本文介绍批量注册防护功能。 批量注册是什么？ 批量注册是指通过脚本实现原有的正式注册流程，不断重复执行注册的一个过程，可以短时间内得到目标大量的新用户，用作于ddos攻击、业务利用等非法行为。 边缘云WAF实现批量注册防护的原理 注册行为监控。由于批量注册需要不断访问注册接口，因此可以通过一些基本粒度（如ip等）去统计访问行为并设置对应触发值。 注册行为挑战。通过交互方式挑战达到防护纯机器注册的效果（如验证码、行为挑战）。 注意 注意：目前控制台尚未开放批量注册防护的功能，如有防护需求请通过 前提条件 已开通Web应用防火墙（边缘云版）。 已新增域名并成功接入WAF，具体操作请见WAF接入。 开通套餐为基础版及以上版本，支持批量注册防护相关功能。 相关操作 设置撞库防护 设置暴力破解防护

禁止使用天翼云服务从事虚拟货币相关活动的声明，详细的声明内容，请参见《关于禁止使用天翼云服务从事虚拟货币相关活动的公告》。

本文向您介绍如何查看平台操作日志。 简介 天翼云边缘云WAF提供操作日志，用于您查看控制台的操作记录，支持查询、导出、删除操作记录。 前提条件 已开通Web应用防火墙（边缘云版） 操作指导 1. 登录Web应用防火墙（边缘云版）控制台，在左侧导航栏中选择【操作日志】页面 2. 用户可以通过时间和操作人筛选

示例： 请求路径： 示例1： { "toprank": 3, "starttime": 1663948800, "endtime": 1664035200, "domain": [ "ctyun.cn" ] } 返回结果： { "code": 100000, "message": "success", "result": [ { "request": 1020625, "port": "80", "channel": "ctyun.cn", "rank": 1, "uri": "/internettv/c1/2022/09/22/03A83443A8CDB5B04BC17F7D561C279D.ts", "flow": 10093939640163 }, { "request": 570929, "port": "80", "channel": "ctyun.cn1", "rank": 2, "uri": "/internettv/c1/2022/09/21/54FDE797FD0FFC3525911EAD768024AA.ts", "flow": 6766921693155 }, { "request": 296100, "port": "80", "channel": "ctyun.cn", "rank": 3, "uri": "/internettv/c1/2022/09/24/317E521155DDFC1E5BA882BE5D7DC019.ts", "flow": 3650153140284 } ] } 示例2： 请求参数： { "toprank": 3, "starttime": 1663948800, "domain": [ "aaa.com" ] } 返回结果： { "code": 200002, "message": "无法找到必须的请求参数:endtime" } 错误码请参考：API返回参数code和message含义

更新日期 更新内容 20221027 第一次正式发布 本次更新说明如下： 新增账单服务、域名管理、刷新预热、统计分析、日志下载接口 20221130 第二次正式发布 本次更新说明如下： 查询域名攻击的攻击IP/被攻击URL/攻击来源/攻击类型分布、查询域名攻击概况、 批量域名配置增加/编辑/删除/启用/停用、更新bot防护配置、查询bot防护配置

接口描述：调用本接口删除证书。 请求方式：post 请求路径：/cert/deletecert 使用说明： （1)单个用户一分钟限制调用10000次，并发不超过100； (2)删除证书前必须确保该证书未绑定域名。 请求JSON参数 代码 类型 名称 是否必须 说明 name string 证书备注名 是 证书备注名，必须 (字符串) 响应Json参数 代码 类型 名称 说明 code int 状态码 message string 描述信息 示例 请求路径： 请求文档 {     "name": "xxxx" } 返回结果 {     "code": 100000     "message": "success" } 错误码请参考：API返回参数code和message含义

参数名 类型 是否必填 名称 说明 domain string 是 域名 域名 verifytype int 否 解析方法 1（DNS解析验证） ；2（文件验证） 。默认1

