状态码 错误码 状态信息 描述 500 CCMS00000000 CCMS00000000 系统异常 400 CCMS10000001 CCMS10000001 输入错误 400 CCMS10000002 CCMS10000002 参数为空 400 CCMS10000004 CCMS10000004 参数缺失 400 CCMS10000005 CCMS10000005 联系人不存在 400 CCMS10000006 CCMS10000006 数据库查询失败 400 CCMS10000007 CCMS10000007 当前参数不支持 400 CCMS10000008 CCMS10000008 算法找不到 400 CCMS10000009 CCMS10000009 算法参数错误 400 CCMS10000010 CCMS10000010 IO错误 400 CCMS10000011 CCMS10000011 csr生成失败 400 CCMS10000012 CCMS10000012 订单解析失败 400 CCMS100000013 CCMS100000013 数据保存失败 400 CCMS100000014 CCMS100000014 证书订单申请失败 400 CCMS100000015 CCMS100000015 证书域名为空 400 CCMS100000016 CCMS100000016 订单查询失败 400 CCMS100000017 CCMS100000017 证书吊销失败 400 CCMS100000018 CCMS100000018 证书信息查询为空 400 CCMS100000019 CCMS100000019 证书撤销申请失败 400 CCMS100000020 CCMS100000020 获取厂商证书信息失败 400 CCMS100000021 CCMS100000021 当前状态不支持该功能 400 CCMS100000022 CCMS100000022 证书格式转换错误 400 CCMS100000023 CCMS100000023 加解密错误 400 CCMS100000024 CCMS100000024 文件下载失败 400 CCMS100000025 CCMS100000025 公司不存在 400 CCMS100000026 CCMS100000026 联系人电话不能重复 400 CCMS100000027 CCMS100000027 联系人信息的邮箱不能重复 400 CCMS100000028 CCMS100000028 公司信息名称重复 400 CCMS100000029 CCMS100000029 公司信息电话重复 400 CCMS100000030 CCMS100000030 公司信息组织机构代码重复 400 CCMS100000031 CCMS100000031 域名不符合 400 CCMS100000032 CCMS100000032 数据删除操作失败 400 CCMS100000033 CCMS100000033 CSR信息查询为空 400 CCMS100000034 CCMS100000034 CSR解析错误 400 CCMS100000035 CCMS100000035 CSR名字重复 400 CCMS100000036 CCMS100000036 长度超过限制 400 CCMS100000037 CCMS100000037 参数超出限制 400 CCMS100000038 CCMS100000038 JSON解析错误 400 CCMS100000039 CCMS100000039 证书解析错误 400 CCMS100000040 CCMS100000040 资源不存在 400 CCMS100000041 CCMS100000041 枚举错误 400 CCMS100000042 CCMS100000042 IAM权限不匹配 400 CCMS100000043 CCMS100000043 获取IAM策略失败 400 CCMS100000044 CCMS100000044 资源被占用 400 CCMS100000045 CCMS100000045 文件上传失败 400 CCMS100000046 CCMS100000046 CSR正被使用 400 CCMS100000047 CCMS100000047 CSR与密钥不匹配 400 CCMS100000048 CCMS100000048 CSR格式错误 400 CCMS100000049 CCMS100000049 密钥格式错误 400 CCMS100000050 CCMS100000050 超出数量限制 400 CCMS100000051 CCMS100000051 密钥长度不支持 400 CCMS100000052 CCMS100000052 超出7天退订时间 400 CCMS100000053 CCMS100000053 图片违规 400 CCMS100000054 CCMS100000054 证书名称重复 400 CCMS100000055 CCMS100000055 参数不符合规则 400 CCMS100000056 CCMS100000056 证书格式错误 400 CCMS100000057 CCMS100000057 证书与密钥不匹配 400 CCMS100000058 CCMS100000058 多年期证书续期失败 400 CCMS100000059 CCMS100000059 证书链解析错误 400 CCMS100000060 CCMS100000060 主域名类型错误 400 CCMS100000061 CCMS100000061 证书状态发生改变，请稍后再试 400 CCMS100000062 CCMS100000062 域名校验检查失败 400 CCMS100000063 CCMS100000063 鉴权错误 400 CCMS100000064 CCMS100000064 联系人身份证为空 400 CCMS100000065 CCMS100000065 证书撤销吊销失败 400 CCMS100000066 CCMS100000066 域名SSL检测失败 400 CCMS100000067 CCMS100000067 上传相同的证书 400 CCMS100000068 CCMS100000068 一键部署的产品名称错误 400 CCMS100000069 CCMS100000069 证书已过期 400 CCMS100000070 CCMS100000070 证书链信息不匹配 400 CCMS100000072 CCMS100000072 部署记录不存在 400 CCMS100000073 CCMS100000073 部署记录不可撤销 400 CCMS100000074 CCMS100000074 部署记录参数为空 400 CCMS100000075 CCMS100000075 部署失败 400 CCMS100000076 CCMS100000076 关联id参数为空 400 CCMS100000077 CCMS100000077 国密不允许 400 CCMS100000078 CCMS100000078 部署域名为空 400 CCMS100000079 CCMS100000079 查询云产品信息失败 400 CCMS100000080 CCMS100000080 批量部署超出限制 400 CCMS100000081 CCMS100000081 撤销数量超出限制 400 CCMS100000082 CCMS100000082 撤销记录的关联id与输入的关联id不同 400 CCMS100000083 CCMS100000083 无可用证书 400 CCMS100000084 CCMS100000084 邮箱格式错误 400 CCMS100000085 CCMS100000085 短信格式错误

