系统影响 PCI DSS 开启PCI DSS合规认证后，不能修改TLS最低版本和加密套件，且最低TLS版本将设置为“TLS v1.2”，加密套件设置为EECDH+AESGCM:EDH+AESGCM。 开启PCI DSS合规认证后，如果您需要修改TLS最低版本和加密套件，请关闭该认证。 PCI 3DS 开启PCI 3DS合规认证后，不能修改TLS最低版本，且最低TLS版本将设置为“TLS v1.2”。 开启PCI 3DS合规认证后，您将不能关闭该认证，请根据业务实际需求进行操作。 操作步骤 1. 登录管理控制台。 2. 单击管理控制台右上角的，选择区域。 3. 单击页面左上方的，选择“安全 > Web应用防火墙（独享版）”。 4. 在左侧导航树中，选择“网站设置”，进入“网站设置”页面。 5. 在目标网站所在行的“域名”列中，单击目标网站，进入网站基本信息页面。 6. 在“合规认证”行，可以勾选“PCI DSS”或“PCI 3DS”开启合规认证，也可以在“TLS配置”所在行，单击编辑按钮修改TLS配置。 勾选“PCI DSS”，系统弹出“警告”对话框，单击“确定”，开启该合规认证。 说明 选择开启PCI DSS合规认证后，您将不能修改TLS最低版本和加密套件。 勾选“PCI 3DS”，系统弹出“警告”对话框，单击“确定”，开启该合规认证。 说明 选择开启PCI 3DS合规认证后，您将不能修改TLS最低版本。 选择开启PCI 3DS合规认证后，您将不能关闭该认证，请根据业务实际需求进行操作。 7. 在弹出的“TLS配置”对话框中，选择最低TLS版本和加密套件，如下图所示。 选择“最低TLS版本”，相关说明如下： 默认为TLS v1.0版本，TLS v1.0及以上版本的请求可以访问域名。 选择TLS v1.1版本时，TLS v1.1及以上版本的请求可以访问域名。 选择TLS v1.2版本时，TLS v1.2及以上版本的请求可以访问域名。 8. 单击“确定”，TLS配置完成。

通过内网DNS可以实现两个VPC互访，本节帮助您了解两个VPC通过内网DNS实现互访的解决方案。 操作场景 用户在云上创建的多个VPC中，如财务系统和人力系统分别对应于两个不同的业务部门的VPC。为了满足业务系统相互访问和共享内部服务的需求，并确保通信的安全性，可以通过使用内网DNS来进行域名解析和互访。通过域名进行互访，建立了安全可靠的通信通道，同时简化了跨VPC的配置和管理，使财务系统和人力系统能够相互访问。 解决方案 您可以轻松地设置内网DNS，将多个VPC连接在一起，使它们能够使用易记的域名而不是IP地址来相互访问。 创建对等连接并配置路由 创建内网DNS并关联VPC 添加记录集并添加主机记录 配置内网DNS 相关参数如下表所示： VPC名称 VPC网段 DNS 本端 vpchr 192.168.0.0/16 100.95.0.1 对端 vpcfinace 10.0.0.0/8 100.95.0.1 操作步骤 1. 登录到内网DNS控制中心页面。 2. 单击控制中心顶部的，选择“地域”，此处我们选择华东1。 3. 在[虚拟私有云](

本文为您介绍基于DNS的服务发现。 本文主要介绍Kubernetes集群中DNS域名解析原理和在Serverless集群中安装DNS服务器CoreDNS。 背景信息 DNS为Kubernetes集群内的工作负载提供域名解析服务。CoreDNS是Kubernetes集群中负责DNS解析的组件，能够支持解析集群内部自定义服务域名和集群外部域名。CoreDNS具备丰富的插件集，在集群层面支持自建DNS、自定义hosts、CNAME、rewrite等需求。与Kubernetes一样，CoreDNS项目由 CNCF托管，关于CoreDNS的更多信息，可浏览CoreDNS的官网。Serverless集群使用CoreDNS负责集群的服务发现，您可以根据不同使用场景配置CoreDNS及使用CoreDNS提升集群DNS QPS性能。 前提条件 确保您已经创建Serverless集群，具体操作请参阅创建Serverless集群。 确保kubectl工具已经连接目标集群。 操作步骤 步骤一：安装CoreDNS插件 1. 登录容器服务控制台，在左侧菜单栏选择“集群”。 2. 在集群列表页面，选择目标集群名称，然后在左侧菜单栏选择“插件”下的“插件市场”，安装CoreDNS插件。 3. 提交“安装插件”，稍后会在集群中创建2个coredns pod，集群会根据Pod内的配置，将域名请求发往集群DNS服务器获取结果。 4. 查看coredns是否正常运行。 步骤二：创建Nginx工作负载，以及service 1. 创建无状态工作负载，参考如下： apiVersion: "apps/v1" kind: "Deployment" metadata: name: "nginxdeploy" namespace: "default" spec: replicas: 2 selector: matchLabels: name: "nginxdeploy" template: metadata: labels: name: "nginxdeploy" source:"CCSE" spec: containers: image: "registryvpccrshuadong1.ctyun.cn/opensource/nginx:1.25alpineamd64" imagePullPolicy: "IfNotPresent" name: "nginx" 2. 查看nginx pod是否正常运行，从eci控制台进入pod容器内部。 kubectl get po ndefault grep nginx 查看Pod内的DNS域名解析配置文件为/etc/resolv.conf，文件内容如下： nameserver 10.96.0.10 search kubesystem.svc.cluster.local svc.cluster.local cluster.local options ndots:5 3. 创建service，参考如下： apiVersion: v1 kind: Service metadata: name: nginxdeploy namespace: default spec: ports: name: tcp80 port: 30002 protocol: TCP targetPort: 80 selector: name: nginxdeploy type: ClusterIP

