云解析产品以域名为计费单位，根据域名选择的产品规格和计费时长收费。本小节介绍云解析的计费项及价格。 计费项 服务 基础版 高级版 旗舰版 说明 自助服务WEB界面 √ √ √ 自助进行域名解析记录管理 BGP线路 √ √ √ 让最终用户访问到最近的一个DNS节点，极大的提升了解析服务速度 SLA 99.90% 99.99% 99.999% 按版本承诺相应级别的SLA保证 抗攻击防护能力 50,000Q/S 200,000Q/S 500,000Q/S 提供抗DDoS攻击服务 IPv6线路 √ √ √ 提供IPv6的DNS解析服务器，可以解析IPv6地址 网站可用性拨测 六小时一次 一小时一次 十分钟一次 网站可用性监测：向网站指定的HTTP页面发送GET请求，若无响应则判断网站服务中断，发送报警信息 链路丢包率监测：通过ping命令向指定地址发包，监测是否可达 防劫持监测 √ √ √ 防劫持监测包括：解析记录正确性、解析记录可解析性 监测节点数 5 25 40 运行报告 季度报告 月度报告 周报 提供运行统计报告 标准价格（元/年） 10000 20000 100000

名称 说明 取值示例 域名 被攻击的域名 ctyun.com ID 攻击ID编号 攻击源IP 攻击源IP地址 告警等级 告警级别 低 攻击源端口 攻击源端口 16481 请求方式 HTTP请求方式 Get 攻击类型 攻击类型 预测资源位置攻击 匹配规则 攻击匹配的规则 Attack Signature Detected 请求URL 请求URL地址 攻击时间 攻击时间 处理方式 WAF对此攻击的处置方式 阻断 规则ID 攻击匹配的规则的ID 响应码 HTTP响应码 地区 攻击IP地址归属地区 国家 攻击IP地址归属国家 省份 攻击IP地址归属省份 地区 攻击IP地址归属地区 运营商 攻击IP地址归属运营商 Referer 攻击请求页面的来源页面的地址，即表示攻击是通过此来源页面里的链接进入的

参数 说明 取值样例 区域 终端节点所在区域，页面右上角进行切换。 广州4 计费方式 终端节点仅支持按需付费，按需付费是后付费模式，按终端节点实际使用服务的时长计费，可以随时连接/断开终端节点服务。 按需计费 服务类别 终端节点服务的类型。 云服务/按名称查找服务 选择服务 服务实例，按照服务名称验证前，需要将当前租户的domainid加入用户私有服务的白名单。 beta.b0e22f6f26f4461cb140d873464d4fa0 内网域名 终端节点支持通过内网域名访问，默认支持通过虚拟IP访问。 N/A 虚拟私有云 终端节点所属虚拟私有云。 vpcepclient180815(192.168.0.0/16) 子网 终端节点所属子网。 subnet7ff8(192.168.0.0/24)

本文为您介绍如何查看接入容灾管理中心的应用详情。 操作场景 在您接入应用后，可以通过多活容灾服务控制台查看您接入的应用的详细信息。 操作步骤 1. 登录天翼云，进入控制中心。 2. 单击管理控制台左上角的，选择区域。 3. 在服务列表选择“计算”“多活容灾服务”，进入多活容灾服务控制台。 4. 点击左侧菜单栏“应用管理”，进入应用管理页面，点击应用列表中的应用名称，进入应用详情页。 5. 在基础信息部分，可以查看应用名称、应用端口、绑定的容灾管理中心、绑定的云主机、健康检查等信息。 6. 在数据库信息部分，可以查看数据库类型、数据库实例名、连接地址。 7. 在存储库信息部分，可以查看Bucket名称、Bucket内网域名、Bucket外网域名等信息。

ICP备案信息转移至其他天翼云账号 第一步：取消原账号关联请按照取消关联模板填写并加盖单位公章后回复至 beianctyun@chinatelecom.cn 邮箱，并致电 4008109889 转 3 号告知，便于帮您及时处理。 第二步：备案认领取消关联后您的备案将处于未与账号绑定的状态，请您登陆需绑定该备案信息的天翼云账号（该账号下需没有任何备案订单），点击备案中心——我的备案— —立即备案，按照系统提示的信息录入提交并匹配备案类型，系统识别到域名已 在天翼云备案，会生成一条备案认领的订单，请您选择在途备案订单管理，点击 详情进入订单，勾选中您需认领的域名，上传单位执照、主体负责人与网站负责 人身份证材料提交备案认领至天翼云审核，提交后烦请您致电 4008109889 转 3 号告知，我们将优先处理您的备案认领，认领成功后备案信息将出现在您的已备案信息管理中。

一级菜单 二级菜单 功能模块 域名管理 支持记录新增、启用、停用、删除、导出域名等操作 安全能力 Web应用防火墙 支持记录以下内容的操作日志 防护总开关 无需检测的静态文件 规则防护引擎防护模式、规则模板 敏感词防护基础信息 攻击挑战防护开关 cookie挑战防护开关 合规性检测防护开关 复制操作复制全局策略、防护规则引擎、规则ID、规则白名单等 访问控制/限流 支持记录以下内容的操作日志 防护总开关 CC防护 访问控制防护开关 频率控制防护开关 复制操作复制防护开关、复制规则 Bot防护 支持记录以下内容的操作日志 防护总开关 客户端标识过期事件 无需检测的静态文件 爬虫陷阱处理动作、基础信息 工具管理 IPv6检测 支持记录新增检测任务、数据导出部分的操作日志 日志与数据分析 告警管理 支持记录新增、删除、修改、开启、关闭告警任务 报告订阅 支持记录新增、删除、修改、开启、关闭报告订阅任务