section4b9425cb7dced3ef)。 确认为API资产 开启“确认为API资产”，在任务执行结束后，会将本次任务发现的API自动确认为API资产并展示在“API列表”中。 说明 为保证自动确认的资产不产生大量的冗余数据，单次自动确认的资产不超过100条，如果单次自动发现的资产超过100条时，将会将本次任务所有发现的API资产识别为待确认资产。 识别到待确认API资产后 配置API自动发现任务识别到待确认API资产后，对历史待确认API资产的处理方式： 在历史待确认API列表上新增：将识别到的待确认API资产在原有资产上新增。默认选择该方式。 清除历史待确认API资产：清除历史所有待确认API资产，API资产发现列表仅展示本次新发现的待确认API资产。 7. 参数配置完成后，单击“确认”，系统会自动发现从开始任务之后的API接口。 在API识别过程中，发现一个API待确认资产即显示一个，无需在任务执行完成之后再将所有结果添加至待确认列表。 任务执行过程中，可查看任务执行时间、查看任务详情、手动停止任务。 确认API资产 API自动发现任务识别到待确认API资产后，用户手动将其确认为API资产，即可展示在“API列表”中。 说明 确认API时，如果出现相同API，不会重复添加。 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“API安全 > API管理”，进入API管理页面，选择“API资产发现”页签。 5. 搜索待确认的API。 1. 在页面左侧，展示了所有防护对象信息（不包括泛域名、ELB防护对象），支持选择“所有防护对象”或选择单个域名站点，在右侧API列表中查看对应防护对象的详细数据列表。 选择“所有防护对象”，页面右侧展示所有待确认的API资产。 选择单个域名站点，页面右侧展示选中的域名站点待确认的API资产。 2. 可通过发现时间、请求方法、业务用途对待确认资产进行筛选。 发现时间：根据API资产最近活跃时间对API资产进行过滤，支持昨天、今天、近3天、近30天，或自定义时间范围。默认选中今天。 请求方法：支持多选。 业务用途：支持多选。 API路径：支持模糊匹配。 6. 搜索定位到目标API后，单击操作列的“确认为API”。 或勾选多个API，单击列表上方的“批量确认”进行批量操作。 7. 在确认为API窗口中，确认API信息，可对API名称、业务用途进行修改。 8. 单击“确认”。 确认为API资产后，API资产将从“API资产发现”页面移动到“API列表”页面中。