配置项 说明 数据库类型 选择数据库类型，支持Oracle、SQLServer、DB2、MySQL。 数据库名称/SID 如果是Oracle数据库，请输入SID；其他数据库请输入数据库名称。 用户名 填写数据库的用户名。 密码 填写数据库的密码。 域名或者IP 填写数据库的域名或数据库的IP。 端口 填写数据库的端口。 参数顺序 可选“先手机号码，后短信内容”或“先短信内容，后手机号码”。 插入SQL模板 可使用两个参数（1.手机号码，2.短信内容），用?表示，顺序可在“参数顺序”中设置。 例：insertintoMSG(count,phonenum,content,prioni ty) values(1,?,?,1) 注意事项：1.语句最后不用加分号“;”。 编码方式 默认UTF8，可选GBK。 调用方式 可选Insert语句或者存储过程。

参数 类型 是否必传 名称及描述 code int 是 状态码 message string 是 描述信息 result object 否 返回结果数组 result.quotas list< object> 否 每日配额使用信息 result.quotas[].domains list< string> 否 域名列表,按配置分组，如果域名没有配置，将使用default的配额 result.quotas[].dirused int 否 每日刷新目录已使用条数 result.quotas[].dirmax int 否 每日刷新目录最大条数 result.quotas[].dirsurplus int 否 每日刷新目录剩余条数 result.quotas[].urlused int 否 每日刷新url已使用条数 result.quotas[].urlsurplus int 否 每日刷新url剩余条数 result.quotas[].urlmax int 否 每日刷新url最大条数

参数 类型 是否必传 名称及描述 code int 是 状态码 message string 是 描述信息 result object 否 返回结果数组 result.quotas list<object> 否 每日配额使用信息 result.quotas[].domains list<string> 否 域名列表,按配置分组，如果域名没有配置，将使用default的配额 result.quotas[].dirused int 否 每日刷新目录已使用条数 result.quotas[].dirmax int 否 每日刷新目录最大条数 result.quotas[].dirsurplus int 否 每日刷新目录剩余条数 result.quotas[].urlused int 否 每日刷新url已使用条数 result.quotas[].urlsurplus int 否 每日刷新url剩余条数 result.quotas[].urlmax int 否 每日刷新url最大条数

本章节介绍如何访问MCP服务 概述 MCP（Model Context Protocol）是一种开源协议，旨在实现大语言模型与外部数据源和工具的集成，用来在大模型和数据源之间建立安全双向的连接。本文将详细阐述MCP服务的配置与使用方法。 前置条件 1. 已创建AI网关实例，具体操作，请参见创建网关实例。 2. AI网关实例与MCP服务网络已打通。如MCP服务为公网服务，需为AI网关实例所在VPC创建公网NAT网关，请参考NAT网关文档。 创建MCP服务 1. 打开AI网关控制台实例页面，在顶部菜单栏选择目标实例所在地域，并单击目标实例ID。 2. 在左侧导航栏，单击MCP管理MCP服务，然后单击创建MCP服务。 3. 配置MCP服务基本信息。 参数 说明 示例 名称 自定义MCP服务名称 mcpdemo 协议 选择创建的服务协议 MCP服务直接代理 描述 创建的服务详细描述 后端服务 服务名称 选择后端目标服务，该服务需通过服务页面创建 mcpservice MCP Transport MCP传输协议，选择SSE或Streamable HTTP Streamable HTTP 路径 后端目标服务的路径 MCP接入点 域名 访问MCP服务使用的域名，支持选择多个域名 www.testmcp.com 路径 MCP服务接入点的路径，会根据MCP Transport和服务名称生成 /mcpservers/mcpdemo/sse 4. 配置完成后单击确定，完成创建。

本文帮助您了解对象存储查看桶概览的操作步骤。 操作场景 您可以通过ZOS控制台查看桶信息，以及桶的使用量。 操作步骤 1. 点击天翼云门户首页的“控制中心”，输入登录的用户名和密码，进入控制中心页面。 2. 在控制台上方点击，选择地域，以下操作选择华东华东1。 3. 在控制台首页，选择“存储>对象存储”。 4. 在对象存储桶列表，点击Bucket名称，进入“概览”页面。 5. 在概览页可查看桶的基本信息、域名信息、基础数据等信息。 基本/域名信息说明 参数 说明 Bucket名称 桶的名称。 ARN 桶的资源路径。 存储类型 桶的存储类型，有标准存储、低频存储、归档存储三种类型。部分资源池暂不支持低频或归档存储。 读写权限 私有：仅桶的拥有者和授权用户可进行读写操作。 公共读：公共读权限下所有用户均拥有该桶的读权限，为确保您的数据安全，不推荐此配置。 地域 桶所在的地域。 创建时间 桶的创建时间。 终端节点（Endpoint） ZOS为每个地域提供Endpoint，可通过这个地址访问和调用对象存储及其功能。 Bucket外网访问 桶的域名地址，支持公网访问ZOS。 同资源池内网访问（IPV4/IPV6） 支持同资源池云主机通过内网访问ZOS，内网访问不产生公网流量。

