本小节介绍云解析的应用场景。 域名安全解析应用场景 针对各级政府、金融机构、新闻媒体、国有企事业单位的关键信息基础设施提供专业的权威解析服务。对重点域名提供安全监控服务，实时保证重点域名的解析以及用户访问可达。借助网站拨测功能，实现故障屏蔽，从而保障用户互联网服务的高可用。通过自研的DNS抗DDoS专用产品，可有效的对攻击DNS的DDoS报文实现准确识别和清洗。拥有多年国家顶级域名的运行经验，在域名系统的建设、运行、安全防护等方面积累了大量的运营和维护经验，参与并完成了多次重大活动期间域名解析安全保障工作。 实现功能 配置CNNIC自主研发的DNS专用产品，包括解析、抗攻击、安全监控等设备。 在多个城市部署域名安全服务系统监测节点，及时采集监测数据并回传到控制中心进行处理和分析，并根据预设条件进行必要的安全预警以及应急触发。 融合CNNIC多年DNS系统建设和维护的实践。 IPV6双栈应用场景 通过简单易用的操作平台，为企业和广大域名所有者提供安全稳定的DNS云解析服务。通过BGP + Anycast方式组网，使云解析具备完善的网络架构，使用CNNIC自主研发的DNS专用产品构建服务平台，包括抗攻击产品、权威解析产品和DNS实时流量监控产品。提供对IPv6的支持，可满足用户分区域、分运营商的精准解析，实现域名快速、稳定、安全的权威解析。 实现功能 系统运行IPv4/IPv6双栈，可同时提供IPv4和IPv6网络的解析请求。 网络架构采用BGP + Anycast技术跨区域、跨运营商异构部署。 配置CNNIC自主研发的DNS专用产品，包括解析、抗攻击、安全监控等设备。 全球部署多个节点，提供智能的、弹性的平台支持能力。

本文向您介绍如何为弹性云主机器配置内网域名。 资源规划 云主机的内网域名资源规划如下表所示。 表内网域名资源规划 设备 内网域名 关联VPC 内网IP 记录集类型 说明 ECS1 api.ecs.com VPC001 192.168.2.8 A 公共接口ECS。 ECS2 api.ecs.com VPC001 192.168.3.8 A 备份公共接口ECS。 RDS1 db.com VPC001 192.168.2.5 A 数据库，用于存储业务数据。 RDS2 db.com VPC001 192.168.3.5 A 备份数据库。

接口描述：调用本接口查询域名关联的标签 请求方式：post 请求路径：/tag/querydomainbindtag 使用说明：单个用户一分钟限制调用10000次，并发不超过100 请求参数说明： 参数 是否必填 参数类型 说明 示例 下级对象 productcode 是 string 产品类型，支持："001"：静态加速，"003"：下载加速，"004"：视频点播加速，"008"：CDN加速，"014":下载加速闲时 004 domain 是 string 域名，仅支持单个域名查询 a.ctyun.cn 返回参数说明： 参数 是否必填 参数类型 说明 示例 下级对象 code 是 int 状态码 100000 message 是 string 描述信息 success domain 否 string 域名 a.ctyun.cn tagdata 否 list 域名对应的标签列表 tagdatasingle 表tagdatasingle： 参数 是否必填 参数类型 说明 示例 下级对象 taggroup 否 string 标签组 taggroupa tag 否 string 标签名 tag1 示例： 请求路径： 示例1： 请求参数： json { "domain": "test.ctyun.cn", "productcode": "008" } 返回结果： json { "code": 100000, "message": "success", "domain": "test.ctyun.cn", "tagdata": [ { "taggroup": "taggroupa", "tag": "tag1" } ] } 错误码请参考：参数code和message含义

本文介绍如何处理CNAME解析不生效问题。 CNAME（Canonical Name）记录是一种别名记录，用于将多个域名映射到同一台计算机或服务器上。通过配置CNAME记录，可以实现域名的别名映射，将一个域名解析到另一个域名上。客户接入DDoS高防（边缘云版）时，在天翼云DDoS高防（边缘云版）控制台完成加速域名添加后，系统会为您分配一个天翼云的CNAME域名，例如 .ctdns.cn，您需要在您的DNS解析服务商添加CNAME记录，将自己的加速域名指向 .ctdns.cn的CNAME域名，这样该域名所有的请求才会转向天翼云边缘节点，实现防护的目的。 如发现CNAME未正常解析，可能的原因如下： 1、CNAME配置错误：请检查所配置的CNAME解析记录值是否与天翼云DDoS高防（边缘云版）控制台提供的CNAME地址一致。如果不一致，可能会导致解析失败。 2、TTL未过期：在完成CNAME配置后，运营商localDNS的TTL可能还未过期。通常情况下，TTL时间为10分钟，但实际生效以您域名解析时配置的TTL为准。需要等待TTL时间过期后，新的CNAME解析才能生效。

