参数 类型 是否必传 名称 描述 domain list 是 域名列表 可多个域名，作为统计筛选项 appname list 否 应用列表 不填默认所有应用 time int 否 开始时间 不填默认当前时间3min toprank int 否 倒序取toprank条数据 不填默认100

接口功能介绍 调用本接口查询绑定某证书的域名列表。 使用说明 单个用户一分钟限制调用10000次，并发不超过100。 接口详情 请求方式：get 请求路径：/cert/querycertbind 请求参数 参数 类型 名称 是否必填 说明 ::::: name string 证书备注名 是 响应参数 参数 类型 名称及描述 ::: code int 状态码 message string 描述信息 result list 绑定证书的域名列表 示例 请求路径： 请求示例 正确响应示例 { "code": 100000, "message": "success", "result": [ "ctyun.cn", "ctyun.cn1", "ctyun.cn2" ] } 错误码请参考：参数code和message含义

本文介绍边缘接入服务IP应用加速IP黑白名单。 功能介绍 IP黑白名单的访问控制策略，主要是通过识别客户端IP来过滤用户请求，拦截特定IP的访问或者允许特定IP的访问，可以用来解决恶意IP盗刷、攻击等问题。 配置说明 新增接入，配置IP黑白名单步骤： 1. 登录边缘安全加速控制台，选择【边缘接入】控制台。 2. 进入【域名】【IP应用加速接入】页面。 3. 在首页列表页面，点击左上角【新增接入】。 4. 找到访问控制模块，打开IP黑白名单开关，填写IP黑白名单配置。 编辑配置，修改IP黑白名单配置步骤： 1. 登录边缘安全加速控制台，选择【边缘接入】控制台。 2. 进入【域名】【IP应用加速接入】页面。 3. 在首页列表页面，点击【详情】，点击右下角【编辑配置】，编辑目标域名。 4. 修改对应的访问控制模块IP黑白名单。 注意事项 IP黑白名单是互斥的，不能同时配置，只能配置其一。 配置界面

参数 说明 是否开启 修改该后端服务器组是否开启健康检查功能，通过健康检查来判断后端服务的可用性，避免后端服务异常影响前端业务，从而提高业务整体可用性。 协议 为已开启健康检查的后端服务器组配置健康检查协议，该协议和后端协议默认保持一致，不可修改。 端口 修改健康检查端口，为已开启健康检查的后端服务器组配置健康检查端口，该协议默认使用后端服务器业务端口进行检查，若需指定特定端口则需填写，范围为165535。 探测报文 修改健康检查的探测报文，为已开启健康检查且后端协议类型为UDP的后端服务器组配置健康检查的探测报文，默认为ping，其中在5秒内，会发起一次udp探测，超时时间为3秒，最大重试次数为3次。 域名 修改转发域名，已开启健康检查且后端协议类型为HTTP的后端服务器组配置转发域名。 路径 修改健康检查页面的URL，后端协议选择为HTTP类型时可设置该参数。

本节介绍了如何获取天翼云提供的CNAME，并将域名或者业务的DNS解析指向天翼云提供的CNAME，这样访问的请求才能转发到边缘云节点上，达到安全防护效果。 前提条件 您已经完成添加服务域名，如果您未添加，请参考添加服务域名。 操作步骤 1. 在控制台【安全与加速】—【域名管理】中复制域名对应的CNAME。 2. 前往您的域名解析(DNS)服务商(如万网、阿里云解析、DNSPod、新网、腾讯云解析、route 53、godaddy等)，添加该CNAME记录。 以DNSPod操作界面为例，配置如下 3. 验证服务是否生效。配置CNAME后，不同的服务商CNAME生效的时间也不同，一般新增的CNAME记录会立即生效，修改的CNAME记录会需要较长时间生效；您可以 ping 或 dig 您所添加的加速域名，如果被指向.ctyun.cn，即表示CNAME配置已经生效，功能也已生效。 注意: 配置CNAME完毕，CNAME配置生效后，边缘安全加速平台—安全与加速服务生效。 CNAME配置生效时间：新增CNAME记录会实时生效，而修改CNAME记录需要最多72小时生效时间。 添加时如遇添加冲突，可参考以下“解析记录互斥规则” 调整记录。 在提示冲突的时候，说明已经有对应的记录，不允许重复添加或者说不能添加对应的记录，提供如下说明： 在RR值（Resource Records，资源记录）相同的情况下，同一条线路下，在几种不同类型的解析中不能共存( X 为不允许)。 X：在相同的 RR 值情况下，同一条线路下，不同类型的解析记录不允许共存。如：已经设置了 www.ctyun.cn 的 A 记录，则不允许再设置 www.ctyun.cn 的 CNAME 记录。 无限制：在相同的 RR 值情况下，同一条线路下，不同类型的解析记录可以共存。如：已经设置了 www.ctyun.cn 的 A 记录，则还可以再设置 www.ctyun.cn 的 MX 记录。 可重复： 指在同一类型下，同一条线路下，可设置相同的多条 RR 值。如：已经设置了 www.ctyun.cn 的 A 记录，还可以再设置 www.ctyun.cn 的 A 记录。

本文介绍CDN加速应对攻击的处理机制及策略建议。 详细说明 天翼云CDN加速产品提供公共开放的加速能力，默认不提供防攻击服务。如果您的CDN加速域名受到攻击（例如DDOS攻击或CC攻击），导致CDN节点带宽或请求QPS大幅上涨，影响正常用户请求时，天翼云CDN将基于域名业务情况、攻击影响程度等综合评估，必要情况下有权将您的加速域名流量导入“隔离节点”，进入“隔离节点”的用户请求将不再保障服务质量。 如您的域名存在潜在被攻击风险，不希望在上述场景下被切换至“隔离节点”，请在CDN加速基础上，叠加购买Web应用防火墙（边缘云版），或切换至安全类加速产品、边缘安全加速平台。详情请见：边缘安全加速平台。 相关概念 DDoS：分布式拒绝服务攻击（Distributed Denial of Service，简称DDoS）是指攻击的发出点是分布在不同地方，且所请求的服务往往要消耗大量的系统资源，造成目标主机无法为用户提供正常服务。 CC攻击：攻击者借助代理服务器生成指向受害主机的合法请求，实现DDoS和伪装就叫：CC(Challenge Collapsar)，CC主要是攻击页面，属于应用层攻击。