操作场景 云容器引擎（CCE）提供多种类型的容器部署和管理能力，支持对容器工作负载的部署、配置、监控、扩容、升级、卸载、服务发现及负载均衡等特性。 其中守护进程集（DaemonSet）可以确保全部（或者某些）节点上仅运行一个Pod实例，当有节点加入集群时，也会为他们新增一个 Pod。当有节点从集群移除时，这些Pod也会被回收。删除 DaemonSet 将会删除它创建的所有Pod。 使用DaemonSet的一些典型用法： 运行集群存储daemon，例如在每个节点上运行glusterd、ceph。 在每个节点上运行日志收集daemon，例如fluentd、logstash。 在每个节点上运行监控daemon，例如Prometheus Node Exporter、collectd、Datadog代理、New Relic代理，或Ganglia gmond。 一种简单的用法是为每种类型的守护进程在所有的节点上都启动一个DaemonSet。一个稍微复杂的用法是为同一种守护进程部署多个DaemonSet；每个具有不同的标志， 并且对不同硬件类型具有不同的内存、CPU要求。 前提条件 在创建守护进程集前，您需要存在一个可用集群。若没有可用集群 ，请参照购买混合集群中内容创建。 操作步骤 步骤 1 登录CCE管理控制台。 步骤 2 在左侧导航栏中选择“工作负载 > 守护进程集 DaemonSet”，单击页面右上角的“创建守护进程集”。参照下表设置基本信息，其中带“”标志的参数为必填参数。 工作负载基本信息 参数 参数说明 工作负载名称 新建工作负载的名称，命名必须唯一。 请输入4到63个字符的字符串，可以包含小写英文字母、数字和中划线（），并以小写英文字母开头，小写英文字母或数字结尾。 集群名称 新建工作负载所在的集群。 命名空间 在单集群中，不同命名空间中的数据彼此隔离。使应用可以共享同个集群的服务，也能够互不干扰。若您不设置命名空间，系统会默认使用default命名空间。 时区同步 单击开启后，容器将和节点使用相同时区。 须知 时区同步功能开启后，在“数据存储 > 本地磁盘”中，将会自动添加HostPath类型的磁盘，请勿修改删除该磁盘。 工作负载描述 工作负载描述信息。 步骤 3 单击“下一步：容器设置”，添加容器。 1. 单击“添加容器”，选择需要部署的镜像。 − 我的镜像：展示了您创建的所有镜像仓库。 − 第三方镜像：CCE支持拉取第三方镜像仓库（即镜像仓库之外的镜像仓库）的镜像创建工作负载。使用第三方镜像时，请确保工作负载运行的节点可访问公网。第三方镜像的具体使用方法请参见如何使用第三方镜像。 若您的镜像仓库不需要认证，密钥认证请选择“否”，并输入“镜像名称”，单击“确定”。 若您的镜像仓库都必须经过认证（帐号密码）才能访问，您需要先创建密钥再使用第三方镜像，具体操作请参见如何使用第三方镜像。 − 共享镜像：其它租户通过“容器镜像服务”共享给您的镜像将在此处展示，您可以基于共享镜像创建工作负载。 2. 配置镜像基本信息。 工作负载是Kubernetes对一组Pod的抽象模型，用于描述业务的运行载体，一个Pod可以封装1个或多个容器，您可以单击右上方的“添加容器”，添加多个容器镜像并分别进行设置。 镜像参数说明 参数 说明 镜像名称 导入的镜像，您可单击“更换镜像”进行更换。 镜像版本 选择需要部署的镜像版本。 容器名称 容器的名称，可修改。 特权容器 特权容器是指容器里面的程序具有一定的特权。 若选中，容器将获得超级权限，例如可以操作宿主机上面的网络设备、修改内核参数等。 容器规格 CPU 配额： 申请：容器需要使用的最小CPU值，默认0.25Core。 限制：允许容器使用的CPU最大值。建议设容器配额的最高限额，避免容器资源超额导致系统故障。 内存配额： 申请：容器需要使用的内存最小值，默认512MiB。 限制：允许容器使用的内存最大值。如果超过，容器会被终止。 申请和限制的具体请参见设置容器规格。 GPU 配额：当集群中包含GPU节点时，才能设置GPU，无GPU节点不显示此选项。 容器需要使用的GPU百分比。勾选“使用”并设置百分比，例如设置为10%，表示该容器需使用GPU资源的10%。若不勾选“使用”，或设置为0，则无法使用GPU资源。 GPU 显卡：工作负载实例将被调度到GPU显卡类型为指定显卡的节点上。 若勾选“不限制”，容器将会随机使用节点中的任一显卡。您也可以勾选某个显卡，容器将使用特定显卡。 3. 生命周期： 用于设置容器启动和运行时需要执行的命令。 − 启动命令：设置容器启动时执行的命令，具体请参见设置容器启动命令。 − 启动后处理：设置容器成功运行后执行的命令，详细配置方法请参见设置容器生命周期。 − 停止前处理：设置容器结束前执行的命令，通常用于删除日志/临时文件等，详细配置方法请参见设置容器生命周期。 4. 健康检查：CCE提供了存活与业务两种探针，用于判断容器和用户业务是否正常运行。详细配置方法请参见设置容器健康检查。 − 工作负载存活探针：检查容器是否正常，不正常则重启实例。 − 工作负载业务探针：检查用户业务是否就绪，不就绪则不转发流量到当前实例。 5. 环境变量：在容器中添加环境变量，一般用于通过环境变量设置参数。 在“环境变量”页签，单击“添加环境变量”，当前支持三种类型： − 手动添加：输入变量名称、变量/变量引用。 − 密钥导入：输入变量名称，选择导入的密钥名称和数据。您需要提前创建密钥，具体请参见创建密钥。 − 配置项导入：输入变量名称，选择导入的配置项名称和数据。您需要提前创建配置项，具体请参见创建配置项。 说明： 对于已设置的环境变量，单击环境变量后的“编辑”，可对该环境变量进行编辑。单击环境变量后的“删除”，可删除该环境变量。 6. 数据存储：给容器挂载数据存储，支持本地磁盘和云存储，适用于需持久化存储、高磁盘IO等场景。具体请参见存储管理。 7. 安全设置：对容器权限进行设置，保护系统和其他容器不受其影响。 请输入用户ID，容器将以当前用户权限运行。 8. 容器日志：设置容器日志采集策略、配置日志目录。用于收集容器日志便于统一管理和分析。详细配置请参见采集容器标准输出日志、采集容器内路径日志。 步骤 4 单击“下一步：工作负载访问设置”，单击“添加服务”，设置工作负载访问方式。 若工作负载需要和其它服务互访，或需要被公网访问，您需要添加服务，设置工作负载访问方式。 工作负载访问的方式决定了这个工作负载的网络属性，不同访问方式的工作负载可以提供不同网络能力，具体请参见网络概述。 步骤 5 单击“下一步：高级设置”，配置更多高级策略。 升级策略： − 升级方式：支持“滚动升级”。滚动升级将逐步用新版本的实例替换旧版本的实例，升级的过程中，业务流量会同时负载均衡分布到新老的实例上，因此业务不会中断。 − 最大无效实例数：每次滚动升级允许的最大无效实例数，如果等于实例数有断服风险（最小存活实例数 实例数 最大无效实例数）。 缩容策略： 缩容时间窗：请输入时间。为工作负载删除提供一个时间窗，预留给生命周期中PreStop阶段执行命令。若超过此时间窗，进程仍未停止，该工作负载将被强制删除。 调度策略：您可以根据需要自由组合静态的全局调度策略或动态的运行时调度策略来实现自己的需求。具体请参见调度策略概述。 Pod 高级设置 − Pod标签：内置app标签在工作负载创建时指定，主要用于设置亲和性与反亲和性调度，暂不支持修改。您可以单击下方的“添加标签”增加标签。 客户端DNS 配置：CCE集群内置DNS插件CoreDNS，为集群内的工作负载提供域名解析服务。详细使用方法请参见Kubernetes集群内置DNS配置说明。 − DNS策略： 追加域名解析配置：选择该配置后，将保留默认配置，以下“IP地址”和“搜索域”配置可能不生效。 替换域名解析配置：选择该配置后，将仅使用以下“IP地址”和“搜索域”配置进行域名解析。 继承Pod所在节点域名解析配置：将继承Pod所在节点的域名解析配置。 − IP地址：您可对自定义的域名配置域名服务器，值为一个或一组DNS IP地址，如“1.2.3.4”。 − 搜索域：定义域名的搜索域列表，当访问的域名不能被DNS解析时，会把该域名与搜索域列表中的域依次进行组合，并重新向DNS发起请求，直到域名被正确解析或者尝试完搜索域列表为止。 − 超时时间（s）：查询超时时间，请自定义。 − ndots：表示域名中必须出现的“.”的个数，如果域名中的“.”的个数不小于ndots，则该域名为一个FQDN，操作系统会直接查询；如果域名中的“.”的个数小于ndots，操作系统会在搜索域中进行查询。 自定义指标监控：是指监控系统提供的一种指标收集机制，该机制允许工作负载在部署时自定义需要上报的指标名称以及获取这些指标数据的接入点信息，在应用运行时由监控系统按固定的频率访问接入点进行指标的收集。 性能管理配置：性能管理服务可协助您快速进行工作负载的问题定位与性能瓶颈分析。 步骤 6 配置完成后，单击“创建”，在创建成功页面单击“返回工作负载列表”，查看工作负载状态。 在工作负载列表中，当工作负载状态为“运行中”时，表示工作负载创建成功。工作负载状态不会实时更新，请单击右上角的图标或按F5刷新页面查看。