接口功能介绍 查询CSR列表信息及CSR详细信息。 接口约束 无 URI POST /v1/csr/list 路径参数 无 Query参数 无 请求参数 请求头header参数 无 请求体body参数 参数 是否必填 参数类型 说明 示例 下级对象 pageNum 是 Integer 页码 1 pageSize 是 Integer 每页数量 10 keyword 否 String 域名关键字搜索 test.cn encryptionAlgorithm 否 String 加密算法。取值范围：RSA、ECC、SM2 RSA 响应参数 参数 参数类型 说明 示例 下级对象 statusCode Integer 状态码 200 message String 提示信息 Success error String 仅错误时返回 CCMS100000063 returnObj Object 分页 Page 表 Page 参数 参数类型 说明 示例 下级对象 totalSize Integer 数据总量 100 list Object 数据记录 CsrListResult 表 CsrListResult 参数 参数类型 说明 示例 下级对象 id String uuid 6ee1160088ef44ec80213d1a448b2d8e name String csr6b9cea crs名称 domainName String ctyun.cn 域名 privateKeyIsEmpty Boolean 私钥是否为空 false encryptionAlgorithm String 加密算法 SM2 generateMethod String CSR生成方式 MANUAL createTime String 创建时间 20240513T09:19:01Z

code code含义 message示例（仅供参考） ::: 100000 正确返回 success 100001 认证失败 用户认证失败，RequestId是 100002 找不到指定路径的API 当前调用的api不存在:${api} 100003 无请求指定API的权限 当前用户对api:${api}无权限 100004 调用超限 超过调用频率限制，请稍后重试 100005 请求类型错误 当前调用的api请求方式错误 100012 底层错误 请求错误，（底层返回结果） 100013 系统错误 系统错误 100014 底层超时 请求底层超时 110001 操作类添加防连击检测 请求已提交，请勿重复操作！ 200001 资源没有权限 请求参数域名校验失败，当前用户对域名%s无权限 200002 参数校验失败 请求参数校验失败，参数为必填 200003 参数不合法 请求参数校验失败，参数不合法 200004 统计分析类接口查询不到clientid 无法获取您已开通CDN相关产品的账号，请开通产品后再调用 200005 产品有效性校验 操作失败，当前用户未开通产品类型{}的服务 200006 查询失败 无法获取到证书数据

本章节介绍云主机DNS不可用故障演练。 背景介绍 DNS 服务器故障、网络配置错误或网络分区等问题，都可能导致云主机无法解析域名，进而引发服务间调用失败、无法访问外部依赖等严重后果。本演练模拟 DNS 不可用的场景，帮助您评估业务对 DNS 服务的依赖程度和系统的容错能力，提前检验和完善应急预案。 基本原理 预先在探针管理处将内部自研Agent安装至云主机上，使用管控通道下发动作执行命令。 原理是修改本地DNS解析文件或安全组（防火墙）禁用端口实现。 注意 该动作风险较大，请谨慎操作。 故障注入 1、纳管实例资源 1. 导航至 故障演练 > 目标应用 > 应用资源页面。 2. 在资源类型页签中选择云主机 ，然后单击添加资源。 3. 在弹出的对话框中，勾选目标云主机 实例，单击确定。 2、编排演练任务 1. 导航至 故障演练 > 目标应用 > 演练管理 页面，单击新建演练。 2. 在基本信息 页面，按提示填写演练名称和描述，然后单击下一步。 3. 在演练对象配置页面： 配置动作组 ：为动作组 命名，资源类型选择云主机。 添加实例 ：单击添加实例 ，勾选上一步中添加的云主机实例。 添加故障动作 ：单击立即添加 ，在列表中选择DNS不可用动作。 4. 在弹出的参数配置框中，配置所需参数，然后单击确定。 持续时间：故障动作持续时间。 排除的域名：故障白名单，多个域名使用逗号分隔，例如test1.com,test2.com。

事件中文名称 事件英文名称 重置密码 resetPassword 更新实例对象存储配置 updateStorageConfig 创建容器镜像命名空间 createNamespace 更新容器镜像命名空间 updateNamespace 删除容器镜像命名空间 deleteNamespace 创建Helm Chart命名空间 createChartNamespace 更新Helm Chart命名空间 updateChartNamespace 删除Helm Chart命名空间 deleteChartNamespace 创建镜像仓库 createRepository 更新镜像仓库 updateRepository 删除镜像仓库 deleteRepository 创建Chart镜像仓库 createChartRepository 更新Chart镜像仓库 updateChartRepository 删除Chart镜像仓库 deleteChartRepository 登录实例 loginInstance 推送制品 pushArtifact 拉取制品 pullArtifact 删除制品 deleteArtifact 添加公网白名单 createInstanceEndpointAclPolicy 删除公网白名单 deleteInstanceEndpointAclPolicy 创建版本不可变规则 createImmutableTagRule 更新版本不可变规则 updateImmutableTagRule 删除版本不可变规则 deleteImmutableTagRule 创建版本保留策略 createRetentionPolicy 更新版本保留策略 updateRetentionPolicy 删除版本保留策略 deleteRetentionPolicy 创建镜像同步规则 createRepoSyncRule 更新镜像同步规则 updateRepoSyncRule 删除镜像同步规则 deleteRepoSyncRule 创建镜像迁移规则 createRepoMigrateRule 更新镜像迁移规则 updateRepoMigrateRule 删除镜像迁移规则 deleteRepoMigrateRule 创建定时清理策略 createGcScheduler 更新定时清理策略 updateGcScheduler 删除定时清理策略 deleteGcScheduler 立即执行清理 executeGc 创建镜像共享 createSharedRepository 更新镜像共享 updateSharedRepository 删除镜像共享 deleteSharedRepository 新增收藏镜像仓库 addStaredRepository 取消收藏镜像仓库 deleteStaredRepository 创建签名规则 createSigning 更新签名规则 updateSigning 删除签名规则 deleteSigning 创建事件通知规则 createEventRule 更新事件通知规则 updateEventRule 删除事件通知规则 deleteEventRule 创建触发器 createTrigger 更新触发器 updateTrigger 删除触发器 deleteTrigger 创建风险阻断策略 createVulnerabilityBlocker 更新风险阻断策略 updateVulnerabilityBlocker 删除风险阻断策略 deleteVulnerabilityBlocker 创建自定义域名 createCustomDomain 删除自定义域名 deleteCustomDomain 更新自定义域名 updateCustomDomain 创建安全扫描 createScan

