 请确认当前云主机操作系统中的证书是否继续使用。如果不再使用该证书，请删除证书。 − root用户对应目录下的文件（如 “/$path/$to/$root/.ssh/authorizedkeys”），执行以下命令： cd /root/.ssh rm authorizedkeys − 非root用户对应目录下的证书文件（如 “/$path/$to/$noneroot/.ssh/authorizedkeys”），执行以下命令： cd /home/centos/.ssh rm authorizedkeys 执行以下命令，清除CloudInit工具产生的缓存，确保使用该私有镜像创建的云主机可以使用证书方式登录。 sudo rm rf /var/lib/cloud/ 说明： 设置完成后请勿重启云主机，否则，需重新设置。

本节为您介绍镜像服务常见的创建类问题。 创建镜像FAQ 一个账号最多可以创建多少个私有镜像？ 在当前阶段，您在一个区域内默认最多可以创建 10 个私有镜像。如果您需要创建更多的私有镜像，可以通过提交工单的方式，申请扩大配额上限。 通过云主机创建私有镜像，云主机需要关机吗？ 各资源池陆续支持开机制作镜像，如果云主机未关机，则云主机可能处于数据读写状态，此时制作镜像可能会导致数据丢失的问题，建议关机之后制作镜像。 创建私有镜像支持哪些系统架构？ 目前创建私有镜像时，天翼云支持的系统架构只有X8664，后续会增加ARM架构。 创建私有镜像支持哪些镜像格式？ 通过云主机创建私有镜像，支持RAW格式；通过镜像文件创建私有镜像，支持RAW、QCOW2、VMDK、VHD格式。 通过镜像文件创建私有镜像时，参数选择错误了怎么办？ 如果操作系统、系统架构、镜像格式选择错误，会导致实际镜像文件与选择的操作系统不匹配，可能会导致创建云主机失败；如果是镜像文件地址错误，会导致检验不通过，无法创建私有镜像；用户必须删除掉错误的镜像，重新选择正确的参数创建私有镜像。 整机镜像FAQ 为什么创建云主机或者为云主机切换操作系统时选不到ISO镜像？ ISO镜像通常用于安装操作系统、软件或进行系统修复等操作。在创建云主机或切换操作系统时，有时可能无法直接选择ISO镜像。这可能是因为ISO镜像的使用方式和限制特性所致： ISO镜像的用途：ISO镜像通常被用于初始化云主机，进行操作系统的安装或重装。它们不同于系统盘镜像，后者是已安装好操作系统和配置的镜像。 创建云主机时的限制：在创建云主机时，通常只能选择已有的系统盘镜像来作为主要启动盘，因为这些镜像已经预配置了操作系统和一些必要的设置。而ISO镜像不具备这些预配置特性。 操作系统切换的限制：同样，操作系统切换通常要求选择一个已经配置好的系统盘镜像作为新的操作系统基础，而ISO镜像并没有这种预先配置的内容。 ISO镜像的用途限制：虽然ISO镜像可以用来创建云主机，但在创建后，它们可能会有一些限制，例如不能随意挂载其他磁盘，因为ISO镜像通常被用来引导系统安装过程。