本文向您介绍如何查看并导出网站的受攻击日志详情。 功能介绍 边缘云WAF默认提供攻击日志，详细记录攻击产生的时间、攻击源IP、攻击类型及攻击详情等信息，攻击日志仅支持查询6个月内日志，并且支持导出攻击日志。 前提条件 已开通Web应用防火墙（边缘云版） 已新增域名并成功接入WAF，具体操作请见快速接入WAF 域名接入成功后，会自动开启防护规则引擎，您也可以根据防护需求开启其他的防护功能，边缘云WAF检测出攻击行为后会自动生成攻击日志 操作步骤 1. 登录Web应用防火墙（边缘云版）控制台，在左侧导航栏中选择【日志管理】—【WAF攻击日志】页面 2. 通过筛选项进行组合查询攻击日志。筛选项包括域名、攻击类型、处理动作、规则ID、日期选择等组件 日志字段说明： 攻击IP：发起请求的客户端IP 请求方式：客户端的请求方法 URI：请求的URI 攻击类型：详细攻击类型 状态码：响应的状态码 处理动作：请求的处理动作 攻击时间：攻击请求发生的时间 攻击详情：能够查看攻击客户端IP的详细属性，比如地域归属、UA等 单击【导出】按钮，能够导出攻击日志，默认导出10000条攻击日志

内网DNS提供VPC内的域名解析请求能力，主要负责处理内网域名及其他云服务域名的解析请求。 表内网DNS地址 区域 内网DNS地址 安徽芜湖 100.125.108.32 北京北京2 100.125.108.43 福建福州 100.125.108.43 甘肃兰州 100.125.108.250 贵州贵州 100.125.108.15 湖北武汉2 100.125.108.250 河北石家庄 100.125.108.250 海南海口 100.125.108.250 湖南长沙2 100.125.108.250 100.125.108.251 浙江杭州 100.125.0.250 100.125.0.13 吉林长春 100.125.108.28 江苏苏州 100.125.108.250 100.125.0.250 江西南昌 100.125.0.250 100.125.0.13 辽宁沈阳3 100.125.0.250 内蒙古内蒙3 100.125.0.250 100.125.108.29 四川成都3 100.125.108.51 上海上海4 100.125.108.31 陕西西安2 100.125.108.25 广东深圳 100.125.108.250 广东广州4 100.125.108.250 华北华北 100.125.8.26

字段 描述 DomainName 全站加速域名。 Filename 实际回源访问的URI，即域名后面"/"开头截止到"?"之前的部分。即如上示例中的：/test/test.mp4。 authkey 设定的鉴权参数名，默认为authkey，也可自定义。 timestamp 1. 鉴权URL生成的时间，即：鉴权开始时间，值为从1970年1月1日0点至当前时间的总秒数 ，默认为十进制整数，也可选择十六进制/YYYYMMDDHHMMSS。 2. 与鉴权URL有效时长共同控制鉴权URL的失效时间。鉴权URL实际有效期timestamp+CDN配置的鉴权URL有效时长。 md5hash 通过MD5算法计算出的32位字符串。计算公式如下：md5hash md5sum(KeyFilenameTimestamp)。 1. md5加密元素分隔符默认无符号，也可自定义。 2. 这里的key为用户设定的鉴权秘钥，长度6到32，由大小写字母与数字组成，例如：ctcdnkey123。

字段 描述 DomainName CDN加速域名。 Filename 实际回源访问的URI，即域名后面"/"开头截止到"?"之前的部分。即如上示例中的：/test/test.mp4。 authkey 设定的鉴权参数名，默认为authkey，也可自定义。 timestamp 1. 鉴权URL生成的时间，即：鉴权开始时间，值为从1970年1月1日0点至当前时间的总秒数 ，默认为十进制整数，也可选择十六进制/YYYYMMDDHHMMSS。 2. 与鉴权URL有效时长共同控制鉴权URL的失效时间。鉴权URL实际有效期timestamp+CDN配置的鉴权URL有效时长。 md5hash 通过MD5算法计算出的32位字符串。计算公式如下：md5hash md5sum(KeyFilenameTimestamp)。 1. md5加密元素分隔符默认无符号，也可自定义。 2. 这里的key为用户设定的鉴权秘钥，长度6到32，由大小写字母与数字组成，例如：ctcdnkey123。

