选购项 是否必选 选购项说明及建议 套餐规格 是 不同的套餐规格，包含的保底防护带宽、CC防护能力、业务带宽、端口数和域名数会存在差异。您需要评估您业务的防护需求，以选择合适的套餐。 保底防护带宽：可防御的攻击流量峰值。 CC防护能力：可防御的CC攻击峰值 业务带宽：所接入业务日常入方向及出方向流量总和的峰值。 端口数：使用TCP和UDP协议添加接入的端口数量。 域名数：支持使用HTTP和HTTPS接入的域名数量。需梳理一级主域名的数量以及主域名下子域名的数量。 弹性防护 否 弹性防护带宽为超过保底带宽后的最高防护带宽，超过保底带宽值但不大于弹性带宽值的攻击仍然可以进行有效防护，但会根据超出保底带宽的部分产生后按照超出部分所属阶梯价格付费（按天收费），如防护超过选定的最高防护带宽，则通过解析回源，2小时后自动解封。 若您的业务有受到超大流量攻击的风险但次数不会太频繁，建议开启弹性防护。 域名扩展包 否 如果您需要防护的域名数量超过您购买套餐的域名数量，可以购买扩展包进行补充：一个扩展包支持1个主域名及域名下的9个子域名。 端口数 否 如果您需要防护的端口数量超过您购买套餐的端口数量，可以购买扩展包进行补充。 业务带宽 否 如果您需要的业务带宽量超过您购买套餐的使用量，可以购买扩展包进行补充。 缓存功能 否 如果您需要增加缓存功能，可以开启该功能。 购买时长 是 选择需要订购的时长。 自动续订 否 若开启，将在余额充足的情况下自动续订，续订时长可设置。

本小节介绍如何进行文件验证。 按照CA中心的规范，如果您申请了SSL证书，则必须完成域名验证（又称验证域名所有权）来证明待申请证书要绑定的域名属于您。 文件验证，是指您手动从证书管理服务控制台获取证书验证文件，然后在服务器的网站根目录下创建指定文件。CA机构验证文件路径可以被访问，则表示验证通过。 注意 目前CA中心仅支持向80、443端口发起验证请求，因此您的业务需开放80、443端口。 天翼云仅支持绑定IP域名和单域名类型证书使用文件验证。 验证步骤 获取验证信息 提交证书申请后，单击“证书验证”，获取证书验证信息。如下图所示。 您可以直接单击“操作”列的“导出文件”，将需要上传的文件导出至本地。 创建文件 1. 登录您的服务器，并且确保域名已指向该服务器并且对应的网站已正常启用。 2. 在现有网站目录的根目录下，创建指定的文件。该文件包括文件目录、文件名、文件内容。 说明 网站根目录是指您在服务器上存放网站程序的文件夹，大致有这几种表示名称：publichtml、htdocs、assets、logs等。请您根据实际环境进行操作。 1. 依次执行以下命令，在服务器的Web根目录（Nginx服务默认为/var/www/html/） 下创建文件验证目录（ .wellknown/pkivalidation/）。 plaintext cd /var/www/html mkdir p .wellknown/pkivalidation 2. 在 /var/www/html/.wellknown/pkivalidation/目录下，创建fileauth.txt 文件，fileauth.txt 为验证信息中显示的文件名。在fileauth.txt文件中把验证信息中的文件内容复制粘贴上去。 说明 您可以直接在控制台选择“导出文件”，直接将文件上传至相关目录。 3. 打开浏览器，根据验证的域名类型，访问对应的链接地址，确保访问链接地址可获取到文件内容。 链接地址格式为： 4. 成功配置文件验证信息后，等待CA中心对文件验证信息进行审核，审核通过后，证书变为“已签发”状态。

本文介绍可以支持客户自定义的回源场景和配置方法。 功能介绍 源站配置模块支持客户自定义源站。支持IP或域名、天翼云媒体存储和天翼云对象存储作为源站；支持配置多个源站地址，多源站场景下，支持设置源站的主备优先级和权重，实现负载均衡。 回源场景 功能简介 配置入口 多层级主备及权重回源 客户有多个源站时，支持多主多备以及按不同权重回源。 CDN控制台域名管理域名列表回源配置源站配置。 一致性哈希回源 同一层级的多个源站间根据URL哈希回源，尽可能保证相同URL请求始终回同一个源站。 通过提交工单，由天翼云客服人工配置。 区分地区、运营商回源 支持分地区、运营商回源。 通过提交工单，由天翼云客服人工配置。 区分IPv4/IPv6协议回源 支持分IPv4/IPv6协议回源。 通过提交工单，由天翼云客服人工配置。 配置说明 1. 登录CDN控制台。 2. 单击左侧导航栏【域名管理】【域名列表】。 3. 在【域名列表】页面，找到目标域名，单击【操作】列的【编辑】。 4. 单击右侧【回源配置】。 5. 在【源站】模块，单击【添加源站】。 6. 根据需求填写配置。 7. 单击【保存】，完成配置。 参数名 说明 源站类型 可选择IP或域名/媒体存储源站/对象存储源站 源站 即源站地址，支持IP或域名。 层级 支持主或备。 权重 即回该源站的权重值。 指定源站回源HOST 回源HOST决定了回源请求访问到源站的哪个站点。当不同源站使用不同回源HOST时，需通过“指定源站回源HOST”进行设定。 操作 可删除源站配置。

本文介绍可以支持客户自定义的回源场景和配置方法。 功能介绍 源站配置模块支持客户自定义源站。支持IP或域名，支持配置天翼云媒体存储和天翼云对象存储作为源站；支持配置多个源站地址，多源站场景下，支持设置源站的主备优先级和权重，实现负载均衡。 回源场景 功能简介 配置入口 多层级主备及权重回源 客户有多个源站时，支持多主多备，及按不同权重回源。 客户控制台域名管理域名列表回源配置源站配置。 动态回源策略 如果您的加速域名有多个源站，可以配置合适的回源策略来实现不同的效果。动态回源策略支持择优回源、按权重回源、保持登录三种回源方式。 详见：动态回源策略 区分地区、运营商回源 支持分地区、运营商回源。 通过提交工单，由天翼云客服人工配置。 区分IPv4/IPv6协议回源 支持分IPv4/IPv6协议回源。 通过提交工单，由天翼云客服人工配置。 配置说明 1. 登录客户控制台。 2. 单击左侧导航栏【域名管理】【域名列表】。 3. 在【域名列表】页面，找到目标域名，单击【操作】列的【编辑】。 4. 单击右侧【回源配置】。 5. 在【源站】模块，单击【添加源站】。 6. 根据需求填写配置。 7. 单击【保存】，完成配置。 参数名 说明 源站类型 可选择IP或域名/媒体存储源站/对象存储源站。媒体存储源站和对象存储源站不可同时配置，且只能配置一个媒体存储源站/对象存储源站。 源站 即源站地址，支持IP或域名。 层级 支持主或备。 权重 即回该源站的权重值。 指定源站回源HOST 回源HOST决定了回源请求访问到源站的哪个站点。当不同源站使用不同回源HOST时，需通过“指定源站回源HOST”进行设定。 操作 可删除源站配置。