本文简述天翼云全网带宽控制功能、适用场景、注意事项及配置方式。 功能介绍 天翼云全网带宽控制功能可通过设置单个域名或多个域名的总带宽值来控制带宽总用量，避免因带宽突发带来更多的带宽费用。 带宽控制功能支持全网边缘总带宽限制，支持分时段控制，您可以根据自身带宽需求选择对应的限制策略。带宽超出设置值后，可选择对请求进行限速、拒绝或者重定向操作。 适用场景 存在带宽突发场景，希望突发情况下全站加速带宽费用可以进行有效控制。 对带宽成本有严格把控，同时又不希望影响客户感知情况下可选择适用带宽控制功能，超过设置带宽后，对用户设置合理限速。 注意事项 可以针对多个域名合并进行总带宽控制，但是一个域名同时只能配置在一个控制任务中。 不支持对泛域名配置带宽控制功能。 由于域名带宽的监控数据存在一定延迟（大约10分钟），实际带宽达到阈值大约10分钟后生效。 配置说明 如需开启带宽控制功能，您需要提供以下信息： 参数 说明 限制带宽值 提供需要限制的总带宽大小。 限速时段 可选择全天生效或者固定时段生效。 限制策略 带宽超过限速值后处理方式，可选择限速/拒绝/重定向。 限制策略配置 限制策略选择限速，则提供对应的限制值。 限制策略配置 限制策略选择拒绝，默认拒绝响应403状态码，也可您自定义。 限制策略配置 限制策略选择重定向，则需提供重定向状态码及重定向地址。 如您需要配置全网带宽控制功能，请通过提交工单给天翼云客服，由其帮您配置。

接口描述：检测域名CNAME配置状态 请求方式：post 请求路径：/auxiliarytools/querycnamestatus 使用说明： 单个用户一分钟限制调用10000次，并发不超过100 请求参数说明： 参数 类型 是否必传 名称 描述 ::::: domain string 是 域名 加速域名，多个以英文逗号,分隔。 返回参数说明： 参数 类型 是否必传 名称及描述 :::: code int 是 状态码，成功100000 message string 是 描述信息，成功返回success，其他返回异常信息描述 cnamelist list 否 查询域名cname配置状态结果列表 cnamelist[].domain string 否 加速域名 cnamelist[].cname string 否 CNAME值，加速域名对应的cname，没有配置cname，返回空 cnamelist[].status string 否 CNAME配置状态，1(成功)，0(失败) 示例： 请求路径： 示例1： 请求参数： json { "domain": "a.ctyun.cn,b.ctyun.cn" } 返回结果： json { "code": 100000, "message": "success", "cnamelist": [ { "domain": "a.ctyun.cn", "cname": "a.ctyun.cn.ctdns.cn", "status": "1" }, { "domain": "b.ctyun.cn", "cname": "", "status": "0" } ] } 错误码请参考：参数code和message含义

步骤一：添加防护网站 如果您的业务服务器部署在云上，您可以将网站的域名或IP添加到WAF，使网站流量切入WAF。 前提条件 已申请WAF独享引擎实例。 约束条件 接入Web应用防火墙的网站已使用公网ELB（Elastic Load Balance）代理用作负载均衡。 为了保证WAF的安全策略能够针对真实源IP生效，成功获取Web访问者请求的真实IP地址，如果WAF前没有使用CDN、云加速等七层代理服务器，且ELB使用的是四层负载均衡（NAT等方式），“是否已使用代理”务必选择“否”，其他情况，“是否已使用代理”选择“是”。 操作步骤 步骤 1 登录管理控制台。 步骤 2 单击管理控制台右上角选择区域或项目。 步骤 3 单击页面左上方，选择“安全 >Web应用防火墙（独享版）”。 步骤 4 在左侧导航树中，选择“网站设置”，进入“网站设置”页面。 步骤 5 在网站列表左上角，单击“添加防护网站”。 步骤 6 配置“域名信息”。 “网站名称”：可选参数，自定义网站名称。 “防护对象”：防护的域名或IP，域名支持单域名和泛域名。 “网站备注”：可选参数，网站的备注信息。 说明 WAF不支持添加带有下划线（）的泛域名。 如果各子域名对应的服务器IP地址相同：输入防护的泛域名。例如：子域名a.example.com，b.example.com和c.example.com对应的服务器IP地址相同，可以直接添加泛域名.example.com。 如果各子域名对应的服务器IP地址不相同：请将子域名按“单域名”方式逐条添加。 步骤 7 源站配置，参数说明如表所示。 参数 参数说明 取值样例 防护对象端口 在下拉框中选择面要防护的端口。配置80/443端口，在下拉框中选择“标准端口”。 81 服务器配置 网站服务器地址的配置。包括对外协议、源站协议、VPC、源站地址和源站端口。 对外协议：客户端请求访问服务器的协议类型。包括“HTTP”、“HTTPS”两种协议类型。 源站协议：Web应用防火墙转发客户端请求的协议类型。包括“HTTP”、“HTTPS”两种协议类型。 VPC：选择独享引擎实例所在的VPC。 为了实现业务双活，避免业务单点故障，建议在同一VPC下申请两个WAF实例 源站地址：客户端（例如浏览器）访问的网站服务器的私网/内网IP地址。支持以下两种IP格式： IPv4，例如：XXX.XXX.1.1 IPv6，例如：fe80:0000:0000:0000:0000:0000:0000:000 源站端口：WAF独享引擎转发客户端请求到服务器的业务端口。 对外协议：HTTP 源站协议：HTTP 源站地址：XXX .XXX.1.1 源站端口：80 证书名称 “对外协议”设置为“HTTPS”时，需要选择证书。您可以选择已创建的证书或选择导入的新证书。 成功导入的新证书，将添加到“证书管理”页面的证书列表中。 说明 WAF当前仅支持PEM格式证书。如果证书为非PEM格式，请将证书转换为PEM格式，再上传。 如果您的证书即将到期，为了不影响网站的使用，建议您在到期前重新使用新的证书，并在WAF中同步更新网站绑定的证书。 域名和证书需要一一对应，泛域名只能使用泛域名证书。如果您没有泛域名证书，只有单域名对应的证书，则只能在WAF中按照单域名的方式逐条添加域名进行防护。 步骤 8 高级配置。 “是否已使用代理”：为了保证WAF的安全策略能够针对真实源IP生效，成功获取Web访问者请求的真实IP地址，如果WAF前已使用如CDN、云加速等提供七层Web代理的产品，请务必选择“是”。 选择“策略配置”：默认为“系统自动生成策略”，您也可以选择已创建的防护策略或在域名接入后根据防护需求配置防护规则。系统自动生成的策略说明如下： Web基础防护（“仅记录”模式、常规检测）：仅记录SQL注入、XSS跨站脚本、远程溢出攻击、文件包含、Bash漏洞攻击、远程命令执行、目录遍历、敏感文件访问、命令/代码注入等攻击行为。 网站反爬虫（“仅记录”模式、扫描器）：仅记录漏洞扫描、病毒扫描等Web扫描任务，如OpenVAS、Nmap的爬虫行为。 说明 “仅记录”模式：发现攻击行为后WAF只记录攻击事件不阻断攻击。 步骤 9 单击“确认”，添加域名完成。