适用场景 客户端存在Range请求，且源站支持Range，可响应指定范围内的内容数据时，建议开启Range回源功能，以提高文件分发效率及缓存利用率。 一般源站内容存在视频、APP等大文件场景下，建议开启Range回源功能。 注意事项 开启Range回源前需确认源站是否支持Range请求，即源站能够响应对应范围内的206文件分片内容，同时需确认源站响应头中是否包含TransferEncoding: chunked头部。如果源站不支持Range请求，或源站可能响应TransferEncoding: chunked头部，可提交工单申请配置“完整文件回源”功能，该功能开启后，客户端发起Range请求时，全站加速节点将会回源获取完整文件，并缓存下来，同时响应Range范围的数据。 开启Range回源时，全站加速会将用户请求（无论原始请求是否为Range请求）拆分成若干个Range请求回源，以一个100MB的文件为例，在Range回源开启时，全站加速获取完整文件需要回源100次，一定程度上会增加回源访问请求数和并发量，请合理设置分片大小。默认Range分片大小为1MB，即：如果客户端请求Range: bytes0100，则在全站加速节点回源时会将Range请求扩大为1MB。 请在新增域名时明确是否开启Range回源，以及开启Range回源的具体分片大小；一旦域名CNAME至我司产生流量后，建议不要轻易变更Range回源功能开启状态以及分片大小，否则可能会产生较高回源；如确实有调整需求，请在提交工单时特殊说明。 配置说明 该功能暂不支持客户自助配置，如需使用，请通过提交工单给天翼云客服，由其人工操作开启。 提交工单时，请附带如下信息： 1. 分片大小，默认为1MB；如需设置为其他值，请说明。 2. 开启分片范围，默认为域名粒度；如需设置为仅部分文件，请说明具体的文件范围，例如xx目录，或xx文件后缀（如.mp4、.flv等）。

本文介绍如何进行离线分析。 远程办公离线日志 域名离线日志

本章节主要介绍 配置跨集群互信 。 操作场景 集群A需要访问另一个集群B的资源前，需要管理员用户为这两个集群设置互信。 如果未配置跨集群互信，每个集群资源仅能被本集群用户访问。MRS自动为每个集群定义一个唯一且不重复的“域名”，用于表示用户的基本使用范围。 说明 该章节操作仅适用于MRS 3.x之前版本集群。 MRS3.x及之后版本集群请参考 对系统的影响 配置跨集群互信后，外部集群的用户可以在本集群中跨域使用，请根据业务与安全要求，定期检视集群中用户的权限。 安全集群配置跨集群互信，需要重启KrbServer服务，集群在重启期间无法使用。 配置跨集群互信后，互信的两个集群均会增加内部用户“krbtgt/ 本集群域名 @ 外部集群域名 ”、“krbtgt/ 外部集群域名 @ 本集群域名 ”，不支持删除。密码默认为“Crossrealm@123”。 操作步骤 在MRS管理控制台，分别查看两个集群的所有安全组。 当两个集群的安全组相同，请执行步骤3。 当两个集群的安全组不相同，请执行步骤2。 1. 在VPC管理控制台，分别为每个安全组添加规则。 规则的“协议”为“ANY”，“方向”为“入方向”。 “源地址”为“安全组”且是对端集群的安全组。 为A集群的安全组添加入方向规则，源地址选择B集群（对端集群）的安全组。 为B集群的安全组添加入方向规则，源地址选择A集群（对端集群）的安全组。 说明 未开启Kerberos认证的普通集群执行步骤1~步骤2即可完成跨集群互信配置，开启Kerberos认证的安全集群请继续执行后续步骤进行配置。 2. 参见访问MRSManager（MRS2.x及之前版本）分别登录两个集群MRS Manager，单击“服务管理”，查看全部组件的“健康状态”结果，是否全为“良好”？ 是，执行步骤4。 否，任务结束，联系支持人员检查状态。 3. 查看配置信息。 a.分别在两个集群MRS Manager，选择“服务管理 > KrbServer > 实例”，查看两个KerberosServer部署主机的“管理IP”.。 b.单击“服务配置”，将“基础配置”切换为“全部配置”并在左侧导航树上选择“KerberosServer>端口”，查看“kdcports”的值，默认值为“21732”。 c.单击“域”，查看“defaultrealm”的值。 4. 在其中一个集群的MRS Manager，修改配置参数“peerrealms”。 详见下表：相关参数 参数名 描述 “realmname” 填写互信集群的域名，即步骤4中获得的“defaultrealm”的值。 “ipport” 填写互信集群的KDC地址，参数值格式为：外部集群KerberosServer部署的节点IP 地址:kdcport。 两个KerberosServer的IP地址使用逗号分隔，例如KerberosServer部署在10.0.0.1和10.0.0.2上，则对应参数值为“10.0.0.1:21732,10.0.0.2:21732”。 说明 l 如果需要配置与多个集群的互信关系，请单击添加新项目，并填写参数值。删除多余的配置项请单击。 l 最多支持与16个集群配置互信，且本集群的不同互信集群之间默认不存在互信关系，需要另外添加。 5. 单击“保存配置”，在弹出窗口中勾选“重新启动受影响的服务或实例。”，单击“确定”重启服务。若未勾选“重新启动受影响的服务或实例。”，请手动重启受影响的服务或实例。 界面提示“操作成功”，单击“完成”，服务成功启动。 6. 退出MRS Manager，重新登录正常表示配置已成功。 7. 在另外一个集群的MRS Manager，重复步骤5到步骤7。