本文介绍加速区域的配置规则。 功能介绍 由于境内外的监管要求存在差异，不同的加速区域需要遵守当地的法律要求，天翼云视频直播支持“中国内地”、“全球（不含中国内地）”、“全球”三类，对应不同的要求详情请见：使用限制中的“加速域名准入条件”。 注意事项 只有提前开通加速区域为全球的视频直播业务，才能根据实际业务需要，在控制台进行加速区域的切换。 不同加速区域对应不同资费标准，详情请见：按需计费和资源包介绍。 配置说明 1. 登录直播控制台。 2. 单击左侧导航栏【域名管理】中的【域名列表】。 3. 在【域名列表】页面，找到目标域名加速区域列。 4. 单击右侧【变更区域】。 5. 单击【加速区域】中的选项，可实现不同加速区域的切换，例如，从“中国内地”变更为“全球”。 参数名 说明 中国内地 选择中国内地，表示全球用户的访问，均会被调度至分布在中国内地的节点。 加速域名请先完成在中国大陆的ICP备案，同时完成公安网备案。 全球（不含中国内地） 选择全球（不含中国内地），表示全球用户的访问，均会被调度至分布在中国澳门、中国台湾、中国香港以及其他国家和地区的节点。 由于加速区域不包含中国内地，加速域名无需完成在中国大陆的ICP备案和公安网备案。 全球 选择全球，表示全球用户的访问，均会被择优调度至最近的节点进行加速服务。 由于加速区域包含中国内地，加速域名请先完成在中国大陆的ICP备案，同时完成公安网备案。

本文介绍接入DDoS高防（边缘云版）域名无法访问的问题现象及问题原因。 问题现象 1、使用DDoS高防（边缘云版）后网站访问出现异常状态码，例如，403，404，5XX。 2、使用DDoS高防（边缘云版）后网站访问URL时出现空白页面。 3、使用DDoS高防（边缘云版）后网站出现其他异常错误。 问题原因 使用DDoS高防（边缘云版）后网站无法访问可能有多种原因。以下是一些常见的原因： 1、DNS解析问题：将域名解析到CDN时出现CNAME错误。 2、网站配置问题：域名的网站配置可能存在问题，导致无法正常访问网站。 3、SSL证书问题：如果您的网站启用了HTTPS协议，请确保域名在DDoS高防（边缘云版）控制台上正确配置了HTTPS证书，并且证书没有过期或损坏。 4、防火墙或安全策略限制：某些源站防火墙或安全策略可能会干扰DDoS高防（边缘云版）的正常回源。 解决方案 1、DNS解析问题：您可以通过ping、nslookup、dig等命令检查域名的DNS解析设置，确保解析结果和DDoS高防（边缘云版）控制台上该加速域名的CNAME值一致。 2、网站配置问题：您可以在DDoS高防（边缘云版）控制台–【域名接入】【网站配置】中检查您的域名配置是否正确。 3、SSL证书问题：您可以在DDoS高防（边缘云版）控制台–【证书管理】中上传更新您的证书。 4、防火墙或安全策略限制：您可以检查您的服务器设置、CDN配置以及网络设备设置，确保没有任何阻止DDoS高防（边缘云版）回源访问的规则或策略。 如果您不确定是边缘节点还是源站的问题，可参考文档：如何确认访问异常是边缘节点问题还是源站问题 进行排查。 除以上可能的原因，您还可以参考以下操作进行处理： 如果访问防护域名返回403状态码，详情请见：访问防护域名响应403状态码。 如果访问防护域名返回404状态码，详情请见：访问防护域名响应404状态码。 如果访问防护域名返回5XX状态码，详情请见：访问防护域名响应5XX状态码。 在使用CDN加速后网站访问URL时出现空白页面，详情请见：访问URL时出现空白页面。 如果以上解决方法均无效，建议您通过提交工单联系天翼云客服帮助您解决问题。

问题描述 已配置公网NAT网关，存量Pod能访问公网，但部分新创建的Pod（Pod IP属于新子网）无法访问公网。 问题原因 新增的Pod子网未加入到NAT网关的SNAT规则。 解决办法 请配置NAT网关SNAT规则，加入新配置的子网。 双栈环境下部分Pod解析集群外域名失败，如何处理？ 问题描述 云主机所在子网开启了IPv6，部分Pod解析外部域名正常，部分Pod持续解析外部域名异常。 问题原因 该域名有A记录，没有AAAA记录，异常容器使用musllibc解析域名。当域名解析收到A NoError和AAAA NxDomain组合时，会认为解析失败。 解决办法 1. 容器镜像使用glibc替代musllibc； 2. 或业务不使用libc解析域名，例如Golang服务使用PureGo Resolver解析名称。

本小节介绍Web应用防火墙术语解释。 域名解析 域名解析（Domain Name Resolution）指互联网上服务器相互间通过IP地址来建立通信，但是为了方便记忆，采用域名代替IP地址标识站点地址，让人们通过注册的域名可以方便地访问到业务的一种服务。域名解析就是域名到IP地址的转换过程。 常用域名解析类型： A记录：用来指定域名的IPv4地址。 AAAA记录：用来指定域名的IPv6地址。 CNAM记录：将域名指向另一个域名，再由另一个域名来提供IP地址。最常用CNAME的场景包括使用CDN、云WAF、企业邮箱与高防DDoS等。 MX记录：用于电子邮件系统发邮件时根据收信人的地址后缀来定位邮件服务器。 TXT记录：用于对域名进行标识和说明，进行SPF反垃圾邮件。 Web应用 Web应用（Web Application）指通过浏览器即可访问的应用程序。 源站 源站（Source Application Server）指实际业务所处的站点，通常也代指源站公网IP及后端到达真实应用服务器间的整个网络拓扑环境。 回源IP 回源IP（Return Source IP Address）指开启云WAF防护后，云WAF用来与源站服务器建立网络连接的公网IP地址。 CC攻击 CC攻击（Challenge Collapsar Attack）指攻击者借助自动化工具脚本模拟多个用户持续向网站发送大量合法请求，造成服务器资源耗尽直至业务不可用。 SSL 证书 SSL 证书（Secure Sockets Layer）及其继任者 TLS（Transport Layer Security）是网络通信的一种安全协议，具有服务器身份验证和数据传输加密功能，为互联网间的数据传输提供安全性与完整性保障。SSL证书遵循SSL协议，可安装在服务器上，实现数据传输加密。

编辑网页防篡改策略 1. 登录web应用防火墙（边缘云版）控制台，在左侧导航栏中选择【域名管理】—【域名列表】，单击域名列表操作【安全防护】进入高级防护页面 2. 进入“网页防篡改”页面，单击【编辑】 注意 若您的源站存在更新，需要手动点击操作列【更新缓存】按钮，将会自动获取最新该页面最新的静态资源 删除网页防篡改策略 1. 登录web应用防火墙（边缘云版）控制台，在左侧导航栏中选择【域名管理】—【域名列表】，单击域名列表操作【安全防护】进入高级防护页面 2. 进入“网页防篡改”页面，选择您要删除的防护规则，单击【删除】按钮 配置示例 场景：某政企网站需要对首页设置防篡改功能，避免网站首页受到恶意篡改。 配置： 规则名称：xx网站首页防纂改 URL： 防护状态：开启 域名是否有CDN加速：否（需要根据自身情况选择） 防护方式：拦截