本文介绍新版回源超时时间功能及其配置说明。 功能介绍 回源超时时间设置（新）包括回源连接超时时间跟回源请求超时时间： 回源连接超时时间指回源节点与源站服务器建立连接的超时时间。 回源请求超时时间指回源节点与源站服务器建连成功后，向源站服务器发送请求的超时时间。 回源HTTP超时时间设置的长短要综合考虑网络链路情况、源站处理能力、连接问题等诸多因素。如您将回源响应超时时间设置的过长，可能会出现在源站处理能力达到上限，无法正常响应的情况下，失败的请求仍然长时间占用连接数，导致正常请求无法访问。建议您合理配置回源请求超时时间，以保证请求均能正常回源。 注意事项 “回源超时时间设置（新）”与“回源超时时间设置”的区别：新的回源连接超时时间和回源请求超时时间具备内部链路超时时间从回源层往边缘层逐层递增的能力，默认递增1s。可促进回源重试，降低访问异常的概率。 “回源超时时间设置（新）”与“回源超时时间设置”无法同时配置，新增域名默认使用“回源超时时间设置（新）”，历史域名支持从“回源超时时间设置”迁移为“回源超时时间设置（新）”。 配置说明 1. 登录CDN控制台。 2. 单击左侧导航栏【域名管理】【域名列表】。 3. 在【域名列表】页面，找到目标域名，单击【操作】列的【编辑】。 4. 单击右侧【回源配置】。 5. 在【回源超时时间设置（新）】模块，开启功能进行配置。 6. 单击【保存】，完成配置。 参数名 说明 回源连接超时时间 1. 指回源节点与源站服务器建立连接的超时时间。 2. 如果回源节点在指定的连接超时时间内未能与源站服务器建立连接，则会触发节点重试，重试失败后将与源站终止连接并返回502。 3. “回源超时时间设置（新）”和“回源超时时间设置”均未配置时，默认回源连接超时时间为5s。 回源请求超时时间 1. 指回源节点与源站服务器建连成功后，向源站服务器发送请求的超时时间。配置之后，内部链路的回源请求超时时间从回源层往边缘层逐层递增的能力，默认递增1s。 2. 如果在指定的请求超时时间内未接收到源站服务器响应的首包，则会触发节点重试，重试失败后将与源站终止连接并返回502。 3. “回源超时时间设置（新）”和“回源超时时间设置”均未配置时，默认回源请求超时时间为12s。

网站无法访问怎么办？ 无法访问弹性云主机实例中运行的网站的原因较多，此处列举较为常见的问题原因，具体原因以现场的排查结果为准。 TCP 80端口不可用。 Web服务不可用。 网站未备案。 网站资源或后端服务存在异常。 以CentOS 7.6系统为例，为大家介绍排查思路： 1. 检查80端口配置 plaintext netstat ntulp grep 80 如果端口被正常监听，请执行检查安全组规则。 如果端口没有被正常监听，请检查Web服务进程是否启动或者正常配置。 2. 检查安全组配置 如果安全组没有网站访问使用的端口，需要在云主机实例对应的安全组中添加放行该端口的规则。 1. 在弹性云主机控制，单击主机名称。 2. 选择“安全组”页签，展开安全组规则。 3. 单击“更改安全组规则”。 4. 根据网站使用的端口配置新的安全组规则，放行网站使用的端口。 3. 检查防火墙配置 1. 使用iptables nvL linenumber命令查看已配置的防火墙策略。 2. 依次执行以下命令放行80端口。 3. plaintext iptables A INPUT p tcp dport 80 j ACCEPT 4. plaintext iptables A OUTPUT p tcp sport 80 j ACCEPT 5. 使用service iptables save命令保存添加的规则。 6. 使用service iptables restart命令重启iptables。 7. 使用iptables nvL linenumber命令查看增加的规则是否生效。 8. 关闭防火墙后，重新测试网站访问是否正常。 4. 检查云主机CPU利用率 可以通过云监控查看云主机负载情况，您可以创建告警任务，当CPU或带宽利用率高时，系统会自动发送告警给您。使用Top命令查看系统运行状态，排查异常进程并终止，再次尝试访问。 5. 检查网站备案及域名解析是否正常 无论网站是通过IP地址还是通过域名对外提供服务，都需要进行备案。请检查您的备案信息是否正常。 如果域名已备案，但未正确配置域名解析也可能会导致域名无法Ping通。您可以在域名提供商的控制台查看解析详情。 如果上述排查都没能成功访问网站，请提交工单，联系技术支持人员帮助解决。

