本节介绍了为业务同时部署DDoS高防（边缘云版）和CDN加速的操作步骤。 使用场景 如果您的网站既需要进行流量型DDoS攻击的防护，同时也有对内容分发的加速需求，您可以在DDoS高防（边缘云版）的基础上，叠加CDN加速进行使用。 天翼云CDN加速（CDN，Content Delivery Network），即内容分发网络，是基于天翼云遍布全球的网络节点提供的内容分发加速服务。它将源站内容分发至最接近用户的节点，使用户可就近获取所需内容，解决因跨运营商、跨地域、服务器带宽及性能瓶颈带来的访问延迟问题，提高用户访问的响应速度和成功率。 配置前提 已分别开通DDoS高防（边缘云版）及CDN加速。 已完成天翼云CDN加速域名接入。 业务流程 由于DDoS高防（边缘云版）及CDN加速，采用统一的边缘云网络架构和底座，无需重复进行网站接入配置，并且也无需考虑不同产品串联时网络层转发的顺序问题。 （非统一架构的产品叠加，需确定不同产品之间网络层转发顺序，如先经过DDoS高防再经过CDN加速，那么DDoS的高防的回源地址需与CDN加速的接入地址相匹配，而不能直接配置为源站地址。非统一架构的产品叠加会增加网络配置复杂度。） 配置步骤 以先配置CDN加速，再配置DDoS高防（边缘云版）为例。 1. 完成CDN的域名接入配置，详细配置步骤，请参考添加加速域名。 2. 进入DDoS高防（边缘云版）控制台，在左侧导航中，点击【业务接入】【域名接入】。 3. 点击右上角【新增域名】，并填入域名信息，此时会弹窗提示"您的域名已经在CDN加速(中国内地)产品控制台新增，产品关联后才能同步网站通用配置，请确认是否关联"。 4. 点击确认后，系统会自动获取并完成网站配置，点击【确定】即可完成配置。 注意 DDoS高防（边缘云版）叠加天翼云CDN加速产品，域名需先在CDN控制台添加完成后，再在DDoS高防（边缘云版）控制台上新增。目前暂不支持先在DDoS高防（边缘云版）控制台上新增域名后，再叠加CDN加速产品。 DDoS高防（边缘云版）叠加天翼云CDN加速产品后，域名CNAME地址直接使用CDN加速提供的CNAME地址即可，无需调整。

本章节介绍了所依赖的资源及创建指导。 概述 在购买RocketMQ实例前，您需要提前准备相关依赖资源，包括虚拟私有云（Virtual Private Cloud，以下简称VPC）、子网和安全组，并配置安全组策略。每个RocketMQ实例都部署在某个VPC中，并绑定具体的子网和安全组，通过这样的方式为RocketMQ提供一个隔离的、用户自主配置和管理的虚拟网络环境以及安全保护策略，提升实例的安全性。 准备依赖资源 RocketMQ实例所需资源的具体要求和创建指导如表1所示。 表1 RocketMQ实例依赖资源 准备资源 要求 创建指导 VPC和子网 不同的RocketMQ实例可以重复使用相同的VPC和子网，也可以使用不同的VPC和子网，请根据实际需要进行配置。在创建VPC和子网时应注意如下要求：·创建的VPC与使用的分布式消息服务RocketMQ应在相同的区域。·创建VPC和子网时，如无特殊需求，配置参数使用默认配置即可。 创建VPC和子网的操作指导请参考创建虚拟私有云和子网，若需要在已有VPC上创建和使用新的子网，请参考为虚拟私有云创建新的子网。 安全组 不同的RocketMQ实例可以重复使用相同的安全组，也可以使用不同的安全组，请根据实际需要进行配置。在创建安全组时应注意如下要求：·创建安全组时，“模板”选择“自定义”。·创建安全组后，请保留系统默认添加的入方向“允许安全组内的弹性云服务器彼此通信”规则和出方向“放通全部流量”规则。·使用分布式消息服务RocketMQ必须添加表2所示安全组规则，其他规则请根据实际需要添加。 创建安全组的操作指导请参考创建安全组，为安全组添加规则的操作指导请参考添加安全组规则。 表2 安全组规则 方向 协议 端口 源地址 说明 入方向 TCP 8100 0.0.0.0/0 VPC内访问元数据节点的端口 入方向 TCP 8200 0.0.0.0/0 公网访问元数据节点的端口 入方向 TCP 1010010199 0.0.0.0/0 访问业务节点的端口

本文主要介绍云日志服务Java SDK接入指南。 1. 前言 安装使用Java SDK可以帮助开发者快速接入并使用天翼云的日志服务相关功能，目前支持同步上传，异步批量上传等功能。 2. 使用条件 2.1. 先决条件 用户需要具备以下条件才能够使用LTS SDK Java版本： 1、购买并订阅了天翼云的云日志服务，并创建了日志项目和日志单元，获取到相应编码（logProject、logUnit）。 2、已获取AccessKey 和 SecretKey。 3、已安装JDK1.8及以上环境。 2.2. 下载及安装 下载压缩包，放到相应位置后并解压，把包放在本地目录： 。如果您想直接使用SDK，可以不做修改，直接使用SDK源码，示例代码为example/SamplePutlogs.java。。 1. 把SDK源码构建成jar包，可通过构建工具构建。或者直接使用已有jar包（target目录下）：”ctyunltsjavasdk1.6.0.jar”。 2. 把生成的jar包引入本地maven仓库。可以通过例如idea的maven工具install 到maven仓库。或者通过命令构建安装（在jar包所在目录执行下面命令）。 plaintext mvn install:installfile Dfilectyunltsjavasdk1.10.0.jar DgroupIdcn.ctyun.lts DartifactIdctyunltsjavasdk Dversion1.10.0 Dpackagingjar 3. 在您的maven工程的pom.xml文件中增加配置 plaintext cn.ctyun.lts ctyunltsjavasdk 1.10.0 4. 引入第三方依赖包 plaintext com.alibaba fastjson 1.2.83noneautotype net.jpountz.lz4 lz4 1.3.0 org.apache.httpcomponents httpclient 4.5.1 io.opentelemetry.proto opentelemetryproto 1.1.0alpha org.apache.httpcomponents httpmime 4.5.1 com.google.protobuf protobufjava 3.23.4

本文将为您介绍通过专线网关实现物理专线入云访问单VPC。 应用场景 本地IDC通过一条物理专线接入天翼云华北2地域，实现本地IDC网络与天翼云华北2地域中的单个VPC网络互通。 本地IDC接入天翼云华北2地域的物理专线，配置如下。 物理专线名称 互联地址（天翼云侧） 互联地址（用户侧） 掩码 VLAN 物理专线 10.250.0.1 10.250.0.2 255.255.255.252 100 天翼云华北2地域的VPC，配置如下。 VPC名称 VPC网段（IPv4） 子网网段（IPv4） VPC 10.10.0.0/16 10.10.0.0/24 前提条件 1、在天翼云华北2已创建一条物理专线，具体操作说明详见创建物理专线。 2、在天翼云华北2已创建一个专线网关，具体操作说明详见创建专线网关。 3、在天翼云华北2已创建一个VPC，具体操作说明详见创建VPC。 操作步骤 步骤一：专线网关绑定物理专线 1、登录云专线控制台，在左侧导航栏中，单击【专线网关】。 2、在专线网关页面，选择目标专线网关，在操作列中单击【详情】。 3、在专线网关物理专线页签，单击【绑定物理专线】。 4、在绑定物理专线页，选择已创建的物理专线，然后单击【确定】。

本文为您介绍Web基础防护规则引擎配置的最佳实践。 Web基础防护基于内置的防护规则集，自动为网站防御SQL注入、XSS、文件包含、远程命令执行、目录穿越、文件上传、CSRF、SSRF、命令注入、模板注入、XML实体注入攻击等通用的Web攻击。 规则防护引擎 云WAF的Web基础防护规则引擎默认开启，所有接入云WAF防护的网站业务，默认都受到Web基础防护规则引擎的检测和防护。 Web基础防护规则引擎基于天翼云持续优化的高质量攻击检测规则集，帮助网站防御各种常见的Web应用攻击。您可以根据业务防护需要，在防护规则组的维度，设置规则引擎采用哪些防护规则。WAF按照防护严格程度，内置了三套规则组供选用： 正常规则组：默认选用该规则组。 宽松规则组：如需减少误拦截，可选用该规则组。 严格规则组：如需提高攻击检测命中率，可选用该规则组。 您也可以自定义防护规则组，相关操作，请参见自定义防护规则组。 防护模式 检测发现攻击请求时，对攻击请求执行的操作。可选以下两种模式： 拦截：检测到攻击行为后，直接阻断攻击请求，并记录攻击日志。 观察：检测到攻击行为后，不阻断攻击，仅记录攻击日志。