本文简要分析HTTPS播放不成功的可能原因。 背景说明 在天翼云直播控制台新增域名并切换到直播节点后，HTTP请求访问正常，HTTPS请求访问失败。本文介绍可能的原因及解决方案。 可能原因 1. 未在直播控制台开启HTTPS功能。 2. 在直播控制台配置的证书过期，或证书不匹配、证书错误。 解决方案 1. 登录直播控制台，单击左侧导航栏【域名管理】【域名列表】选择对应域名，查看【HTTPS配置】是否启用。如未启用，请开启HTTPS功能，相关操作说明，详情请见：HTTPS配置。 2. 如有启用HTTPS，则检查配置证书是否过期，或证书不匹配、证书错误。如为上述情况，则替换为新证书、正确证书即可。具体操作为：在【域名管理】【域名列表】选择对应域名，在【HTTPS配置】中，【证书备注名】，【点击上传】，上传新证书后，选择新证书备注名，单击【提交保存】即可。

接口描述：检测域名CNAME配置状态 请求方式：post 请求路径：/auxiliarytools/querycnamestatus 使用说明： 单个用户一分钟限制调用10000次，并发不超过100 请求参数说明： 参数 类型 是否必传 名称 描述 ::::: domain string 是 域名 加速域名，多个以英文逗号,分隔。 返回参数说明： 参数 类型 是否必传 名称及描述 :::: code int 是 状态码，成功100000 message string 是 描述信息，成功返回success，其他返回异常信息描述 cnamelist list 否 查询域名cname配置状态结果列表 cnamelist[].domain string 否 加速域名 cnamelist[].cname string 否 CNAME值，加速域名对应的cname，没有配置cname，返回空 cnamelist[].status string 否 CNAME配置状态，1(成功)，0(失败) 示例： 请求路径： 示例1： 请求参数： json { "domain": "a.ctyun.cn,b.ctyun.cn" } 返回结果： json { "code": 100000, "message": "success", "cnamelist": [ { "domain": "a.ctyun.cn", "cname": "a.ctyun.cn.ctdns.cn", "status": "1" }, { "domain": "b.ctyun.cn", "cname": "", "status": "0" } ] } 错误码请参考：参数code和message含义

本文介绍了如何配置对WebSocket应用进行加速。 功能介绍 天翼云边缘安全加速平台安全与加速服务支持对WebSockett协议和http/https协议同时加速，即同一个域名可以既有http/https协议，又有WebSocket加速，您无需拆分域名，使用天翼云边缘安全加速平台安全与加速服务就可以实现对域名下http/https协议的应用和WebSocket协议的应用同时加速。全站加速节点会自动识别客户端与边缘节点通信使用的协议，自动切换协议。通常情况下，WebSocket协议的应用多为动态业务，对实时性要求很高，天翼云边缘安全加速平台安全与加速服务的动态探测选路能力可以为WebSocket应用选择最快的回源路径，提升WebSocket业务的访问效果。 前提条件 已经订购边缘安全加速平台安全与加速服务，若未订购，请参见服务开通。 在控制台新增域名，请参见添加服务域名。 开通基础版以及以上版本。 配置说明 1.登录边缘安全加速平台控制台。 2.在【域名】【基础配置】页面，点击目标域名。 3.进入WebSocket页面，单击“编辑配置”。 4.开启WebSocket功能开关，开启后默认连接超时时间5秒、请求超时时间15秒。 配置页面 参数名 说明 WebSocket回源连接超时时间 WebSocket回源连接超时时间的配置范围支持1~300秒。

接口描述：调用本接口查询域名在指定时间段被，被攻击域名的WAF攻击IP、被攻击URL、攻击来源、攻击类型分布情况 请求方式：post 请求路径：/waf/wafattack/querywafattackinfo 使用说明： 修改域名之前，您需要先开通对应产品类型的服务，且服务有效； 支持查询最近30天数据 单个用户一分钟限制调用10000次，并发不超过100 支持查询WAF攻击类型的数据 请求参数说明： 参数名 类型 是否必填 名称 说明 domain string 是 域名 单次调用仅支持一个域名查询 startTime string 是 开始时间 格式为：YYYYMMDDThh: mm:ssZ 支持最近30天的数据 endTime string 是 结束时间 格式为：YYYYMMDDThh: mm:ssZ 支持最近30天的数据 type string 是 查询类型 取值： 1、IP：攻击IP 2、URL：被攻击的URL 3、AREA：攻击来源 4、ATTACKTYPE：攻击类型 pageSize string 否 查询每页的数量 不传默认30，pageSize以及pageNumber的乘积不得超过2000 pageNumber string 否 查询的页数 不传默认30，pageSize以及pageNumber的乘积不得超过2000 返回参数说明： 参数 类型 是否必传 名称及描述 code string 是 状态码，成功100000 message string 是 描述信息，成功返回success，其他返回异常信息描述 data attackInfoData 否 查询结果以及域名对应状态 1）attackInfoData参数 参数 类型 是否必返回 名称及描述 domain string 是 域名 total string 是 记录总数 attackDataList List 否 具体攻击类型