操作名称 资源类型 事件名称 EIP防护操作 eipprotectionoperation eipOperateProtectService EIP防护开启 eipprotectionoperation eipOperateProtectServiceEnable EIP防护关闭 eipprotectionoperation eipOperateProtectServiceDisable 创建ACL规则 acl createACLRule 修改ACL规则 acl createACLRule 删除ACL规则 acl deleteACLRule 设置ACL规则优先级 acl modifyACLRule 查看ACL规则命中次数 说明 此处的命中次数为策略列表中的命中次数，除非手动清零否则将会一直累计。 acl showRuleHitCount 设置ACL优先级 acl setACLRulePriority 创建黑名单 blackwhitelist createBlackList 修改黑名单 blackwhitelist modifyBlackList 删除黑名单 blackwhitelist deleteBlackList 创建白名单 blackwhitelist createWhiteList 修改白名单 blackwhitelist modifyWhiteList 删除白名单 blackwhitelist deleteWhiteList 新建IP地址组 addressgroup createIPAddressGroup 更新IP地址组 addressgroup updateIPAddressGroup 删除IP地址组 addressgroup deleteIPAddressGroup 批量删除地址组 addressgroup batchDeleteIPAddressGroup 添加IP地址组成员 addressgroupmember addIPAddressGroupMember 更新IP地址组成员 addressgroupmember updateIPAddressGroupMember 删除地址组成员 addressgroupmember deleteIPAddressGroupMember 新建服务组 servicegroup addServiceGroup 更新服务组 servicegroup updateServiceGroup 删除服务组 servicegroup deleteServiceGroup 批量删除服务组 servicegroup batchDeleteServiceGroup 添加服务组成员 servicegroupmember addServiceGroupMember 更新服务组成员 servicegroupmember updateServiceGroupMember 删除服务组成员 servicegroupmember deleteServiceGroupMember 新建域名组 domainset addDomainSet 更新域名组 domainset updateDomainSet 删除域名组 domainset deleteDomainSet 批量删除域名组 domainset batchDeleteDomainSet 批量添加域名 domainset batchAddDomain 删除域名 domain deleteDomainName 创建时间计划 schedule createSchedule 更新时间计划 schedule updateSchedule 删除时间计划 schedule deleteSchedule 批量删除时间计划 schedule batchDeleteSchedule 创建抓包任务 capture createCaptureTask 截止抓包任务 capture deleteCaptureTask 删除抓包任务 capture cancelCaptureTask 创建东西向防火墙 cfw createEWFirewallInstance 创建南北向防火墙 cfw createSNFirewallInstance 更新防火墙 cfw updateFirewallInstance 删除防火墙 cfw deleteFirewallInstance 升级防火墙 cfw upgradeFirewallInstance 新增标签 cfw createTags 删除标签 cfw deleteTags 冻结防火墙 说明 防火墙可能因以下原因处于冻结状态： 账号欠费。 账号冻结，例如账号违规。 cfw freezeFirewallInstance 修改防火墙名称 cfw changeFirewallName 更新攻击日志下发配置信息 alarmconfig updateAlarmConfig 更新用户的域名服务器配置情况 dnsserver updateDnsServer 创建东西向墙 cfw createEastWestFirewall 东西向墙开启防护 cfw enableEwFirewallProtect 东西向墙关闭防护 cfw disableEwFirewallProtect 购买防火墙 cfw addFirewallOrder 删除防火墙任务 cfw deleteFirewall 升级防火墙任务 cfw changeFirewall ips防护模式修改/创建 ips createOrUpdateIpsMode 开启虚拟补丁 ips enableVirtualPatches 关闭虚拟补丁 ips disableVirtualPatches 修改敏感目录扫描状态或反弹shell规则状态 cfw changeAdvanceIpsRuleStatus 修改日志管理 logconfig changeLogConfig 导入ACL import importCFW

本文介绍如何选择合适的动态回源策略。 功能介绍 在介绍动态回源策略之前，我们先介绍如何区分动态请求和静态请求？天翼云边缘安全加速平台安全与加速服务根据您配置的缓存规则来区分动静态请求，有配置缓存规则的被当作静态请求处理，其他请求将被当作动态请求处理。 如果您的域名有多个源站，可以配置合适的回源策略来实现不同的效果。动态回源策略支持择优回源、按权重回源、保持登录三种回源方式；静态回源策略默认轮询回源，无需配置。 择优回源：顾名思义，即根据边缘节点探测源站的结果，选择最快的源站回源。 按权重回源：根据每个源站配置的不同权重，轮询回源。默认所有源站权重相同，支持对不同源站配置不同的权重。 保持登录：基于客户端IP进行哈希计算，保证相同客户端IP的多次请求始终访问到相同的源站。 注意事项 基础版、高级版、企业版、旗舰版支持动态加速能力。 动态回源策略仅对动态请求生效，默认为择优回源。 静态请求默认轮询回源。 配置说明 1.登录客户控制 2.在域名列表页面，点击目标域名“详情”。 3.进入站点加速网络优化页面，点击“编辑配置”。 4.选择合适的动态回源策略。

本文主要为您介绍如何开启隐私屏蔽功能，以及如何配置隐私屏蔽防护规则。 网站域名接入Web应用防火墙后，您可以选择开启隐私屏蔽功能。通过配置隐私屏蔽规则，可以避免用户的密码等隐私信息出现在事件日志中。 前提条件 已开通Web应用防火墙（原生版）实例。 已完成网站域名接入。 使用限制 基础版不支持隐私屏蔽功能，请升级到更高版本使用。 操作步骤 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“防护配置 > 对象防护配置”，进入防护配置页面。 5. 在“防护配置”页面上方的“防护对象选择”下拉框，切换到要设置的域名。 6. 选择“系统配置”页签，定位到“隐私屏蔽”模块，可以选择开启/关闭防护。 7. 单击防护规则右侧的“前去配置”，进入隐私屏蔽规则页面。 8. 单击“新建防护规则”，在弹出的对话框中，配置隐私屏蔽规则。 参数说明如下： 配置项 说明 域名 此处不可修改。可返回防护规则页面，在页面右上角进行域名切换。 规则名称 设置规则的名称。 规则名称用于标识当前防护规则，建议您使用有明确含义的名称。 网页地址 输入网站静态页面路径。 路径格式为：协议名://域名或IP地址[:端口号]/[路径名/…/文件名]。 例如“ 路径不支持通配符或参数，支持输入端口。 字段范围 设置屏蔽的字段。 Cookie：根据Cookie区分的Web访问者。 Header：自定义HTTP首部。 Body：请求体参数。 URI：URI参数。 屏蔽关键词 根据字段范围设置屏蔽关键词，被屏蔽的关键词将不会出现在日志中。 默认已勾选银行卡、手机、身份证等关键词，也可以单击“自定义屏蔽关键词正则表达式”手动输入正则表达式，根据正则表达式对匹配的数据进行隐私屏蔽。 规则描述 可选项。设置规则的描述信息。 9. 单击“确定”，规则创建成功，成功后规则默认启用。您可以在规则列表中查看该规则。