新增备案流程 首次备案的完整流程及流程简图如下图所示： 流程简图 1 创建备案订单 通过备案类型的自动匹配，创建订单任务后，点击“ ”进入新增备案（首次备案）流程。 2 填写主办单位信息 填写主办单位信息，请按照页面提示，完善您本次备案的主办单位信息和单位负责人信息。标注号项为必填项。当主办单位是个人时，主办单位信息、主体负责人与网站负责人必须保持一致。单位名称与证件住所必须录入与所提供的证件完全一致的信息（包括字母的大小写，标点符号的中英文切换等。） 因之前创建备案订单时已经填写了主办单位所在地、单位性质、单位证件类型和证件号码，所以在填写主办单位信息时，这四项系统会自动携带显示。 所有必填项信息填写完毕后，点击“保存”或“下一步，填写网站信息”按钮保存所填写的主体信息。 3 填写网站信息 填写您本次备案的网站信息和接入信息，域名录入请录入一级域名或单个专线IP地址，不支持二级域名的录入（.gov.cn后缀的域名允许二级域名备案）。每条网站仅支持填报一个域名，如果有多个域名，请通过“继续新增网站”按钮逐个添加。 填写网站信息，按照页面提示内容进行内容填写。如您本次备案的网站涉及新闻、医药、论坛、广播电视等请准备好相关部门的审批文件并上传至“前置审批文件”处。网站负责人可以与单位主体负责人相同，也可以使用新的负责人信息（个人性质主体，负责人必须为同一人）。 接入信息填写，可使用自有账号下的接入信息，亦可使用他人接入服务号进行ip填报。 信息录入完毕后，点击“保存”按钮，保存当前添加的网站信息。 如果本次备案欲同时备案多个网站，请通过点击“ ”来继续新增网站信息。 网站添加完毕后，点击“下一步，上传备案材料”，转至下一步继续操作。 4 资料上传 系统支持通过小程序采集上传和本地图片上传两种方式。 材料上传只支持jpg、png格式的图片，请勿上传其他格式的图片。系统限定每个图片类型最多上传3张图片，如位置不够可以传至其他空白位置。 5 本地上传图片 用户需要按照页面指引，上传各类证件彩色图片。 6 APP电子化方式上传图片 通过微信小程序扫描二维码后，在小程序端按照系统所提示采集需要图片，完成图片采集完成后会自动生成18位验证码，需将验证码填报至上图指定位置后，点击“确定”按钮，系统会自动将图片对应到合适位置。 预览填写的信息，并准确核对所填写的信息，并对有需更正的地方返回上一步修改。 信息预览无误后，点击“提交预审核”，备案信息将提交至管理员进行审核。 7 天翼云/管局审核 提交预审核，天翼云备案专员将会尽快审核您的信息是否符合备案要求。审核符合要求的，天翼云会尽快代您将备案信息提交至管局进行备案终审，提交管局后，请主体和网站负责人收到验证短信后，在24小时内按照短信指引完成，否则会被管局退单。 管理员将根据真实性验信息和图片信息情况填写审核意见，如所备案信息和证件等信息无误，审核通过并提交管局；反之，审核拒绝，退回备案信息给备案发起人进行修改，或退回至待核验环节或待预审核环节由相关人员处理。 信息提交管局后，请耐心等待管局的审核，管局审核拒绝或接口自动退回后，会在订单中获得退回的意见，管理员或用户需根据退回意见进行修改后重新进行备案流程。 备案通过后，管局会给主办单位负责人发送备案通过通知，同时，经过管局审核的备案信息会同步给天翼云侧备案系统，您所已经备案通过的信息可以通过“已备案信息管理”进行查看管理。 去备案