工作负载的DNS配置介绍 Kubernetes集群内置DNS插件KubeDNS/CoreDNS，为集群内的工作负载提供域名解析服务。业务在高并发调用场景下，如果使用到域名解析服务，可能会触及到KubeDNS/CoreDNS的性能瓶颈，导致DNS请求概率失败，影响用户业务正常运行。在Kubernetes使用的过程中，在有些场景下工作负载的域名解析存在冗余的DNS查询，使得高并发场景更容易触及DNS的性能瓶颈。根据业务使用场景，对工作负载的DNS配置进行优化，能够在一定程度上减少DNS请求概率失败的问题。 更多DNS相关信息请参见CoreDNS（系统资源插件，必装）或通过kubectl配置kubedns/CoreDNS高可用。 Linux 系统域名解析文件配置项的介绍 在Linux系统的节点或者容器里执行cat /etc/resolv.conf命令，能够查看到DNS配置，以Kubernetes集群的容器DNS配置为例： nameserver 10.247.x.x search default.svc.cluster.local svc.cluster.local cluster.local options ndots:5 配置项说明： nameserver：容器解析域名时查询的DNS服务器的IP地址列表。如果设置为10.247.x.x说明DNS对接到KubeDNS/CoreDNS，如果是其他IP地址，则表示采用DNS或者用户自建的DNS。 search：定义域名的搜索域列表，当访问的域名不能被DNS解析时，会把该域名与搜索域列表中的域依次进行组合，并重新向DNS发起请求，直到域名被正确解析或者尝试完搜索域列表为止。对于CCE集群来说，容器的搜索域列表配置3个域，当解析一个不存在的域名时，会产生8次DNS查询，因为对于每个域名需要查询两次，分别是IPv4和IPv6。 options：定义域名解析配置文件的其他选项，常见的有timeout、attempts和ndots等等。Kubernetes集群容器的域名解析文件设置为options ndots:5，该参数的含义是当域名的“.”个数小于ndots的值，会先把域名与search搜索域列表进行组合后进行DNS查询，如果均没有被正确解析，再以域名本身去进行DNS查询。当域名的“.”个数大于或者等于ndots的值，会先对域名本身进行DNS查询，如果没有被正确解析，再把域名与search搜索域列表依次进行组合后进行DNS查询。如查询www.ctyun.cn域名时，由于该域名的“.”个数为2，小于ndots的值，所以DNS查询请求的顺序依次为：www.ctyun.cn.default.svc.cluster.local、www.ctyun.cn.svc.cluster.local、 www.ctyun.cn.cluster.local和www.ctyun.cn，需要发起至少7次DNS查询请求才能解析出该域名的IP。可以看出，这种配置在访问外部域名时，存在大量冗余的DNS查询，存在优化点。 说明：完整的Linux域名解析文件配置项说明可以参考文档： Kubernetes 集群应用的DNS 相关配置项介绍 前面已经分析过，应用在某些场景下会出现冗余的DNS查询。Kubernetes为应用提供了与DNS相关的配置选项，通过对应用进行DNS配置，能够在某些场景下有效地减少冗余的DNS查询，提升业务并发量。目前应用配置中与DNS相关的字段有dnsPolicy 和dnsConfig。 dnsPolicy 字段说明： dnsPolicy字段是应用设置的DNS策略，默认值为“ClusterFirst”。基于dnsPolicy策略生成的域名解析文件会与dnsConfig设置的DNS参数进行合并，合并规则将在“dnsConfig字段说明”中说明，dnsPolicy当前支持四种参数值： − ClusterFirst：应用对接KubeDNS/CoreDNS（CCE集群的KubeDNS/CoreDNS默认级联DNS）。这种场景下，容器既能够解析service注册的集群内部域名，也能够解析发布到互联网上的外部域名。由于该配置下，域名解析文件设置了search搜索域列表和ndots: 5，因此当访问外部域名和集群内部长域名（如kubernetes.default.svc.cluster.local）时，大部分域名都会优先遍历search搜索域列表，导致至少有6次无效的DNS查询，只有访问集群内部短域名（如kubernetes）时，才不存在无效的DNS查询。 − ClusterFirstWithHostNet：对于配置主机网络的应用，默认配置kubelet的“resolvconf”参数指向的域名解析文件（CCE集群在该配置下对接DNS）。当dnsPolicy设置为“ClusterFirstWithHostNet”时，应用对接KubeDNS/CoreDNS。该配置下，容器的域名解析文件与“ClusterFirst”一致，也存在无效的DNS查询。 − Default：容器的域名解析文件使用kubelet的“resolvconf”参数指向的域名解析文件（CCE集群在该配置下对接DNS），没有配置search搜索域列表和options。该配置只能解析注册到互联网上的外部域名，无法解析集群内部域名，且不存在无效的DNS查询。 − None：Kubernetes v1.9（Beta in v1.10）中引入的新选项值。设置为None之后，必须设置dnsConfig，此时容器的域名解析文件将完全通过dnsConfig的配置来生成。 dnsConfig 字段说明： dnsConfig为应用设置DNS参数，设置的参数将合并到基于dnsPolicy策略生成的域名解析文件中。当dnsPolicy为“None”，应用的域名解析文件完全由dnsConfig指定；当dnsPolicy不为“None”时，会在基于dnsPolicy生成的域名解析文件的基础上，追加dnsConfig中配置的dns参数。 − nameservers：DNS的IP地址列表。当应用的dnsPolicy设置为“None”时，列表必须至少包含一个IP地址，否则此属性是可选的。列出的DNS的IP列表将合并到基于dnsPolicy生成的域名解析文件的nameserver字段中，并删除重复的地址。 − searches：域名查询时的DNS搜索域列表，此属性是可选的。指定后，提供的搜索域列表将合并到基于dnsPolicy生成的域名解析文件的search字段中，并删除重复的域名。Kubernetes最多允许6个搜索域。 − options：DNS的配置选项，其中每个对象可以具有name属性（必需）和value属性（可选）。该字段中的内容将合并到基于dnsPolicy生成的域名解析文件的options字段中，dnsConfig的options的某些选项如果与基于dnsPolicy生成的域名解析文件的选项冲突，则会被dnsConfig所覆盖。 工作负载的DNS配置实践 前面介绍了Linux系统域名解析文件以及Kubernetes为应用提供的DNS相关配置项，下面将举例介绍应用如何进行DNS配置。 场景1 对接kubernetes 内置的KubeDNS/CoreDNS 场景说明： 这种方式适用于应用中的域名解析只涉及集群内部域名，或者集群内部域名+外部域名两种方式，应用默认采用这种配置。 示例： apiVersion: v1 kind: Pod metadata: namespace: default name: dnsexample spec: containers: name: test image: nginx dnsPolicy: ClusterFirst 该配置下容器的域名解析文件将如下所示： nameserver 10.247.3.10 search default.svc.cluster.local svc.cluster.local cluster.local options ndots:5 场景2 直接对接DNS 场景说明： 这种方式适用于应用只访问注册到互联网的外部域名，该场景不能解析集群内部域名。 示例： apiVersion: v1 kind: Pod metadata: namespace: default name: dnsexample spec: containers: name: test image: nginx dnsPolicy: Default //使用kubelet的“resolvconf”参数指向的域名解析文件（CCE集群在该配置下对接DNS） 该配置下容器的域名解析文件将如下所示： nameserver 10.125.x.x 场景3 主机网络模式的应用对接KubeDNS/CoreDNS 场景说明： 对于配置主机网络模式的应用，默认对接DNS，如果应用需要对接KubeDNS/CoreDNS，需将dnsPolicy设置为“ClusterFirstWithHostNet”。 示例： apiVersion: extensions/v1beta1 kind: Deployment metadata: name: nginx spec: template: metadata: labels: app: nginx spec: hostNetwork: true dnsPolicy: ClusterFirstWithHostNet containers: name: nginx image: nginx:1.7.9 ports: containerPort: 80 该配置下容器的域名解析文件将如下所示： nameserver 10.247.3.10 search default.svc.cluster.local svc.cluster.local cluster.local options ndots:5 场景4 自定义应用的域名配置 场景说明： 用户可以完全自定义配置应用的域名解析文件，这种方式非常灵活，dnsPolicy和dnsConfig配合使用，几乎能够满足所有使用场景，如对接用户自建DNS的场景、串联多个DNS的场景以及优化DNS配置选项的场景等等。 示例1 ：对接用户自建DNS 该配置下，dnsPolicy为“None”，应用的域名解析文件完全根据dnsConfig配置生成。 apiVersion: v1 kind: Pod metadata: namespace: default name: dnsexample spec: containers: name: test image: nginx dnsPolicy: "None" dnsConfig: nameservers: 10.2.3.4 //用户自建DNS 的IP 地址 searches: ns1.svc.cluster.local my.dns.search.suffix options: name: ndots value: "2" name: timeout value: "3" 该配置下容器的域名解析文件将如下所示： nameserver 10.2.3.4 search ns1.svc.cluster.local my.dns.search.suffix options timeout:3 ndots:2 示例2 ：修改域名解析文件的ndots 选项，减少无效的DNS 查询 该配置下，dnsPolicy不为“None”，会在基于dnsPolicy生成的域名解析文件的基础上，追加dnsConfig中配置的dns参数。 apiVersion: v1 kind: Pod metadata: namespace: default name: dnsexample spec: containers: name: test image: nginx dnsPolicy: "ClusterFirst" dnsConfig: options: name: ndots value: "2" //该配置会将基于ClusterFirst 策略生成的域名解析文件的ndots:5 参数改写为ndots:2 该配置下容器的域名解析文件将如下所示： nameserver 10.247.3.10 search default.svc.cluster.local svc.cluster.local cluster.local options ndots:2