背景信息 自定义运行时支持托管用户的HTTP Server。支持用户http请求的转发，请求链路：用户client > CF平台> Http server（自定义函数） 有两种调用函数的方式： HTTP调用（推荐）：例如使用HTTP触发器或者自定义域名。 API调用：通过Invoke API进行调用，例如使用SDK调用函数，或者控制台测试接口触发函数。 使用限制 一个函数的一个版本或别名，最多只能创建一个HTTP触发器。详细信息，请参见版本管理和别名管理。 HTTP Request限制 Request Headers不支持以"xfc"开头的自定义字段和以下自定义字段： connection keepalive 如果Request超过以下限制，会返回 400状态码和 InvalidArgument错误码。 Headers大小：Headers中的所有Key和Value的总大小不得超过8 KB。 Path大小：包括所有的Query Params，Path的总大小不得超过4 KB。 Body大小：同步调用请求的Body的总大小不得超过32 MB，异步调用请求的Body的总大小不得超过128 KB。 HTTP Response限制 Response Headers不支持以"xfc"开头的自定义字段和以下自定义字段： connection contentlength date keepalive server contentdisposition:attachment 如果Response超过以下限制，会返回 502状态码和 BadResponse错误码。 Headers大小：Headers中的所有Key和Value的总大小不得超过8 KB。 说明 从安全角度考虑，使用函默认的ctyun.com域名，服务端会在Response Headers中强制添加contentdisposition: attachment字段，此字段会使得返回结果在浏览器中以附件的方式下载。如果需要解除该限制，需设置自定义域名。 您可以通过绑定自定义域名，为函数映射不同的HTTP访问路径。

天翼云整理了备案过程中常见的五大退回原因，为了节约备案时间、提升备案效率，请您重点关注： 网站名称不合格： 网站名称是备案申请的重要信息，监管侧会基于备案的主体性质（个人或者非个人）判断网站与备案主体的关联性，通常情况下，建议您的网站名称使用公司全称或简称，个人名称遵守网站名称基本要求，若您的网站名称与备案主体无法判断其关联性，那备案订单的驳回风险会较高。 备案联系电话未接通： 备案申请订单在审核的过程中，不仅会对您提交的证件真实性进行核验，同时也会针对备案申请中填写的相关人员通过电话核验对应人员是否了解备案，以便确保此次申请是备案主体真实授权提交的，避免信息的冒用。 证件电子版不合格（非原件的拍照件或者彩色扫描件）： 在备案申请过程中，备案所需的证件一定是对应发证机构最新核准下发，并遵守原件拍照件或者原件彩色扫描件的要求。 域名实名认证信息与备案主体不一致： 自2018年1月1日起，新增备案的域名实名认证主体必须与备案主体保持一致；请您确保域名实名信息与备案主体保持一致，包含域名所有者名称、证件类型和证件号码。 网站负责人的照片不符合要求： 网站负责人人脸核验照片非白色背景、逆光、照片模糊或有遮挡等。您需要重新进行核验，且核验时需为纯白色背景（没有任何杂物），核验人需着当季服装，两肩露出上方留白进行清晰拍摄，面部无遮挡。拍摄前天翼云APP端会提供标准的拍照模板供您参考。

参数 类型 是否必传 名称 描述 starttime int 是 开始时间戳 起始时间，时间戳(秒)。 endtime int 是 结束时间戳 结束时间，时间戳(秒)。 interval string 否 时间粒度 时间粒度，目前支持1m，5m，1h和24h，默认5m。 producttype string 是 产品类型 产品类型，仅支持单个产品类型，支持：“001”(静态加速)，“003”(下载加速),“004”(视频点播加速),“008”(CDN加速),“014”(下载加速闲时) domain string 否 域名 域名，仅支持单个域名，作为统计筛选项，不传默认名下所有域名。 province list 否 省编码列表 省编码，不传默认所有省份，可多个省编码，作为统计筛选项， isp list 否 运营商编码列表 运营商编码，不传默认所有运营商，可多个运营商编码，作为统计筛选项， networklayerprotocol string 否 网络层协议 网络层协议，不传默认所有网络层协议，支持作为统计筛选项，可以为ipv4、ipv6，other。 applicationlayerprotocol string 否 应用层协议 应用层协议，不传默认所有络层协议，支持作为统计筛选项，可以为http，https，quic，other。 abroad int 否 区域 区域，国内(0)，国外(1)，不传或为空默认返回全部区域 groupby string 否 结果聚合维度 指标在计算结果的聚合维度，不传或为空默认按照时间粒度聚合，传参增加返回结果的聚合维度，支持busitype，province，isp，networklayerprotocol，applicationlayerprotocol，abroad。

参数 类型 是否必传 名称 描述 starttime int 是 开始时间戳 起始时间，时间戳(秒)。 endtime int 是 结束时间戳 结束时间，时间戳(秒)。 interval string 否 时间粒度 时间粒度，目前支持1m，5m，1h和24h，默认5m。 producttype list< string> 否 产品类型列表 产品类型列表，不传默认名下所有产品，可多个产品类型，作为统计筛选项。支持：“001”(静态加速)，“003”(下载加速),“004”(视频点播加速),“008”(CDN加速),“014”(下载加速闲时) domain list< string> 否 域名列表 域名，不传默认名下所有域名，可多个域名，作为统计筛选项。 province list< int> 否 省编码列表 省编码，不传默认所有省份，可多个省编码，作为统计筛选项， isp list< string> 否 运营商编码列表 运营商编码，不传默认所有运营商，可多个运营商编码，作为统计筛选项， networklayerprotocol string 否 网络层协议 网络层协议，不传默认所有网络层协议，支持作为统计筛选项，可以为ipv4、ipv6，other。 applicationlayerprotocol string 否 应用层协议 应用层协议，不传默认所有络层协议，支持作为统计筛选项，可以为http，https，quic，other。 groupby list< string> 否 结果聚合维度 指标在计算结果的聚合维度，不传或为空默认按照时间粒度聚合，可多个统计维度，可以为producttype，domain，province，isp，networklayerprotocol，applicationlayerprotocol。