接口描述：调用本接口查询刷新任务 请求方式：get 请求路径：/refreshtask/queryrefreshtask 使用说明： 单个用户一分钟限制调用10000次，并发不超过100 请求参数说明（json）： 参数 类型 是否必传 名称 描述 type int 否 查询方式 0（按照时间查询）；1（按照submitid查询）；2（按照taskid查询）。默认为0 starttime int 否 开始时间戳 起始时间，时间戳(秒)，type0时，必填，且传endtime时，starttime必传 endtime int 否 结束时间戳 结束时间，时间戳(秒)，type0时，必填，且传starttime时，endtime必传 submitid string 否 提交id 预热提交id，type1时，必填 taskid string 否 任务id 预热任务id，type2时，必填 url string 否 模糊查询关键字 筛选项 tasktype int 否 刷新类型 筛选项，1（url）；2（目录dir）；3（正则匹配re） page int 否 页数 默认1 pagesize int 否 每页条数 默认50， 最大300 返回参数说明： 参数 类型 是否必传 名称及描述 code int 是 状态码 message string 是 描述信息 total int 是 总条数 page int 是 页数 pagesize int 是 本页条数 result list 是 返回结果数组 result[].url string 是 预取url result[].submittime string 是 提交时间 result[].type string 是 任务类型，url；dirs result[].status string 是 任务执行状态,processing(进行中); completed(成功); failed(失败)

2）attackData参数 参数 类型 是否必返回 名称及描述 attackCount int 是 攻击数量 attackKey string 是 攻击类型；据查询的类型不同对应的值为IP/URL/攻击来源地区/攻击类型 示例： 请求路径： 示例1： 请求参数： json { "request":{ "domain":"ctyun.cn", "startTime":"20221017T00:00:00Z", "endTime":"20221025T08:59:59Z", "pageSize":"10", "pageNumber":"1", "type":"URL" }, } 复制 返回结果： json { "respone": { "code": "100000", "message": "success", "data": { "attackDataList": [ { "attackCount": 47, "attackKey": "/login.php" } ], "domain": "www.ctyun.cn", "total": "1" } } } 错误码请参考：API返回参数code和message含义

本文介绍如何通过日志下载功能查看对应域名的相关日志。 日志文件延迟时间：一般情况下延迟在24小时之内，但是也有可能超过24小时； 日志每隔一小时生成一次。具体分割成的文件数量根据该小时生成的日志量动态调整； 您可以下载最近15天的日志数据； 日志命名规则：log加速域名年月日时开始时间结束时间，例如： logwww.ctyun.cn202001010100005959.gz 图 日志下载

参数 类型 是否必传 名称及描述 code int 是 状态码 message string 是 描述信息 result object 是 返回结果 result.quota list 是 每日预热配额使用信息 result.quota[].used int 是 每日预热已使用条数 result.quota[].surplus int 是 每日预热剩余条数 result.quota[].max int 是 每日预热最大条数 result.quota[].domains list 是 预热的域名列表，按配置分组，如果域名没有配置，将使用default的配额 result.concurrencys list 是 每次提交预加载最大条数信息 result.concurrencys[].concurrency int 是 预热并发数 result.concurrencys[].domain string 是 域名

示例： 请求路径： 示例1： 请求参数： { "starttime": "1662706800", "endtime": "1662722400", "domain": [ "ctyun.cn", "ctyun.cn1" ] } 返回结果： { "code": 100000, "message": "success", "result": [ { "uvcount": 76, "timestamp": 1662710400 }, { "uvcount": 72, "timestamp": 1662714000 }, { "uvcount": 12, "timestamp": 1662717600 }, { "uvcount": 45, "timestamp": 1662721200 } ] } 示例2： 请求参数： { "starttime": "1662413100", "domain": [ "ctyun.cn", "ctyun.cn1" ] } 返回结果： { "code": 100007, "message": "无法找到必须的请求参数:endtime" } 错误码请参考：API返回参数code和message含义

参数 类型 是否必传 名称及描述 code int 是 状态码 message string 是 描述信息 total int 是 总条数 page int 是 页数 pagesize int 是 本页条数 result list 是 返回结果数组 result[].url string 是 预取url result[].submittime string 是 提交时间 result[].status string 是 任务执行状态,processing(进行中); completed(成功); failed(失败)