当您需要重复使用某一关键字搜索日志时，可以将其设置为快速查询语句。 操作步骤 1. 在云日志服务控制台，单击“日志管理”。 2. 在日志组列表中，单击日志组名称前对应的 按钮。 3. 在日志流列表中，单击日志流名称，进入日志详情页面。 4. 在日志流详情页面，单击 ，输入“快速查询名称”和“快速查询语句”。 快速查询名称，用于区分多个快速查询语句。名称自定义，需要满足如下要求： 只支持输入英文、数字、中文、中划线、下划线及小数点。 不能以小数点、下划线开头或以小数点结尾。 长度为164个字符。 快速查询语句，搜索日志时需要重复使用的关键字，例如“error”。 5. 单击“确定”，完成快速查询条件的创建。 单击快速查询语句的名称，查看日志详情。 查看上下文 您可以通过本操作查看指定日志生成时间点前后的日志，用于在运维过程中快速定位问题。 1. 在云日志服务管理控制台，单击“日志管理”。 2. 在日志组列表中，单击日志组名称。 3. 在日志流列表中，单击日志流名称，进入日志详情页面。 4. 在原始日志页签，单击 可以查看上下文。 在查看上下文结果中，可以查看该日志的前后若干条日志详细信息。 5. 在弹出的查看上下文页面中，查看日志上下文。 查看上下文日志功能介绍 功能 说明 查询行数 查询日志的行数，有三种选择：100、200和500。 高亮显示 输入需要高亮的字符串，回车确认，在日志内容中高亮显示。 过滤日志 输入需要过滤的字符串，回车确认，在日志内容中高亮显示。当高亮显示和过滤日志同时设置时，均可高亮显示。 显示字段 查看上下文，默认字段为content，单击“显示字段”选择查看其他字段的上下文。 更早 从当前位置往前查看设置查询行数的二分之一。例如：当查询行数设置为100时，单击“更早”则从当前位置朝前显示50行，此时行号为50；再次单击“更早”，依次叠加分别为100、150、200...... 当前位置 当前日志位置。当设置了更早或更新时，单击“当前位置”可回到查看上下文开始的位置，即行数为0时。 更新 从当前位置往后查看设置查询行数的二分之一。例如：当查询行数设置为100时，单击“更新”则从当前位置朝后显示50行，此时行号为50；再次单击“更新”，依次叠加分别为100、150、200......

本文主要介绍云专线相关术语解释。 什么是物理专线？ 物理专线是对接入点和本地数据中心之间建立的网络线路的抽象，以方便对线路进行管理。您需要通过一条租用运营商的运营物理专线将本地数据中心连接到接入点，建立专线连接。 普通用户可以申请普通物理专线和托管物理专线。 普通物理专线即运营物理专线，是端口带宽资源被用户独占的物理专线，此种类型的只允许用户创建一个虚拟接口。 托管物理专线即租户物理专线，是多个用户共享端口资源的物理专线。此种类型的物理专线允许用户创建多个虚拟接口接入用户的多个VPC。 什么是MSTP专线？ 是指利用多业务传送节点（MSTP）技术，依托中国电信传送网，为客户提供具有灵活调整带宽和以太网接入功能，接入速率在2M到1000M之间的数据专线业务，带宽调整颗粒为2M（VC12）。 什么是MPLSVPN专线？ 是依托于中国电信CN2承载网，采用多协议标记交换（MPLS）方式，为客户在多个节点间实现IP虚拟专网功能，提供安全的IPv4和IPv6数据信息传输服务。 什么是VPC 地址？ VPC地址是用来管理虚拟机网络平面的一个网络，可以提供IP地址管理、DHCP访问、DNS服务，子网内的虚拟机IP地址都属于该子网，此网段不能与远端地址重复。

本节介绍了路由类的相关问题。 CentOS 6.5系统如何添加静态路由？ 操作场景 为系统添加静态路由，避免重启系统后路由丢失而影响到网络可用性。 操作步骤 以CentOS 6.5操作系统为例。 1. 登录弹性云主机。 2. 创建或修改静态路由配置文件。 在“/etc/sysconfig/”目录下创建或修改静态路由配置文件staticroutes文件，当系统没有此文件时，可以新建此文件。向文件中添加一行静态路由记录，例如： any net 192.168.2.0 netmask 255.255.255.0 gw 192.168.1.34 添加完成后保存退出，最终文件内容如下： 3. 重启网络服务，使静态路由生效。 service network restart 4. 执行以下命令，查看路由信息。 route n

在CCE上创建工作负载后，可以使用AOM进行运维。 创建工作负载时，建议在AOM侧配置监控告警，以便异常时能及时收到告警。若未配置监控告警，工作负载异常时无法及时收到告警，需要人工巡检环境。 应用运维管理（Application Operations Management，简称AOM）是云上应用的一站式立体化运维管理平台，实时监控您的应用及相关云资源，采集并关联资源的各项指标、日志及事件等数据共同分析应用健康状态，提供灵活的告警及丰富的数据可视化功能，帮助您及时发现故障，全面掌握应用、资源及业务的实时运行状况，快速锁定问题根源，保障业务顺畅运行。 常用操作 当您想要关注某些资源的变更信息时，可对这些资源的指标创建阈值规则。 在日常运维中，通过仪表盘可实时掌握全局。您可以创建并添加关注的内容到仪表盘。 日常巡检应用。