网站安全监测客户控制台的【计费详情】页面，客户可以进行查看购买的套餐版本和扩展服务，以及可用域名的数量：

一级菜单 二级菜单 功能模块 域名管理 支持记录新增、启用、停用、删除、导出域名等操作 安全能力 Web应用防火墙 支持记录以下内容的操作日志 防护总开关 无需检测的静态文件 规则防护引擎防护模式、规则模板 敏感词防护基础信息 攻击挑战防护开关 cookie挑战防护开关 合规性检测防护开关 复制操作复制全局策略、防护规则引擎、规则ID、规则白名单等 访问控制/限流 支持记录以下内容的操作日志 防护总开关 CC防护 访问控制防护开关 频率控制防护开关 复制操作复制防护开关、复制规则 Bot防护 支持记录以下内容的操作日志 防护总开关 客户端标识过期事件 无需检测的静态文件 爬虫陷阱处理动作、基础信息 工具管理 IPv6检测 支持记录新增检测任务、数据导出部分的操作日志 日志与数据分析 告警管理 支持记录新增、删除、修改、开启、关闭告警任务 报告订阅 支持记录新增、删除、修改、开启、关闭报告订阅任务

本文主要介绍事件总线EventBridge提供的开源CloudEvents SDK示例，以简化您的开发工作。 前提条件 若想使用开源CloudEvents SDK示例，需提前准备以下信息： 天翼云账号的aksk，确保该账号已授权事件总线的发布权限，详见主子账号和IAM权限管理。 需要发送事件的对应自定义事件总线，可在事件总线EventBridge管理控制台中查看事件总线列表。 发送SDK的接入点地址，可在事件总线EventBridge管理控制台中点击对应事件总线，进入概览页，在接入点一栏中得到。 确认事件格式。详见事件概述，若事件格式不符合CloudEvents 1.0协议，会导致事件发送失败。 若使用内网域名接入，请确保内网域名已添加访问端点，详见创建私网访问端点。 发送事件 使用CloudEvents SDK发送事件，请参见各语言版本的SDK示例。

参数 描述 源库类型 选择ECS自建库。 VPC 源数据库实例所在的虚拟专用网络，可以对不同业务进行网络隔离。您需要创建或选择所需的虚拟私有云。 子网 通过子网提供与其他网络隔离的、可以独享的网络资源，以提高网络安全。子网在可用分区内才会有效，创建源数据库实例的子网需要开启DHCP功能，在创建过程中也不能关闭已选子网的DHCP功能。 IP地址或域名 源数据库的IP地址或域名。 端口 源数据库服务端口，可输入范围为1~65535间的整数。 数据库用户名 源数据库的用户名。 数据库密码 源数据库的用户名所对应的密码。 SSL安全连接 通过该功能，用户可以选择是否开启对迁移链路的加密。如果开启该功能，需要用户上传SSL CA根证书。 说明 最大支持上传500KB的证书文件。 如果不使用SSL证书，请自行承担数据安全风险。

本节介绍了如何配置访问控制、频率控制防护策略。 使用场景 如果您需要针对性地管理具有固定特征的访问请求，您可以配置访问控制规则对命中条件的请求设置拦截、告警、加白、丢弃动作，保证客户网站不受未知访问。 访问控制匹配条件可针对IP，IP段，URI，METHOD，请求地区，请求参数，请求头部，请求协议等字段进行组合。 前提条件 已开通DDoS高防（边缘云版）。 域名状态为“已启用”。 使用说明 1.登录DDoS高防（边缘云版）控制台。 2.进入【业务接入】【域名接入】页面。 3.选择需要配置的域名，在操作栏点击【防护配置】按钮，进入【访问控制】页面。 新增规则 在访问控制列表右侧，单击【新增】按钮，在弹框中完成规则配置后，点击新增。 针对满足匹配条件的请求报文，执行对应的处理动作。 配置项 说明 处理动作 支持拦截、告警、加白、丢弃。 告警：对命中该规则的请求仅告警不阻断，记录攻击日志。 加白：对命中该规则的请求放行，不记录攻击日志。 拦截：对命中该规则的请求进行拦截，并返回响应页面。 丢弃：对命中该规则的请求拦截但不会响应页面，减少带宽。 规则名称 自定义规则名称。 匹配条件 支持配置多条，同一规则下多条匹配条件同时满足进行处理。 匹配字段： IPPORT：客户端IP端口 PATH：目录路径，比如：/qr/;/app/verifyCode/ IP：客户端IP，比如：192.168.1.1;192.168.1.2 IPS：客户端ip段,比如：192.168.1.0/24;192.168.2.0/24 IPR：客户端ip范围，比如：192.168.1.1192.168.1.10;192.168.1.12192.168.1.20 URI：URI不包括问号后参数，比如：/login.php REQUESTURI：URI包括问号后参数，比如：login.php?id1 METHOD：请求方式，比如：GET;POST ARGS：问号后参数名 GEO：地理位置 HEADER：请求头部 PROTOCOL：请求协议，比如：HTTP/1.0;HTTP/2.0 调整优先级 在规则列表中的优先级一列，可通过箭头符号对规则优先级顺序进行调整。 说明 1. 越往前的优先级越高，优先匹配规则处理。最新增加的规则放在最末，优先级最低。 2. 访问控制中加白策略的优先级默认高于其他策略。 查看规则 在规则列表操作栏，点击【查看】按钮，可查看规则的详细配置。 编辑规则 在规则列表操作栏，点击【编辑】按钮，可修改规则配置。 删除规则 在规则列表操作栏，点击【删除】按钮，可删除规则。 注意 新增规则、调整规则优先级、编辑规则、删除规则后需要点击【提交部署】，否则变更将无法下发。