操作 说明 停用域名 对域名进行停用操作后，控制台上域名状态将变更为“已停止”。3天内，天翼云边缘云会将加速域名的CNAME解析至客户源站地址；3天后，天翼云边缘云会将加速域名的CNAME解析至不可用地址。 注意：对域名进行停用操作后，CDN节点会立即删除配置，但仍会在系统数据库中保留原来的配置记录，可再次对域名进行"启用"操作 删除域名 对域名进行删除操作后，天翼云边缘节点会直接删除加速域名在边缘节点的配置，域名对应CNAME入口地边缘节点址失效，此时域名请求如果仍访问至，则会响应403。

本文介绍带宽标准资费。 带宽标准资费 带宽阶梯 标准资费 (0Mbps,100Mbps] 0.67元/Mbps (100Mbps,500Mbps] 0.6元/Mbps (500Mbps,5Gbps] 0.53元/Mbps (5Gbps,+∞) 0.49元/Mbps 固定单价 0.67元/Mbps 计费项：国内 计费方式：按日带宽峰值计费（阶梯计费模式） 计费周期：按日结算，定时扣费（每日12:00后出前一日账单并扣费，具体出账时间以系统为准） 示例 假设5月1日峰值带宽为10Mbps，5月2日峰值带宽为10Gbps。 带宽计费示例 日期 峰值带宽 计价区间 标准资费 (元/Mbps) 金额 5月1日 10Mbps [0Mbps, 500Mbps) 0.67 6.7元 5月2日 10Gbps (5G,+∞) 0.49 4900元 5.1日带宽峰值为10Mbps，位于区间[0Mbps, 500Mbps)，执行0.53元/Mbps价位的计费标准，合计费用5.3元，则日账单为5.3元。 5.2日带宽峰值为10Gbps，位于区间(5G,+∞)，执行0.49元/Mbps价位的计算标准，合计费用4900元，则日账单为4900元。

接口描述：调用本接口查询PV数据 请求方式：post 请求路径：/statistics/querypvdata 使用说明： 单个用户一分钟限制调用10000次，并发不超过100； 单次查询输入域名的个数不能超过100个； 按时间粒度5分钟返回数据，数据延迟时间20分钟，可查询历史数据时间范围为最近183天，支持最大时间跨度31天 若查询结束时间不包含在该批次的最后一秒，默认endtime为该批次最后一秒，例如：时间粒度为1h，endtime设置为17:30对应的时间戳，此时endtime默认成17:59:59； 时间片统计数据均为前打点，假如timestamp "20211013 00:00"对应的时间戳，表示统计的数据为时间区间[20211013 00:00, 20211013 00:05) 请求参数说明（json）： 参数 类型 是否必传 名称 描述 domain list 否 域名 域名列表 starttime int 是 开始时间戳 开始时间戳,单位秒 endtime int 是 结束时间戳 结束时间戳,单位秒 httpProtocol int 否 协议类型 协议类型，不传默认全部协议类型。 0（http），1（https） 返回参数说明： 参数 类型 是否必传 名称及描述 code int 是 状态码 message string 是 描述信息 result list 是 每个时间间隔的结果 result[].timestamp int 是 时间片开始时间戳 result[].pvcount int 是 pv

接口描述：调用本接口获取日志的下载路径，返回的文件大小，MD5（客户按需开启），供核验日志文件完整性。 请求方式：get 请求路径：/log/getofflinedownloadaddress 使用说明： 单个用户一分钟限制调用10000次，并发不超过100 请求参数说明（json）： 参数 类型 是否必传 名称 描述 starttime int 是 开始时间戳 起始时间，时间戳(秒)。 endtime int 是 结束时间戳 结束时间，时间戳(秒)。 domain string 是 域名 返回参数说明： 参数 类型 是否必传 名称及描述 code int 是 状态码 message string 是 描述信息 domain string 是 域名 logs list 是 下载日志地址列表 logs[].timepoint string 是 日志文件包含的时间点，北京时间，格式为： YYYYMMDD HH:MM logs[].size int 是 日志文件大小，单位：B logs[].url string 是 日志文件下载路径 logs[].md5 string 是 日志文件md5值 示例： 请求路径： 示例1： 请求参数： { "domain": "ctyun.cn", "starttime": "1662413100", "endtime": "1662413700" } 返回结果： { "result": [ { "code": 100000, "message": "success", "domain": "ctyun.cn", "logs": [ { "size": 42923546, "url": " "md5": null, "timepoint": "20220906 05:25" }, { "size": 167460282, "url": " "md5": null, "timepoint": "20220906 05:25" } ] } ] } 错误码请参考：参数code和message含义