本节主要介绍快速清理已删除节点上的CCE组件。 使用场景 若集群中包含包周期节点或纳管节点，删除对应集群和节点不会删除对应的ECS，此时请按照界面提示清理节点上CCE组件。若未按照提示清理节点组件，后续需要清理ECS时，可按照如下操作进行清理。 注意 卸载将会删除弹性云主机上的CCE系统用户paas以及docker相关资源，执行清理操作前，若有关键数据需要保留，请提前备份。 操作步骤 步骤 1 登录CCE控制台，在左侧导航栏中选择“集群管理 > 节点管理”，在右侧的节点列表中找到要执行操作的纳管节点，在节点的“操作”区域下单击“更多 > 移除”。 步骤 2 在弹出的“移除纳管节点”对话框中输入"REMOVE"确认移除节点，单击“确认”。 步骤 3 认真阅读弹出的“提示”页面内容，按照步骤清理CCE相关资源。

本文帮助您快速熟悉虚拟IP的定义、特点、组网模式,以及应用场景等内容。 什么是虚拟IP 虚拟IP（Virtual IP Address，简称VIP）是一个从子网中分配的内网IP地址，没有分配给真实弹性云服务器网卡。虚拟IP地址拥有私有IP地址同样的网络接入能力，用户也可以像主私网IP地址一样通过虚拟IP去访问弹性云服务器。 您可以通过将虚拟IP与主备弹性云服务器绑定，根据是否需要访问公网可以为虚拟IP绑定一个弹性IP，配合高可用软件（例如Keepalived）使用，实现业务的高可用。 说明 重要：虚拟IP免费使用。非虚拟IP软件问题，例如高可用软件（keeplived）配置，物理网络等相关问题导致的业务受损不承担责任，不承诺任何服务等级协议相关的保障条款。 注意 1、如未结合Keepalived使用，请谨慎删除与虚拟IP绑定的主服务器或者网卡，有可能会导致备服务器或网卡流量不通等现象。 2、对于可用区资源池来说，虚拟IP只支持单播，不支持广播和组播。如果您使用keepalived等第三方软件结合虚拟IP搭建高可用场景，您需要将配置文件中的通信方式修改为单播通信。 3、对于地域资源池来说，仅vxlan架构资源池的IPv4类型的虚拟IP支持组播，其余形式均不支持组播。虚拟IP也不支持广播通信。 4、标准裸金属不支持IPv6类型虚拟IP，请勿在标准裸金属子网内申请IPv6类型虚拟IP使用。

将配置项（ConfigMap）注入容器可以将其转换为容器中的文件，应用可以读取注入的文件作为配置文件，这使得您可以灵活修改应用的配置而无需重新构建应用的镜像。 功能入口 场景不同，操作入口也有所不同 创建应用 1. 登录云应用引擎控制台，在左侧导航栏选择应用管理>应用列表，然后选择单击创建应用 2. 在应用基本信息向导页面进行配置后，单击下一步：高级设置。 对正在运行的应用进行变更 1. 登录云应用引擎控制台，在左侧导航栏选择应用管理>应用列表，然后单击目标应用名称 2. 在目标应用的基础信息页面，单击部署应用 注意 重新部署应用后，该应用将会被重启。为避免业务中断等不可预知的错误，请在业务低峰期执行部署操作 对已停止的应用进行变更 1. 登录云应用引擎控制台，在左侧导航栏选择应用管理>应用列表，然后单击目标应用名称 2. 在目标应用的基础信息页面，单击部署应用 注入配置信息指引 注入配置项前，您需要先创建配置项。您可以在应用的命名空间中创建配置项，也可以在当前区域单击创建配置项（ConfigMap），在创建配置项面板进行创建，创建的配置项会同步到应用的命名空间。 展开配置管理区域，单击+添加按钮，您可以将特定配置项（ConfigMap）的单个键或全部键注入容器，以将其转换为容器中的文件。配置项的值将作为文件的内容，您可以自定义文件的挂载路径。