开通和配置CDN 面向对象：即将开通和配置CDN服务的客户。 使用CDN 说明 产品开通 介绍如何开通CDN加速服务，包括账户实名认证、不同计费模式的开通步骤。 进入客户控制台 通过图文介绍进入客户控制台的步骤，帮助首次使用CDN服务的客户快速找到客户控制台入口。 添加加速域名 通过图文介绍在CDN控制台“添加加速域名” 的主要操作步骤和界面，指引客户快速完成加速域名的创建。 验证域名归属权 通过对DNS解析验证、文件验证两种验证方式的详细操作说明，方便客户选择合适的方式做域名归属权验证。 推荐配置（按需） 通过提炼影响加速效果较直接的配置，推荐客户提前配置，确保一上线即获得优质的加速效果。 CDN模拟测试（按需） 为不影响客户业务，通过详细的步骤说明，让客户用较简单的方式验证域名配置的生效情况。 配置CNAME 通过配置CNAME的实例，帮助客户直观了解配置CNAME的过程和校验注意事项。 停用CDN加速服务 当客户网站因业务变更需要停止CDN加速服务时，可参考本文档通过CDN控制台对域名进行停用或者删除操作。

步骤 说明 步骤一： 域名添加到WAF后，WAF会自动为该域名绑定一个防护策略，该策略中包含了WAF默认的防护规则，如果需要重新定制防护策略，可新增防护策略。 步骤二：为策略配置防护规则 防护策略是防护规则的合集，WAF支持的防护规则见下表。 步骤三： 一条防护策略可以适用于多个防护域名，如果多个域名适用这条策略，可为策略添加适用的防护域名。

接口描述：调用本接口进行域名归属权校验 请求方式：get 请求路径：/domain/verifydomainownership 使用说明： 单个用户一分钟限制调用10000次，并发不超过100 Query参数说明： 参数名 类型 是否必填 名称 说明 domain string 是 域名 域名 verifytype int 否 解析方法 1（DNS解析验证） ；2（文件验证） 。默认1 返回参数说明： 参数 类型 是否必传 名称及描述 code int 是 状态码，成功100000 message string 是 描述信息，成功返回success，其他返回异常信息描述 verifyresult boolean 是 域名归属权校验结果，true（成功），false(失败) 示例： 请求路径： 请求： 返回结果： json { "code": 100000, "message": "success", "verifyresult": false } 复制 错误码请参考：API返回参数code和message含义

更换证书会导致网络或者弹性负载均衡连接中断吗？ 不会。在更换证书时，已经建立的连接将继续使用旧证书，不会对已经建立的连接重新认证或断开，新建立的连接将使用新证书进行验证，保障更换证书动作时的服务连续。当前部分资源池支持更换证书，具体以控制台页面为准，控制台操作请参考 绑定/更换证书。 弹性负载均衡是否支持泛域名证书？ 支持。泛域名证书是一种特殊的数字证书，它可以为一个域名以及该域名下的所有二级或三级子域名提供HTTPS加密保护。这种证书也被称为通配符证书，因为它使用通配符符号()来匹配多个子域名。用户可以在控制台创建证书时使用泛域名证书。详情请参考 创建服务器证书。