参数 描述 IP地址或域名 目标数据库的IP地址或域名。 端口 目标数据库服务端口，可输入范围为1~65535间的整数。 数据库用户名 目标数据库的用户名。 数据库密码 目标数据库用户名所对应的密码。 SSL安全连接 通过该功能，用户可以选择是否开启对同步链路的加密。如果开启该功能，需要用户上传SSL CA根证书。 说明 最大支持上传500KB的证书文件。 如果不使用SSL证书，请自行承担数据安全风险。

本文主要介绍URL鉴权功能。 功能介绍 默认情况下在全站加速分发的内容大部分都是公开资源，用户可以直接请求URL获取。为了防止站点资源被恶意下载或者非法盗用，导致产生不必要的带宽浪费，您可以在天翼云全站加速上配置URL鉴权功能。配置URL鉴权后，全站会对加密串及时间戳进行校验，从而有效地保护用户站点资源。 适用场景 需要对站点资源限制用户访问，避免资源被恶意下载或者非法盗用场景。 注意事项 1. 配置URL鉴权需要客户端与全站加速配合一起开启。 2. 配置鉴权后，用户将携带鉴权参数访问，建议缓存策略修改为忽略鉴权参数进行缓存，否则将增大回源概率。修改缓存策略文档详情请见：缓存key设置。 3. 如果您的鉴权URL中含有中文或特殊字符，需先进行URL编码（即Encode）后使用。 配置说明 1. 登录客户控制台。 2. 单击左侧导航栏【域名管理】【域名列表】。 3. 在【域名列表】页面，找到目标域名，单击【操作】列的【编辑】。 4. 单击右侧【访问控制】。 5. 打开【URL鉴权】功能，默认为关闭。 6. 设置鉴权类型，并输入对应详细配置信息。 7. 配置完成后，单击【保存】。 天翼云提供三种鉴权方式供您参考配置，详细的鉴权原理及配置说明详情请见： 鉴权方式A 鉴权方式B 鉴权方式C

参数 说明 名称 自定义负载均衡后端服务器组的名称，若未填写，系统将自动分配；同时也可以单击【添加描述】按需为后端服务器组添加相关的描述信息。 域名 转发策略的转发域名。 URL匹配规则 转发策略配置URL匹配规则，当前支持精确匹配、前缀匹配和正则匹配。 URL 转发策略配置的URL路径。 后端服务器组 转发策略添加已有的后端服务器组，只支持添加后端协议类型为HTTP的后端服务器组。

本节主要介绍怎么在控制台进行文件预览。 在“存储桶列表”页面，点击对应的存储桶，进入“文件列表”，在该页面，可以预览对象。 点击文件“操作”列的“预览”按钮，可以预览该文件。 注意 基于安全合规要求，禁止通过OOS默认域名预览后缀为apk、ipa的文件，在Header中包含签名或者通过自定义域名方式下载此类文件不受影响。 预览的文件为图片或网页时，会以附件的形式下载到本地。

本节主要介绍怎么通过控制台下载文件。 在“存储桶列表”页面，点击对应的存储桶，进入“文件列表”，在该页面，可以下载文件。 点击操作列的“下载”，可以下载单个文件。选中一个或者多个文件，点击上方导航的“下载”，可以批量下载文件。 注意 基于安全合规要求，禁止通过OOS默认域名以匿名或者URL签名方式下载后缀为apk、ipa的文件，在Header中包含签名或者通过自定义域名方式下载此类文件不受影响。

本文介绍如何配置自定义TLS和加密套件。 前提条件 已开通Web应用防火墙（边缘云版）。 已经完成域名接入。 域名使用的是HTTPS协议且已上传了HTTPS证书。 如何配置自定义TLS 如果您需要自定义TLS协议版本，请提交工单联系天翼云技术支持。