步骤一：添加防护网站 如果您的业务服务器部署在云上，您可以将网站的域名或IP添加到WAF，使网站流量切入WAF。 前提条件 已申请WAF独享引擎实例。 约束条件 接入Web应用防火墙的网站已使用公网ELB（Elastic Load Balance）代理用作负载均衡。 为了保证WAF的安全策略能够针对真实源IP生效，成功获取Web访问者请求的真实IP地址，如果WAF前没有使用CDN、云加速等七层代理服务器，且ELB使用的是四层负载均衡（NAT等方式），“是否已使用代理”务必选择“否”，其他情况，“是否已使用代理”选择“是”。 操作步骤 步骤 1 登录管理控制台。 步骤 2 单击管理控制台右上角选择区域或项目。 步骤 3 单击页面左上方，选择“安全 >Web应用防火墙（独享版）”。 步骤 4 在左侧导航树中，选择“网站设置”，进入“网站设置”页面。 步骤 5 在网站列表左上角，单击“添加防护网站”。 步骤 6 配置“域名信息”。 “网站名称”：可选参数，自定义网站名称。 “防护对象”：防护的域名或IP，域名支持单域名和泛域名。 “网站备注”：可选参数，网站的备注信息。 说明 WAF不支持添加带有下划线（）的泛域名。 如果各子域名对应的服务器IP地址相同：输入防护的泛域名。例如：子域名a.example.com，b.example.com和c.example.com对应的服务器IP地址相同，可以直接添加泛域名.example.com。 如果各子域名对应的服务器IP地址不相同：请将子域名按“单域名”方式逐条添加。 步骤 7 源站配置，参数说明如表所示。 参数 参数说明 取值样例 防护对象端口 在下拉框中选择面要防护的端口。配置80/443端口，在下拉框中选择“标准端口”。 81 服务器配置 网站服务器地址的配置。包括对外协议、源站协议、VPC、源站地址和源站端口。 对外协议：客户端请求访问服务器的协议类型。包括“HTTP”、“HTTPS”两种协议类型。 源站协议：Web应用防火墙转发客户端请求的协议类型。包括“HTTP”、“HTTPS”两种协议类型。 VPC：选择独享引擎实例所在的VPC。 为了实现业务双活，避免业务单点故障，建议在同一VPC下申请两个WAF实例 源站地址：客户端（例如浏览器）访问的网站服务器的私网/内网IP地址。支持以下两种IP格式： IPv4，例如：XXX.XXX.1.1 IPv6，例如：fe80:0000:0000:0000:0000:0000:0000:000 源站端口：WAF独享引擎转发客户端请求到服务器的业务端口。 对外协议：HTTP 源站协议：HTTP 源站地址：XXX .XXX.1.1 源站端口：80 证书名称 “对外协议”设置为“HTTPS”时，需要选择证书。您可以选择已创建的证书或选择导入的新证书。 成功导入的新证书，将添加到“证书管理”页面的证书列表中。 说明 WAF当前仅支持PEM格式证书。如果证书为非PEM格式，请将证书转换为PEM格式，再上传。 如果您的证书即将到期，为了不影响网站的使用，建议您在到期前重新使用新的证书，并在WAF中同步更新网站绑定的证书。 域名和证书需要一一对应，泛域名只能使用泛域名证书。如果您没有泛域名证书，只有单域名对应的证书，则只能在WAF中按照单域名的方式逐条添加域名进行防护。 步骤 8 高级配置。 “是否已使用代理”：为了保证WAF的安全策略能够针对真实源IP生效，成功获取Web访问者请求的真实IP地址，如果WAF前已使用如CDN、云加速等提供七层Web代理的产品，请务必选择“是”。 选择“策略配置”：默认为“系统自动生成策略”，您也可以选择已创建的防护策略或在域名接入后根据防护需求配置防护规则。系统自动生成的策略说明如下： Web基础防护（“仅记录”模式、常规检测）：仅记录SQL注入、XSS跨站脚本、远程溢出攻击、文件包含、Bash漏洞攻击、远程命令执行、目录遍历、敏感文件访问、命令/代码注入等攻击行为。 网站反爬虫（“仅记录”模式、扫描器）：仅记录漏洞扫描、病毒扫描等Web扫描任务，如OpenVAS、Nmap的爬虫行为。 说明 “仅记录”模式：发现攻击行为后WAF只记录攻击事件不阻断攻击。 步骤 9 单击“确认”，添加域名完成。

本节介绍如何查看API资产数及防护情况。 API总览页面展示API防护整体情况，包括API资产统计、API风险统计等。 前提条件 已开通Web应用防火墙（原生版）实例企业版或旗舰版。 防护对象列表 页面左侧展示所有防护对象信息，统计已接入的对象个数（不包括泛域名、ELB防护对象）。 支持选择“所有防护对象”或选择单个域名站点，查看统计信息： 选择“所有防护对象”，页面右侧展示全局防护统计信息。 选择单个域名站点，页面右侧展示单个域名站点统计信息。 资产统计 统计单个域名/所有域名下的资产统计信息，包含总资产数、活跃API接口分布、近七天访问IP数、近七天威胁事件数。 总资产数：展示总资产个数和七日内新增资产数。 活跃API接口分布：展示所选域名下活跃访问、低频访问、失活的API资产分布占比情况（饼状图）。 近七天访问IP数：展示所选域名近7天访问IP总数和近14天的访问趋势（柱状图），并统计日访问量。 近七天威胁事件数：统计所选域名下近7天威胁涉及API的威胁事件数量和近14天威胁事件日趋势（柱状图），并统计攻击占比（攻击占比指所有攻击事件数/正常业务事件数，不包含因为带宽原因被屏蔽的部分）。

步骤四：为前端应用创建Ingress路由 创建ingress，参考如下： apiVersion: networking.k8s.io/v1 kind: Ingress metadata: name: nginxingress namespace: default annotations: kubernetes.io/ingress.class: "nginxingresscontroller" spec: rules: host: myingress.com http: paths: backend: service: name: nginxservice port: number: 30003 path: /nginx pathType: Prefix 步骤五：使用域名进行访问前端应用 在浏览器访问myingress.com域名需要在hosts中配置该域名对应的ELB的IP地址。这样在浏览器通过域名访问，DNS服务器把域名解析为ELB的IP，ELB把请求转给其中某个IngressController，IngressController通过域名转发到不同的集群内应用。