CSRF防护的方式 1、验证码 CSRF攻击的过程，往往是在用户不知情的情况下构造了网络请求，验证码则强制用户必须与应用进行交互才能完成最终请求。但基于使用体验，网站不会给所有的操作都加上验证码。 2、验证HTTP Referrer字段 根据 HTTP 协议，HTTP 头部中Referrer字段记录了该 HTTP 请求的来源地址。 比如一个论坛发帖的操作，在正常境况下需要先访问有发帖功能的页面，在提交发帖的表单时，Referrer值必然是发帖表单所在的页面。如果Referrer的值不是这个页面，甚至不是发帖网站的域，则极有可能是CSRF攻击。 3、请求中添加token并验证 在请求中放入黑客所不能伪造的信息，并且该信息不存在于Cookie 之中。可以在HTTP 请求中以参数的形式加入一个随机产生的token，并在服务器端建立一个拦截器来验证这个token，如果请求中没有token 或者token 内容不正确，则认为可能是CSRF 攻击而拒绝该请求。 前提条件 已开通Web应用防火墙（边缘云版） 已新增域名并成功接入WAF，具体操作请见WAF接入 开通体验版及以上版本支持使用CSRF防护功能 操作步骤 1. 登录Web应用防火墙（边缘云版）控制台 2. 登录web应用防火墙（边缘云版）控制台，在左侧导航栏中选择【域名管理】—【域名列表】，单击域名列表操作【安全防护】进入高级防护页面； 3. 进入“CSRF防护”页面，可以配置CSRF防护策略；

遭受DDoS攻击后如何向网监报案？ 当您部署在天翼云上的云服务，遭受DDoS攻击后，您应该尽快向当地网监部门进行报案，并根据网监部门的要求提供相关信息。网监部门会判断您的报案内容是否符合立案标准，并进入网监处理流程。当正式立案后，天翼云会积极配合网监部门提供攻击相关证据，天翼云会积极响应网监部门的协助调查要求，完成调查举证工作，故当您在遭受攻击时，建议您积极报案，以便可以有效打击犯罪行为。 天翼云黑洞策略是什么？ 黑洞是指服务器（云主机）受攻击流量超出防御范围时，天翼云将屏蔽服务器（云主机）的外网访问。 当服务器（云主机）遭受超出防御范围的流量攻击时，天翼云对其采用黑洞策略，即屏蔽该服务器（云主机）的外网访问，避免对天翼云其他用户造成影响，保障天翼云网络整体的可用性和稳定性。DDoS攻击不仅影响受害者，也会对天翼云的机房带来严重的负担。同时DDoS防御需要成本，其中最大的成本就是互联网带宽费用。DDoS流量清洗，不会把DDoS攻击流量清洗掉，对应的DDos流量也会占用巨大的带宽，故为了保障用户的带宽可用性，天翼云会将遭受DDoS攻击的服务器黑洞，屏蔽其外网访问，以便让其不再遭受DDoS攻击，同时空闲出有效带宽供其他服务使用。 注意 天翼云AntiDDoS流量清洗服务为用户提供免费的DDoS攻击防御能力，但是当攻击流量超出AntiDDoS流量清洗阈值时，天翼云会采取黑洞策略封堵IP。 天翼云AntiDDoS流量清洗服务为普通用户免费提供2Gbps的DDoS攻击防护，最高可达5Gbps攻击防护。