快速入门 您只需要按照以下流程，即可快速接入天翼云全站加速服务。 开通全站加速服务>>进入客户控制台>>添加加速域名>>验证域名归属权>>配置CNAME

快速入门 您只需要按照以下流程，即可快速接入天翼云全站加速服务。 开通全站加速服务>>进入客户控制台>>添加加速域名>>验证域名归属权>>配置CNAME

本文介绍缓存过期时间设置方法。 功能介绍 缓存过期时间指源站资源在全站加速节点缓存的时长，在缓存未过期前，对应资源会直接从全站加速节点响应给用户；达到预设缓存过期时间后，资源将会被全站加速节点标记为缓存过期。此时如果客户端向全站加速节点请求该资源，全站加速会携带IfModifiedSince请求头或IfNoneMatch请求头回源站校验内容是否有更新，如有更新则获取最新资源并缓存到全站加速节点，如无更新则继续使用原有缓存文件。您可以根据业务需求，按指定路径或文件名后缀等方式配置静态资源的缓存过期时间。 注意事项 1. 您可基于天翼云默认推荐的缓存设置，按需进行调整后，直接使用，当前默认推荐配置如下： 2. 如您删除了上述默认推荐设置，且未添加其他任何设置情况下，全局默认不缓存走动态加速回源。 3. 如果加速域名下的文件访问热度过低（指同个文件在一段时间内被访问的频次过低），则很可能在过期时间到来之前被其他热度更高的文件覆盖。即：即使某个文件配置的缓存时间较长，如1个月，仍有可能在1个月内重复回源。 4. 天翼云全站加速节点的缓存时间，最长可以设置为3年，即1095天。 配置说明 1. 登录客户控制台。 2. 单击左侧导航栏【域名管理】【域名列表】。 3. 在【域名列表】页面，找到目标域名，单击【操作】列的【编辑】。 4. 单击右侧【缓存配置】。 5. 在【缓存过期时间】下方单击【增加规则】，弹出的对话框中，配置缓存时间规则，并单击【确定】。 （1）选择【类型】，如后缀名、目录、首页、全部文件、全路径文件，并配置相应的内容。 后缀名：指文件后缀名，可单击选择后缀名，如jpg，png。若后缀名不在选择清单内，可在【其他文件】框输入其他后缀名。 目录：指具体目录，例如值为：/a/，表示目录前缀为/a/的文件。 首页：指域名首页，值固定为/。 全部文件：指对应域名下的所有文件，值固定为/。 全路径文件：指对应URI的文件，例如值为：/a/b.js，则表示请求url中位于/a/目录下的b.js文件的缓存规则（无论是否携带问号后参数）。 （2）选择【缓存规则】，默认为强制缓存。 如选择强制缓存，则即使源站返回CacheControl：nocache/nostore/private等不缓存头或类似CacheControl：maxagen (n>0) 的缓存头时，全站加速节点仍将按照预设的规则及时间缓存文件。 注意 如选择强制缓存，且过期时间设置为0，则无论源站如何响应，全站加速节点均不缓存该文件。 如选择优先遵循源站，则源站如果返回CacheControl：nocache/nostore/private等不缓存头或CacheControl：maxagen (n>0)、Expires响应头时，优先按照源站响应头对应的缓存时间生效。 如选择不缓存，则无论源站返回任何缓存相关响应头，全站加速节点均不缓存。 （3）选择【过期时间】单位，如秒、分钟、小时、天，再填写对应的过期时间。 （4）【缓存参数】默认忽略参数，如需要带问号后参数缓存，请选择不忽略参数。 注意 对于可缓存的文件，全站加速节点通常会设置缓存key（缓存key为文件在全站加速节点上缓存的唯一ID）。默认情况下，全站加速节点会将问号后参数去掉的内容作为缓存key，以提升缓存命中率，降低回源量。如果原始URL中携带问号后参数，且参数不同时源站指向不同文件，则选择不忽略参数，避免缓存错误。 （5）填写【权重】。权重即优先级，支持自定义，数字越大则越优先生效。如果同个URL满足不同的缓存规则设置，例如该URL既属于某个文件后缀，又属于某个目录下，此时具体遵循哪条缓存规则，取决于二者的权重设置，最终按权重数字大的生效。 6. 单击【保存】，完成配置。

方法二：开通安全防护功能 CDN加速作为帮助用户加速获取资源文件的产品，其主要功能在于缓存加速，如果客户的业务存在潜在的被恶意访问风险，需要防止流量盗刷，配置高级频率控制和其他安全类防护，建议叠加开通Web应用防火墙（边缘云版），详情请见：Web应用防火墙（边缘云版）。 注意 针对同一个域名，天翼云CDN加速支持叠加Web应用防火墙（边缘云版）产品，无需做域名的迁移，但域名需先在CDN控制台添加完成后再在Web应用防火墙（边缘云版）控制台上新增。具体操作指南实例，详情请见：CDN叠加Web应用防火墙（边缘云版）。 方法三：开启带宽控制功能 天翼云CDN加速支持带宽控制功能，该功能可以控制带宽总用量，从而避免因带宽突发带来更多的费用。如果客户需要对使用天翼云CDN加速的域名带宽做限速，可通过提交工单或拨打4008109889热线电话联系天翼云客服进行咨询。相关功能介绍，详情请见：带宽控制。 方法四：开启访问控制功能 天翼云CDN加速控制台支持自助配置访问控制功能，您可以针对域名访问特性进行配置，从而避免产生不必要的流量消耗。 访问控制功能 说明 Referer防盗链 Referer防盗链是基于HTTP请求头中Referer字段来设置访问控制规则，实现对用户来源的识别和过滤，防止网站资源被非法盗用。 IP黑白名单 客户端IP是客户端与CDN节点建立连接时所使用的IP，通过识别客户端IP来过滤用户请求，拦截特定IP的访问或者允许特定IP的访问，可以用来解决恶意IP盗刷、攻击等问题。 UA黑白名单 UserAgent（简称UA）是HTTP请求头的一部分，可体现用户使用的终端标识。通过识别HTTP请求头中的UA字段，可以识别特定终端，从而限制用户行为，拦截或允许某一类用户的访问，实现防盗链、防盗刷、防攻击的目的。 URL黑白名单 URL黑白名单是网络安全管理中的一种重要机制，主要用于控制用户对特定资源的访问权限。 URL鉴权配置 为了防止站点资源被恶意下载或者非法盗用，避免产生不必要的带宽浪费，可配置URL鉴权功能。配置URL鉴权后，CDN会对加密串及时间戳进行校验，从而有效地保护用户站点资源。 单请求限速 单请求限速功能可以限制CDN节点响应给用户的下行速率，从而减少域名的整体带宽，节省成本。

回源探测机制 CDN不会主动进行回源探测。如回到某个源站请求失败时，CDN不会将失败结果直接返回给客户端，而是会进行重试，通过重试来规避因源站不稳定带来的访问体验受损问题。如果某个源站在一定周期内失败次数超过一定阈值（阈值可配），则CDN会将该源站放入不可用列表，并持续一段时间（时长可配），直到该时长过后才将对应源站记录重新放回可用列表。即CDN可基于每个源站对请求的响应来判断源站是否可用。 对源站进行不可用判定时，与回源重试粒度相同，也分为两种，一种是基于源站记录来判断是否可用，即无论某个源站是域名还是IP，如果在一定周期内返回失败次数超过一定阈值，即认为该源站不可用；另外一种是基于具体IP，即如果某个源站是域名，只有该域名中所有IP不可用，才认为该源站不可用。CDN默认为基于源站记录来判断是否可用。