本文简述API返回参数code和message含义。 code code含义 message示例 :: 100000 正确返回 success 100001 认证失败 用户认证失败 100002 找不到指定路径的API 当前调用的api不存在:$ 100003 无请求指定API的权限 当前用户对api:${api}无权限 100004 调用超限 超过调用频率限制，请稍后重试 100005 请求类型错误 当前调用的api请求方式错误 100012 底层错误 请求错误，（底层返回结果）, RequestId是 100013 系统错误 系统错误, RequestId是 100014 底层超时 请求底层超时, RequestId是 200001 资源没有权限 请求参数域名校验失败，当前用户对域名%s无权限 200002 参数校验失败 请求参数校验失败，参数为必填 200003 域名和产品不匹配 域名和产品类型校验失败，产品类型{}下域名{}不存在 200003 操作失败域名 域名状态为已停用，无法进行修改 200004 未开通CDN相关产品服务调用统计分析类接口，查询失败 无法获取您已开通CDN相关产品的账号，请开通产品后再调用 200005 产品有效性校验 操作失败，当前用户未开通产品类型{}的服务 200005 操作失败非域名 操作失败，taggroup “xxx”在productcode“xxx”时，不存在 200006 查询失败 查询ark不存在，配置存在时返回

本文介绍跨域资源共享功能及其配置说明。 功能介绍 跨域资源共享（CrossOrigin Resource Sharing，简写为CORS），是一种由W3C标准化组织提出的网络浏览器的规范机制，它允许网页应用程序在浏览器中向不同源（包括不同的域、协议或端口）的服务器请求资源。当客户的业务需要跨域共享或者访问资源时，可以通过自定义HTTP响应头来实现。 注意事项 若源站与CDN控制台同时配置CORS跨域头，则CDN的配置将覆盖源站CORS跨域头。 配置说明 1. 登录CDN控制台。 2. 单击左侧导航栏【域名管理】【域名列表】。 3. 在【域名列表】页面，找到目标域名，单击【操作】列的【编辑】。 4. 单击右侧【头部修改】。 5. 在【HTTP响应头】模块，单击【增加规则】，HTTP响应头部值配置：AccessControlAllowOrigin。 参数名 说明 示例 头部值 跨域头部固定填写：AccessControlAllowOrigin。 AccessControlAllowOrigin 跨域验证 跨域验证开关默认关闭。 关闭：固定响应“AccessControlAllowOrigin”头部及其配置的取值。 开启：按照以下规则对用户请求进行跨域校验。 1.任意匹配：取值配置为“ ”，固定响应“AccessControlAllowOrigin:”。 2.泛匹配：取值配置为泛域名，校验请求头Origin值与配置的泛域名是否匹配，匹配则“AccessControlAllowOrigin”头部值响应Origin请求头值，匹配不上则不响应跨域头。 3.精确匹配：取值配置为单个或者多个精确域名，校验请求头Origin值与配置的精确域名是否匹配，匹配则“AccessControlAllowOrigin”头部值响应Origin请求头值，匹配不上则不响应跨域头。 开启 取值 1.响应头取值配置为“ ”，可匹配所有来源。 2.响应头取值配置非“ ”，必须包含协议头“http:// ”或者“ 3.响应头取值配置非“ ”，支持配置多个域名，多个值之间用英文逗号分隔。 4.响应头取值支持携带端口。

本文介绍域名管理模块所涉及的功能。 概述 通过对域名管理相关的功能模块进行概括性介绍，方便您全面了解当前天翼云CDN加速已支持的相关功能以及指引您快速找到对应功能的介绍入口，更快上手。 模块简介 相关管理模块简介如下： 域名管理模块 说明 批量配置域名 介绍当客户多个域名需要配置，而配置值又是相同的情况，这时可以使用批量配置域名功能。 域名操作日志 介绍CDN域名操作记录，它是用于跟踪和记录由客户操作发起的域名新增及域名配置变更任务的状态和执行结果，方便跟进变更的进度以及追溯变更历史，辅助管理客户业务。 标签管理 介绍标签组和标签的用途和用法，包括创建，删除，关联域名等。 基础配置 介绍域名基础配置，包括域名归属权验证、加速类型选定、加速区域选定、IPv6开关。 回源配置 介绍CDN回源相关的功能和配置，包括源站配置、回源协议、回源端口、默认回源HOST、指定源站回源HOST、回源SNI、回源HTTP请求头、回源URI改写、回源302/301跟随、区分IPv4/IPv6回源、分区域分运营商回源、回源参数改写、Common Name白名单、私有Bucket回源、高级回源、回源超时时间等。 头部修改 介绍头部修改相关配置，包括HTTP响应头，回源HTTP请求头，回源HTTP响应头。 HTTPS配置 介绍HTTPS相关的功能，包括HTTPS配置、HTTP2.0配置、强制跳转、OCSP装订、国密HTTPS、TLS版本配置、批量HTTPS证书配置、配置HSTS、CDN支持的SSL/TLS加密套件等。 缓存配置 介绍缓存相关功能，包括缓存过期时间、状态码过期时间、状态码过期时间（源站优先）、缓存key设置、跨域资源共享等。 访问控制 介绍访问控制相关的功能，包括Referer防盗链、IP黑白名单、UA黑白名单、URL黑白名单、URL鉴权、远程同步鉴权、带宽控制、IP访问限频、单请求限速等策略。 文件处理 介绍文件处理相关的功能，包括文件压缩、html页面优化、html禁止操作、图片处理。 HTTP3.0(QUIC)协议 介绍HTTP3.0(QUIC)协议的适用场景和配置方法。 视频相关 介绍视频有关的功能，包括视频拖拉、视频试看、分片回源、HLS标准加密改写。 高级配置 介绍天翼云CDN加速平台高级配置，包括访问URL重定向，错误页面重定向。 业务告警 介绍天翼云CDN加速平台的业务监控指标和告警功能及其配置方法。 云备源 介绍云备源的适用场景及使用说明。 CDN镜像源 介绍镜像源功能原理及配置说明。 防攻击处理预案说明 介绍安全攻击发生时CDN平台的应急处理机制。 增值服务 介绍CDN增值服务的适用场景和申请方法。

本文介绍加速区域的配置规则。 功能介绍 由于境内外的监管要求存在差异，不同的加速区域需要遵守当地的法律要求，天翼云CDN支持“中国内地”、“全球（不含中国内地）”、“全球”三类，对应不同的要求详情请见：使用限制中的“加速域名准入条件”。 配置说明 1. 登录CDN控制台。 2. 单击左侧导航栏【域名管理】【域名列表】。 3. 在【域名列表】页面，找到目标域名【加速区域】列。 4. 单击右侧【】 5. 单击【加速区域】下的选项，可实现不同加速区域的切换，例如，从“中国内地”变更为“全球”。 参数名 说明 中国内地 选择中国内地，表示全球用户的访问，均会被调度至分布在中国内地的节点。天翼云CDN节点中国内地的最新分布情况，详情请见：节点分布。 加速域名请先完成在中国大陆的ICP备案，同时完成公安网备案。 全球（不含中国内地） 选择全球（不含中国内地），表示全球用户的访问，均会被调度至分布在中国澳门、中国台湾、中国香港以及其他国家和地区的节点。天翼云CDN节点全球（不含中国内地）的最新分布情况，详情请见：节点分布。 由于加速区域不包含中国内地，加速域名无需完成在中国大陆的ICP备案和公安网备案。 全球 选择全球，表示全球用户的访问，均会被择优调度至最近的节点进行加速服务。 由于加速区域包含中国内地，加速域名请先完成在中国大陆的ICP备案，同时完成公安网备案。