本小节介绍Web应用防火墙术语解释。 域名解析 域名解析（Domain Name Resolution）指互联网上服务器相互间通过IP地址来建立通信，但是为了方便记忆，采用域名代替IP地址标识站点地址，让人们通过注册的域名可以方便地访问到业务的一种服务。域名解析就是域名到IP地址的转换过程。 常用域名解析类型： A记录：用来指定域名的IPv4地址。 AAAA记录：用来指定域名的IPv6地址。 CNAM记录：将域名指向另一个域名，再由另一个域名来提供IP地址。最常用CNAME的场景包括使用CDN、云WAF、企业邮箱与高防DDoS等。 MX记录：用于电子邮件系统发邮件时根据收信人的地址后缀来定位邮件服务器。 TXT记录：用于对域名进行标识和说明，进行SPF反垃圾邮件。 Web应用 Web应用（Web Application）指通过浏览器即可访问的应用程序。 源站 源站（Source Application Server）指实际业务所处的站点，通常也代指源站公网IP及后端到达真实应用服务器间的整个网络拓扑环境。 回源IP 回源IP（Return Source IP Address）指开启云WAF防护后，云WAF用来与源站服务器建立网络连接的公网IP地址。 CC攻击 CC攻击（Challenge Collapsar Attack）指攻击者借助自动化工具脚本模拟多个用户持续向网站发送大量合法请求，造成服务器资源耗尽直至业务不可用。 SSL 证书 SSL 证书（Secure Sockets Layer）及其继任者 TLS（Transport Layer Security）是网络通信的一种安全协议，具有服务器身份验证和数据传输加密功能，为互联网间的数据传输提供安全性与完整性保障。SSL证书遵循SSL协议，可安装在服务器上，实现数据传输加密。

开通和接入域名 面向对象：即将开通和接入边缘接入服务的客户。 开通和接入域名 说明 服务开通 向客户介绍如何开通边缘安全加速平台—边缘接入服务。 添加域名/实例 通过图文向客户介绍进入如何接入加速域名或实例。 验证域名归属权 通过对DNS解析验证、文件验证两种验证方式的详细操作说明，方便客户选择合适的方式做域名归属权验证。 配置CNAME 通过配置CNAME的实例，帮助客户直观了解配置CNAME的过程和校验注意事项。 启用边缘接入服务 通过模拟新手小白，从注册账号、实名认证到订购边缘接入服务，进入客户控制台，添加加速域名，模拟访问验收，最后配置CNAME。完成边缘接入服务的全流程。 停用边缘接入服务 当业务变更需要停止边缘接入服务时，可以通过客户控制台对域名进行停用或者删除操作。

接口功能介绍 申请证书 接口约束 1.已有购买证书管理服务证书资源 2.该证书为待申请、审核失败 URI POST /v1/certificate/apply 路径参数 无 Query参数 无 请求参数 请求头header参数 无 请求体body参数 参数 是否必填 参数类型 说明 示例 下级对象 id 是 String 证书表id 9af85bad1d6f413bbb3757a71efd073f domainType 是 String 域名类型，取值范围：单域名SINGLE、通配符WILDCARD、多域名MULTI MULTI verifyMethod 是 String 域名验证方式，取值范围：手工验证MANUAL、文件验证FILE MANUAL contactId 是 String 联系人id a2701f8ea14ff59cd36262dd544f6b67 encryptionAlgorithm 是 String 加密算法，取值范围：RSA、ECC、SM2 RSA csrGenerateMethod 是 String CSR生成方式，取值范围：系统生成AUTO、自动生成MANUAL AUTO domainName 是 String 域名 test.cn companyId 否 String 公司id a2701f8ea14ff59cd36262dd544f6b68 csrId 否 String CSR id a2701f8ea14ff59cd36262dd544f6b69 country 是 String 国家 CN province 是 String 省 北京市 city 是 String 城市 北京市

本小节介绍云解析添加AAAA记录操作方法。 使用场景 AAAA记录是用来指定域名的IPv6地址，如果需要将域名指向一个IPV6地址，就需要添加AAAA记录。 操作方法 1. 登录控制中心找到云解析产品列表，点击“解析管理”进入域名维护页面。 2. 在域名维护页面，点击要修改的域名进入记录管理页。 3. 单击页面上方的“添加记录”按钮，系统将自动生成一条空白记录。 4. 填写以下信息。 主机记录：一般是指子域名的前缀。 如需实现www.ctyun.cn，主机记录输入“ www”。 如需实现ctyun.cn，主机记录输入“@”。 记录类型：选AAAA记录。 线路类型：通常选择默认（默认为必填项，否则会导致部分用户无法解析）。 记录值：输入指定IPv6地址。 TTL：缓存时间，默认为3600秒。 5. 单击“√”完成记录添加。