注意事项 配置TLS协议版本前，请确保已成功配置HTTPS证书，操作方法请参见新增证书。 默认开启 TLS v1.0、TLS v1.1、TLS v1.2、TLS v1.3。 不可关闭全部版本，如全部关闭将导致https访问失败。 配置说明 1.登录边缘安全加速平台控制台。 2.在域名基础配置页面，点击目标域名。 3.进入HTTPS配置页面，单击“编辑配置”。 4.配置“TLS协议版本”。

本文通过图文说明证书查看路径和证书详情。 功能介绍 客户完成证书新增后，可通过客户控制台界面查看已添加的证书及其详细信息，包括：证书备注名、通用名称、创建时间、证书品牌、有效期、已绑定域名等等。 操作步骤 1.登录边缘安全加速平台控制台。 2.在【域名】【证书管理】【AOne 证书管理】页面，可以看到证书列表，含历史添加过的所有证书。 3.选定目标证书，在操作列单击“详情”，即可查看证书详情信息。

步骤2：准备工作 注意 在将业务接入DDoS高防（边缘云版）时，强烈建议您先使用测试业务环境进行测试，测试通过后再正式接入生产业务环境。 接入DDoS高防（边缘云版）前，您需要完成以下准备工作。 准备需要接入的网站域名信息，包括源站服务器公网IP、端口、请求协议等信息。 网站域名必须已完成ICP备案。 需要具备域名解析服务商添加TXT记录值权限或源站管理权限，以便完成域名归属校验。更多信息，请参见域名归属权校验指南。 需要具备DNS域名解析管理权限，用于切换DNS解析记录，以便接入后将网站流量引流到DDoS高防（边缘云版）。 若网站支持HTTPS协议访问，需要准备相应的证书和私钥信息，用于证书上传。更多信息,请参见证书管理。 检查网站业务是否有客户端黑白名单限制。业务接入后需要配置防护策略放行或拉黑相应的客户端IP。 推荐网站业务接入前，完成压力测试。 步骤3：接入DDoS高防（边缘云版） 1. 业务接入配置。 说明 如果在接入DDoS高防（边缘云版）前业务已遭受攻击，建议您更换源站服务器IP。更换IP前，请务必确认业务端是否存在直接指向源站IP的相关代码，若存在需要调整代码或配置，避免影响业务正常访问。 根据您的业务信息及流量请求购买相应的DDoS高防（边缘云版）套餐，并根据以上准备信息配合以下接入配置指导，将您的网站域名业务接入DDoS高防（边缘云版）： 添加域名。或参见视频接入指导： 视频专区。 2. 配置源站保护。 为避免恶意攻击者绕过DDoS高防（边缘云版）直接攻击源站服务器，建议您针对源站服务器采取相应安全配置。 3. 配置防护策略。 根据您的业务特征及攻击情况配置对应的防护策略。 CC攻击防护：若您的业务有遭受CC攻击的情况，可配置CC攻击防护策略。更多信息，请参见CC防护最佳实践。 访问配置访问限制：若您的业务受众群体物理位置区域相对集中或仅面向中国区域，可在访问控制防护模块配置相应的防护规则进行限制。更多信息，请参见访问控制。 访问配置频率控制：若您的业务存在单url请求或单ip等需要限制访问频率，可在频率控制模块配置相应的防护规则进行限制。更多信息，请参见访问控制。 4. 本地测试。 完成上述DDoS高防（边缘云版）配置后，建议您进行配置准确性检查和验证测试。 说明 您可以通过修改本地系统hosts文件的方式进行本地测试。 编号 检查项 网站域名配置准确性检查项 1 接入配置域名是否填写正确。 2 接入配置协议及服务端口是否与实际一致。 3 源站填写的IP是否是真实服务器IP。 4 若使用HTTPS检查证书是否上传成功。 5 是否开启频率控制、访问控制的防护规则严格模式。 6 查看计费详情，检查是否了解DDoS高防（边缘云版）的计费方式。 业务可用性验证项 1 测试业务是否能够正常访问。 2 观察业务返回4XX和5XX响应码的次数，确保回源IP未被拦截。 3 测试HTTPS链路访问是否正常。 4 （建议项）是否配置源站保护，防止攻击者绕过DDoS高防（边缘云版）直接攻击源站。 5 测试TCP业务的端口是否可以正常访问。 5. 切换DNS解析，引流业务流量。 说明 调整DNS解析记录需要几分钟后生效，可使用dig命令等确认是否已生效。 以上检查均测试通过后，可开始按域名逐个切换调整DNS解析记录，将网站流量引流到DDoS高防（边缘云版），并实时观察监测。若切换流量后出现异常，请快速恢复DNS解析记录。 6. 告警监控。 建议您根据业务情况在告警模块配置相应的告警策略，以便及时了解业务运行情况和发现异常现象。