本文介绍当攻击发生且触发平台稳定性红线时的处理预案及注意事项等。 场景说明 天翼云全站加速是公共的加速服务，平台承载着成千上万的域名加速业务，是一个多客户共用的加速平台，默认不提供防攻击服务。当某个客户的域名遭受攻击（例如CC攻击），而出现带宽或QPS异常大幅上涨触发平台稳定性红线时，全站加速平台有权（根据域名业务情况、攻击影响程度等因素综合判断）将对应客户的域名切入专用隔离资源池以隔离异常业务，避免影响其他正常用户的加速服务。在攻击较严重的情况下，同账户下的其他域名也会切入隔离资源池。 域名被切入隔离资源池后，天翼云全站将不再保证服务质量，部分时段可能会出现无法服务的情况。 说明 隔离资源池是天翼云全站的一组特殊节点，这组节点与常规节点之间相互隔离，隔离资源池被用于隔离有风险的加速业务。 注意事项 因被攻击导致域名被切入隔离资源池后，用户访问带来的流量仍然会产生计费账单。 相关建议 如您的域名存在潜在被攻击风险，不希望在上述场景下被切换至隔离资源池，请切换至安全类加速产品，例如：边缘安全加速平台。 相关概念： DDoS：分布式拒绝服务攻击（Distributed Denial of Service，简称DDoS）是指攻击的发出点是分布在不同地方，且所请求的服务往往要消耗大量的系统资源，造成目标主机无法为用户提供正常服务。 CC攻击：攻击者借助代理服务器生成指向受害主机的合法请求，以实现DDoS和伪装的，称为CC(Challenge Collapsar)，CC主要是攻击页面，属于应用层攻击。

配置步骤 以先配置DDoS高防（边缘云版），再配置Web应用防火墙（边缘云版）为例。 1. 进入DDoS高防（边缘云版）控制台，在左侧导航中，点击【业务接入】【域名接入】。按照网站域名接入完成DDoS高防（边缘云版）的域名配置。 2. 进入Web应用防火墙（边缘云版）控制台，在左侧导航中，点击【域名管理】【域名列表】，点击右上角新增域名。 3. 填写需要接入的域名后，会弹窗提示"您的域名已经在DDoS高防(边缘云版)产品控制台新增，产品关联后才能同步网站通用配置，请确认是否关联"。 4. 点击确认后，系统会自动获取并完成网站配置，您可以点击【下一步】，进行网站安全配置。 5. 完成网站安全配置后，点击【提交】即可。 注意 DDoS高防（边缘云版）叠加Web应用防火墙（边缘云版）产品后，域名CNAME地址直接使用CDN加速提供的CNAME地址即可，无需调整。 您可以在DDoS高防（边缘云版）和Web应用防火墙（边缘云版）任一控制台进行网络配置的变更，配置修改将进行同步。

步骤二：提交证书申请 1. 登录证书管理服务控制台。 2. 在左侧导航栏选择“SSL证书管理 > SSL证书列表”。 3. 选择“测试证书”页签，在待申请的证书操作列，单击“证书申请”按钮，进行测试证书申请。 4. 在右侧弹出的窗口中填写证书申请的相关信息。 填写参数 参数说明 证书绑定域名 第一个域名将作为证书通用域名名称（不可修改）。 注意 若填写的域名为4级及以上子域名，请加上“www”，否则不会包含主域名。例如：申请www.aaa.bbb.ctyun.cn，会包含aa.bbb.ctyun.cn这个备用域名，若直接申请aaa.bbb.ctyun.cn，则不会包含www.aaa.bbb.ctyun.cn这个备用域名。 域名验证方式 支持“手动DNS验证”和“文件验证”。 联系人 选择联系人，如何新建联系人请参考信息管理章节。 所在地 选择公司实际所在地区。（目前仅支持选择中国地区） 密钥算法 可选择“RSA”、“ECC”。 CSR生成方式 CSR是一个包含网站、服务、国家、组织、域名、公钥和签名的编码文件，用于从可信的证书颁发机构（CA）获取SSL证书。 支持“系统生成”或“手动生成”两种方式： 系统生成：根据用户所配置的信息，系统自动生成一个CSR。为保障您的证书顺利申请，建议您使用系统生成CSR的方式，避免因内容不正确而导致的审核失败。 手动生成：在下拉框中选择已手动创建的CSR，使用已创建的CSR申请证书。 注意 请不要在证书签发完成前删除CSR。 手动生成将无法署到天翼云产品。 5. 填写完后，单击“提交审核”。 提交审核后，CA颁发机构将对您提交的申请进行处理并给您填写的邮箱发送一封验证邮件。您需要按照要求进行域名验证。

参数 是否必填 参数类型 说明 示例 下级对象 regionID 是 String 资源池ID domainName 是 String 整个域名的总长度不能超过 255 个字符，每个子域名（包括顶级域名）的长度不能超过 63 个字符，域名中的字符集包括大写字母、小写字母、数字和连字符（减号），连字符不能位于域名的开头 example.com certificateID 是 String 证书 ID certxxxxx listenerID 是 String 监听器 ID listenerxxxxx description 否 String 支持拉丁字母、中文、数字, 特殊字符：~~!@$%^&()+ <>?:{},./;'[]·~~！@￥%……&（） —— +{}《》？：“”【】、；‘'，。、，不能以 http: / https: 开头，长度 0 128 test

使用场景 当您需要通过DHCP选项集管理VPC内云服务器的DNS域名服务器IP、域名时，可以通过创建DHCP选项集来快速、便捷的进行管理。DHCP选项集和VPC关联成功后，该VPC下的所有云服务器将使用DHCP选项集中的DNS域名服务器IP、域名。 目前仅部分可用区资源池支持DHCP选项集能力，实际情况以控制台展示为准。 前提条件 注册天翼云账号，并完成实名认证。具体操作，请参见天翼云账号注册流程。 根据您的业务场景，如果VPC下的所有云服务器使用相同的DNS域名服务器IP、域名，此时您可以使用DHCP选项集进行统一管理。 操作步骤 1. 登录控制中心。 2. 在控制中心页面左上角点击，本文我们以某可用区资源池为例。 3. 依次选择“网络”，单击“虚拟私有云”；进入网络控制台页面。 4. 在网络控制台界面，选择DHCP选项集，单击进入DHCP选项集列表页。 5. 点击创建“DHCP选项集”，进入创建DHCP选项集详情页。 6. 填写对应的名称、域名、DNS域名服务器IP、描述后，点击“确认”按钮进行创建。

本小节介绍Web应用防火墙计费类常见问题。 一个域名包支持多少个二级域名？ 一个域名包支持包含1个一级域名（www.baidu.com）以及这个一级域名下二级域名（如 abc.baidu.com）总计10个域名的防护。 如果超过10个，需要购买实例增加域名包数量以支持域名防护。 选择带宽是否需要和网站业务带宽匹配？ 是的，Web应用防火墙最低标准带宽为200Mbps，真实业务带不能高于这个标准，如高于标准200Mbps，则需要拓展带宽包。 Web应用防火墙是付费产品吗？ 天翼云Web应用防火墙作为天翼云安全业务的一个重要产品，作为付费的增值业务服务产品提供给天翼云客户，需要用户购买，收费的标准详见计费模式。 产品是否可以试用，周期为多长时间？ 支持试用，周期为三个月。 线上是否支持试用订购？ 不支持。 试用暂时只支持线下渠道，需联系客户经理进行试用。 我已经购买了Web应用防火墙产品，是否意味着已开启安全防护？ 不是。购买成功后还需要一系列的配置才能开启安全防护，例如配置上传、下发、测试验证等操作。