接口描述：调用本接口查询所有的运营商信息。 请求方式：get 请求路径：/auxiliarytools/queryisplist 使用说明： 单个用户一分钟限制调用10000次，并发不超过100 请求参数说明（json）： 无 返回参数说明： 参数 类型 是否必传 名称及描述 code int 是 状态码 message string 是 描述信息 result list 是 返回结果数组 result[].ispid int 是 运营商ID result[].ispcode int 是 运营商编码 result[].ispcnname string 是 运营商中文名称 result[].ispenname string 是 运营商英文名称 result[].ispaddr string 是 运营商缩写 示例： 请求路径： 示例1： 请求参数： 无 返回结果： { "code": 100000, "message": "success", "result": { "ispid": 10000, "ispabbr": "CTC", "ispcode": 1, "ispenname": "DianXin", "ispcnname": "中国电信" }, { "ispid": 10001, "ispabbr": "CUC", "ispcode": 2, "ispenname": "LianTong", "ispcnname": "中国联通" }, { "ispid": 10002, "ispabbr": "CMC", "ispcode": 3, "ispenname": "YiDong", "ispcnname": "中国移动" }, { "ispid": 10003, "ispabbr": "CRC", "ispcode": 4, "ispenname": "TieTong", "ispcnname": "中国铁通" }, { "ispid": 10004, "ispabbr": "EDU", "ispcode": 5, "ispenname": "JiaoYuWang", "ispcnname": "教育网" 错误码请参考：[API返回参数code和message含义

接口描述：调用本接口查询域名的IP地址，及ip对应的区域，运营商信息 请求方式：post 请求路径：/auxiliarytools/queryvipsdetailbydomain 使用说明： 单个用户一分钟限制调用10000次，并发不超过100 请求参数说明（json）： 参数 类型 是否必传 名称 描述 domain list 是 域名列表 最多支持５个 返回参数说明： 参数 类型 是否必传 名称及描述 code int 是 状态码 message string 是 描述信息 result list 是 返回结果数组 result[].domain string 是 域名 result[].details list 是 域名对应的vip列表信息 result[].details[].vips string 是 vip信息，多个用逗号“,”分割 result[].details[].cityName string 是 城市名称 result[].details[].nodename string 是 节点名称 result[].details[].provinceName string 是 省份名称 result[].details[].ispName string 是 运营商名称 示例： 请求路径： 示例1： 请求参数： {     "domain": [         "ctyun.cn"     ] } 返回结果： {     "code": 100000,     "message": "success",     "result": [         {             "domain": "ctyun.cn",             "details": [                 {                     "vips": "xx.xx.xx.xx,xx:xx:xx:xx::",                     "cityName": "呼和浩特市",                     "nodename": "xxx1",                     "provinceName": "内蒙古自治区",                     "ispName": "中国电信"                 },                 {                     "vips": "xx.xx.xx.xx,xx:xx:xx:xx::",                     "cityName": "通州区",                     "nodename": "xxx2",                     "provinceName": "北京市",                     "ispName": "中国电信"                 }             ]         }     ] }

参数 类型 是否必传 名称 描述 values list 是 预热文件列表 单次最多50条。若域名有做防盗链配置，则相应的预取url需同样带有防盗链。

参数 类型 是否必传 名称 描述 tasktype int 是 刷新类型 1(url);2(目录dir);3(正则匹配re) values list 是 刷新参数值 刷新类型为url时单次最多1000条，类型为dir和re时单次最多50条。

参数 类型 是否必返回 名称及描述 attackKey string 否 攻击对应的具体值 attackNum number 否 攻击次数

参数 类型 是否必传 名称 描述 name string 是 证书备注名 name和id必填其中一个，若都填返回name查询结果 id int 否 证书id name和id必填其中一个，若都填返回name查询结果