本节介绍策略管理功能的使用约束与限制。 态势感知（专业版）的策略管理功能可以简化您在多个账户和资源上的管理和维护任务，支持统一展示所有策略信息、查看人工/自动化拦截记录等操作。 新增策略：策略作为告警一键阻断的止血手段，可根据告警来源选择相应的类型对攻击者进行阻断。 管理策略：介绍如何查看策略、编辑策略、删除策略。 约束与限制 策略目前仅支持CFW/WAF/VPC安全组的黑名单策略。 单用户单工作空间内容最多新增300条支持阻断老化的，全量最多新增2500条。同时，单次下发策略阻断对象数量限制如下： 当需要下发策略至CFW时，单用户单次最多可新增500个IP或域名作为阻断对象。 当需要下发策略至WAF时，单用户单次最多可新增500个IP作为阻断对象。 当需要下发策略至VPC时，单用户单次1分钟内最多可新增500个IP作为阻断对象。 将IP或IP地址段配置为黑名单后，来自该IP或IP地址段的访问，CFW/WAF/VPC将不会做任何检测，直接拦截。 为确保系统稳定性，同时执行的任务数量必须小于等于5个，若检测到已有5个任务正在执行，系统将禁止继续新增、重试或编辑操作。 基本概念 操作连接：应急策略的流程所绑定的资产连接，资产连接是流程中插件节点使用到的连接域名和鉴权参数，通过域名调用的方式可以访问其他云服务或者三方服务。

本章节介绍媒体存储创建存储桶操作。 使用场景 在上传对象（Object）之前，需要创建一个用于存储对象的存储桶（Bucket）。 前提条件 创建桶之前需要具备以下前提条件： 已注册天翼云账号。 已开通媒体存储对象存储并创建存储区域。 约束与限制 桶创建成功后，不能修改名称和所属区域。创建时，请设置合适的桶名和区域。 每个主账号默认在一个资源池下可创建1000个存储桶。 在同一资源池下，桶名必须是全局唯一的且不能修改，即用户创建的桶不能与自己已创建的其他桶名称相同，也不能与其他用户创建的桶名称相同。 存储桶具体命名规则如下： 长度范围为3~63个字符。 支持小写字母、数字和短划线（）。 必须以小写字母或数字作为开头和结尾。 使用方式 媒体存储支持通过控制台、API、SDK方式创建桶。 操作途径 使用方式 控制台 可参考：新建Bucket。 SDK 媒体存储支持多种语言SDK，请从SDK概览页面选择进入对应的开发指南查阅。 原生接口 可参考：创建桶。 访问方式 桶创建成功后，可以使用桶访问域名来访问桶。用户可以根据访问域名结构自行拼接，也可以通过在媒体存储管理控制台获取。具体可参考：基础信息查看 。 存储桶访问域名的结构和示例如下： 【访问结构】BucketName.Endpoint 【访问示例】bucketname.jxoss.ctyunxs.1cn

本文介绍网站提示证书存在风险的相关场景及解决方案。 背景说明 网站已经在天翼云DDoS高防（边缘云版）控制台开启了HTTPS功能，并配置对应证书，但是用户使用浏览器访问该网站时提示证书存在风险。本文主要介绍可能的原因及应对方案。 可能原因及方案 场景一：域名配置的对应证书已过期 处理方式：您可以前往DDoS高防（边缘云版）控制台更换新的证书。具体操作时，可先上传新的证书，再在【域名接入】【网站配置】【请求协议】中选择新证书对应的备注名，单击【保存】即可。 场景二：配置了自签名HTTPS证书 自签名证书是由个人或企业自行签署的证书，而不是由受信任的证书机构签发的证书。此类证书容易被伪造、安全系数低、有效期不稳定，各大浏览器基本都不信任此类证书。 处理方式：通过正规证书机构购买相应证书，购买后到DDoS高防（边缘云版）控制台重新上传证书并关联对应域名。 场景三：系统时间错误 请检查浏览器系统时间是否准确。如果系统时间不在ssl证书开始截止日期之内，则可能导致浏览器提示ssl证书过期或不生效。 处理方式： 更新浏览器本地系统时间。 场景四：使用了过低的TLS版本 处理方式：天翼云默认开启了TLS 1.0/1.1/1.2/1.3，目前公认的安全性更高的协议是TLSv1.2和TLSv1.3，您可选择关闭TLS 1.0/1.1，只开启 TLSv1.2 和 TLSv1.3。

本小节介绍Web应用防火墙接入前须知。 防护回源IP放行 业务接入WAF防护平台清洗后，所有请求的客户端源地址都会变为WAF回源IP段，客户源站侧的安全设备或安全软件（如：IPS、网络防火墙、流量管理系统、本地 WAF 应用防火墙、网站安全狗与云锁等）可能被认为是攻击行为而被封禁，造成WAF清洗后的请求无法得到源站正常响应，因此客户侧需要将所开通防护中心的回源IP段添加到源站侧的访问控制策略与安全软件白名单中，避免由WAF转发回源站的业务流量被判断为异常攻击造成误封禁，影响网站正常访问。 回源IP段： 内蒙数据中心：36.111.137.0/24 与 203.57.157.0/24 北京数据中心：203.34.106.0/24 上海数据中 心：101.226.7.0/24 广州数据中心：203.32.204.0/24 域名解析 配置成功后，防护配置的状态变为“防护中” ，之后客户可以进行域名解析： 如域名“www.ctyun.com”，需要客户联系DNS服务商将域名解析指向CNAME：www.ctyun.com.iname.damddos.com。 即“源域名+.iname.damddos.com”。 DNS牵引指向CNAME后，Web应用防火墙防护正式完成配置。 设置源站保护 出于安全性考虑，建议您在业务流量成功接入WAF防护后，禁止通过IP直接访问业务，同时设置源站侧的访问控制策略，只允许WAF回源IP段和其他可信任地址之内的IP访问业务，避免攻击者获取您的源站IP后绕过WAF直接攻击源站。