集群外Ingress访问请求会话保持 1、前提条件 创建一个nginx工作负载，同上 创建一个ClusterIP类型的服务（Service）并关联到上述nginx工作负载，注意Session Affinity不需要设置，保持默认值即可。 确保当前命名空间已经绑定到一个负载均衡器： 创建一个生产路由（Ingress）并关联到上述服务（Service）。 添加本地hosts映射： ip为NginxIngressController的访问地址 域名为创建Ingress时填入的域名 10.142.232.160 nginx.ccse.io 2、发起服务调用 在浏览器中多次发起对服务的请求 > 这里没法通过curl来测试验证，因为curl请求时没法保持Cookie。 3、观察工作负载日志 结论：浏览器中的请求会全部转发到某一个Pod实例，进行会话保持。 集群外TCP/UDP访问 集群外通过TCP/UDP没法进行会话保持。

天翼云ICP备案分为网站备案和App备案，支持通过PC端和移动端填写申请，ICP备案前您需关注以下备案须知： 1. 新增备案 ：主体和域名或App均为第一次做ICP备案。 2. 新增网站 ：主体信息在工信部已有成功的备案，现有新的网站或App托管在天翼云服务器上，需在天翼云提交新的网站或App备案申请。 3. 新增接入 ：主体、域名或App均已通过其他服务商成功备案，现改为使用天翼云服务器，将天翼云添加为该网站或App的新增服务商，则需要在天翼云做新增接入备案。 4. 取消接入 ：取消备案信息与天翼云之间的关联，但您的备案号在工信部仍然存在。 5. 变更备案 ：分为变更主体、变更网站、变更App、变更接入，您可根据需要修改备案主体信息、网站信息、App信息、接入信息（接入IP）。

参数 是否必填 参数类型 说明 示例 下级对象 aws:Referer 否 Array of Strings 相关域名组。 ["

本实例结合天翼云CDN运营团队积累的丰富运营经验,为客户推荐配置方案,帮助客户提高CDN缓存命中率,提升用户访问体验。 背景信息 CDN缓存命中率低，会导致源站压力大，静态内容访问效率低。您可以针对导致CDN缓存命中率低的具体原因，选择对应的优化策略，提高CDN的缓存命中率。目前天翼云CDN支持流量命中率、请求命中率的统计与查询。 统计方式： 流量命中率 1 回源流量/流量（5分钟粒度）。 请求命中率 1 回源请求数/请求数（5分钟粒度）。 查看流量命中率/请求命中率 用户可以通过天翼云CDN控制台查看流量命中率/请求命中率。查询路径：CDN控制台>数据分析>CDN加速用量>用量分析>命中率。 优化缓存命中率 CDN加速的本质是缓存加速，把源站内容缓存在遍布全球的节点上，用户可以就近从边缘节点获取内容，从而达到加速的效果。可以通过如下几个手段提升缓存命中率。 1. 合理设置缓存过期时间 缓存过期时间如果设置不合理，比如对不常更新的文件设置较短的缓存时间，导致文件频繁过期，当有用户请求到节点时频繁需要回源站校验后才能响应，会增加响应时延，因此建议： 不常更新的静态文件（例如，图片类型、应用下载、点播视频类型等），建议设置较长时间。 频繁更新的静态文件（例如，JS、CSS、XML、HTML等），根据实际业务情况设置。 动态文件（例如，PHP、JSP、ASP、ASPX、DO等），建议设置为0s，即不缓存。 配置路径：CDN控制台>域名管理>域名列表>选定具体域名 ，单击“编辑”>缓存配置>缓存过期时间>强制缓存。功能介绍文档，详情请见：缓存过期时间设置。 2. 开启去问号缓存 目前大多数的网页请求都携带URL参数信息，参数以“?”开始，如果参数没有包含重要信息（如版本信息等），是否携带该参数访问不会影响用户获得正确的内容，可以选择开启“去问号缓存”功能，提高缓存命中率，提升分发效率。 效果差异说明： 开启“去问号缓存”： 用户首次访问“ 用户第二次访问“ 关闭“去问号缓存”： 用户首次访问“ 用户第二次访问“ 配置路径：CDN控制台>域名管理>域名列表>选定具体域名，单击“编辑”>缓存配置>缓存过期时间>去问号缓存。功能介绍文档，详情请见：缓存过期时间设置。 3. 文件预取 文件预取的原理是通过事前主动下发预取指令到CDN，由CDN自动触发向客户源站发起对应内容的请求，提前把文件缓存在CDN节点，后续访问到CDN时，缓存可以直接命中，既提升命中率，又缓解源站因新内容发布而导致的回源压力问题。 适用场景：首次接入、新内容发布、促销活动。 使用建议： 首次接入CDN：域名首次接入CDN时，节点暂未缓存源站内容，此时，您可以将源站热门内容预取至CDN节点。后续用户访问内容将直接从就近的CDN节点获取内容，提升访问速度。 APP或软件安装包发布：新版本APP或软件安装包发布前，提前将安装包预取至CDN节点。正式上线后，海量用户的下载请求将直接由全球加速节点响应，提升下载速度的同时，大幅度降低源站压力。 促销活动：促销活动发布前，提前将活动页涉及到的静态内容预取至CDN节点。活动开始后，用户访问的所有静态内容均由加速节点响应，海量带宽储备保障用户服务可用性，提升用户体验。 4. 开启分片回源 功能介绍文档，详情请见：分片回源，适用于APP、应用程序下载以及音视频点播等较大文件的内容分发场景。