本文通过图文说明修改证书的操作步骤。 功能介绍 客户完成证书新增后，如发现证书信息上传有误，可通过客户控制台自助修改证书信息。 配置说明 修改证书时，客户需要重新填写证书公钥和证书私钥。其中公钥和私钥支持PEM格式。具体操作步骤如下： 1. 登录CDN控制台。 2. 在【证书管理】【证书列表】页面，找到需要修改的证书。 3. 单击操作列的【编辑】。 4. 在弹出的【修改证书】界面，输入证书公钥和证书私钥。填写完成后，单击【下一步】进行新证书校验。 证书类型 参数 说明 国际标准证书 证书备注名 证书备注名，是指在添加自有证书时，为了方便识别和记忆，可以支持客户自定义所上传证书的名称，方便选择时，选定正确的证书与所配置的域名进行关联。 如果已经在【证书管理】上传证书，可直接选择对应域名证书。如果还未上传证书，可单击【点击上传】，添加自有证书。添加完毕后，再选择对应证书。 国际标准证书 证书公钥 指国际标准证书的公钥，只支持PEM格式。以“BEGIN CERTIFICATE”开头，以“END CERTIFICATE”结尾。 国际标准证书 证书私钥 指国际标准证书的私钥，只支持PEM格式。以“BEGIN RSA PRIVATE KEY”开头，“END RSA PRIVATE KEY”结尾。 国密证书 证书备注名 证书备注名，是指在添加自有证书时，为了方便识别和记忆，可以支持客户自定义所上传证书的名称，方便选择时，选定正确的证书与所配置的域名进行关联。 如果已经在【证书管理】上传证书，可直接选择对应域名证书。如果还未上传证书，可单击【点击上传】，添加自有证书。添加完毕后，再选择对应证书。 国密证书 签名证书公钥 指国密签名证书的公钥，只支持PEM格式。以“BEGIN CERTIFICATE”开头，以“END CERTIFICATE”结尾。 国密证书 签名证书私钥 指国密签名证书的私钥，只支持PEM格式。以“BEGIN RSA PRIVATE KEY”开头，“END RSA PRIVATE KEY”结尾。 国密证书 加密证书公钥 指国密加密证书的公钥，只支持PEM格式。以“BEGIN CERTIFICATE”开头，以“END CERTIFICATE”结尾。 国密证书 加密证书私钥 指国密加密证书的私钥，只支持PEM格式。以“BEGIN RSA PRIVATE KEY”开头，“END RSA PRIVATE KEY”结尾。 5. 系统提示证书校验结果，如无异议，单击【下一步】确认证书详细信息。 6. 单击【确认】完成并返回证书列表首页。

Spring是一款主流的Java EE轻量级开源框架，面向服务器端开发设计。近日，Spring框架被曝出可导致RCE远程代码执行的漏洞，该漏洞攻击面较广，潜在危害严重，对JDK 9及以上版本皆有影响。本章节介绍Java Spring框架远程代码执行高危漏洞的最佳防护实践。 漏洞名称 Spring框架RCE 0day安全漏洞 影响范围 JDK 9及以上。 使用了Spring框架或衍生框架。 防护建议 步骤 1 申请WAF独享引擎。 步骤 2 将网站域名添加到WAF中并完成域名接入，详细操作请参见网站接入WAF。 步骤 3 将Web基础防护的状态设置为“拦截”模式，详细操作请参见配置Web基础防护规则。 说明 目前，该漏洞存在两种攻击payload，是否开启“header全检测”根据攻击payload的方式而定： 第一种是通过在参数提交中携带攻击载荷。此时，“header全检测”可以不开启拦截。 第二种是在header自定义字段中携带攻击载荷。此时，“header全检测”必须开启拦截模式，才可以拦截此类攻击。 第二种攻击方式对第一种有依赖，所以是否要开启“header全检测”，您可以根据您的业务需求进行选择。