接口描述：调用本接口查询绑定某证书的域名列表。 请求方式：get 请求路径：/cert/querycertbind 使用说明： 单个用户一分钟限制调用10000次，并发不超过100。 请求参数说明（json）： 参数 类型 是否必传 名称 描述 name string 是 证书备注名 返回参数说明： 参数 类型 名称及描述 code int 状态码 message string 描述信息 result list 绑定证书的域名列表 示例 请求路径： 请求文档 {     "name": "test" } 响应文档 {     "result": [         "ctyun.cn",         "ctyun.cn1"     ],     "code": 100000,     "message": "success" } 错误码请参考：API返回参数code和message含义

参数名 类型 是否必填 名称 说明 startTime string 是 开始时间 支持最近30天的时间数据 endTime string 是 结束时间 支持最近30天的时间数据 pageSize string 否 查询每页的数量 不传默认30条；pageSize以及pageNumber的乘积不得超过2000 pageNumber string 否 查询的页数 不传默认第一页；pageSize以及pageNumber的乘积不得超过2000

名称 描述 ContentType 消息体的类型（格式）。推荐用户使用默认值application/json，有其他取值时会在具体接口中专门说明。 是 application/json .... .... .... ....

本文介绍调用API终端节点 cdnglobal.ctapi.ctyun.cn

code code含义 message示例 100000 正确返回 success 100001 认证失败 用户认证失败 100002 找不到指定路径的API 当前调用的api不存在:$ 100003 无请求指定API的权限 当前用户对api:${api}无权限 100012 底层错误 请求错误，（底层返回结果） 100013 系统错误 系统错误 100014 底层超时 请求底层超时 200001 资源没有权限 请求参数域名校验失败，当前用户对域名%s无权限 200002 参数校验失败 请求参数校验失败，参数为必填 200003 域名创建或者修改失败 域名状态为已停用，无法进行修改

本文介绍如何配置加速配置。 操作步骤 1.进入SCDN控制台 2.点击域名列表，可直接编辑加速配置，进入加速配置页面 3.可支持回源配置、HTTPS配置、缓存配置、访问控制，配置完成后统一点击提交保存 4.可通过工单列表进行查看配置进度

默认用户组 描述 supergroup admin用户的主组，在关闭Kerberos认证的集群中没有额外的权限。 checksecldap 用于内部测试主LDAP是否工作正常。用户组随机存在，每次测试时创建，测试完成后自动删除。系统内部组，仅限组件间内部使用。 Managertenant 租户系统用户组。系统内部组，仅限组件间内部使用，且仅在已启用Kerberos认证的集群中使用。 Systemadministrator MRS集群系统管理员组。系统内部组，仅限组件间内部使用，且仅在已启用Kerberos认证的集群中使用。 Managerviewer MRS Manager系统查看员组。系统内部组，仅限组件间内部使用，且仅在已启用Kerberos认证的集群中使用。 Manageroperator MRS Manager系统操作员组。系统内部组，仅限组件间内部使用，且仅在已启用Kerberos认证的集群中使用。 Managerauditor MRS Manager系统审计员组。系统内部组，仅限组件间内部使用，且仅在已启用Kerberos认证的集群中使用。 Manageradministrator MRS Manager系统管理员组。系统内部组，仅限组件间内部使用，且仅在已启用Kerberos认证的集群中使用。 compcommon MRS集群系统内部组，用于访问集群公共资源。所有系统用户和系统运行用户默认加入此用户组。 default1000 为租户创建的用户组。系统内部组，仅限组件间内部使用。 launcherjob MRS系统内部组，用于使用V2接口提交作业。