本页介绍了天翼云关系数据库MySQL版的使用规范。 为保障数据库的稳定及安全，将对天翼云关系数据库MySQL版数据库级别的部分使用规范进行介绍。请用户在使用前进行参考学习。 数据库命名规范 使用有意义的、描述性的名称，库名、表名、列名建议以小写字母命名，这样可以避免大小写敏感的问题，每个单词之间用下划线分割。 为避免引起冲突，所有的数据库对象名称禁止使用MySQL保留关键字，详情请参考MySQL官网保留字与关键字。 数据库对象的命名要能做到见名知意，并且不超过32个字符。 数据库中用到的临时表以“tmp”为前缀并以日期为后缀。 数据库中用到的备份表以“bak”为前缀并以日期为后缀。 使用前缀或后缀：使用前缀或后缀来区分不同类型的数据库对象，可以增加对象的可读性和管理性。 数据库字段设计规范 使用能准确描述字段用途的名称，避免使用无意义的或过于简化的字段名，字段上限50左右。 优先为表中的每一列选择符合存储需要的最小的数据类型。优先考虑数字类型，其次为日期或二进制类型，最后是字符类型。列的字段类型越大，建立索引占据的空间就越大，导致一个页中的索引越少，造成IO次数增加，从而影响性能。 整数型选择能符合需求的最短列类型，如果为非负数，声明需是无符号（UNSIGNED）类型。 每个字段尽可能具有NOT NULL属性，int等数字类型默认值推荐给0，VARCHAR等字符类型默认值给空字符串。 避免使用ENUM类型，可以用TINYINT类型替换。修改ENUM值需要使用ALTER语句，ENUM类型的ORDER BY操作效率低，需要额外操作。如果定义了禁止ENUM的枚举值是数值，可使用其他数据类型（如CHAR类型）。 实数类型使用DECIMAL，禁止使用FLOAT和DOUBLE类型。FLOAT和DOUBLE在存储的时候，存在精度损失的问题，很可能在值的比较时，得到错误的结果。 使用DATETIME、TIMESTAMP类型来存储时间，禁止使用字符串替代。 使用数字类型INT UNSIGNED存储IP地址，用INETATON、INETNTOA可以在IP地址和数字类型之间转换。 VARCHAR类型的长度应该尽可能短。VARCHAR类型虽然在硬盘上是动态长度的，但是在内存中占用的空间是固定的最大长度。 使用VARBINARY存储大小写敏感的变长字符串，VARBINARY默认区分⼤小写，没有字符集概念，速度快。

前提条件 已获取管理控制台的登录帐号与密码。 已经配置好安全组。 弹性云服务器的“Agent状态”为“未安装”。 通过IE浏览器访问时需要将用到的网站加入受信任的站点。 安装Linux版本客户端（方式一） 步骤1、登录云服务备份管理控制台。 1. 登录管理控制台。 2. 单击管理控制台右上角的，选择区域和项目。 3. 选择“存储 > 云服务备份”。选择对应备份的页签。 步骤2、选择“安装Agent”页签，进入“安装Agent”页面。 步骤3、在方式一中，根据需要选择相应的Agent版本，并将步骤二的安装命令复制下来。 步骤4、前往“弹性云服务器”界面，选择目标服务器，单击“操作”列下的“远程登录”，登录该弹性云服务器。 步骤5、将步骤二的安装命令粘贴至该服务器，以root权限执行。若执行失败，请先使用命令yum install y bindutils进行dig模块安装；若使用该命令安装仍旧失败，再使用安装Linux版本客户端（方式二）进行安装。 步骤6、Linux系统客户端安装完成后，即表示Agent已在正常工作。后续请参考最佳实践中修改或编写自定义脚本，来实现MySQL或SAP HANA等数据库的一致性备份。 安装Linux版本客户端（方式二） 步骤1、登录云服务备份管理控制台。 1. 登录管理控制台。 2. 单击管理控制台右上角的，选择区域和项目。 3. 选择“存储 > 云服务备份”。选择对应备份的页签。 步骤2、选择“安装Agent”页签，进入“安装Agent”页面。 步骤3、在方式二中，单击“点击下载”。在弹出的“下载客户端”，根据目标弹性云服务器的操作系统类型，选择需要下载的版本，单击“确定”。 步骤4、将客户端下载至本地任意目录后，使用文件传输工具（例如：“Xftp”、“SecureFX”、“WinSCP”），将下载的客户端安装包上传到待安装客户端的弹性云服务器。 步骤5、上传完毕后，前往“弹性云服务器”界面，选择目标服务器，单击“操作”列下的“远程登录”，登录该弹性云服务器。 步骤6、执行tar zxvf命令，将客户端安装包解压至任意目录，执行以下命令，进入解压后目录中的bin目录。 cd bin 执行以下命令，运行安装脚本。 sh agentinstallebk.sh 系统提示客户端安装成功。 步骤7、若弹性云服务器中已经安装了MySQL或SAP HANA数据库，需要执行以下命令加密MySQL或HANA数据库登录密码。 /home/rdadmin/Agent/bin/agentcli encpwd 步骤8、使用上一个步骤中的加密密码替换/home/rdadmin/Agent/bin/thirdparty/ebkuser/目录下脚本里的数据库登录密码。 步骤9、Linux系统客户端安装完成后，即表示Agent已在正常工作。后续请参考最佳实践中修改或编写自定义脚本，来实现MySQL或SAP HANA等数据库的一致性备份。

分布式缓存服务（Distributed Cache Service，简称DCS）是一款内存数据库服务，兼容Redis内存数据库引擎，为您提供即开即用、安全可靠、弹性扩容、便捷管理的在线分布式缓存能力，满足用户高并发及数据快速访问的业务诉求。 即开即用 DCS提供单机、主备和集群三种类型的缓存实例，拥有从128MB到1024GB的丰富内存规格。您可以通过控制台直接创建，无需单独准备服务器资源。 其中Redis4.0/5.0/6.0版本采用容器化部署，秒级完成创建。 安全可靠 借助统一身份认证、虚拟私有云、云监控与云审计等安全管理服务，全方位保护实例数据的存储与访问。 灵活的容灾策略，主备/集群实例从单AZ（可用区）内部署，到支持跨AZ部署。 弹性伸缩 DCS提供对实例内存规格的在线扩容与缩容服务，帮助您实现基于实际业务量的成本控制，达到按需使用的目标。 便捷管理 可视化Web管理界面，在线完成实例重启、参数修改、数据备份恢复等操作。DCS还提供基于RESTful的管理API，方便您进一步实现实例自动化管理。 在线迁移 提供可视化Web界面迁移功能，支持备份文件导入和在线迁移两种方式，您可以通过控制台直接创建迁移任务，提高迁移效率。 DCS Redis Redis是一种支持KeyValue等多种数据结构的存储系统。可用于缓存、事件发布或订阅、高速队列等典型应用场景。Redis使用ANSI C语言编写，提供字符串（String）、哈希（Hash）、列表（List）、集合结构（Set、Sorted Set）、流（Stream）等数据类型的直接存取。数据读写基于内存，同时可持久化到磁盘。 DCS Redis拥有灵活的实例配置供您选择： DCS Redis灵活的实例配置 实例类型 提供单机、主备、Proxy集群、Cluster集群、读写分离类型，分别适配不同的业务场景。 单机：适用于应用对可靠性要求不高、仅需要缓存临时数据的业务场景。单机实例支持读写高并发，但不做持久化，实例重启后原有缓存数据不会加载。 主备：包含一个主节点，一个备节点，主备节点的数据通过实时复制保持一致，当主节点故障后，备节点自动升级为主节点。 Proxy集群：在Cluster集群的基础上，增加挂载Proxy节点和ELB节点，通过ELB节点实现负载均衡，将不同请求分发到Proxy节点，实现客户端高并发请求。每个Cluster集群分片是一个双副本的主备实例，当主节点故障后，同一分片中的备节点会升级为主节点来继续提供服务。 Cluster集群：通过分片化分区来增加缓存的容量和并发连接数，每个分片是一个主节点和0到多个备节点，分片本身对外不可见。分片中主节点故障后，同一分片中备节点会升级为主节点来继续提供服务。用户可通过读写分离技术，在主节点上写，从备节点读，从而提升缓存的整体读写能力。 读写分离：在主备实例的基础上，增加挂载Proxy节点和ELB节点，通过ELB节点实现负载均衡，将不同请求分发到Proxy节点，Proxy节点识别用户读写请求，将请求发送到主节点或备节点，从而实现读写分离。 :: 规格 Redis提供128MB~1024GB的多种规格。 兼容开源Redis版本 DCS提供不同的实例版本，分别兼容开源Redis的3.0、4.0、5.0、6.0。 底层架构 基于虚拟机的标准版 ，单节点QPS达10万/秒。 高可用与容灾 主备与集群实例提供Region内的跨可用区部署，实现实例内部节点间的电力、网络层面物理隔离。 有关开源Redis技术细节，您可以访问Redis官方网站