您可以通过Web应用防火墙服务切换工作模式。Web应用防火墙提供开启防护和暂停防护两种工作模式。 前提条件 防护域名已接入WAF。 应用场景 开启防护：开启防护模式后，WAF会根据您配置的策略进行攻击检测。 暂停防护：如果大量的正常业务被拦截，比如大量返回418返回码，可以将“工作模式”切换为“暂停防护”。该模式下，WAF对所有的流量请求只转发不检测，日志也不会记录。该模式存在风险，建议您优先选择误报屏蔽规则处理正常业务拦截问题。 系统影响 切换为暂停模式后，WAF只转发流程请求，网站安全可能存在风险，建议您优先选择误报屏蔽规则处理正常业务拦截问题。 操作步骤 步骤1 登录管理控制台。 步骤2 单击管理控制台右上角的，选择区域或项目。 步骤3 单击页面左上方的，选择“安全 > Web应用防火墙（独享版）”。 步骤4 在左侧导航树中，选择“网站设置”，进入“网站设置”页面。 步骤5 在目标域名所在行的“工作模式”列，选择工作模式。

多模匹配 利用高效的多模匹配算法，对请求流量进行特征检测，极大提升了检测引擎的性能。 精准访问防护 支持对HTTP请求的多个常用字段（URL、IP、Params、Cookie、Referer、UserAgent、Header）的自定义检测策略，并且支持多逻辑检测策略。 黑白名单 IP黑白名单包括IP白名单和IP黑名单配置，其中IP白名单即指定IP为可信IP，源IP为可信IP的流量不进行攻击检测。IP黑名单即指定IP为恶意IP，源IP为恶意IP的流量需要根据检测策略执行相应的动作。 智能解码 智能识别请求中的多种编码无限次多层混淆，对其进行深度解码，从而获取攻击者原始的攻击意图。 基于语义分析检测 基于语义上下文构建语法树，分析并判断是否为攻击载荷。 访问频率控制 通过访问控制策略，限制接口的访问的频率。 反爬虫 丰富的爬虫特征库，检测各种类别的爬虫（引擎爬虫，脚本爬虫，扫描工具）。 A记录 A（Address）记录是地址记录，用来指定主机名（或域名）对应的IP地址记录，通过A记录，可以设置不同域名指向不同的IP。 SQL注入攻击 通过输入域或页面请求的查询字符串，欺骗服务器执行恶意的SQL命令。 非标准端口 除“80”、“443”以外的端口。

本节介绍在购买实例后，如何对实例的防护规格进行调整。 购买DDoS高防IP实例后，可根据实际使用需求升级/降级实例、升级/降级弹性防护带宽。 升级/降级DDoS高防IP实例：对保底防护带宽、回源业务带宽、域名数量（仅网站类支持）、端口数量进行调整。 升级/降级弹性防护带宽：需购买弹性防护带宽后，才支持对弹性防护带宽进行调整。 约束条件 已到期的实例，不支持直接升级/降级，需先完成续费再升级/降级。 对实例进行升级/降级时，资源到期时间不变。 需购买弹性防护带宽后，才支持升级/降级弹性防护带宽。 升级DDoS高防IP实例 1. 使用天翼云账号登录DDoS高防IP管理控制台。 2. 在DDoS高防IP实例列表页面，找到目标实例，单击操作列的“升级”。 3. 在升级页面，调整保底防护带宽、回源业务带宽、域名数量（仅网站类支持）、端口数量。 4. 在页面左下角确认配置费用后，勾选“我已阅读，理解并接受《天翼云高防IP产品服务协议》”，单击“立即订购”。 5. 进入付款页面，完成付款。

本文介绍回源加密算法的配置方法。 功能介绍 回源协议为HTTPS协议时，天翼云边缘安全加速平台安全与加速服务默认使用国际标准加密算法回源，也可以选择使用国密加密算法回源或者跟随客户端加密算法回源；未选择默认使用国际加密算法回源。 配置说明 1. 登录边缘安全加速平台控制台。 2. 进入安全与加速工作台域名基础配置页面，点击目标域名。。 3. 进入源站设置页面，单击“编辑配置”。 4. 当【回源协议】选择HTTPS回源或者协议跟随时，可选择【回源加密算法】，支持选择国密加密回源、国际加密回源、跟随客户端加密算法回源。 5. 单击【保存】，完成配置。 参数名 说明 国密加密回源 国密算法，即国家商用密码算法，是由国家密码管理局认定和公布的密码算法标准及其应用规范。国密加密回源，即回源时的HTTPS协议采用国密加密算法。 国际加密回源 国际加密回源，即采用国际标准的密码算法回源，如果没有特殊配置，我们通常回源时使用的加密算法都是国际加密算法。 跟随客户端加密算法回源 若客户端使用国际加密算法接入天翼云AOne安全与加速平台，则回源时也使用国际加密算法回源；若客户端使用国密加密算法接入天翼云AOne安全与加速平台，则回源时也使用国密加密算法回源。