本文简述IP黑/白名单的配置方法。 功能介绍 通过识别客户端IP来过滤用户请求，拦截特定IP的访问或者允许特定IP的访问，可以用来解决恶意IP盗刷、攻击等问题。 IP白名单：用于配置允许访问的客户端IP或IP段，IP白名单之外的访问IP全部拒绝访问（节点响应403），IP白名单之内的访问IP全部允许访问。 IP黑名单：用于配置禁止访问的客户端IP或IP段，IP黑名单之外的访问IP全部允许访问，IP黑名单之内的访问IP全部拒绝访问（节点响应403）。 注意事项 对推流和拉流域名生效。 该功能为可选项，默认不启用。 IP黑名单与IP白名单互斥，不支持同时设置。 黑名单或白名单中的IP最多支持配置500个。 操作步骤 以推拉流场景下的拉流域名为例，操作步骤如下： 1. 登录直播控制台。 2. 在【域名列表】页面，单击目标域名操作列中的【编辑】。 3. 单击【访问控制】。 4. 单击【IP黑/白名单】。 5. 单击IP黑白名单开关进行启用。 6. 设置类型，可选【白名单】或【黑名单】，并输入对应的IP或者IP网段，选择【鉴权范围】，配置完成后单击【提交保存】。

字段 字段说明 示例 action 防护事件的防护动作。 block attack 攻击的类型。 SQL Injection body 攻击者的请求实体内容。 cookie 攻击者的Cookie。 headers 攻击者的消息头。 host 防护的网站域名或IP。 www.example.com id 标识防护事件的ID。 02111620201121060347feb42002 payload 攻击者对防护网站造成伤害的组成部分。 pythonrequests/2.20.1 payloadlocation 攻击者对防护网站造成伤害的位置或访问URL的次数。 useragent policyid 标识防护策略ID。 d5580c8f6cd4403ebbf85892d4bbb8e4 requestline 攻击者的请求行。 GET / rule 防护事件对应的规则编号。 81066 sip Web访问者的公网IP地址（攻击者IP地址）。 time 防护事件发生的时间。 2020/11/21 0:20:44 url 防护域名的URL。 /

归属模块 授权项 权限说明 权限依赖 云原生网关CGWadmin 云原生网关CGWviewer IAM项目 企业项目 产品订购 cgw:inst:createinstance 产品开通 无 ✓ ✗ ✓ ✗ 产品订购 cgw:inst:delinstance 产品退订 无 ✓ ✗ ✓ ✗ 产品订购 cgw:inst:extendinstance 产品扩容 无 ✓ ✗ ✓ ✗ 产品订购 cgw:inst:instancebillmode 包周期按需互转 无 ✓ ✗ ✓ ✗ 产品订购 cgw:inst:renewinstance 产品续订 无 ✓ ✗ ✓ ✗ 网关实例管理 cgw:inst:getSpuInstInfo 查询实例相关信息 无 ✓ ✓ ✓ ✗ 网关实例管理 cgw:inst:instancelist 查询网关实例列表 无 ✓ ✓ ✓ ✗ 网关实例管理 cgw:inst:updateSpuInst 更新实例信息 无 ✓ ✗ ✓ ✗ 网关配置管理 cgw:inst:updateTraceAnalysis 更新链路分析配置 无 ✓ ✗ ✓ ✗ 网关配置管理 cgw:inst:getTraceAnalysis 获取链路分析配置 无 ✓ ✓ ✓ ✗ ELB管理 cgw:inst:getElbInfo 查询ELB相关信息 无 ✓ ✓ ✓ ✗ ELB管理 cgw:inst:updateElb 修改ELB相关信息 无 ✓ ✗ ✓ ✗ 服务来源管理 cgw:inst:getUpstreamSource 查询服务来源 无 ✓ ✓ ✓ ✗ 服务来源管理 cgw:inst:updateUpstreamSource 更新服务来源 无 ✓ ✗ ✓ ✗ 服务来源管理 cgw:inst:getNacosInfo 查询Nacos相关信息 无 ✓ ✓ ✓ ✗ 服务来源管理 cgw:inst:getK8sInfo 查询K8s相关信息 无 ✓ ✓ ✓ ✗ 服务管理 cgw:inst:getUpstreamInfo 查询服务相关信息 无 ✓ ✓ ✓ ✗ 服务管理 cgw:inst:updateUpstream 更新服务 无 ✓ ✗ ✓ ✗ 服务管理 cgw:inst:getUpstreamVersions 获取服务版本信息 无 ✓ ✓ ✓ ✗ 服务管理 cgw:inst:updateUpstreamVersions 更新服务版本 无 ✓ ✗ ✓ ✗ 域名管理 cgw:inst:getDomainsInfo 查询域名相关信息 无 ✓ ✓ ✓ ✗ 域名管理 cgw:inst:updateDomains 修改域名 无 ✓ ✗ ✓ ✗ 路由配置 cgw:inst:getRoutesInfo 查询路由相关信息 无 ✓ ✓ ✓ ✗ 路由配置 cgw:inst:updateRoutes 修改路由 无 ✓ ✗ ✓ ✗ 路由配置 cgw:inst:getRouteSnapshotInfo 查询路由快照相关信息 无 ✓ ✓ ✓ ✗ 路由配置 cgw:inst:updateRouteSnapshot 修改路由快照 无 ✓ ✗ ✓ ✗ 安全认证 cgw:inst:getAuthInfo 查询认证相关信息 无 ✓ ✓ ✓ ✗ 安全认证 cgw:inst:updateAuth 修改认证 无 ✓ ✗ ✓ ✗ 安全认证 cgw:inst:getBlackWhiteListInfo 查询黑白名单相关信息 无 ✓ ✓ ✓ ✗ 安全认证 cgw:inst:updateBlackWhiteList 修改黑白名单 无 ✓ ✗ ✓ ✗ 观测分析 cgw:inst:getLogCenterInfo 查询日志相关信息 无 ✓ ✓ ✓ ✗ 观测分析 cgw:inst:updateLogCenter 修改日志 无 ✓ ✗ ✓ ✗ 观测分析 cgw:inst:getMonitorInfo 查询监控相关信息 无 ✓ ✓ ✓ ✗ 路由级插件 cgw:inst:getPluginConfigurationInfo 获取路由级插件相关信息 无 ✓ ✓ ✓ ✗ 路由级插件 cgw:inst:updatePluginConfiguration 修改路由级插件 无 ✓ ✗ ✓ ✗ 全局插件 cgw:inst:getPluginsInfo 获取全局插件相关信息 无 ✓ ✓ ✓ ✗ 全局插件 cgw:inst:updatePlugins 修改全局插件 无 ✓ ✗ ✓ ✗ 应用管理 cgw:inst:getAppManageInfo 查询应用管理相关信息 无 ✓ ✓ ✓ ✗ 应用管理 cgw:inst:updateAppManage 修改应用管理 无 ✓ ✗ ✓ ✗ API托管 cgw:inst:getApiGwServiceInfo 查询API托管服务管理相关信息 无 ✓ ✓ ✓ ✗ API托管 cgw:inst:updateApiGwService 修改API托管服务管理 无 ✓ ✗ ✓ ✗ API托管 cgw:inst:getApiGwGroupInfo 查询API托管分组管理相关信息 无 ✓ ✓ ✓ ✗ API托管 cgw:inst:updateApiGwGroup 修改API托管分组管理 无 ✓ ✗ ✓ ✗ API托管 cgw:inst:getApiGwApiInfo 查询API托管API管理相关信息 无 ✓ ✓ ✓ ✗ API托管 cgw:inst:updateApiGwApi 修改API托管API管理 无 ✓ ✗ ✓ ✗