备案变更流程 备案变更是指通过将在天翼云备案并已被管局审核通过的备案信息进行修改后重新提交给管局进行审核的备案类型操作。例如修改单位名称、证件号码、负责人信息、域名信息、接入信息等等。备案变更适用于已备案全量信息的修改操作，如果修改主体信息请选择 “变更主体”操作；如果修改部分网站信息请选择“变更网站”操作；如果修改部分网站的接入信息，请选择“变更接入”操作。 注意： 1、备案变更不能删除已备案的网站，如需删除网站，请通过注销网站或取消接入来实现； 2、备案变更不能删除备案主体信息，如需删除主体，请通过注销主体来实现； 3、已备案网站（在天翼云已经有网站备案号的）增加IP，可通过备案变更来实现； 4、已经创建备案变更订单，将无法在“创建备案变更订单”中查询到，即同一条备案信息不能重复创建备案变更订单。 备案变更流程简图，如下所示： 备案变更详细流程图，如下所示： 1 创建备案变更订单 发起备案变更，首页要创建相应的备案订单任务（备案变更订单仅能创建一条），如下图所示，点击“备案变更”即可创建备案变更订单。 订单创建后，页面随即跳转至“在途备案订单管理”，备案变更订单在此可查询、管理和撤销，如下图所示。 2 修改主体信息 主体信息编辑时，无法修改主办单位所在“省”，此项为禁止编辑项。如需调整所在省，请通过“变更主体”操作。 所有必填项信息填写完毕后，点击“保存”或“下一步，填写网站信息”按钮保存所填写的主体信息。 3 修改网站信息 变更网站信息时，只能对已经备案成功的网站进行信息修改，不能发起“新增网站”，如果需要增加新的网站，请通过“新增网站”按钮单独发起新增网站备案订单任务。 修改您本次备案的网站信息和接入信息，如上图所示，点击对应网站后方的“编辑”按钮进行修改即可。备案变更不能修改已备案的域名信息，为更好落实《关于调整非经营性互联网信息服务备案编号规则的通知》（工信管函【２０１９】６３３号）文件要求，自2019年4月22日起在审核或操作新增备案、新增网站、域名迁移备案数据时，每个网站仅能填报一个网站域名；在审核或操作备案变更、变更网站时，若网站下为单域名，则不允许变更域名；若网站下为多域名，则只允许在原有域名列表基础上保持不变或减少域名，不允许新增域名，如果需要新加或修改域名，请通过新增网站操作进行增加。如下图所示。 所有必填项信息填写完毕后，点击“保存”或“下一步，上传备案材料”按钮保存所填写的网站信息。 4 资料上传 系统支持通过小程序采集上传和本地图片上传两种方式。 材料上传只支持jpg、png格式的图片，请勿上传其他格式的图片。系统限定每个图片类型最多上传3张图片，如位置不够可以传至其他空白位置。 5 本地上传图片 用户需要按照页面指引，上传各类证件彩色图片。 6 APP电子化方式上传图片 通过微信小程序扫描二维码后，在小程序端按照系统所提示采集需要图片，完成图片采集完成后会自动生成18位验证码，需将验证码填报至上图指定位置后，点击“确定”按钮，系统会自动将图片对应到合适位置。 预览填写的信息，并准确核对所填写的信息，并对有需更正的地方返回上一步修改。 信息预览无误后，点击“提交审核”，备案信息将提交至管理员进行审核。 7 天翼云/管局审核 提交审核，天翼云备案专员将会尽快审核您的信息是否符合备案要求。审核符合要求的，天翼云会尽快代您将备案信息提交至管局进行备案终审，提交管局后，请变更后的主体和网站负责人收到验证短信后，在24小时内按照短信指引完成，否则会被管局退单。 管理员将根据真实性验信息和图片信息情况填写审核意见，如所备案信息和证件等信息无误，审核通过并提交管局；反之，审核拒绝，退回备案信息给备案发起人进行修改，或退回至待核验环节或待预审核环节由相关人员处理。 信息提交管局后，请耐心等待管局的审核，管局审核拒绝或接口自动退回后，会在订单中获得退回的意见，管理员或用户需根据退回意见进行修改后重新进行备案流程。 备案通过后，管局会给主办单位负责人发送备案通过通知，同时，经过管局审核的备案信息会同步给天翼云侧备案系统，您所已经备案通过的信息可以通过“已备案信息管理”进行查看管理。 去备案

参数 说明 示例 任务类型 触发云备源的任务类型，分为即时和定时两种： 1. 如为即时类型，请说明任务的具体开始时间。 2. 如为定时类型，请说明任务的开始时间和结束时间，以及任务间隔周期，间隔周期支持按周、日、小时、分、秒来进行设置。 1. 即时任务示例： 按如下时间开始： 开始时间：2023年11月28日17时00分00秒。 效果：该任务于2023年11月28日17时00分00秒开始执行文件同步，后续不再执行。 2. 定时任务示例： 按如下周期执行任务： 开始时间：2023年11月28日17时00分00秒。 结束时间：2025年11月28日17时00分00秒。 间隔周期：每日。 效果：该任务于2023年11月28日17时00分00秒开始执行同步，后续会在每天17时00分00秒自动同步新文件至备源。 备份入口地址 待备份内容的入口地址。 例如： 备份层级 备份地址的层级深度。 例如：3，表示从入口地址往下同步三层。 备份域名 待备份网站中需备份内容对应域名。 www.ctyun.cn，img1.ctyun.cn，img2.ctyun.cn，支持多个；默认为入口地址对应域名。 备份资源类型 待备份网站中的文件资源类型。 html、htm、jpeg，支持多个；默认为html、htm、shtml、js、css、jpg、jpeg、png、gif、svg、ico、ttf、woff2、asp、jsp、php、perl、cgi。如需备份无后缀名的文件，请单独说明。 备源地址 媒体存储【即对象存储（融合版）】完整域名，一般由bucket+endpoint组成。 test.jx6oss.ctyunxs.cn，其中test为bucket名称。 是否存在同名文件更新 若存在同名文件更新，请给出对应文件后缀或其他特征。 是，html文件后缀。 备份文件量级 指同步任务需要备份的文件量级大小。 20GB。 AK、SK 如备源的媒体存储【即对象存储（融合版）】桶是私有桶，则需同时提供AK、SK信息。 AK：abc123；SK：xxxxxxx。

本文介绍如何通过日志下载功能查看对应域名的相关日志。 日志文件延迟时间：一般情况下延迟在24小时之内，但是也有可能超过24小时； 日志每隔一小时生成一次。具体分割成的文件数量根据该小时生成的日志量动态调整； 您可以下载最近15天的日志数据； 日志命名规则：log加速域名年月日时开始时间结束时间，例如： logwww.ctyun.cn202001010100005959.gz 图 日志下载