本小节介绍云解析添加A记录操作方法。 使用场景 A记录是用来指定域名的IPv4地址，如果需要将域名指向一个IP地址，就需要添加A记录。 操作方法 1. 登录控制中心找到云解析产品列表，点击“解析管理”进入域名维护页面。 2. 在域名维护页面，点击要修改的域名进入记录管理页。 3. 单击页面上方的“添加记录”按钮，系统将自动生成一条空白记录。 4. 填写以下信息。 主机记录：一般是指子域名的前缀。 如需实现www.ctyun.cn，主机记录输入“ www”。 如需实现ctyun.cn，主机记录输入“@”。 记录类型：选A记录 线路类型：通常选择默认（默认为必填项，否则会导致部分用户无法解析）。 记录值：输入指定IPv4地址。 TTL：缓存时间，默认为3600秒。 5. 单击“√”完成记录添加。

本文介绍加速区域的配置规则。 功能介绍 由于境内外的监管要求存在差异，不同的加速区域需要遵守当地的法律要求，天翼云CDN支持“中国内地”、“全球（不含中国内地）”、“全球”三类，对应不同的要求详情请见：使用限制中的“加速域名准入条件”。 配置说明 1. 登录CDN控制台。 2. 单击左侧导航栏【域名管理】【域名列表】。 3. 在【域名列表】页面，找到目标域名【加速区域】列。 4. 单击右侧【】 5. 单击【加速区域】下的选项，可实现不同加速区域的切换，例如，从“中国内地”变更为“全球”。 参数名 说明 中国内地 选择中国内地，表示全球用户的访问，均会被调度至分布在中国内地的节点。天翼云CDN节点中国内地的最新分布情况，详情请见：节点分布。 加速域名请先完成在中国大陆的ICP备案，同时完成公安网备案。 全球（不含中国内地） 选择全球（不含中国内地），表示全球用户的访问，均会被调度至分布在中国澳门、中国台湾、中国香港以及其他国家和地区的节点。天翼云CDN节点全球（不含中国内地）的最新分布情况，详情请见：节点分布。 由于加速区域不包含中国内地，加速域名无需完成在中国大陆的ICP备案和公安网备案。 全球 选择全球，表示全球用户的访问，均会被择优调度至最近的节点进行加速服务。 由于加速区域包含中国内地，加速域名请先完成在中国大陆的ICP备案，同时完成公安网备案。

本文介绍当攻击发生且触发平台稳定性红线时的处理预案及注意事项等。 场景说明 天翼云全站加速是公共的加速服务，平台承载着成千上万的域名加速业务，是一个多客户共用的加速平台，默认不提供防攻击服务。当某个客户的域名遭受攻击（例如CC攻击），而出现带宽或QPS异常大幅上涨触发平台稳定性红线时，全站加速平台有权（根据域名业务情况、攻击影响程度等因素综合判断）将对应客户的域名切入专用隔离资源池以隔离异常业务，避免影响其他正常用户的加速服务。在攻击较严重的情况下，同账户下的其他域名也会切入隔离资源池。 域名被切入隔离资源池后，天翼云全站将不再保证服务质量，部分时段可能会出现无法服务的情况。 说明 隔离资源池是天翼云全站的一组特殊节点，这组节点与常规节点之间相互隔离，隔离资源池被用于隔离有风险的加速业务。 注意事项 因被攻击导致域名被切入隔离资源池后，用户访问带来的流量仍然会产生计费账单。 相关建议 如您的域名存在潜在被攻击风险，不希望在上述场景下被切换至隔离资源池，请切换至安全类加速产品，例如：边缘安全加速平台。 相关概念： DDoS：分布式拒绝服务攻击（Distributed Denial of Service，简称DDoS）是指攻击的发出点是分布在不同地方，且所请求的服务往往要消耗大量的系统资源，造成目标主机无法为用户提供正常服务。 CC攻击：攻击者借助代理服务器生成指向受害主机的合法请求，以实现DDoS和伪装的，称为CC(Challenge Collapsar)，CC主要是攻击页面，属于应用层攻击。

日志下载步骤 1. 登录边缘安全加速控制台，选择【边缘接入】控制台。 2. 进入【运营管理】【日志服务】【离线日志】页面。 3. 筛选对应域名/实例，选择时间后，单击下载对应域名/实例的日志。默认支持近30天的日志下载，同时支持单个日志下载和批量下载。 单日志下载：选中单个域名后面的文件下载键进行单个日志文件下载。 批量下载：第一列选中多个域名，并点击【批量下载】可进行批量日志下载。

参数 参数说明 取值样例 域名 设置防篡改的域名。 www.example.com 路径 设置防篡改的URL链接中的路径（不包含域名）。 URL用来定义网页的地址。基本的URL格式如下： 协议名://域名或IP地址[:端口号]/[路径名/…/文件名]。 例如，URL为“ 说明 该路径不支持正则。 路径里不能含有连续的多条斜线的配置，如“///admin”，WAF引擎会将“///”转为“/” /admin 规则描述 可选参数，设置该规则的备注信息。