本文通过图文说明修改证书的操作步骤。 功能介绍 客户完成证书新增后，如发现证书信息上传有误，可通过客户控制台自助修改证书信息。 配置说明 修改证书时，客户需要重新填写证书公钥和证书私钥。其中公钥和私钥支持PEM格式。具体操作步骤如下： 1. 登录客户控制台。 2. 在【证书管理】【证书列表】页面，找到需要修改的证书。 3. 单击操作列的【编辑】。 4. 在弹出的【修改证书】界面，输入证书公钥和证书私钥。填写完成后，单击【下一步】进行新证书校验。 证书类型 参数 说明 国际标准证书 证书备注名 证书备注名，是指在添加自有证书时，为了方便识别和记忆，可以支持客户自定义所上传证书的名称，方便选择时，选定正确的证书与所配置的域名进行关联。 如果已经在【证书管理】上传证书，可直接选择对应域名证书。如果还未上传证书，可单击【点击上传】，添加自有证书。添加完毕后，再选择对应证书。 国际标准证书 证书公钥 指国际标准证书的公钥，只支持PEM格式。以“BEGIN CERTIFICATE”开头，以“END CERTIFICATE”结尾。 国际标准证书 证书私钥 指国际标准证书的私钥，只支持PEM格式。以“BEGIN RSA PRIVATE KEY”开头，“END RSA PRIVATE KEY”结尾。 国密证书 证书备注名 证书备注名，是指在添加自有证书时，为了方便识别和记忆，可以支持客户自定义所上传证书的名称，方便选择时，选定正确的证书与所配置的域名进行关联。 如果已经在【证书管理】上传证书，可直接选择对应域名证书。如果还未上传证书，可单击【点击上传】，添加自有证书。添加完毕后，再选择对应证书。 国密证书 签名证书公钥 指国密签名证书的公钥，只支持PEM格式。以“BEGIN CERTIFICATE”开头，以“END CERTIFICATE”结尾。 国密证书 签名证书私钥 指国密签名证书的私钥，只支持PEM格式。以“BEGIN RSA PRIVATE KEY”开头，“END RSA PRIVATE KEY”结尾。 国密证书 加密证书公钥 指国密加密证书的公钥，只支持PEM格式。以“BEGIN CERTIFICATE”开头，以“END CERTIFICATE”结尾。 国密证书 加密证书私钥 指国密加密证书的私钥，只支持PEM格式。以“BEGIN RSA PRIVATE KEY”开头，“END RSA PRIVATE KEY”结尾。 5. 系统提示证书校验结果，如无异议，单击【下一步】确认证书详细信息。 6. 单击【确定】完成并返回证书列表首页。

本章主要介绍API网关的概述。 API网关（API Gateway）是为您提供高性能、高可用、高安全的API托管服务，帮助您轻松构建、管理和部署任意规模的API。借助API网关可以简单、快速、低成本、低风险地实现内部系统集成、业务能力开放及业务能力变现。 若您想快速体验开放API和调用API的操作流程，请参考开放API和调用API。这里以APP认证类型的简易认证举例，端到端操作快速上手。 使用流程 使用API网关进行API的托管流程如下图所示。 API提供者在API网关中开放自己的API服务，API调用者从API网关中获取并调用API。 开发API 企业或开发者通过API网关开放自身的服务与数据，实现业务能力变现。 图 开放API基本流程 1. 创建实例 实例是一个独立的资源空间，所有的操作都是在实例内进行，不同实例间的资源相互隔离。 2. 创建API分组 每个API都归属到某一个API分组下，在创建API前应提前创建API分组。 3. 绑定域名 在开放API前，您需要为API分组绑定一个独立域名，供API调用者访问API使用。 在绑定独立域名前，您可以使用系统为API分配的调试域名进行API调试，每天最多可以访问调试域名1000次。 4. 创建API 把已有后端服务封装为标准RESTFulAPI，并对外开放。 API创建成功后，您可根据业务需求对API设置访问策略： 传统策略 流控控制 流量控制可限制单位时间内API的被调用次数，保护后端服务。 访问控制 访问API的IP地址和账户，您可以通过设置IP地址或账户的黑白名单来拒绝/允许某个IP地址或账户访问API。 签名密钥 签名密钥用于后端服务验证API网关的身份，在API网关请求后端服务时，保障后端服务的安全。 插件策略 跨域资源共享策略说明 跨域资源共享策略为跨域访问提供指定预检请求头和响应头、自动创建跨域预检请求API的扩展能力，可快速、灵活的实现API的跨域访问。 HTTP响应头管理策略说明 您可以自定义HTTP响应头，在返回的API响应中指定您配置的响应头。 流量控制2.0策略说明 您可以限制单位时间内API的被调用次数，支持参数流控、基础流控和基于基础流控的特殊流控。 Kafka日志推送策略说明 Kafka日志推送策略提供了把API的详细调用日志推送到Kafka的能力，方便用户获取API的调用日志信息。 断路器策略说明 断路器是API网关在后端服务出现性能问题时保护系统的内置机制。 第三方认证策略说明 您可以通过第三方认证策略配置自己的鉴权服务为API的访问进行认证。 5. 调试API 验证API服务的功能是否正常可用。 6. 发布API 把API发布到环境中，API只有在发布到环境后，才支持被调用。