本文介绍访问URL重定向功能及其配置说明。 功能介绍 当客户源站的内容存放路径发生了变更，CDN节点上的内容存放路径也发生了变更，但是用户请求URL里面包含的内容路径没有变更时，需要CDN节点改写用户请求里面的内容路径。技术实现方式是通过响应302状态码重定向的方式，让客户端取302响应里面的Location的新URL，重新向CDN节点发起访问，确保用户能获得正确的内容。例如：点播文件a.mp4原先存放在目录“/stream/”下，现在变更为“/vod/”，此时可通过天翼云CDN的访问URL重定向功能，实现用户访问 注意事项 该功能依赖客户端支持访问跳转后的内容。 配置说明 1. 登录CDN控制台。 2. 单击左侧导航栏【域名管理】【域名列表】。 3. 在【域名列表】页面，找到目标域名，单击【操作】列的【编辑】。 4. 单击右侧【高级配置】。 5. 在【访问URL重定向】模块，单击【增加规则】，根据需求填写配置。 6. 单击【保存】，完成配置。 参数名 配置值 说明 类型 后缀名/目录/首页/全部文件/全路径文件 需要配置的文件类型。 内容 指定类型的具体内容。 类型选择后缀名、目录、全路径文件时，需配置具体内容；例如类型为后缀名时，需在内容处指明具体的文件后缀；如类型为目录时，需在内容处指明具体的目录内容。 待改写PATH 以/开头的PATH，不含 例如：^/qpdxv/(.) 目标PATH 以协议://域名开头的PATH，其中协议可为http/https（scheme），支持PCRE正则表达式。 比如常用$1,$2来捕获待改写PATH中圆括号内的字符串，目标PATH值可设置为例如：$scheme://ctyun.cn/videos/$1。 跳转状态码 301/302 响应301或者302状态码。 优先级 数字 配置的优先级，存在多条设置时，相同文件类型及内容，执行优先级高的规则。

参数 说明 示例 实例 选择分布式消息RabbitMQ实例。 instancexxx Vhost 选择RabbitMQ实例的Vhost。 POST 目标类型 选择发送到RabbitMQ的目标类型。 1. 交换器：通过选择交换器和路由键，事件带上路由键会发送到所选择交换器。 2. 队列：事件会发送到目标队列。 队列 queuexxx 消息体 选择作为消息体的事件内容，更多参考“事件内容转换”。 完整事件 MessageId 选择MessageId的内容，更多参考“事件内容转换”。 空 自定义属性 选择自定义属性（Properties）的内容，更多参考“事件内容转换”。 空

边缘重保服务产品将于2025年6月10日00时正式开始收费，本章节介绍边缘重保服务的不同商用服务版本之间的差异。 产品版本 体验版 基础护航服务 尊享护航服务 基础安全护航服务 尊享安全护航服务 重保方式 远程护航 远程护航 驻场值守 远程护航 驻场值守 服务人员 高级技术支持工程师 高级技术支持专家 资深技术支持专家 高级安全专家 资深安全专家 支持产品 CDN 加速、视频直播、全站加速、边缘安全加速平台、安全加速、Web 应用防火墙（边缘云版）、DDoS 高防（边缘云版）、智能边缘云 CDN加速、视频直播、全站加速、智能边缘云 CDN加速、视频直播、全站加速、智能边缘云 CDN 加速、视频直播、全站加速、边缘安全加速平台、安全加速、Web 应用防火墙（边缘云版）、DDoS 高防（边缘云版）、智能边缘云 CDN 加速、视频直播、全站加速、边缘安全加速平台、安全加速、Web 应用防火墙（边缘云版）、DDoS 高防（边缘云版）、智能边缘云 交付物 《重保总结》（不含优化建议） 《边缘重保服务项目实施方案》 《相关方通讯录》 《重保服务启动会会议纪要》 《风险评估表》 《重保服务每日总结》 《重保巡检记录单》 《重保应急处置记录单》 《重保定制需求处理单》 《重保总结》（含优化建议） 《第三方监测报告》（按需） 《边缘重保服务项目实施方案》 《相关方通讯录》 《重保服务启动会会议纪要》 《风险评估表》 《重保服务每日总结》 《重保巡检记录单》 《重保应急处置记录单》 《重保定制需求处理单》 《重保总结》（含优化建议） 《第三方监测报告》（按需） 《产品培训资料》（按需） 《重保服务与实施方案》 《相关方通讯录》 《重保服务启动会会议纪要》 《风险评估表》 《重保服务每日总结》 《重保巡检记录单》 《重保应急处置记录单》 《重保定制需求处理单》 《重保总结》（含优化建议） 《第三方监测报告》（按需） 《重保服务与实施方案》 《相关方通讯录》 《重保服务启动会会议纪要》 《风险评估表》 《重保服务每日总结》 《重保巡检记录单》 《重保应急处置记录单》 《重保定制需求处理单》 《重保总结》（含优化建议） 《第三方监测报告》（按需） 《产品培训资料》（按需） 说明 交付物内容会根据实际保障场景及保障需求进行调整。