管理改密日志 改密策略执行后产生的改密日志。改密日志中可查看改密详情。 前提条件 已获取“改密策略”模块操作权限。 查看日志详情 1 登录云堡垒机系统。 2 选择“策略 > 改密策略 > 改密日志”，查看和管理改密日志记录。 改密日志列表 3 查询改密日志。 快速查询：在搜索框中输入关键字，根据策略名称快速查询改密日志。 4 选择目标执行日志，单击“详情”，进入日志详情页面。 可查看日志内容包括基本信息、改密结果等信息。 查看改密日志详情 下载改密日志 1 登录云堡垒机系统。 2 选择“策略 > 改密策略 > 改密日志”，查看和管理改密日志记录。 3 单击“下载”，进入下载改密日志文件窗口。 4 下载确认。 （可选）设置加密密码：可选择设置。不设置，下载的改密日志为未加密的CSV格式文件；设置密码，下载的改密日志为加密的ZIP格式文件。 （必选）用户密码：输入当前用户的帐号登录密码，验证通过才允许下载改密日志，确保资源账户密码安全。 单击“确定”，即可下载CSV格式文件或加密的ZIP格式文件保存到本地。

本文帮助您快速熟悉删除对等连接的操作方法。 操作场景 本节指导用户删除对等连接。 对等连接在任何状态下，本端账户和对端账户均有权限删除对等连接。 约束与限制 对等连接双方账号都有权限删除对等连接，一方删除对等连接后，对等连接的所有信息会被立刻删除，包括本端VPC和对端VPC路由表中对等连接的路由信息。 操作步骤 1. 登录管理控制台，并选择目标区域。 2. 在控制台首页打开服务列表，选择“网络 > 虚拟私有云”。 进入虚拟私有云列表页面。 3. 在左侧导航栏，选择“虚拟私有云 > 对等连接”。 进入对等连接列表页面。 4. 在对等连接列表中，单击目标对等连接所在行的操作列下的“删除”。 弹出对等连接删除确认对话框。 5. 确认无误后，根据界面信息完成确认操作，并单击“确定”，删除对等连接。

本章节主要介绍通用类问题 DRDS提供哪些高可靠保障 数据完整性 DRDS实例故障不会影响数据的完整性。 1、业务数据存储在数据节点分片中，DRDS不存储业务数据。 2、逻辑库与逻辑表等配置信息存储在DRDS数据库中，DRDS数据库主备高可用。 高可用机制 DRDS采用多个无状态节点集群式部署模式，通过弹性负载均衡地址提供服务。 1、DRDS节点自身宕机类故障，对于已建立在故障节点上的连接会断连报错，DRDS集群整体服务不受影响，通常情况下可在5秒内将故障节点从集群中剔除。 2、下挂数据节点故障，通常情况下可以在下挂数据节点恢复后30秒内完全恢复正常服务能力。 如何选择和配置安全组 DRDS实例采用了VPC和安全组等网络安全保护措施，以下内容帮助您正确配置安全组。 通过VPC内网访问DRDS实例 DRDS实例的访问和使用，包括客户端所在ECS访问DRDS实例，以及DRDS实例访问其关联的数据节点。 除了ECS、DRDS实例、数据节点必须处于相同VPC之外，还需要他们的安全组分别配置了正确的规则，允许网络访问。建议ECS、DRDS、数据节点配置相同的安全组。安全组创建后，默认包含同一安全组内网络访问不受限制的规则。 一个DRDS实例关联的不同数据节点之间是否可以共享数据 一个DRDS实例关联的不同数据节点之间数据是互相独立的，无法共享。数据节点表示DRDS下关联的RDS for MySQL实例。

天翼云提供了底层资源，DeepSeek模型还是要客户自己部署的吗？ 天翼云提供了预置DeepSeek模型的镜像，开机即用。 DeepSeek模型、Ollama工具下载慢，我该怎么办？ 目前使用天翼云的镜像源，可加快访问速度。如果想使用其他模型，也可以自定义部署。 昇腾版本和英伟达版本有啥区别？ 昇腾和英伟达版本主要区别在于硬件设备（如A100和昇腾），具体的参数层面区别难以量化。 开箱即用的镜像，能否更换其他参数规模的模型？ 可以的，GPU云主机提供了预置DeepSeek R1:7B 和DeepSeek R1:70B 两款模型镜像，提供了DeepSeek LLamaFactory模型微调镜像，并配备完整的ollama、openWebUI工具，用户可根据需要进行自定义部署。 模型部署过程中发现云盘的容量不够怎么办？ 根据云硬盘扩容概述对已有云盘进行扩容或购买数据盘进行挂载。 天翼云公有云哪些资源池有DeepSeek预置镜像？ 目前DeepSeek R1:7B Ubuntu云主机镜像，已上线至福州25、郑州5、长沙42、上海36、华北2、华南2、西南1、华东1，其余资源池按需加载；裸金属镜像DeepSeek R1:7B Ubuntu已上线上海15资源池，其余资源池按需加载。

检查远程桌面连接设置 修改Windows云主机的远程桌面连接设置：勾选“允许运行任意版本远程桌面的计算机连接（较不安全）”。具体操作如下： 1.登录云主机。 2.打开左下角的“开始”菜单，右键单击“计算机”，并选择“属性”。 3.在左侧导航栏，选择“远程设置”。 4.选择“远程”页签，并在“远程桌面”栏，选择“允许运行任意版本远程桌面的计算机连接（较不安全）”。 图 远程设置 5.单击“确定”。 检查Remote Desktop Services 1.打开Windows搜索框，输入services，选择“服务”。 2.在服务中选择并重启Remote Desktop Services服务，请确保Remote Desktop Services状态为“正在运行”。 图 Remote Desktop Services 检查远程桌面会话主机 1.打开cmd运行窗口，并输入“gpedit.msc”。 2.单击“确定”，打开“本地组策略编辑器”。 3.选择“计算机配置 > 管理模板 > Windows组件”，查找并双击“远程桌面服务”。 4.选择“远程桌面会话主机 > 安全 > 远程（RDP）连接要求使用指定的安全层”。 图 远程（RDP）连接要求使用指定的安全层 5.选择“已启用”，并将“安全层”设置为“RDP”。 图 设置安全层为RDP

本文介绍HTTPS证书的管理规则，包括新增、查看、删除和替换过期证书。 概述 在AOne证书管理模块，您可以统一对边缘安全加速平台i进行新增证书、查看证书、删除证书和替换过期证书等操作，方便客户按业务的实际需求，查看对应的操作指南。 功能简介 功能 说明 新增证书 开启HTTPS协议主要涉及两个步骤：一是打开“Https开关”，二是Https证书上传。第二步客户可参考新增证书的指引完成证书上传。 查看证书 客户完成证书新增后，可通过边缘安全加速平台控制台界面查看已添加的证书及其详细信息，包括：证书备注名、证书通用名称、证书品牌、颁发时间、到期时间、创建时间等。 删除证书 当证书过期或者不再使用时，可通过边缘安全加速平台控制台删除证书。 批量绑定域名 当您需要更新证书时，如果涉及到大量域名需要绑定证书，可以通过批量绑定域名进行快捷操作。 使用免费证书 如果您的网站没有购买HTTPS证书，可以通过边缘安全加速平台提供的免费证书来支持HTTPS访问。

根据互联网业务的需要，需为每个业务云主机创建网络对象。本小节介绍安全专区云防火墙方位策略配置。 配置方法： 从【导航菜单】页面中，点击【对象】→【网络对象】→【新增】→【业务】，进行相关配置。 名称：按需命名； 服务器IP：业务云主机的IP地址。

本小节介绍云下一代防火墙SSL VPN远程拨入最佳实践。 背景信息 用户存在远程拨入运维请求，但未购买天翼云平台SSL VPN服务，可使用云下一代防火墙SSL VPN服务，该服务需单独配置。 前期准备 提供使用SSL VPN人员数量及人员账户信息。 配置流程说明 序号 子流程 配置内容 1 梳理VPN用户及登录密码 梳理内部登录权限 2 创建VPC地址池 【网络】→【VPN】→【SSL VPN】→新建 3 创建用户 【对象】→【用户】→【本地用户】→新建 4 创建隧道接口 【网络】→【接口】→【新建】，编辑安全域及对应地址和链接隧道 5 配置安全策略 确认需要进行过滤的访问对象，进行安全策略配置 【策略】→【安全策略】→【新建】，详细配置参考配置安全策略 配置内容 1.配置VPN地址池 打开【网络→VPN→SSL VPN】，进行新建。 新建基本配置起始IP、终止IP、掩码、DNS1。 注意 该地址池是用户拨入VPN后，用户可获取的VPN地址，必须与隧道接口中的地址在同网段，且不能覆盖。 2.VPN用户配置 登录云墙，打开【对象→用户→本地用户→新建→用户】，输入名称、密码、确认密码。 本次配置信息：名称：testuser；密码：123（此名称密码为示例）。 3.配置VPN安全域 打开【网络→安全域】，使用VPN安全域。 4.新建SSL VPN隧道接口。 打开【网络→接口】，新建→隧道接口。 配置接口名称：tunnel10； 安全域：VPNHub； IP地址配置：10.1.1.1/24。 注意 该IP地址是用于VPN登录时的网关地址，一般默认是XX.XX.XX.1/24的地址。 该地址网段涉及到下面SSL VPN地址池的配置，请根据自身网络进行规划。 逆向路由：关闭，防止出现环路。 5.配置出向策略。 SNAT配置：VPN地址池转换为防火墙接口地址。 安全策略访问：VPN安全域（被转换接口安全域）。