本节介绍如何配置全局Web核心防护。 防护对象接入Web应用防火墙后，您可以选择开启全局Web核心防护功能。 全局精准访问控制支持对全局域名或单个域名生效。 全局Web核心防护包括防护配置 SQL注入、XSS代码注入、信息泄露、XML实体注入、Xpath注入、Ldap注入、SSL指令注入、文件上传、命令注入等常见 Web攻击。 前提条件 已购买WAF云SaaS型实例，且实例版本为标准版及以上版本。 网站已通过“域名接入”方式接入WAF进行防护。 查看规则库 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“防护配置 > 全局防护配置”，进入全局防护配置页面。 5. 定位到“全局Web核心防护”模块，选择查看规则库。 6. 进入“规则组”页面。 规则列表中包含的参数如下： 配置项 说明 危险等级 防护规则防护漏洞的危险等级，包括： 高危 中危 低危 灰度状态 规则的状态说明。 规则ID WAF防护引擎中可唯一标识该规则的ID。 规则引擎类型 描述WAF防护规则的引擎类型 规则名称 防护规则的描述信息。 防护类型 表示规则防御的Web攻击类型。 包括SQL注入、XSS、目录穿越、Java代码执行、PHP代码执行、ASP代码执行、通用代码执行、Java反序列化、PHP反序列化、本地文件包含、远程文件包含、文件上传、CSRF、SSRF、命令注入、信息泄露、模板注入、XML实体注入、Xpath注入、LDAP注入、自定义精准攻击、未知攻击。 CVE编号 防护规则对应的CVE（Common Vulnerabilities & Exposures，通用漏洞披露）编号。对于非CVE漏洞，显示为空。 关联规则组数 显示对应规则所绑定的规则组数量。 7. 单击页面右上角的“规则更新状态”可查看内置规则的更新情况。

适用场景 客户端存在Range请求，且源站支持Range，可响应指定范围内的内容数据时，建议开启分片回源功能，以提高文件分发效率及缓存利用率。 一般源站内容是视频、APP等大文件的场景下，建议开启分片回源功能。 注意事项 开启分片回源前需确认源站是否支持Range请求，即源站能够响应对应范围内的206文件分片内容，如果源站不支持Range请求，开启分片回源可能会导致资源无法缓存。 开启分片回源时（非自适应回源），CDN会将用户请求（无论原始请求是否为Range请求）拆分成若干个Range请求回源，以一个100MB的文件为例，在分片回源开启时，CDN获取完整文件需要回源100次，一定程度上会增加回源访问请求数和并发量，请合理设置分片大小。默认Range分片大小为1MB，即：如果客户端请求Range: bytes0100，则在CDN节点回源时会将Range请求扩大为1MB。 请在新增域名时明确是否开启分片回源，以及开启分片回源的具体分片大小；一旦域名CNAME至我司产生流量后，建议不要轻易变更分片回源功能的分片大小，否则可能会产生较高回源；如确实有调整需求，请在提交工单时特殊说明。 配置说明 该功能暂不支持客户自助配置，如需使用，请通过提交工单给天翼云客服，由其人工操作开启。 提交工单时，请您提供如下信息： 1. 回源分片大小，默认为1MB；如需设置为其他值，请详细说明。 2. 开启分片回源功能的范围，默认为域名粒度；如需设置为仅部分文件，请说明具体的文件范围，例如xx目录，或xx文件后缀（如.mp4、.flv等）。 3. 如需开启自适应回源，请特殊说明。

本文介绍边缘接入服务IP应用加速多路传输功能。 功能介绍 开启多路传输功能后，动态选路时会选择N条有相同起点和终点的路径，请求到达边缘节点后，会被分成N份数据在N条不同的路径上传输，每条路径上传输不同的数据，到回源节点时再进行重新排序组装后发给源站，当某条路径质量变差时，边缘节点会自动调整每条路上传输的数据量，向质量差的路径上少发包，向质量优的路径上多发包。源站到客户端方向同理。 因此，开启多路传输功能后，有利于提升数据传输效率，在单条路径质量波动较大时有显著的效果。 注意事项 多路传输功能仅支持TCP协议加速的域名，使用UDP协议的域名不支持此功能。 配置说明 配置项 配置值 默认值 配置说明 多路传输开关 开/关 关 控制是否开启多路传输功能 多路径条数 1~5 3 配置多路传输的具体路径数 如您需要配置多路传输功能，请提交工单申请。

本文简述多路传输功能原理及配置方式。 功能介绍 开启多路传输功能后，动态选路时会选择N条有相同起点和终点的路径，请求到达边缘节点后，会被分成N份数据在N条不同的路径上传输，每条路径上传输不同的数据，到回源节点时再进行重新排序组装后发给源站，当某条路径质量变差时，边缘节点会自动调整每条路上传输的数据量，向质量差的路径上少发包，向质量优的路径上多发包。源站到客户端方向同理。 显而易见，开启多路传输功能后，有利于提升数据传输效率，在单条路径质量波动较大时有显著的效果。 注意 多路传输功能仅支持TCP协议加速的域名，使用UDP协议的域名不支持此功能。 配置说明 配置项 配置值 默认值 配置说明 多路传输开关 开/关 关 控制是否开启多路传输功能 多路径条数 1~5 3 配置多路传输的具体路径数 如您需要配置多路传输功能，请提交工单申请。

本文为您介绍BOT防护功能说明,以及如何配置BOT防护策略。 网站域名接入云WAF后，您可以选择开启BOT防护功能。通过BOT防护配置，用户可以根据BOT会话行为特征设置BOT对抗策略，对BOT行为动作处理，保护网站核心业务安全。 BOT防护模块提供了默认内置的防护规则，用户也可以自定义添加防护规则。 系统默认规则 WAF提供已知公开的BOT大类，包括Web爬虫、扫描器爬虫、语言库等爬虫类型，用户可以根据自身需求设置防护状态及处置动作，WAF将对命中的BOT请求进行相应处理。 自定义防护规则 用户可以根据实际业务情况自定义防护规则，WAF将根据命中防护规则的请求进行处理。 前提条件 已开通Web应用防火墙（原生版）实例。 已完成网站域名接入。 使用限制 基础版不支持BOT防护，请升级到更高版本使用。 配置BOT防护模式 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“防护配置 > 对象防护配置”，进入防护配置页面。 5. 在“防护配置”页面上方的“防护对象选择”下拉框，切换到要设置的域名。 6. 在“安全防护”页签定位到“BOT防护”区域，可以选择开启/关闭防护状态。 配置项 说明 状态 开启或关闭BOT防护。 防护策略 BOT提供了系统默认规则，用户也可以自定义规则。 单击“前去配置”，可以进入到对应的策略配置页面进行配置。