接口描述：调用本接口获取指定时间内将要证书过期的域名数和已过期的域名数 请求方式：get 请求路径：/cert/queryexpirecount 使用说明： 单个用户一分钟限制调用10000次，并发不超过100 请求参数说明： 参数 是否必填 参数类型 说明 示例 下级对象 days 否 int 多少天内证书即将过期的域名个数,不传默认30 10 producttype 否 string 产品类型列表,多个用英文逗号隔开，不传默认所有产品类型，产品类型支持：“001”(静态加速)，“003”(下载加速),“004”(视频点播加速),“008”(CDN加速),“014”(下载加速闲时) 006 返回参数说明： 参数 是否必填 参数类型 说明 示例 下级对象 code 是 int 状态码 成功100000 message 是 string 信息描述 成功返回success，其他返回异常信息描述 expirewithindayscount 否 int XX天内即将过期证书和已过期证书的域名数之和 35 expiredcount 否 int 证书已过期的域名个数 10 示例： 请求路径： 示例1： 请求： 返回结果： json { "code": 100000, "message": "success", "expiredcount": 10, "expirewithindayscount": 35 } 错误码请参考：参数code和message含义

本文带您快速熟悉添加转发策略的操作步骤。 操作场景 HTTP/HTTPS支持配置基于域名和路径的转发策略，可以将来自不同域名或者不同URL路径的请求转发到不同的后端主机组来处理。 可以通过转发策略，将同一个网站的视频，图片，文本的请求分发到不同的后端主机组来处理，便于合理的分配资源。 注意 目前仅HTTP、HTTPS的监听器添加转发策略。 重定向的监听器不可创建转发策略。 目前支持的转发规则为：域名，URL。 如果创建了相同的转发策略（出现转发策略冲突），则会出现转发策略故障，此时即使把前面创建的转发策略删除，后面的转发策略依然会显示故障。将出现冲突的转发策略都删除后重新添加，即可恢复正常。 操作步骤 1. 进入“负载均衡详情页”，点击“监听器”详情的操作列，单击转发策略。 2. 单击“添加转发策略”，进入转发策略配置页。 3. 按照转发策略配置说明进行转发策略配置后，点击“下一步”： 转发策略配置说明 参数 说明 取值样例 名称 转发策略的名称。 policytest 域名 域名转发所需配置的域名。转发策略的域名支持通配符，通配符只可用""，最多可支持1个通配符，只可放在域名的首部或者尾部。通配符功能目前仅在部分集群模式资源池上线，主备、集群模式资源池列表见产品简介​>产品类型和规格​>按资源池区分, 实际情况以控制台展现为准。 注意：域名和URL至少指定一个。 URL匹配规则 支持的URL匹配规则有：精确匹配、前缀匹配和正则匹配。 精确匹配：请求的URL和设定URL完全一致。例：URL为/test，用户URL必须为/test才匹配。 前缀匹配：请求的URL匹配以设定URL开头的URL。例：URL为/test，用户URL为/test123、/test7fds等各种以/test开头的字符串时匹配。 正则匹配：请求的URL和设定的URL正则表达式匹配。 精确匹配 URL URL匹配的请求路径，域名和URL至少指定一个。URL匹配规则为前缀匹配和精确匹配时，URL长度支持0128个字符，支持大小写英文字母、数字和特殊字符~'@^%

本文介绍HSTS功能和配置方法。 功能介绍 HSTS（HTTP Strict Transport Security，HTTP 严格传输安全），是一种网站用来声明他们只能使用安全连接（HTTPS）访问的方法。网站可通过声明HSTS，来强制客户端（如浏览器）只能使用HTTPS与服务器连接，拒绝所有的HTTP连接并阻止用户接受不安全的SSL证书，降低第一次访问请求被拦截的风险。例如： 当您的域名在CDN加速产品中配置HTTPS功能和HTTP强制跳转HTTPS的功能时，若用户在浏览器中输入HTTP协议的URL进行访问，CDN节点会将该HTTP请求强制跳转到HTTPS协议，此时： 若未启用HSTS功能，且用户是首次以HTTP协议访问CDN节点，HTTP请求可能会被拦截或者篡改，存在安全隐患。 若启用HSTS功能，CDN节点会响应一个强制HSTS的头（例如：StrictTransportSecurity：maxagexxxx;includeSubDomains）给客户端，告诉客户端只能使用HTTPS协议访问CDN节点，此后浏览器将直接使用HTTPS协议访问CDN节点，不再需要HTTP协议强制跳转HTTPS协议。 注意事项 配置HSTS功能前，请确保已成功配置HTTPS证书，操作方法详情请见：新增证书。 在HSTS生效前，可参考：强制跳转功能，使用户首次以HTTP协议访问时，能够强制跳转到HTTPS协议发起访问。 配置说明 1. 登录CDN控制台。 2. 单击左侧导航栏【域名管理】【域名列表】。 3. 在【域名列表】页面，找到目标域名，单击【操作】列的【编辑】。 4. 单击右侧【请求协议】。 5. 在【请求协议】模块，勾选【HTTPS】。 6. 单击右侧【HTTPS配置】。 7. 选择域名对应的证书。如果已经在证书管理上传证书，可直接选择对应域名证书。如果还未上传证书，可单击【点击上传】，添加自有证书。添加完毕后，再选择对应证书。 8. 在【HSTS】模块，开启功能并根据需求填写配置。 9. 单击【保存】，完成配置。 参数 说明 过期时间 即StrictTransportSecurity响应头中maxage的值，单位为s；如过期时间为2592000s，则代表一个月内，访问该网站均需要使用HTTPS协议。 包含子域名 即StrictTransportSecurity响应头中是否需要包括includeSubDomains；如包括，则代表服务端告知客户端访问该域名及其子域名均需要使用HTTPS协议。