本章节将为您介绍云主机备份入门的基本流程,主要包括场景说明,控制台快速创建云主机备份的操作,帮助您快速上手云主机备份。 入门指引 您还可以通过API方式创建云主机备份，查看和恢复等。 场景说明 云主机备份提供两种配置方式，一次性备份和周期性备份。一次性备份是指用户手动创建的一次性备份任务。周期性备份是指用户通过创建备份策略并绑定云主机的方式创建的周期性备份任务。 云主机备份的两种配置方式对比如下表，可根据实际情况选择适合的配置方式。 对比项 一次性备份 周期性备份 备份策略 不需要 需要 备份次数 手动执行一次性备份 根据备份策略进行周期性备份 单次可备份的云主机数目 1个 ≤64个 备份名称 支持自定义 系统自动生成 备份方式 首次全量备份，非首次增量备份 云主机备份支持从任意一个备份恢复云服务器的全量数据，无论这个备份是全量还是增量。 首次全量备份，非首次增量备份 云主机备份支持从任意一个备份恢复云服务器的全量数据，无论这个备份是全量还是增量。 建议使用场景 云主机进行操作系统补丁安装、升级，应用升级等操作之前，以便安装或者升级失败之后，能够快速恢复到变更之前的状态。 云主机的日常备份保护，以便发生不可预见的故障而造成数据丢失时，能够使用邻近的备份进行恢复。 另外，用户也可以根据业务情况将两种方式混合使用。例如，根据云主机中存放数据的重要程度不同，可以将所有的云主机加入到一个备份策略中进行日常备份保护。其中个别保存有非常重要的数据的云主机，根据需要不定期的执行一次性备份，保证数据的安全性。