开通和接入边缘函数 说明 支持官网自助开通套餐 详细介绍通过控制台创建边缘函数 详细介绍通过控制台将边缘函数绑定您的域名 详细介绍在控制台WEBIDE进行函数在线开发与发布上线 详细介绍在控制台查看函数运行情况

参数 参数类型 说明 示例 下级对象 InType String 视频流接入方式。取值：push(推流)，pull(拉流)。 pull PullType String 是否自动拉流。 xxx PullUrl String 自定义拉流地址。 xxx OutId String 设备国标ID。 11000000541327000032 UserName String 用户名。 test EnableDomain Boolean 是否启用域名。 true DeviceDomain String 设备域名。 xxx DeviceIp String 设备IP。 192.168.0.1 DevicePort Integer 设备Port。 554 StreamTransProtocol String 媒体流传输协议，默认tcp。取值：tcp，udp。 tcp AutoStartStream Boolean 是否启用自动拉流。 true StreamSize Integer 主子码流数量。 1 StreamNum Integer 设备发送第几个码流。 1 ErrorCode String 错误码。 xxx ErrorMsg String 错误信息。 xxx DeviceStatus Object 设备状态信息。 DeviceStatus Streams Array of Objects 流状态信息。 Streams 表 ViidDevice

本文介绍在源站IP暴露的情况下，如何设置保护源站。 为什么需要设置回源白名单 通过CNAME接入方式将域名接入Web应用防火墙（边缘云版）（简称WAF）防护后，为了防止攻击者获取您的源站IP并绕过WAF直接攻击源站，您可以设置源站服务器的访问控制策略，只放行WAF回源IP段的入方向流量。 前提条件 已开通Web应用防火墙（边缘云版）。 已经完成域名接入。 如何获取回源白名单 如果您需要回源白名单，请提交工单联系天翼云技术支持，天翼云技术支持将会讲边缘云节点中回源IP/IP段发送到您的邮箱。

本文为您介绍CC防护功能说明，以及如何配置系统默认、自定义防护策略。 网站域名接入云WAF后，您可以选择开启CC防护功能，为网站拦截针对页面请求的CC攻击。您也可以根据实际需求自定义CC安全防护的防护策略。 前提条件 已开通Web应用防火墙（原生版）实例。 已完成网站域名接入。 使用限制 基础版不支持CC防护，请升级到更高版本使用。 配置CC防护模式 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“防护配置 > 对象防护配置”，进入防护配置页面。 5. 在“防护配置”页面上方的“防护对象选择”下拉框，切换到要设置的域名。 6. 在“安全防护”页签定位到“CC防护”模块，可以选择开启/关闭防护状态；同时可以直接选择防护模式，配置信息如下。 配置项 说明 状态 开启或关闭CC安全防护功能。 防护模式 要应用的防护模式。可选值： 常规：只针对特别异常的请求进行拦截，误杀较少。建议您在网站无明显流量异常时应用此模式，避免误杀。 紧急：高效拦截CC攻击，可能造成较多误杀。当您发现有防护模式无法拦截的CC攻击，并出现网站响应缓慢，流量、CPU、内存等指标异常时，可以应用此模式。 自定义：自定义CC防护可以通过精确匹配条件过滤访问请求的基础上，基于用户访问源IP或者SESSION频率定义访问频率限制条件，对于超过频率限制的访问进行拦截。 策略配置方法，请参见下文[配置自定义CC防护策略](

本文为您介绍如何快速配置CC防护策略。 网站域名接入云WAF后，您可以选择开启CC防护功能，为网站拦截针对页面请求的CC攻击。您也可以根据实际需求自定义CC安全防护的防护策略。 前提条件 已开通Web应用防火墙（原生版）实例。 已完成网站域名接入。 使用限制 基础版不支持CC防护，请升级到更高版本使用。 CC防护模式配置 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“防护配置 > 对象防护配置”，进入防护配置页面。 5. 在“防护配置”页面上方的“防护对象选择”下拉框，切换到要设置的域名。 6. 在“安全防护”页签定位到“CC防护”区域，可以选择开启/关闭防护状态；同时可以直接选择防护模式。 配置项说明如下： 配置项 说明 状态 开启或关闭CC安全防护功能。 防护模式 要应用的防护模式。可选值： 常规：只针对特别异常的请求进行拦截，误杀较少。建议您在网站无明显流量异常时应用此模式，避免误杀。 紧急：高效拦截CC攻击，可能造成较多误杀。当您发现有防护模式无法拦截的CC攻击，并出现网站响应缓慢，流量、CPU、内存等指标异常时，可以应用此模式。 自定义：自定义CC防护可以通过精确匹配条件过滤访问请求，基于用户访问源IP或者SESSION频率定义访问频率限制条件，对于超过频率限制的访问进行拦截。 策略配置方法，请参见设置[自定义CC防护策略](