本小节介绍Web应用防火墙黑白名单配置操作方法。 Web应用防火墙支持全局黑白名单，可以选择一个防护域即一级域名（选择防护域后，系统会关联这个域下面的所有域名）进行防护黑、白名单配置。 黑名单：配置了黑名单的访问源，所有访问全部屏蔽。 白名单：配置了白名单的访问源，所有访问全部放行。 新增黑白名单 1. 进入Web应用防火墙控制台。 2. 在左侧导航栏，选择“黑白名单配置”，进入黑白名单配置页面。 3. 单击“新增”，进入新增配置页面。 4. 配置黑白名单参数，具体参数说明见下表。 参数名称 参数说明 配置类型 选择“黑名单”或“白名单”。 防护域 选择一个防护域，即一级域名。如www.ctyun.com、mail.ctyun.com的防护域为ctyun.com。 防护域名 选择防护域后，系统会关联这个域下面的所有域名，黑白名单将对关联的黑白名单生效。 用户可以对关联的子域名进行手动删除/增加，精确实现对防护域下面的指定子域名进行黑白名单配置。 黑白名单类型 黑白名单类型包括IP、Referer、URL、UserAgent四种类型。 黑白名单内容 根据所选黑白名单的类型，填写黑白名单内容： IP黑白名单：输入公网IP地址，如10.10.10.10。 URL黑白名单：如访问URL为

本节介绍如何查看API资产数及防护情况。 API总览页面展示API防护整体情况，包括API资产统计、API风险统计等。 前提条件 已开通Web应用防火墙（原生版）实例企业版或旗舰版。 防护对象列表 页面左侧展示所有防护对象信息，统计已接入的对象个数（不包括泛域名、ELB防护对象）。 支持选择“所有防护对象”或选择单个域名站点，查看统计信息： 选择“所有防护对象”，页面右侧展示全局防护统计信息。 选择单个域名站点，页面右侧展示单个域名站点统计信息。 资产统计 统计单个域名/所有域名下的资产统计信息，包含总资产数、活跃API接口分布、近七天访问IP数、近七天威胁事件数。 总资产数：展示总资产个数和七日内新增资产数。 活跃API接口分布：展示所选域名下活跃访问、低频访问、失活的API资产分布占比情况（饼状图）。 近七天访问IP数：展示所选域名近7天访问IP总数和近14天的访问趋势（柱状图），并统计日访问量。 近七天威胁事件数：统计所选域名下近7天威胁涉及API的威胁事件数量和近14天威胁事件日趋势（柱状图），并统计攻击占比（攻击占比指所有攻击事件数/正常业务事件数，不包含因为带宽原因被屏蔽的部分）。

问题描述 已配置公网NAT网关，存量Pod能访问公网，但部分新创建的Pod（Pod IP属于新子网）无法访问公网。 问题原因 新增的Pod子网未加入到NAT网关的SNAT规则。 解决办法 请配置NAT网关SNAT规则，加入新配置的子网。 双栈环境下部分Pod解析集群外域名失败，如何处理？ 问题描述 云主机所在子网开启了IPv6，部分Pod解析外部域名正常，部分Pod持续解析外部域名异常。 问题原因 该域名有A记录，没有AAAA记录，异常容器使用musllibc解析域名。当域名解析收到A NoError和AAAA NxDomain组合时，会认为解析失败。 解决办法 1. 容器镜像使用glibc替代musllibc； 2. 或业务不使用libc解析域名，例如Golang服务使用PureGo Resolver解析名称。