功能分类 功能名称 功能描述 相关文档 域名管理 批量配置域名 客户往往会存在多个域名需要配置，而配置又是相同的情况，这时我们提供批量配置域名的方式可以使客户快速、便捷的接入域名。 域名管理 域名操作工单 域名操作工单，指的是全站加速域名管理中的工单，是用于跟踪和记录由客户操作发起的域名新增及域名配置变更任务的状态和执行结果，方便跟进变更的进度以及追溯变更历史，辅助管理客户业务。 标签管理 创建/删除标签和标签组 客户控制台上提供了一种域名分类管理工具——标签和标签组，使用标签可以对具有相同属性的域名进行分类管理，使用标签组可以对具有相同归类属性的标签进行分类管理。客户可自助在控制台上创建/删除标签和标签组。 标签管理 域名绑定标签 标签为域名分类管理工具，通过给域名绑定标签功能，用户可以对具有相同属性的域名进行分类管理。 标签管理 域名解绑标签 标签为域名分类管理工具，通过标签功能对具有相同属性的域名进行分类管理。如果标签已不再适用于您当前某个或多个域名的用途，您可以解绑域名标签。 标签管理 使用标签管理域名 在完成域名绑定标签后，您在日常运营时，就可以使用标签快速筛选对应的域名，进行分组管理。 标签管理 使用标签筛选数据 在完成域名绑定标签后，在日常运营时，如果您需要查询某一属性的域名的数据，就可以基于标签筛选相关域名，查询对应的数据。 基础配置 加速类型 天翼云客户控制台，提供CDN加速、全站加速等多款产品的加速类型配置，您可以根据域名的业务类型选择合适的加速类型。 基础配置 域名类型 天翼云全站加速产品提供三种业务类型的加速：全站加速、上传加速、websocket加速，您可以在添加域名时选择不同的域名类型来对不同的业务进行加速。 1.当您的域名以下行分发为主，且无websocket协议时，请选择“全站加速”域名类型。 2.当您的域名有上传业务时，请选择“全站加速上传加速”域名类型。 3.当您的域名有websocket协议时，请选择“全站加速websocket加速”域名类型。 基础配置 加速区域 天翼云全站加速支持“中国内地”、“全球加速（不含中国内地）”、“全球加速”三种加速区域的选择。 基础配置 IPv6配置 天翼云全站加速产品已经支持接收IPv6协议的请求，开启IPv6后，当您的用户处于IPv6环境时，客户端可以通过IPv6协议访问天翼云全站加速节点。 回源配置 源站配置 回源配置模块支持客户自定义源站。支持IP或域名，支持配置多个源站地址，多源站场景下，支持设置源站的主备优先级和权重，实现负载均衡。 回源配置 动态回源策略 在介绍动态回源策略之前，我们先介绍如何区分动态请求和静态请求。天翼云全站加速产品根据您配置的缓存规则来区分动静态请求，有配置缓存规则的被当作静态请求处理，其他请求将被当作动态请求处理。 如果您的加速域名有多个源站，可以配置合适的回源策略来实现不同的效果。动态回源策略支持择优回源、按权重回源、保持登录三种回源方式；静态回源策略默认轮询回源，无需配置。 1.择优回源：顾名思义，即根据全站加速节点探测源站的结果，选择最快的源站回源。 2.按权重回源：根据每个源站配置的不同权重，轮询回源。 3.保持登录：基于客户端IP进行哈希，保证相同客户端IP的多次请求始终访问到相同的源站。 回源配置 回源协议 回源协议指全站加速节点回源站请求资源时使用的协议。配置该功能后，全站加速节点将根据指定的协议回源。全站加速支持HTTP回源协议，HTTPS回源协议、跟随客户端请求使用的协议回源三种回源协议。 回源配置 回源加密算法 回源协议为HTTPS协议时，全站加速默认使用国际标准加密算法回源，也可以选择使用国密加密算法回源或者跟随客户端加密算法回源；未选择默认使用国际加密算法回源。 回源配置 回源端口 回源端口，是指源站接收用户请求时所用的端口，一般http协议和https协议使用不同的源站端口。 回源配置 默认回源HOST 当您的源站的同一个IP地址上绑定多个域名或站点时配置回源HOST，全站加速在回源时根据HOST信息去对应站点获取资源。 回源配置 回源HOST带端口 当源站绑定了多个域名，且源站服务运行在非80/443端口（比如8080）时，开启回源HOST带端口功能，全站加速回源时可以在回源HOST中带上具体的端口（如test.ctyun.cn:8080），精准找到源站服务。 回源配置 回源SNI 如果您的源站IP绑定了多个域名，且全站加速回源协议为HTTPS时，需配置回源SNI，在回源SNI内指明所请求的具体域名，并使服务器根据该域名正确地返回对应的SSL证书。 回源配置 回源URI改写 回源URI改写可以实现在用户请求需要回源时进行URI改写， 全站加速节点向源站发送回源请求的时候使用改写后的URI。 回源配置 回源参数改写 回源参数改写，改写的是回源请求URL的查询参数，即问号后的参数值。可支持参数的新增、删除、修改，以及保留或忽略所有参数。 回源配置 Common Name白名单 开启Common Name白名单功能后，全站加速节点以HTTPS协议与源站建连时，将会对请求的SNI和源站返回证书的Common Name进行校验。 回源配置 回源302/301跟随 配置302/301跟随回源功能后，全站加速节点会代替用户去处理源站响应的302/301状态码内容，即全站加速节点会直接跳转到源站302/301响应中的Location地址去请求对应资源，不会把源站响应的302/301跳转地址直接返回给用户，让用户自己去请求跳转地址的资源。 回源配置 Range回源 Range回源，是指节点收到用户请求后，会在回源时携带Range请求头，源站在收到Range请求后，会返回对应范围的内容数据给全站加速。Range回源功能开启后，全站加速节点可以以分片的形式缓存文件，对于Range请求而言，可以有效提高文件分发效率，降低首包时延，同时提高缓存利用率，减少不必要的回源。 回源配置 回源超时时间设置（新） 回源超时时间包括回源连接超时时间跟回源请求超时时间： 回源连接超时时间指回源节点与源站服务器建立连接的超时时间。回源请求超时时间指回源节点与源站服务器建连成功后，向源站服务器发送请求的超时时间。 回源配置 分区域分运营商回源 如果您的域名有多个源站，且希望通过全站加速实现多个源站之间负载均衡，您可以按照区域或者运营商划分源站，让不同区域或者运营商的客户端IP回不同的源，从而实现同运营商回源，或者就近回源。 回源配置 区分ipv4/ipv6协议回源 如果您的域名既有ipv4源站，又有ipv6源站，可以配置区分ipv4/ipv6协议回源，可实现ipv4协议的客户端回ipv4的源站，ipv6协议的客户端回ipv6的源站。同时也可基于客户实际需求，设置V4和V6用户按指定权重回对应V4和V6源站。 回源配置 指定源站回源HOST 当您的加速域名配置了多个回源站点，且回源站点与加速域名不同时，您可以使用指定源站回源HOST功能，为不同的源站配置不同的回源HOST，天翼云全站加速产品在回源时会根据配置的回源HOST信息去访问不同站点的资源。 回源配置 高级回源 当客户希望全站基于某些特殊场景回不同源站时，例如需要根据请求的不同文件后缀名、不同目录回不同的源站时，可以使用天翼云高级回源功能。 回源配置 私有Bucket回源 回源地址使用天翼云媒体存储【即对象存储（融合版）】并且Bucket为私有模式的场景。 证书管理 在全站加速控制台上可以新增/查看/删除https证书，也可以替换已过期的证书。 HTTPS相关配置 HTTPS配置 在全站加速控制台上可以启用/停用域名的https开关，上传https证书。 HTTPS相关配置 国密HTTPS 天翼云全站加速产品支持SM2（椭圆曲线公钥密码算法）和SM3（杂凑算法）标准，提供更加安全的HTTPS传输协议（即国密HTTPS加密能力）。 HTTPS相关配置 HTTP2.0配置 HTTP/2也被称为HTTP 2.0，相对于HTTP 1.1新增了多路复用、压缩HTTP头、划分请求优先级和服务端推送等特性，解决了在HTTP 1.1中一直存在的问题，优化了请求性能，同时兼容了HTTP 1.1的语义。 HTTPS相关配置 强制跳转 通过配置强制跳转功能，将客户端到边缘节点的原请求方式强制重定向为HTTP或者HTTPS请求。天翼云全站加速产品支持配置HTTP和HTTPS强制跳转，适用场景： 1、已经配置了HTTPS证书的加速域名，可配置强制跳转，通过301或302重定向方式，将客户端到全站加速节点的HTTP请求强制跳转为HTTPS请求，HTTPS请求更安全。 2、对于安全性要求不高的业务应用，对应的加速域名可配置强制跳转，通过301或302重定向方式，将客户端到全站加速节点的HTTPS请求强制跳转为HTTP请求。 HTTPS相关配置 OCSP Stapling 启用OCSP Stapling功能后，OCSP信息查询的工作将由全站加速的服务器完成。全站加速服务器通过低频次查询，将查询结果缓存到服务器中（默认缓存时间60分钟）。当客户端向服务器发起TLS握手请求时，全站加速服务器将证书的OCSP信息和证书一起发送到客户端，供用户验证，无需用户向数字证书认证机构（CA）发送查询请求。极大地提高了TLS握手效率，节省了用户验证时间。 HTTPS相关配置 HSTS配置 开启了HSTS后，当您的域名在全站加速产品开启HTTPS安全加速时，在浏览器输入HTTP协议开头的URL链接，用户请求访问到全站加速节点上的时候，在配置了HTTP协议跳转HTTPS协议的情况，全站加速节点会将该HTTP请求301或302重定向到HTTPS，此时全站加速节点会响应一个强制HSTS的头给客户端，告诉客户端只能使用HTTPS协议访问全站加速节点，此后浏览器将直接使用HTTPS协议访问全站加速节点，不再需要HTTP协议强制跳转HTTPS协议了。 HTTPS相关配置 TLS协议版本 天翼云全站加速产品提供TLS协议版本控制功能，您可以按需对不同加速域名配置不同的TLS协议版本，低版本的TLS协议将提供对老版本浏览器的支持，但是协议的安全性相对更差一些，高版本的TLS协议将提供更高的安全性，但是对老版本浏览器的兼容性相对差一些。天翼云全站加速产品支持的TLS协议版本包括TLSv1.0、TLSv1.1、TLSv1.2、TLSv1.3。 HTTPS相关配置 HTTPS无私钥驻留加速 通常情况下，HTTPS协议的域名，如果需要在全站加速平台配置加速服务，需要将HTTPS公钥和私钥部署到全站加速平台。使用HTTPS无私钥驻留加速方案后，您只需要将公钥部署到全站加速平台，私钥可以由源站唯一保有，即可实现HTTPS业务的加速。 HTTPS相关配置 批量HTTPS证书配置 天翼云全站加速产品支持HTTPS加速服务，您可以通过控制台上传证书，并批量关联域名启用HTTPS加速服务，实现全网数据加密传输。 HTTPS相关配置 加密套件 介绍天翼云全站加速支持的加密套件及对应套件支持的最低版本的SSL/TLS协议。 HTTPS相关配置 双向认证 双向认证，顾名思义，即客户端与服务器双方均需认证对方的身份，在确认对方身份后才可以建立HTTPS连接。在标准的HTTPS中，通常采用单向认证的方式，即服务器向客户端证明自己的身份以建立一个安全加密的通信连接；双向认证在服务器向客户端证明身份的基础上，还需要客户端也提供客户端证书，供服务器验证客户端的身份，客户端与服务器双方都验证通过对方的身份后，才建立HTTPS连接。 缓存配置 缓存过期时间 缓存过期时间指源站资源在全站加速节点缓存的时长，达到预设时间，资源将会被全站加速节点标记为失效资源。如果客户端向全站加速节点请求的资源已经失效，全站加速节点会回源站获取最新资源并缓存到全站加速节点上，供其他请求使用。 全站加速产品支持按后缀名、目录、首页、全部文件、全路径文件类型进行缓存。您可以根据业务需求，按指定路径或文件名后缀配置静态资源的缓存过期时间。 缓存配置 状态码过期时间 全站加速节点从源站获取资源时，源站会返回响应状态码，您可以在客户控制台上配置状态码过期时间，当客户端再次请求相同资源时，由全站加速节点直接响应状态码，不会触发回源，减轻源站压力。当状态码在全站加速节点上的存储时长超过设置的过期时间，缓存的状态码会失效，此时针对同一资源的请求需要回源。配置状态码过期时间主要适用于源站响应了异常状态码的情况下，例如4xx、5xx。正常情况下全站加速节点成功从源站获取到所请求的资源，即源站响应了2xx状态码时，会按照天翼云全站加速缓存规则及优先级进行缓存。如果源站无法迅速响应所有状态码（例如非2xx状态码），且不希望所有请求全部由源站响应，那么可以配置状态码过期时间，由全站加速节点直接响应状态码，减轻源站压力。 缓存配置 状态码过期时间（源站优先） 如您希望在源站响应特殊状态码并携带相关缓存头的情况下，源站相关缓存头优先级更高，无相关缓存头时才按全站加速设置的过期时间生效，则可以配置状态码过期时间（源站优先）功能。 缓存配置 缓存key设置 通过自定义缓存key，可以将原始URL形式不同但实际指向同一个文件的请求，缓存为同一份，从而提升缓存命中率，降低回源量。 缓存配置 跨域资源共享 跨域资源共享，允许Web应用服务器进行跨域访问控制，实现跨域数据的安全传输。当客户的业务需要跨域共享或者访问资源时，客户可以通过自定义HTTP响应头来实现。 头部修改 HTTP响应头 HTTP响应头是HTTP响应消息头的组成部分之一，可携带特定响应参数并传递给客户端。通过配置自定义HTTP响应头，当用户请求加速域名下的资源时，全站加速节点返回的响应消息会携带您配置的响应头，从而实现特定功能。常用场景包括：告知客户端全站加速节点响应文件的资源类型，例如添加响应头ContentType: text/html，告知客户端全站加速节点响应文件的格式是HTML格式。当用户请求全站加速节点上某个域名的资源时，可以在全站加速节点返回的响应消息中配置自定义响应头，以实现跨域访问。 头部修改 回源HTTP请求头 当全站加速节点请求回源站拉取资源时，源站可获取到回源请求头中携带的信息。您可以通过该功能，改写用户回源请求中的HTTP Header信息，携带特定的参数信息给源站，实现特定业务需求。例如，通过XForwardFor头部携带真实客户端IP至源站。 头部修改 回源HTTP响应头 如果您需要改写用户源站响应报文中的HTTP Header，可以通过配置回源HTTP响应头实现。可根据您的实际业务需求，选择添加、修改、删除回源HTTP响应头。 文件处理 文件压缩 介绍Gzip和Brotli压缩算法及配置方式。 文件处理 图片处理 开通图片处理功能后，全站加速可以在回源节点上对客户原始图片做自适应WEBP、自动瘦身，或通过客户端携带的URL参数进行缩放、旋转、裁剪、格式转换等处理后进行分发，并缓存在全站加速节点，使得源站保留原图即可；免去源站对图片的各种处理，降低源站压力，节省源站存储空间，同时提升图片处理响应速度。 高级配置 错误页面自定义 当页面访问出错时，客户端会显示默认错误页面，例如404 Not Found。默认的报错页面通常不美观，会带给用户不好的体验。为了帮助客户优化用户体验，全站加速节点支持当出现指定错误码的时候，能够让用户跳转到客户自定义页面的功能。 高级配置 访问URL重定向 当客户源站的内容存放路径发生了变更，全站加速节点上的内容存放路径也发生了变更，但是用户请求URL里面包含的内容路径没有变更时，需要全站加速节点改写用户请求里面的内容路径。技术实现方式是通过响应302状态码重定向的方式，让客户端取302响应里面的Location的新URL，重新向全站加速节点发起访问，确保用户能获得正确的内容。 访问控制 IP黑白名单 IP黑/白名单功能通过识别客户端IP来过滤用户请求，拦截特定IP的访问或者允许特定IP的访问，可以用来解决恶意IP盗刷、攻击等问题。 访问控制 Referer防盗链 Referer防盗链，是基于HTTP请求头中Referer字段（例如，Referer黑白名单）来设置访问控制规则，实现对访客的身份识别和过滤，防止网站资源被非法盗用。配置Referer黑白名单后，全站加速会根据名单识别请求身份，允许或拒绝访问请求。允许访问请求，全站加速会返回资源链接；拒绝访问请求，全站加速会返回403响应码。 访问控制 UA黑白名单 可以通过配置访问的UserAgent头部来对访客身份进行识别和过滤，拒绝非法访问。全站加速通过对用户 HTTP 请求头中的 UserAgent 进行规则判断，按需放行或拒绝用户访问。允许访问时，全站加速会返回资源链接；拒绝访问时，全站加速会返回403响应码。 访问控制 URL黑白名单 URL黑白名单是网络安全管理中的一种重要机制，主要用于控制用户对特定资源的访问权限。 访问控制 URL鉴权 为了防止站点资源被恶意下载或者非法盗用，避免产生不必要的带宽浪费，您可以在天翼云全站加速平台上配置URL鉴权功能。配置URL鉴权后，全站加速产品会对加密串及时间戳进行校验，从而有效地保护用户站点资源。 访问控制 远程同步鉴权 可以通过配置远程同步鉴权功能，在全站加速节点收到用户请求后，将请求转发回提前设定的鉴权源站，在源站鉴权许可后，全站加速节点才给用户返回对应内容，从而实现用户鉴权规则由源站全权定义。 访问控制 全网带宽控制 天翼云全网带宽控制功能可通过设置单个域名或多个域名的总带宽值来控制带宽总用量，避免因带宽突发带来更多的带宽费用。带宽控制功能支持全网边缘总带宽限制，支持分时段控制，您可以根据自身带宽需求选择对应的限制策略。带宽超出设置值后，可选择对请求进行限速、拒绝或者重定向操作。 访问控制 有序回源 全站加速的有序回源功能是一种流量控制方法，用于大量请求并发回源时的排队管理。 访问控制 单请求限速 单请求限速功能可以限制全站加速节点响应给用户的下行速率，从而减少域名的整体带宽，节省成本。 访问控制 IP访问限频 IP访问限频功能可以限制单个用户IP在天翼云全站加速单台服务器上的请求频次，防御CC攻击，防止恶意用户盗刷。 页面优化 html页面优化 置了页面优化功能后，全站加速产品会自动删除页面中的冗余内容，例如HTML页面、JavaScript和CSS中的注释内容和重复的空白符，从而达到缩小文件体积、提升文件分发效率。 页面优化 html禁止操作 html禁止操作，支持在客户控制台自助进行html页面的禁止右键操作和禁止复制操作，以防止源站的源码泄露。 视频相关 视频拖拉 视频点播网站或应用，通常都会提供视频拖拉能力，用户可以随意拖动播放器进度条到想要的位置。使用全站加速后，您可以通过配置视频拖拉功能，支持用户的视频拖拉请求。 视频相关 视频试看 视频点播网站或应用，除免费视频外，通常还会有一些精品付费视频。为吸引用户观看，网站往往会允许用户免费试看一定时间的内容，例如60s或是更短时间。使用全站加速后，视频网站仍可通过全站加速节点来实现视频试看功能。 视频相关 HLS标准加密改写 LS标准加密改写功能，是指全站加速节点回源获取到M3U8文件内容后，改写其中的EXTXKEY标签，增加加密算法、秘钥URI地址以及鉴权参数信息。客户端播放器收到被改写的M3U8文件后，基于EXTXKEY标签识别到对应TS文件为加密文件，此时会携带鉴权参数向秘钥URI地址发起请求，获取到秘钥内容后，基于加密算法和获取的秘钥解密TS数据内容并实现视频播放，最终通过HLS加密实现内容版权保护。 上传加速 天翼云全站加速提供的上传加速服务，提供了一种针对用户上行传输全程加速的整体加速方案。使用本方案后，用户上传的内容将自动适配到最近的节点，节点接收到终端数据后，天翼云全站加速通过自研技术将用户上传的内容快速上传到源站。 websocket加速 天翼云全站加速产品支持对websocket协议和http/https协议同时加速，即同一个域名可以既有http/https协议，又有websocket加速，您无需拆分域名，使用全站加速产品就可以实现对域名下http/https协议的应用和websocket协议的应用同时加速。全站加速节点会自动识别客户端与全站加速边缘节点通信使用的协议，自动切换协议。通常情况下，websocket协议的应用多为动态业务，对实时性要求很高，全站加速的动态探测选路能力可以为websocket应用选择最快的回源路径，提升websocket业务的访问效果。 QUIC协议 天翼云全站加速产品开放使用的是七层协议的QUIC，主要应用在客户端与全站加速平台边缘节点的交互，主要适用于弱网环境下的传输优化。 云备源 云备源服务可帮助客户实现定期将网站内容从主源自动同步至备源，如主源发生宕机，则全站加速可无缝切换至云备源，实现网站业务高可用。 高性能网络 高性能网络是全站加速产品的一项跨境能力进阶型增值服务，当普通国际网无法满足客户跨境传输需求时，通过开通高性能网络，利用其单独直连性、轻负载、高稳定性的特性，能帮助客户实现全链路低延时，低丢包率，高稳定性的跨境加速效果。 业务告警 天翼云全站加速平台支持自动化业务指标监控和告警功能，客户可以依据实际业务监控/告警需要，设置相关的监控与告警规则。 防攻击处理预案说明 天翼云全站加速默认不提供防攻击服务。当某个客户的域名遭受攻击（例如CC攻击），而出现带宽或QPS异常大幅上涨触发平台稳定性红线时，全站系统有权将对应客户的域名切入专用隔离资源池以隔离异常业务，避免影响其他正常用户的加速服务。在攻击较严重的情况下，同账户下的其他域名也会切入隔离资源池。 数据分析 用量分析 全站加速控制台的【数据分析】【用量分析】模块可以展示客户的带宽流量、回源统计、请求数、命中率、状态码、PV/UV、地区运营商等指标。 数据分析 热门分析 全站加速控制台的【数据分析】【热门分析】支持三个月内、最长时间跨度为一个月的热门数据统计，包括TOP 100 URL、TOP 100 回源URL、热门Referer、热门域名、TOP客户端IP统计，可根据访问次数优先和流量优先两种维度的排列。并支持数据下载导出，表格内容与页面一致。 数据分析 用户分析 全站加速控制台的【数据分析】【用户分析】可展示用户的区域分布、运营商分布情况。并展示每个区域/运营商的带宽、流量、访问次数。 刷新预取 刷新 刷新功能是指提交URL刷新、目录刷新、正则刷新请求后，全站加速节点的缓存内容将会被强制置过期，当您向全站加速节点请求资源时，全站加速会直接回源站获取对应的资源返回给您，并将其缓存。刷新功能会降低缓存命中率。 刷新预取 预取 预取功能是指提交URL预取请求后，源站将会主动将对应的资源缓存到全站加速节点，当您首次请求时，就能直接从全站加速节点缓存中获取到最新的资源，全站加速节点无需再回源站获取。预取功能会提高缓存命中率。 日志下载 全站加速控制台的日志下载模块提供六个月内的日志下载。 诊断工具 通过诊断工具可查询指定IP是否为天翼云CDN节点IP以及对应归属地。 计费详情 客户已完成订购的全站加速服务包括按量计费和资源包两种方式，资源使用情况、有效期及状态等信息均可在客户控制台的【计费详情】页面进行统一汇总与展示。同时，该页面支持完成服务订购、退订、计费方式变更、加速区域变更、资源增配或减配等一站式操作。 用户自定义脚本UDFScript 客户不仅可通过自助控制台实现域名标准化配置，还可结合用户自定义脚本实现更为灵活的CDN可编程化，快速实现标准化配置无法满足的个性化需求。 BosonFaaS边缘函数 边缘函数可以让企业研发人员将自定义的JavaScript代码秒级一键部署到天翼云边缘节点上，就近生成千人千面的个性化响应结果。研发人员只需要关注业务逻辑，剩下机器资源的扩容、运维、调度，都由边缘函数自动完成。 权限管理 介绍天翼云全站加速的权限管理配置平台及具体操作方法。 API文档 全站加速控制台的API文档可供用户查看API的功能及详细的入参、回参。