配置项 描述 实例名称 填写集群的实例名称 企业项目 按需选择企业项目 计费模式 默认使用按需计费模式 Kubernetes版本 显示当前Serverless集群支持的Kubernetes版本 部署方式 支持单可用区部署、多可用区部署 可用区 按需选择可用区 API Server访问 API Server的访问需要依赖ELB实例，您可根据需要选择合适的ELB规格，系统将根据该规格创建一个私网ELB实例。同时，您也可以选择是否使用EIP暴露API Server，选择不开放时，则无法通过外网访问集群API Server 虚拟私有云 集群所使用的VPC，支持使用已有的VPC或创建虚拟私有云 所在子网 集群所使用的子网，支持使用已有的子网或创建子网 默认安全组 安全组是一种虚拟防火墙，能够控制实例的出入站流量，Serverless集群会自动生成一条默认的安全组，以确保容器之间能正常通信 启用IPv6 启用IPv6双栈将创建双栈Serverless集群 Service CIDR 设置Service CIDR。Service网段不能与VPC及VPC内已有集群使用的网段重复，并且Service地址段也不能和Pod地址段重复。集群创建成功后不能再修改该网段 自定义证书SAN 按需添加自定义的IP或域名，以实现对客户端的访问控制 集群本地域名 填写集群的本地域名 集群删除保护 设置是否启用集群删除保护，防止通过控制台或者API误删除集群 集群标签 为集群绑定标签，作为云资源的标识 集群描述 按需对集群进行描述说明 时区 集群所要使用的时区

远程协助 请联系软件供应商获取服务端的Host（IP或域名）和端口号。 注意 默认情况下，远程协助功能处于禁用状态，可随时启用。启用后，工作人员有权登录Linux系统诊断问题。远程登录过程中，工作人员会具有安装HBlock的用户和开启远程协助操作的用户的权限。远程协助时的所有操作记录可通过服务器的日志文件logs/remoteaccess/remoteaccess.log 查看。 如果启用了远程协助功能，则意味着您相信工作人员，并授权访问系统中的所有数据。工作人员将尽力诊断问题并确保数据安全。但是由于系统环境的复杂性，工作人员对远程协助引起的任何后果不承担任何责任。 项目 描述 Host 远程协助服务端的Host。 取值：IP或域名。 端口号 远程协助服务端的端口号。 是否启动远程协助 是否启用远程协助： 已启用。 已禁用。

应用批量导入 按照模版要求进行导入文件，目前支持的文件类型为.xls，.xlsx，单个文件最多支持导入100个应用，超过100个请分多个文件多次导入。 应用批量导出 据当前查询条件导出应用数据，导出文件类型为.xlsx。 添加应用 新增时可针对应用进行相关配置。区分应用配置、连通性探测、应用授权介绍。 WEB应用：http，https，ws，wss协议类型应用。 网络应用：除WEB应用协议外的其他协议，例如tcp，udp，ssh。 注意 对于不同的应用类型（WEB应用、网络应用），应用地址的添加字段和处理存在差异，请根据具体应用类型进行选择，若类型选择错误，可能会导致访问异常。 应用配置 基础配置字段说明如下： 字段 是否必填 字段说明 应用类型 是 分为Web应用与网络应用。 应用名称 是 应用的名称。 应用描述 否 应用的说明。 应用标签 否 请在下拉框勾选应用标签，应用标签列表来源于应用标签分页您添加的所有应用标签，若需新增应用标签，请滑动到下拉框底部单击添加标签按钮进行添加。 企业门户上架 否 企业门户是企业向员工展示的门户网站，选择企业门户上架开启，则在客户端的企业门户页面可展示该应用以及对应的入口地址URL，员工可点击进行快捷访问。 注意：仅Web应用有企业用户上架限制。 应用状态 是 分为启用或禁用。 权限申请 是 默认允许用户申请此权限。 应用负责人 否 应用可自定义其负责人，方便您进行区分人员进行管理应用。 应用重要等级 是 请给应用选择对应重要程度等级，在配置各类防护策略时您可根据应用的等级对出现异常访问的行为进行梯度降权，越高等级的应用将越受到保护，若未选择，则默认为低等应用。 应用访问 否 默认开启该应用可在电脑端与手机端使用，用户可以配置应用访问的可见范围与打开方式。 应用图标 否 支持图片上传对应图标，也可以从待选图标里面选择图标，配置图标后，该图标将作为该应用在客户端的展示图标。企业员工用户通过终端点击该图标实现WEB类型应用快捷访问。网络类型应用不支持图标点击快捷访问。 入口URL 是 用户可在客户端点击应用则可访问入口URL，便于应用快捷访问、应用地址统一管理。 应用地址 是 应用地址分为域名、IP地址、IP范围、IP网段，请按照要求进行相关配置：域名：支持输入1个域名（如ctyun.cn）或泛域名（如.ctyun.cn），不支持中文。IP地址：支持输入1个IP地址（如1.1.1.1），若有多个请增加多条或配置IP范围或IP网段。IP范围：支持输入1个IP范围（如1.1.1.11.1.1.16）。IP网段：支持输入1个IP网段（如1.1.1.1/32）。协议：支持http、https、ws、wss进行选择。端口：支持配置端口或端口范围（如8185），多个端口用“,”隔开，不支持同时配置端口和端口范围或配置多个端口范围。 关联连接器集群 是 您可将不同数据中心的应用关联到对应的所属不同连接器上，实现不同的应用走不同的连接器回源。例如北京、内蒙机房分别部署连接器，则位于内蒙网络的应用资源，需将其关联到内蒙连接器上。为保证访问正常，不允许两个存在相同IP地址的应用关联到不同的连接器上，请勿将相同IP地址或不同域名相同解析IP的应用使用不同的连接器回源访问。