配置示例 参数名 配置值 类型 全部文件 内容 / 访问阈值 100 优先级 10 结果说明：相同客户端IP的用户，若1秒内请求同个域名资源超过100次，且都访问到CDN加速节点的同一台服务器，则前100个请求可正常响应资源内容，第101个请求会响应403状态码；该IP若后续仍在这台服务器请求该域名，则在10分钟内CDN会对该IP访问该域名资源响应403，10分钟后才可正常响应。

code code含义 message示例 100000 正确返回 success 100001 认证失败 用户认证失败 100002 找不到指定路径的API 当前调用的api不存在:$ 100003 无请求指定API的权限 当前用户对api:${api}无权限 100012 底层错误 请求错误，（底层返回结果） 100013 系统错误 系统错误 100014 底层超时 请求底层超时 200001 资源没有权限 请求参数域名校验失败，当前用户对域名%s无权限 200002 参数校验失败 请求参数校验失败，参数为必填 200003 域名创建或者修改失败 域名状态为已停用，无法进行修改

sectiona7417200f02c62fe) Web应用防火墙支持那些端口？ Web应用防火墙可以拦截哪些类型的攻击？ 什么样的域名无法接入防护？ Web应用防火墙是否能够防御DDoS攻击？ Web应用防火墙支持哪些TLS协议？ Web应用防火墙是否支持接入采用NTLM协议认证的网站？ Web应用防火墙中的源站IP可以填写ECS内网IP吗？ 如何接入Web应用防火墙防护？ 只需要通过修改网站CNAME记录即可。 如果域名的DNS解析服务在自建的服务器，登录控制台直接修改即可。 如果域名的DNS解析服务由第三方提供（如万网、新网等），登录域名提供DNS解析的服务商网站进行修改。 Web应用防火墙支持HTTPS协议吗？ 支持。 天翼云Web应用防火墙既支持HTTP，又支持HTTPS，同时支持单个域名既有HTTPS又有HTTP。 Web应用防火墙支持IP负载均衡吗？ 不支持，天翼云Web应用防火墙只支持单个IP的访问，不支持IP负载均衡。 Web应用防火墙流量牵引方式及步骤？ 天翼云Web应用防火墙采用DNS牵引的方式，属于常引流。 在Web应用防火墙自服务页面中防护配置生效后，需要客户联系DNS服务器商将网站域名解析指向CNAME地址，CNAME规则为：防护域+.iname.damddos.com，例如原域名 www.ctyun.cn，CNAME为www. ctyun.cn.iname.damddos.com。 如果用户需要关闭实例、关闭防护，首选需要确保已经联系DNS服务商将域名指向切换至源地址，否则将影响客户的正常访问。 服务到期需要尽快续费，或者需要确保配置失效时将DNS指回源站。

本节介绍已添加的域名是否可以删除。 可以删除，但域名删除后，该资产的历史扫描数据将被删除，不可恢复。

字段 描述 AWS4HMACSHA256 用于签名的算法，固定值。 Credential 用户AccessKeyID和范围信息，范围信息包括请求日期、区域、服务、终止字符串aws4request，格式如下： AccessKeyID / date / region / service /aws4request 其中： date格式为 YYYYMMDD 。 region： 对于oos api：访问域名为oosxx.ctyunapi.cn，region为xx。 对于统计api：访问域名为oosxxmg.ctyunapi.cn，region为xxmg。 对于操作跟踪api：访问域名为oosxxcloudtrail.ctyunapi.cn，region为xx。 对于iam api：访问域名为oosxxiam.ctyunapi.cn，region为xx。 各资源池的详细访问域名详见 SignedHeaders 已签名请求头的列表。该列表只需包含请求头名字，用分号分隔，必须全部小写，并按字符顺序对其进行排序，示例如下： host;range;xamzdate。 Signature 计算出的256位签名信息，以64个小写十六进制字符串形式表示。

本文带您快速熟悉如何查询终端节点(Endpoint)。 对象存储（简称ZOS）为每个地域提供一个终端节点，终端节点可以理解为ZOS在不同地域的域名，用于处理各自地域的访问请求。 操作场景 如果您选择使用SDK、API或客户端，则需要提前获取创建桶时所选地域的终端节点（Endpoint），来访问ZOS资源。ZOS为每个地域提供了通过外网和内网的访问方式，具体请查看访问规则。 操作步骤 1.开通对象存储ZOS服务后，在管理控制台点击目标桶的Bucket名称，进入“概览”页面。 2.进入页面后，在“域名信息”中，记录当前资源池的终端节点（Endpoint）、Bucket外网访问、同资源池内网访问的IPV4或IPV6地址。 说明 终端节点（Endpoint）：ZOS为每个地域提供Endpoint，可通过这个地址访问和调用对象存储及其功能。 Bucket外网访问域名：桶的域名地址，支持公网访问ZOS。域名结构为“协议://BucketName.Endpoint”，BucketName为桶名称，Endpoint为桶对应的地域域名。 同资源池内网访问（IPV4）域名：支持同资源池云主机通过内网访问ZOS的IPV4地址，内网访问不产生公网流量。 同资源池内网访问（IPV6）域名：支持同资源池云主机通过内网访问ZOS的IPV6地址，内网访问不产生公网流量。 例如，华东华东1和广东广州6的endpoint地址如下表： 访问控制 Endpoint 地域 终端节点（Endpoint） 华东华东1 同资源池内网访问(IPV4) 华东华东1 访问控制 Endpoint 地域 终端节点（Endpoint） 广东广州6 同资源池内网访问(IPV4) 广东广州6