本文介绍零信任安全策略。 配置安全策略前提条件 已经订购边缘安全加速平台零信任服务，若未订购，请参见服务开通。 先接入远程办公服务，请参见零信任服务快速入门。 不同能力版本提供能力不同，请参见零信任服务版本差异对比。 安全策略概览 下表将为您描述目前边缘安全加速平台零信任服务具备的安全策略以及应用场景。 模块 功能说明 说明 应用场景 访问控制 企业使用远程零信任办公服务，部分场景下，需要对访问的来源进行控制，远程零信任办公服务支持对客户端访问来源、访问IP、用户粒度、访问时间等进行访问控制，实现更灵活和安全的企业远程办公访问体验。 DDoS防护可有效防御畸形报文攻击、SYN Flood、ACK Flood、UDP Flood、ICMP Flood等网络层攻击以及SSL、DNS等应用层攻击 自动防御大流量网络层攻击 横向扫描防护 针对横向扫描的行为进行设定不同策略模版，如IP类横向渗透防护、域名类横向渗透防护，支持针对单用户账号，设备，相同公网IP进行不同协议、端口、地址的组合判断其频次，若高于异常则进行阻断或挑战认证。该功能是实时统计，达到阈值立即处置。 目前已维护6套防护规则集，基于正则的规则防护引擎进行 Web 漏洞和未知威胁防护，能够抵御SQL 注入、XSS 攻击、恶意扫描、命令注入攻击、Web 应用漏洞、WebShell 上传、不合规协议、木马后门等17类通用的 Web 攻击 建议基于自身业务防护需求选择对应的防护规则集 准入管控 针对企业管理要求，通过不同维度设置准入条件，仅满足准入条件的用户才可通过认证登录成功，进入内网访问，保障其企业安全性。 希望网站防止被恶意篡改页面内容时配置 动态授权 基于零信任多维度综合分析引擎，根据采集和上报的不同指标数据，对用户访问行为进行可信评估并实时联动处置。 希望网站避免泄露身份证、手机号等敏感信息时配置 内外网隔离 内外网隔离指的是将内部网络（内网）与外部网络（外网）物理或逻辑上分开，以防止未经授权的访问和数据泄露。通过内外网隔离，企业组织可以显著提高其安全性，因为即使外网遭受攻击，攻击者也难以渗透到内网，从而保护了组织的核心资产和数据。零信任模型强调的是一种持续的、动态的安全策略，它要求组织不断地评估和改进其安全措施，以应对不断变化的威胁环境。 针对不在HTTP请求合规、上传内容合规、配置符合网站处理规范内的请求进行相应处理 RBI云端浏览器 RBI云端浏览器是基于零信任网络+远程浏览器隔离技术，以“不让数据流出去、不让坏数据流进来”为宗旨，通过隔离浏览环境进行数据隔离、运行隔离，限制员工行为，保障员工终端安全，敏感数据不落地，提供全流程的行为审计，保证恶意行为证据可追溯。