配置集群LDAP信任的IP地址 12.登录FusionInsight Manager。 13.选择“集群 > 待操作集群的名称 > 服务 > LdapServer > 实例”，查看LDAP服务对应的节点。 14.切换到“配置”，查看集群LDAP端口号，即“LDAPSERVERPORT”参数值。默认为“21780”。 15.以root用户通过LDAP服务的IP地址登录LDAP节点。 16.执行以下命令，查看iptables过滤列表中INPUT策略。 iptables L 例如未配置任何规则时，INPUT策略显示如下： Chain INPUT (policy ACCEPT) target prot opt source destination 17.执行以下命令，将集群使用的所有IP地址配置为受信任的IP。每个IP需要添加一次。 iptables A INPUT s 受信任IP地址 p tcp dport 端口号 j ACCEPT 例如，将10.0.0.1配置为受信任的IP，可以访问端口21780，执行： iptables A INPUT s 10.0.0.1 p tcp dport 21780 j ACCEPT 18.执行以下命令，将全部IP地址配置为不受信任的IP。已配置为信任IP不受此规则影响。 iptables A INPUT p tcp dport 端口号 j DROP 例如，配置全部IP不能访问端口21780，执行： iptables A INPUT p tcp dport 21780 j DROP 19.执行以下命令，查看iptables过滤列表中修改后INPUT策略。 iptables L 例如配置一个受信任IP后，INPUT策略显示如下： Chain INPUT (policy ACCEPT) target prot opt source destination ACCEPT tcp 10.0.0.1 anywhere tcp dpt:21780 DROP tcp anywhere anywhere tcp dpt:21780 20.执行以下命令，查看iptables过滤列表中存在的规则及相对应的编号。 iptables L n linenumber Chain INPUT (policy ACCEPT) num target prot opt source destination 1 DROP tcp 0.0.0.0/0 0.0.0.0/0 tcp dpt:21780 21.根据实际需求，可执行以下命令，删除iptables过滤列表中的规则。 iptables D INPUT 待删除的编号 例如，删除编号为1的规则，执行： iptables D INPUT 1 22.以root用户通过另一个LDAP服务的IP地址登录LDAP节点，并重复16到21。

本章节主要介绍权限模型。 基于角色的权限控制 FusionInsight通过采用RBAC（rolebased access control，基于角色的权限控制）方式对大数据系统进行权限管理，将系统中各组件零散的权限管理功能集中呈现和管理，对普通用户屏蔽掉了内部的权限管理细节，对管理员简化了权限管理的操作方法，提升权限管理的易用性和用户体验。 FusionInsight权限模型由“用户－用户组－角色－权限”四类对象构成。 权限模型 权限 由组件侧定义，允许访问组件某个资源的能力。不同组件针对自己的资源，有不同的权限。 例如： −HDFS针对文件资源权限，有读、写、执行等权限。 −HBase针对表资源权限，有创建、读、写等权限。 角色 组件权限的一个集合，一个角色可以包含多个组件的多个权限，不同的角色也可以拥有同一个组件的同一个资源的权限。 用户组 用户的集合，当用户组关联某个或者多个角色后，该用户组内的用户就将拥有这些角色所定义的组件权限。 不同用户组可以关联同一个角色，一个用户组也可以不关联任何角色，该用户组原则上将不具有任何组件资源的权限。 说明 部分组件针对特定的默认用户组，系统默认赋予了部分权限。 用户 系统的访问者，每个用户的权限由该用户关联的用户组和角色所对应的权限构成，用户需要加入用户组或者关联角色来获得对应的权限。 基于策略的权限控制 Ranger组件通过PBAC（policybased access control，基于策略的权限控制）方式进行权限管理，可对HDFS、Hive、HBase等组件进行更加细粒度的数据访问控制。 说明 组件同时只支持一种权限控制机制，当组件启用Ranger权限控制策略后，通过FusionInsight Manager创建的角色中关于该组件的权限将失效（HDFS与Yarn的组件ACL规则仍将生效），用户需通过Ranger管理界面添加策略进行资源的赋权。 Ranger的权限模型由多条权限策略组成，权限策略主要由以下几方面组成： 资源 组件所提供的可由用户访问的对象，例如HDFS的文件或文件夹、Yarn中的队列、Hive中的数据库/表/列等。 用户 系统的访问者，每个用户的权限由该用户关联的策略来获得。LDAP中的用户、用户组、角色信息会周期性的同步至Ranger。 权限 策略中针对资源可配置各种访问条件，例如文件的读写，具体可以配置允许条件、拒绝条件以及例外条件等。