本文主要介绍创建节点。 前提条件 已创建至少一个集群。 您需要新建一个密钥对，用于远程登录节点时的身份认证。 若使用密码登录节点，请跳过此操作。 约束与限制 为了保证节点的稳定性，CCE集群节点上会根据节点的规格预留一部分资源给Kubernetes的相关组件（kubelet、kubeproxy以及docker等）和Kubernetes系统资源，使该节点可作为您的集群的一部分。 因此，您的节点资源总量与节点在Kubernetes中的可分配资源之间会存在差异。节点的规格越大，在节点上部署的容器可能会越多，所以Kubernetes自身需预留更多的资源，详情请参见节点预留资源计算公式。 节点的网络（如虚机网络、容器网络等）均被CCE接管，不允许用户自行添加删除网卡或改变路由，若自行修改，CCE不保证服务可用。例如，节点上名为的gw11cbf51a@eth0网卡为容器网络网关，不可修改。 节点购买后如需对其进行升级或降低规格等操作，请将节点关机后进行变更，也可以重新购买节点后，将老节点删除。 创建节点过程中会使用域名方式从OBS下载软件包，需要能够使用云上内网DNS解析OBS域名，否则会导致创建不成功。为此，节点所在子网需要配置为内网DNS地址，从而使得节点使用内网DNS。在创建子网时DNS默认配置为内网DNS，如果您修改过子网的DNS，请务必 确保子网下的DNS服务器可以解析OBS服务域名 ，否则需要将DNS改成内网DNS。 集群中的节点一旦创建后不可变更可用区。 集群开启IPv4/IPv6双栈时，所选节点子网不允许开启DHCP无限租约。

本章介绍常见故障案例如何处理。 背景说明 客户端在安装时可能会出现安装失败，或安装成功后会出现异常的情况。本章节将通过一些问题现象说明，帮助用户快速定位问题，解决客户端的使用问题。 客户端状态显示异常 问题现象： 安装客户端后，界面上客户端列表里客户端状态为“异常”。 可能原因： 客户端状态异常 解决方案： 1. 查看客户端进程是否正常运行；如果进程已退出，重新运行客户端进程。Windows系统下可以双击agentstart.bat文件，Linux系统下执行命令 。 2. 重新安装文件备份客户端。 3. 检查客户端时间和时区，如果发现客户端与服务器的时间相差大于15分钟，请根据本地UTC时间调整本地时间以避免此问题。如果调整完成后，客户端状态仍然异常，则是由于系统查询客户端状态不是实时的，需要等待半小时左右可恢复正常。 安装失败，提示“BackupService.7403，非法客户端” 问题现象： 安装客户端时失败，提示“BackupService.7403，非法客户端”。 可能原因： 安装客户端前没有购买存储库。 解决方案： 1. 在云服务备份控制台上，购买混合云备份存储库。 2. 重新安装客户端。 安装失败，提示“Could not resolve host” 问题现象： 安装客户端时失败，提示“Could not resolve host”。 可能原因： 本地的DNS服务器不能解析公有云公网域名。 解决方案： 1. 编辑本地主机的resolv.conf文件，查看是否配置域名服务器；如果是公网访问天翼云，可以将域名服务器配置为“8.8.8.8”。 2. 重新安装客户端。

本节为您介绍如何修改内网域名解析记录。 操作步骤 您可以参照以下步骤来修改内网域名解析记录： 1. 登录到内网DNS控制中心页面。 2. 可以看到域名记录，在目标记录行“操作”列单击“管理记录集”。 3. 进入解析记录页面，找到需要修改的目标解析记录，在“操作”列下单击“修改”。 4. 在“修改记录集”弹窗，您可以对“TTL(秒)”、“值”进行修改。 5. 修改完成后单击“确定”，完成解析记录修改。

本小节介绍证书管理服务产品用户指南续订证书。 证书续费说明 续费的证书不支持修改证书的规格。 仅已签发成功的证书支持续费。 续订证书操作步骤 1.进入证书管理页，选择需要续订的SSL证书，单击“证书续订”。 2.跳转至证书续订页面，确认需要续费的证书规格，单击“立即购买”。 3.跳转至“证书续订页面”，确认订单详情无误后，单击“提交订单”。 4.确认订单详情，单击“立即支付”。 自动续订操作步骤 1.进入证书管理服务，选择“SSL证书管理”>“SSL证书列表”。 2.选择需要开启自动续订功能的证书，将“开启自动续费”开关调整至状态，即可开始自动续费功能。 说明 自动续费生效后，会在您证书到期前30个自然日为您自动续费；若您在到期30个自然日前开启自动续费功能，则不会为您自动续费，请您注意。 新生成的订单和您旧证书的订单信息保持一致。例如：您购买3年期的企业型（OV）单域名证书，会在到期前30个自然日自动续费3年期的企业型（OV）单域名证书。 自动续费生成的证书会为您自动提交申请，但是需要您完成域名验证后才会签发（OV、EV证书还需完成组织验证），后续操作可参考：申请SSL证书。