本文汇总了云备份常见失败场景中的问题和处理方法。 如何处理Windows操作系统因安装了安全扫描类软件导致的备份客户端安装失败 问题可能原因 用户主机操作系统安装了安全卫士、病毒扫描等安全类软件，在云备份客户端安装过程中相关进程服务被安全类软件禁止，导致客户端安装失败。 处理方法 将云备份客户端安装目录（默认为C:Program FilesCSTORcbr）添加进安全类软件的信任区或白名单，再次执行云备份客户端安装步骤/程序。 如何处理天翼云云主机因未安装或未启动QEMU服务导致的备份客户端安装失败 问题可能原因 用户的天翼云云主机未安装或未启动“QEMUGuestAgent”，在云备份客户端安装过程中无法连接QEMU服务，导致客户端安装失败。 处理方法 1. 安装并启动“QEMUGuestAgent”服务。 Windows主机，需要安装并启动“QEMUGuestAgent”服务，请参考以下文档：安装VirtIO驱动、QEMUGuestAgent。 Linux主机，需要安装并启动“QEMUGuestAgent”服务，请参考以下文档：安装QEMUGuestAgent。 2. 在云备份“ECS备份”界面重新进行客户端安装操作。

本文介绍SQL Server的功能约束与限制。 为向您提供更安全、稳定的服务，SQL Server从功能与账号权限上有一些约束与限制，详见下表： 功能 使用限制 部署 数据库实例所部署的弹性云主机，用户不可见，只允许应用程序通过IP和端口访问数据库。 数据库访问 对于没有开通公网访问的数据库实例，只能通过同一个虚拟私有云内的弹性云服务器进行访问。 弹性云主机必须处于SQL Server实例所属安全组允许访问的范围内。 当数据库实例与弹性云主机处于不同的安全组时，系统会默认禁止访问，需要在数据库实例的安全组中添加“入站”访问规则进行授权。 数据库版本 支持以下版本： 2022 企业版 2022 标准版 2022 WEB版 2019 企业版 2019 标准版 2019 WEB版 2017 企业版 2017 标准版 2017WEB版 2016 企业版 2016 标准版 2014 企业版 2014 标准版 数据库的超级管理员权限 超级管理员权限一旦开启无法关闭。且一旦实例创建过超级管理员账号后，将不再享受SLA保障。 修改数据库参数设置 通过管理控制台可以修改大部分数据库参数。部分参数可能要重启才能生效，请谨慎操作。 搭建数据库复制 SQL Server本身提供主备复制架构的双节点集群，无需用户手动搭建。主备节点间数据复制方式默认使用异步复方式，暂不支持修改。其中备节点不对用户开放，应用不可直接访问。 重启实例 无法通过命令行重启，必须通过SQL Server服务的管理控制台操作重启实例。

本节主要介绍修改实例安全组。 操作场景 GeminiDB Influx支持修改安全组。 使用须知 对于进行节点扩容中的实例，不可修改安全组。 该功能目前处于公测阶段，如需使用，请您联系客服申请开通。 操作步骤 1. 登录管理控制台。 2. 在服务列表中选择“数据库 > 云数据库 GeminiDB Influx 接口”。 3. 在“实例管理”页面，选择指定的实例，单击实例名称。 4. 在左侧导航树，单击“连接管理”。 5. 在“内网安全组”区域，单击，选择实例所属安全组。 单击，提交修改。此过程约需1～3分钟。 单击，取消修改。 6. 稍后可在“安全组”区域，查看修改结果。

本文主要介绍如何删除IP地址组。 操作场景 本章节指导用户删除IP地址组。 说明 删除IP地址组，也将删除IP地址组使用的安全组规则和网络ACL规则。 删除IP地址组 1. 登录管理控制台。 2. 在页面左上角单击图标，打开服务列表，选择“网络 > 虚拟私有云”。进入虚拟私有云列表页面。 3. 在左侧导航栏选择“访问控制 > IP地址组”。 4. 在IP地址组列表页面，单击操作列的“删除”，删除IP地址组。删除IP地址组会同时删除该地址组关联的安全组规则。

Linux弹性云主机处理方法 1. 登录弹性云主机。 2. 更新补丁，升级kernel内核。 说明 说明：升级kernel内核后，请务必执行reboot命令重启弹性云主机。 3. 验证是否升级成功。 检测Linux操作系统安全漏洞是否已修补完成 1. 在github网站搜索spectremeltdownchecker，获取spectremeltdownchecker.sh检测脚本。 2. 将步骤1获取的脚本上传至云主机。 3. 在云主机执行以下命令，并根据脚本提示判断Meltdown或Spectre漏洞是否已经修复。 chmod +x spectremeltdownchecker.sh sudo bash spectremeltdownchecker.sh 回显信息如图1所示。 图1 执行脚本后的回显信息 OK为已修复漏洞，KO为未修复，如图1所示代表CVE20175753、CVE20175715、CVE20175754漏洞均已修复。 打开或关闭Linux操作系统的安全漏洞补丁开关 CPU的预测执行是一种性能优化技术，因此修复Meltdown或Spectre漏洞后可能导致在特定工作负载下的性能下降。 如果您希望可以禁用部分或全部漏洞安全保护策略以避免漏洞修复带来的性能下降，那么可以参考以下操作启用或者禁用安全保护策略。 您可以根据如下具体情况配置系统来达到理想的安全策略： Meltdown漏洞 采取页表隔离pti（Page Table Isolation）来控制内核页表隔离功能，此功能适用于CVE20175754。 Spectre漏洞 采取间接分支限制预测ibrs（Indirect Branch Restricted Speculation）控制SPECCTRL模型特定寄存器（MSR）中的IBRS功能，结合retpoline，及间接分支预测障碍ibpb（Indirect Branch Prediction Barriers）控制PREDCMD模型特定寄存器（MSR）中的IBPB功能，此功能适用于CVE20175715。 说明 CVE20175753漏洞是通过内核补丁修复的，它无法禁用，并且它在Red Hat的性能测试中没有显示出任何可见的影响。 关闭Meltdown安全漏洞补丁 如果您认为Meltdown漏洞修复对系统的性能影响不可接受，或者您有更好的保护机制，可根据以下步骤操作： 1. 根据不同的操作系统修改内核参数： a. CentOS、EulerOS、Ubuntu、Fedora、Red Hat：添加内核参数nopti b. Debian、OpenSUSE：添加内核参数ptioff 2. 重启云主机。 关闭Spectre安全漏洞补丁 如果您认为Spectre漏洞修复对系统的性能影响不可接受，或者您有更好的保护机制，可根据以下步骤操作： 1. 根据不同的操作系统修改内核参数： a. CentOS、EulerOS、Fedora、Debian、Red Hat、OpenSUSE：添加内核参数spectrev2off b. Ubuntu：添加内核参数nospectrev2off 2. 重启云主机。 如果您使用的是第三方操作系统，可以前往对应官网查询更多信息。