本节介绍了如何配置地域控制策略对指定区域访问的请求进行过滤。 使用场景 某网站主要面向国内的用户提供服务，无境外IP访问的场景。因此需要配置策略直接对境外的访问请求进行阻断。 配置前提 1. 套餐生效且域名为已启用状态，否则无法进行防护配置。 配置步骤 1. 选择需要防护的域名，在操作栏点击【防护配置】。 2. 选择【访问控制】tab页，并点击右上角【新增】按钮，新增访问控制规则。 3. 配置规则内容： 因需要对境外的IP进行阻断，因此处理动作选择“丢弃”。 规则名称可以自定配置。 匹配条件中，匹配字段选择GEO，要阻断境外IP，因此可直接将中国地域进行排除。为避免误阻断，因此将未知区域也进行排除。 4. 配置完成后点击【新增】，此时该访问控制策略已展示出来。请务必点击【提交部署】，否则配置不会被保存并生效。

配置系统登录防护 对系统账户登录进行细粒度的精准访问控制。适用于需要自定义修改配置策略模板系统登录防护场景。 1. 选择系统登录防护页签。 2. 点击系统登录防护后的图标置于开启状态，即可开启系统登录防护。 3. 点击“新增”。 4. 弹出新增规则对话框，编辑相关信息后，点击“确定”。 详细配置请参见下表： 参数 说明 登录账号 支持输入“”，表示所有账号都记录。 IP/IP范围 访问来源IP或者IP段。 支持的格式如下： 192.168.1.1 192.168.2.1/24 192.168.3.1192.168.3.255 域名 访问来源域名例：ctyun.cn。 计算机名 访问来源计算机名例：localhost。 时间策略 访问来源开始时间至结束时间节点。 处理方式 （满足所有策略）允许登录：满足所有配置策略时，允许登录。 （满足任意策略）禁止登录：满足任意一条策略时，禁止登录。 状态 策略启用状态：启用/不启用。

本小节介绍渗透测试操作类常见问题。 购买天翼云渗透测试业务后如何填写受理单内容？ 客户应如实填写以下信息： 被检测的IP主机信息。 域名备案信息比对，必须为客户本人真实、合法信息。 客户为天翼云托管用户，用户提供域名清单，解析后必须为天翼云主机IP，才可提供渗透测试服务。 客户提供的应用URL描述须写明功能是什么或用途是什么。 业务接口人联系方式，客户需提供一个具有对渗透测试方案及渗透测试过程中出现的问题有决定权的业务接口人联系人。 客户如有安全防护设备，应在渗透测试开始阶段将渗透测试所用的公网IP加入安全防护设备白名单，避免因渗透测试工作带来的告警。（如在渗透测试开始阶段客户未将渗透测试所用的公网IP加入安全防护设备白名单，由此产生的告警及对渗透测试结果的影响，乙方不承担任何责任。） 客户需签订渗透测试授权书。

本文通过图文说明新增证书的操作步骤。 功能介绍 Web应用防火墙（边缘云版）基于边缘云底座，HTTPS为边缘云网络内容传输提供了更好的保障，客户端在极速访问内容的同时，可以更安全有效地浏览网站内容。本文主要指导客户如何新增证书。 配置说明 新增证书时，客户需要填写证书备注名、证书公钥以及证书私钥。其中公钥和私钥支持PEM格式。具体操作步骤如下： 1. 登录Web应用防火墙（边缘云版）控制台。 2. 在【证书管理】页面，找到右上角的添加证书按键。 3. 单击【添加证书】。 4. 输入证书备注名、证书公钥和证书私钥。 您需要提前准备好域名的证书文件和私钥文件。 需要准备的证书相关内容如下（上传时请确保证书有完整的证书链）： .crt（公钥文件）或.pem（证书文件） .key（私钥文件） 备注： 证书备注名，是指在添加自有证书时，为了方便识别和记忆，可以支持客户自定义所上传证书的名称，方便在域名配置关联证书选择时，选定正确的证书与域名进行关联。 注意事项 请确保上传的证书还在有效期范围内。 目前只支持PEM格式，如果是其他格式，请自行转换为正确格式。

系统采用智能流量与威胁数据抽样统计技术,即使在处理海量日志时,也能兼顾查询准确性与响应效率。 功能介绍 实时分析您的域名请求量级智能判定您的域名是否符合抽样条件，当抽样系统判定您的域名符合抽样条件时，会进行流量与威胁日志数据抽样，触发规则如下： 访问日志过去1小时请求量级达 1000 万次以上，按10%抽样； 攻击日志过去1小时请求量级达 100 万次以上，按10%抽样； 全量日志过去1小时请求量级达 100 万次以上，按10%抽样； 达到访问日志/攻击日志/全量日志任意一种抽样条件条件后，则触发对应日志的抽样，若您的域名请求量级持续下降，安全与加速将自动为您取消抽样机制。 说明 AOne安全与加速会根据平台日志数据的规模和用户的使用需求，持续调整优化抽样策略。如果您对安全与加速提供的流量与威胁分析查询结果有任何疑问，请通过提交工单给天翼云客服进行处理。 应用抽样数据统计模块 AOne安全与加速运用智能流量与威胁日志数据抽样技术来适应不同用户的日志数据量级，确保数据分析的准确性和效率。在以下数据查询场景中，AOne安全与加速控制台相关页面所展示的数据可能会经过抽样处理： 在安全攻击日志、日志分析您看到的数据可能是抽样结果，在这种情况下，可能会存在无法检索到部分请求ID 对应日志的情况； 在总览、安全防护分析、态势大屏、报告订阅、告警管理、API安全的业务监测，您看到的数据也可能是抽样结果。这是因为当用户在使用总览、报表等数据时，引用预计算结果，帮助用户快速得到精确的统计结果。但是当用户需要按照某些特定维度分析明细数据时，多维下钻分析需实时扫描海量明细数据，通过抽样机制来降低计算负载，为用户实现高效查询响应； 在API资产列表您看到的来自API自发现的API资产数据和活跃度标签可能是抽样结果，可能会存在无法查看到对应API资产的情况； 在异常行为智能识别进行智能算法和大数据行为分析，分析客户业务流量的特征也可能是抽样结果； 通过调用OpenAPI统计访问日志、攻击日志、全量日志也可能是抽样结果。