功能 说明 参考新增证书的指引完成证书上传。 客户完成证书新增后，可通过客户控制台界面查看已添加的证书及其详细信息，包括：证书备注名、证书通用名称、证书品牌、颁发时间、到期时间、创建时间等。 当证书过期或者不再使用时，可通过客户控制台删除证书。 如果证书临近过期，客户需要在过期前替换证书，避免影响域名的正常访问。 客户完成证书新增后，如发现证书信息上传有误，可通过客户控制台自助修改证书信息。 天翼云全站加速支持HTTPS加速服务，当您完成新增证书后，可以通过控制台绑定域名启用HTTPS加速服务，实现全网数据加密传输。 在您使用全站加速的过程中，可能会不定期修改证书信息，证书管理目录下的部署历史可以供您查看证书的部署历史。 如果您的网站没有购买HTTPS证书，可以通过全站加速平台提供的免费证书来支持HTTPS访问。

配置路由 1. 返回API网关控制台。 2. 在左侧导航栏选择“实例管理”。 3. 单击已创建API网关专享版实例的名称或“查看控制台”。 4. 在“路由”区域，单击“更改”配置路由，配置IP为创建ELB所在VPC2的网段。 5. 单击“保存”。 创建API 1. 在API网关控制台的左侧导航栏选择“API管理 > API列表”，单击“创建API > 创建API”。 2. 配置前端信息后，单击“下一步”。 表7 前端配置 参数 配置说明 :: API名称 填写API名称，建议您按照一定的命名规则填写，方便您快速识别和查找。 所属分组 默认“DEFAULT”。 URL 请求方法：接口调用方式，此处选择“GET”。 请求协议：选择API请求协议，此处选择“HTTPS”。 子域名：API分组创建后，系统为分组自动分配一个内部测试用的调试域名，此调试域名每天最多可以访问1000次。 路径：接口请求路径。 网关响应 API网关未能成功处理API请求，从而产生的错误响应。 默认的网关响应为“default”。 安全认证 选择API认证方式，此处选择“无认证”。（无认证模式，安全级别低，所有用户均可访问，不推荐在实际业务中使用） 3. 配置后端信息后，单击“下一步”。 表8 HTTP/HTTPS类型定义后端服务 参数 配置说明 :: 负载通道 选择“不使用”负载通道访问后端服务。 URL 请求方法：接口调用方式，此处选择“GET”。 请求协议：选择协议类型，此处选择“HTTP”。 后端服务地址：填写创建ELB的服务地址。 路径：后端服务的路径。 4. 定义返回结果后，单击“完成”。

通过本文您可以详细了解websocket加速的资源包种类、价格及使用须知。 资源包计费（预付费） websocket加速、上传加速、全站加速是三个独立的服务。 websocket加速资源包计费项：边缘下行流量包。 如果域名除websocket业务外，同时还有下行http/https分发业务，则需要增加全站加速的计费项，详见：全站加速资源包计费。 中国内地价格 计费项 阶梯/规格 标准资费（元/个） 有效期 websocket流量包 100GB 292元 一年 websocket流量包 500GB 1416元 一年 websocket流量包 1TB 2750元 一年 websocket流量包 5TB 13335元 一年 websocket流量包 10TB 24990元 一年 websocket流量包 50TB 111105元 一年 使用须知 使用条件： 您可按需购买任意资源包。 只有配置了websocket加速类型的域名，且使用了websocket协议才会抵扣websocket流量包内的流量。 配置了websocket加速类型的域名，但未使用websocket协议时，将会抵扣全站加速流量包、动态请求包、静态https请求包。 带宽计费客户如需使用对应的流量包，需将计费方式变更为流量计费。 可叠加购买：购买多个相同类型的资源包，抵扣顺序依据资源包的到期时间先后排序，有效期不叠加计算。 有效期：自购买成功后一年内有效；“任一资源包用尽”或“有效期结束”，将自动转按量计费。 续订：为保障业务稳定，请于“资源包用尽”或“有效期结束”前，及时购买资源包。

云解析产品以域名为计费单位，根据域名选择的产品规格和计费时长收费。本小节介绍云解析的计费项及价格。 计费项 服务 基础版 高级版 旗舰版 说明 自助服务WEB界面 √ √ √ 自助进行域名解析记录管理 BGP线路 √ √ √ 让最终用户访问到最近的一个DNS节点，极大的提升了解析服务速度 SLA 99.90% 99.99% 99.999% 按版本承诺相应级别的SLA保证 抗攻击防护能力 50,000Q/S 200,000Q/S 500,000Q/S 提供抗DDoS攻击服务 IPv6线路 √ √ √ 提供IPv6的DNS解析服务器，可以解析IPv6地址 网站可用性拨测 六小时一次 一小时一次 十分钟一次 网站可用性监测：向网站指定的HTTP页面发送GET请求，若无响应则判断网站服务中断，发送报警信息 链路丢包率监测：通过ping命令向指定地址发包，监测是否可达 防劫持监测 √ √ √ 防劫持监测包括：解析记录正确性、解析记录可解析性 监测节点数 5 25 40 运行报告 季度报告 月度报告 周报 提供运行统计报告 标准价格（元/年） 10000 20000 100000