本章节主要介绍翼MapReduce服务的术语解释。 节点 MRS集群中每个节点即为一台云服务器，节点类型及节点功能如下所示。 节点类型 功能 Master节点 MRS集群管理节点，负责管理和监控集群。在MRS管理控制台选择“集群列表>现有集群”，选中一个运行中的集群并单击集群名，进入集群信息页面。在“节点管理”中查看节点名称，名称中包含“master1”的节点为Master1节点，名称中包含“master2”的节点为Master2节点。 Master节点可以通过弹性云服务器界面的VNC方式登录，也可以通过SSH方式登录，并且Master节点可以免密码登录到Core节点。 系统自动将Master节点标记为主备管理节点，并支持MRS集群管理的高可用特性。如果主管理节点无法提供服务，则备管理节点会自动切换为主管理节点并继续提供服务。 Core节点 MRS集群工作节点，负责处理和分析数据，并存储过程数据。 Task节点 计算节点，用于弹性伸缩，集群计算资源不足时扩容至集群中。 Flink Flink是一个批处理和流处理结合的统一计算框架，其核心是一个提供了数据分发以及并行化计算的流数据处理引擎。 Flume Flume是一个高可用、高可靠，分布式的海量日志采集、聚合和传输的系统。Flume支持在日志系统中定制各类数据发送方，用于收集数据；同时，Flume提供对数据进行简单处理，并写到各种数据接受方（可定制）的能力。其中FlumeNG是Flume 的一个分支，其目的是要明显简单，体积更小，更容易部署。

本章节主要介绍分布式消息服务RabbitMQ的实例类问题。 RabbitMQ使用的版本是多少？ 服务端RabbitMQ的版本是3.8.35。 RabbitMQ实例SSL连接的协议版本号是多少？ TLS v1.2版本。 创建实例时为什么无法查看子网和安全组等信息？ 创建实例时，如果无法查看虚拟私有云、子网、安全组、弹性IP，可能原因是该用户无Server Administrator和VPC Administrator权限，增加权限的详细步骤请参考《统一身份认证服务 用户指南》的“用户指南 > 用户组及授权 > 查看或修改或删除用户组”章节。 若其中一台RabbitMQ重启失败，需要会如何处理？ 重启RabbitMQ实例时，不会重启实例所在虚拟机，仅重启RabbitMQ进程。 重启集群实例时，若其中一台RabbitMQ进程重启失败，则重启后实例状态依然为“运行中”，并提示“部分节点故障”。在每台虚拟机上都有RabbitMQ的守护进程，定时检查RabbitMQ进程是否存在，当进程不存在时会自动拉起RabbitMQ进程。 如果RabbitMQ实例异常持续超过1分钟，会上报告警。 RabbitMQ集群实例如何均衡分发请求到每个虚拟机？ 集群内部使用LVS做负载均衡，由LVS将请求均衡分发到每个虚拟机节点。 RabbitMQ实例集群内部的队列是否有冗余备份？ 队列是否做镜像（即冗余备份）取决于用户的需要，如果用户设置了镜像，会在集群中多个代理上存储队列的副本，当某个代理故障，集群会从其他正常的代理中选择一个代理，用来同步队列数据。

本节主要介绍安全组的组成、产品优势、应用场景和使用限制。 安全组概述 安全组用于虚拟机的出入流量的访问控制，其由一系列的安全组规则组成，是云上网络安全防护的主要方式。安全组通过设置的规则实现具体的访问控制，当虚拟机实例或者网卡加入到对应安全组后，即受到这些规则的保护。安全组具备有状态的特性，即数据包在入方向是被允许的，则对应此连接在出方向也自动被允许，反之亦然。 根据业务的访问控制需求，可以创建自定义安全组，也可以在默认安全组中添加或者删除安全组规则来调整安全访问策略。 每个虚拟机实例或者网卡至少加入一个安全组，可以同时加入多个安全组。 默认安全组 系统默认为用户创建的安全组，不同安全组规则不同，具体规则可进入安全组详情页查看。 安全组规则 安全组规则由源/目的IP、协议、端口、策略（允许或者拒绝）和优先级组成，其包括入方向和出方向的规则。 应用场景 根据业务的安全访问控制需求，为不同的应用使用不同的安全组，确保应用之间的安全隔离。 针对公网和混合云方向做安全隔离，使对应的虚拟机只对外暴露相关的服务协议和端口，防止额外的端口暴露，确保应用安全。 产品优势 灵活配置：安全组可基于业务需求实时调整对应的安全规则。 访问隔离：通过不同的安全组设置，实现了不同虚拟机之间的访问控制隔离。

本节介绍如何开启防护事件告警通知。 通过对攻击日志设置告警通知，WAF可将仅记录和拦截的攻击日志按用户设置的接收通知渠道（邮件或短信）发送给用户。 使用限制 独享版防护对象暂不支持告警通知功能。 开启告警通知 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“防护事件 > 告警通知”，进入告警通知页面。 5. 单击“新增通知策略”，弹出新建通知策略窗口。 6. 配置告警通知参数。 参数 说明 策略名称 用户可以自定义策略的名称。 通知状态 配置告警通知的状态，默认为关闭。根据需要进行开启。 通知群组 在下拉列表选择需要接收告警通知的群组。 若已有群组无法满足需求，单击“创建群组”创建新的群组，需要为群组中的联系人配置姓名、手机、邮箱等信息。 通知渠道 支持邮件、短信。 事件类型 设置告警的事件类型，系统默认选择“全部”，用户也可以选择“自定义”，勾选需要告警的事件类型。 告警频率阈值 在设置的时间间隔内，当攻击次数大于或等于您设置的阈值时，才会发送告警通知。 7. 配置完成后，单击“确认”，告警通知策略设置成功。

云主机备份支持多云硬盘一致性快照技术的备份服务,支持利用备份数据恢复弹性云主机数据,提供数据备份和操作恢复的整体方案,具备实时增量备份、快速数据恢复能力,有效保障用户数据的安全性和正确性,确保业务安全。

本文介绍学术加速企业版服务的总览页面。 简介 总览提供了学术加速企业版的使用概况，方便您查看学术加速企业版的整体使用情况，快速定位问题。 操作步骤 1.登录 边缘安全加速平台控制台 ，选择【学术加速】控制台。 2.在左侧导航栏，单击【总览】。 3.学术加速企业版总览页面分为两个模块：用量分析、终端分析，默认展示用量分析。您可以通过点击对应的卡片切换不同处理列表。 AOne学术加速 用量分析 统计企业使用学术加速服务的用量使用情况，支持按照单用户、带宽、流量粒度进行查询。快速查询支持按照昨日，今日，7天，30天粒度，也可指定时间范围查询。 用户流量排名：指企业在指定时间范围内使用流量最多的账号，按照总使用流量从大到小排序。同时展示对应的登录用户名（账号名）、终端类型、总流量大小。支持下拉框快速查询最近24小时，最近3天，最近7天，最近30天的对应数据统计。 应用流量排名：指企业在指定时间范围内被访问的应用中，访问流量最多的应用名称以及其被访问流量的大小，按照流量的大小进行降序排序。支持下拉框快速查询最近24小时，最近3天，最近7天，最近30天的对应数据统计。

审计分析 对实时动态分析的日志进行归并处理和监测，可及时发现高危安全事件，如用户违规行为、数据泄露、攻击利用和主机通信异常。 关联分析策略是系统中的核心功能之一，主要关注各类日志之间的逻辑关联关系。它不仅支持以预定义规则进行事件关联，还能基于状态、时序和归并等方式发现关联。 系统可审计以下不同类型日志或事件（需结合相关设备，如防火墙和IPS等）：网络攻击、有害代码、漏洞、用户访问存取、系统运行、设备故障、配置状态、网络连接和数据库操作等。 关联事件的结果将在关联事件中显示，如果符合关联策略，将以告警形式在实时监控模块呈现给用户。用户可以对告警进行处理，以确保及时应对潜在的安全问题。 数据展示 提供可视化的总体概览，通过仪表板可以直观地展示日志数据的统计和分析结果，帮助用户快速了解系统的运行状态和问题。用户可以自定义展示安全事件以及各类审计分析信息，提供实时的审计分析可视化界面。 全局监视仪表板，可展示不同设备类型、不同安全区域的实时日志流曲线、统计图，以及网络整体运行态势、待处理告警信息等。 风险报表 用户可以根据自己的需求，自由选择需要包含在报表中的指标和数据，以便更好地满足特定的业务需求。系统还提供了对预置报表模板的选择和预览功能。用户可以浏览系统中已经存在的报表模板，并选择其中的一个进行生产。这有助于用户快速生成符合自己需求的报表，节省了手动设计和生成报表的时间和工作量。 在报表中，系统以柱状图、曲线图和饼状图的方式统计安全报警和原始日志情况。这种可视化的报表展示方式使得数据更加直观易懂，用户可以更轻松地分析和理解报表中的信息。报表格式方面，系统支持PDF、Word等文件格式的导出。用户可以根据需要选择合适的文件格式，以便将报表分享给其他人或保存到本地进行进一步分析。 此外，系统还支持周期性生成报表并通过邮件推送给用户。用户可以设置报表的生成周期，例如每天、每周或每月定期生成报表，并通过电子邮件将其发送给用户。这样，用户可以及时获得最新的安全报警和日志信息，以便及时采取相应的措施。

本章介绍筛选未绑定配额的主机的方法。 1. 登录管理控制台。 2. 在页面左上角单击，选择“区域”，选择“安全 > 企业主机安全”，进入“企业主机安全”页面。 3. 在左侧导航树中，选择“主机管理”，进入主机管理界面。 4. 在“云服务器”页签中，筛选未绑定配额的主机。 5. 查看未绑定配额的主机。