参数名 参数解释 内网域名 通过内部网络访问集群数据库的域名地址。内网访问域名在创建集群时自动生成。通过域名访问DWS集群，域名解析器具有负载均衡的功能。 单击“修改”可以修改内网访问域名。访问域名由字母、数字、中划线组成，以大小写字母开头，长度为4~63个字符。 更多信息请参见 内网IP 通过内部网络访问集群数据库的IP地址。 说明 内网访问IP地址在创建集群时自动生成，生成后的IP地址是固定的。 内网访问IP的数量对应的是CN节点的个数，可以通过登录任一节点连接到集群。 通过内网访问某个固定的IP，工作负载会集中在一个CN上。 公网域名 通过外部网络访问集群数据库的域名地址。 更多信息请参见 公网IP 通过外部网络访问集群数据库的IP地址。 说明 如果创建集群时没有绑定弹性IP，“公网IP”显示为空，可以单击“绑定弹性IP”为集群绑定弹性IP。 如果创建集群时绑定了弹性IP，可以单击“解绑弹性IP”为集群解绑弹性IP。 初始管理员用户 创建集群时指定的数据库管理员用户。当用户第一次连接集群时，需要使用初始数据库管理员用户及其密码连接到默认数据库。 端口 通过公网或者内网访问集群数据库的端口号。端口号在创建集群时指定，它是集群监听客户端连接的端口。 默认数据库 创建集群时默认自动创建的数据库。当用户第一次连接集群时，需要连接到该默认数据库。 弹性负载均衡地址 为实现集群高可用，解决CN单点问题，集群创建后需手动绑定弹性负载均衡（ELB），连接集群时建议连接ELB地址。

本文介绍HSTS功能和配置方法。 功能介绍 HSTS（HTTP Strict Transport Security，HTTP 严格传输安全），是一种网站用来声明他们只能使用安全连接（HTTPS）访问的方法。网站可通过声明HSTS，来强制客户端（如浏览器）只能使用HTTPS与服务器连接，拒绝所有的HTTP连接并阻止用户接受不安全的SSL证书，降低第一次访问请求被拦截的风险。例如： 当您的域名在CDN加速产品中配置HTTPS功能和HTTP强制跳转HTTPS的功能时，若用户在浏览器中输入HTTP协议的URL进行访问，CDN节点会将该HTTP请求强制跳转到HTTPS协议，此时： 若未启用HSTS功能，且用户是首次以HTTP协议访问CDN节点，HTTP请求可能会被拦截或者篡改，存在安全隐患。 若启用HSTS功能，CDN节点会响应一个强制HSTS的头（例如：StrictTransportSecurity：maxagexxxx;includeSubDomains）给客户端，告诉客户端只能使用HTTPS协议访问CDN节点，此后浏览器将直接使用HTTPS协议访问CDN节点，不再需要HTTP协议强制跳转HTTPS协议。 注意事项 配置HSTS功能前，请确保已成功配置HTTPS证书，操作方法详情请见：新增证书。 在HSTS生效前，可参考：强制跳转功能，使用户首次以HTTP协议访问时，能够强制跳转到HTTPS协议发起访问。 配置说明 1. 登录CDN控制台。 2. 单击左侧导航栏【域名管理】【域名列表】。 3. 在【域名列表】页面，找到目标域名，单击【操作】列的【编辑】。 4. 单击右侧【请求协议】。 5. 在【请求协议】模块，勾选【HTTPS】。 6. 单击右侧【HTTPS配置】。 7. 选择域名对应的证书。如果已经在证书管理上传证书，可直接选择对应域名证书。如果还未上传证书，可单击【点击上传】，添加自有证书。添加完毕后，再选择对应证书。 8. 在【HSTS】模块，开启功能并根据需求填写配置。 9. 单击【保存】，完成配置。 参数 说明 过期时间 即StrictTransportSecurity响应头中maxage的值，单位为s；如过期时间为2592000s，则代表一个月内，访问该网站均需要使用HTTPS协议。 包含子域名 即StrictTransportSecurity响应头中是否需要包括includeSubDomains；如包括，则代表服务端告知客户端访问该域名及其子域名均需要使用HTTPS协议。

域名解析 配置成功后，防护配置的状态变为“防护中”。 之后客户可以进行域名解析： 如域名：www.ctyun.com，需要客户联系DNS服务商将域名解析指向CNAME：www.ctyun.com.iname.damddos.com 即：源域名+.iname.damddos.com，DNS牵引指向CNAME后，Web应用防火墙防护正式完成配置。

配置说明 配置项 说明 防护开关 将CSRF防护功能设置为关闭、拦截或告警。 可信任域名 当请求referrer中含该域名，则该请求放行（可填多个域名，默认一级本域名）默认域名可进行修改 防护配置 防护范围：设置要检测的请求范围，支持正则匹配/字符串。支持配置多条防护粒度与防护范围，多条防护粒度为且关系，多条防护范围为或关系。URI：填写等于/不等于防护的URI；METHOD:填写等于/不等于的请求方法；PATH：填写等于/不等于的PATH 合法referrer：填写合法url，当请求referer精确匹配“合法referrer”，则该请求放行 无referrer：当请求没有referrer这个字段时候的处理动作；跳转，拦截，监控，放行（其中选择跳转后需要填跳转目的地址，默认当前域名首页） 不合法referrer时执行操作：当请求referer没有在"可信任域名"、"合法referrer"中，该请求的处理动作，拦截，监控，放行（其中选择跳转后需要填跳转目的地址，默认当前域名首页） 注意：存在多条CSRF防护配置时，按照顺序进行防护范围的匹配，采用第一条命中防护范围的策略；最多支持配置5条策略

配置说明 配置项 说明 开关 开启/关闭CSRF防护策略 处理动作 请求触发CSRF防护后的处理动作，可以选择告警或拦截 可信任域名 当请求referrer中含该域名，则该请求放行（可填多个域名，默认一级本域名）默认域名可进行修改 条件 1）防护范围：设置要检测的请求范围，支持正则/字符串；支持配置多条防护粒度与防护范围，多条防护粒度为且关系，多条防护范围为或关系 URI：填写包含/不包含防护的URI METHOD:填写包含/不包含的请求方法 PATH：填写包含/不包含的PATH 2）合法referrer：填写合法url，当请求referer精确匹配“合法referrer”，则该请求放行； 3）空referrer时执行操作：当请求没有referrer这个字段时候的处理动作；跳转，拦截，监控，放行（其中选择跳转后需要填跳转目的地址，默认当前域名首页）； 4）不合法referrer时执行操作：当请求referer没有在"可信任域名"、"合法referrer"中，该请求的处理动作，拦截，监控，放行（其中选择跳转后需要填跳转目的地址，默认当前域名首页） 注意：存在多条CSRF防护配置时，按照顺序进行防护范围的匹配，采用第一条命中防护范围的策略