虚拟IP 虚拟IP（Virtual IP Address，简称VIP）是一个未分配给真实弹性云主机网卡的IP地址。弹性云主机除了拥有私有IP地址外，还可以拥有虚拟IP地址，用户可以通过其中任意一个IP（私有IP/虚拟IP）访问此弹性云主机。同时，虚拟IP地址拥有私有IP地址同样的网络接入能力，包括VPC内二三层通信、VPC之间对等连接访问，以及弹性IP、VPN、云专线等网络接入。 您可以为多个主备部署的弹性云主机绑定同一个虚拟IP地址，然后为虚拟IP绑定一个弹性IP，搭配Keepalived，实现主服务器故障后，自动切换至备服务器，打造高可用容灾组网。 公网出入口管理 通过IPv4网关、IPv6网关进行公网出入口管理，弹性公网IP、共享带宽具备包周期、按需等多种灵活的计费方式，具备超大规格带宽能力，可以满足不同客户不同业务的公网访问需求。 云内互联互通 VPC内网络互通，VPC内的资源无论是云主机等计算服务，还是MySQL等数据库服务，均能实现内网相互联通。 通过内网DNS，客户还可以自定义内网域名，把域名解析到专有网络VPC内的云主机、负载均衡、对象存储等云资源，实现云资源在VPC内直接通过内网域名的互相访问。 云上云下互联互通，轻松实现混合云架构 天翼云支持云专线、VPN等多种方式实现云上私有网络和客户IDC的互联互通，进而轻松扩展实现混合云架构。支持云专线/VPN 高速网络打通云上和企业数据中心。云专线独占私有线路，高速，安全 ； VPN稳定，高性价比。用户业务和数据可以云上、线下灵活部署并迁移。

参数 是否必填 参数类型 说明 示例 下级对象 domain 是 String 域名必须属于当前用户且合法有效 ctyun.cn scriptname 是 String 函数脚本名，为264位的小写字母、数字、下划线组合，以小写字母、数字开头结尾，且该函数已存在并为预部署状态 luatest

参数 说明 任务信息 任务名称 输入自定义的任务名称。 说明 命名规则：必须为大小写字母、数字、横线或下划线，长度在432个字符之间；自定义的任务名称不能与您已存在的任务名称重复。 选择源端 源端 选择源端数据的服务提供方。 说明 目前支持的源端： 支持阿里云（OSS）、华为云（OBS）、腾讯云（COS）迁移至ZOS。 支持天翼云对象存储（ZOS）、天翼云（OOS）迁移至ZOS。 支持AWS（S3）和其他遵循标准S3协议的对象存储服务迁移至ZOS。 选择源端 EndPoint Endpoint支持输入IP地址或域名。 若使用非默认端口，请输入端口号，格式为IP:Port。 说明 若源端为阿里云OSS，您可在OSS的bucket“ 概览访问端口外网访问 ”找到 Endpoint（地域节点）信息 。 若源端为华为云OBS，您可在OBS的bucket“ 概览域名信息 ”中找到对应的 Endpoint（终端节点）信息 。 若源端为腾讯云COS，您可在COS的bucket“ 概览基本信息所属地域 ”中找到 所属地域 信息，例如：apbeijing、apshanghai。 若源端为天翼云OOS，您可在OOS的bucket“ 属性区域属性Endpoint ”中找到 Endpoint 信息。 若源端为天翼云ZOS，您可在对象存储ZOS的bucket“ 概览域名信息 ”中找到 终端节点（Endpoint） 信息。 注意 腾讯云COS的Endpoint较为特殊，仅需填写region即可，例如：apbeijing、apshanghai。 选择源端 Access Key 输入您源端的Access Key。 选择源端 Secret Key 输入您源端的Secret Key。 选择源端 存储桶 输入您源端的对象存储桶名称。 选择源端 迁移方式 选择源端数据的迁移方式，支持：指定存储桶、指定文件夹、指定前缀。 说明 指定存储桶 ：选择“指定存储桶”时，将会迁移存储桶内的全部对象。 指定文件夹 ：选择“指定文件夹”时，将会迁移选中文件夹下的所有对象。仅支持单个文件夹。 指定前缀 ：选择“指定前缀”时，将会迁移桶中所有以该前缀开头的对象。仅支持单个前缀。

本文介绍如何部署AD域控制器。 前提条件 在AD域控制器的云主机上已经安装AD域服务器。 操作步骤 1. 将域服务器升级升为域控制器。打开“服务器管理器”，点右上角点小旗子图标，点击“服务器提升为域控制器”。 2. 添加新林。由于是第一个AD控制器，点击“添加新林”，根域名处填域名sfs.com，点击“下一步”等待部署配置。 说明： 将域控制器添加到现有域：在现有的域控制器中添加新的域控制器。 将新域添加到现有林：在现有的林中新建域，与林中现有的域不同。 3. 设置目录服务还原密码。 说明： 林功能级别(包含Windows Server 2008到WindowsServer 2016级别)：Windows Server 2012 R2。 域功能级别(只包含Windows Server 2012 R2域功能)：Windows Server 2012 R2。 指定域控制器功能：默认即可。 键入目录服务还原模式(DSRM)密码：需设置复杂密码，否则无法通过规则校验。 4. 跳过DNS选项，点击“下一步”。用AD域服务器当DNS服务器，不需要单独指定。 5. NetBios域名保持默认，点击“下一步”。 6. 日志及数据配置保持默认，点击“下一步”。 说明： AD DS数据库是AD域服务器用来存放用户信息的地方。 AD DS数据库、日志文件夹和sysvol文件夹，出于安全考虑建议放在其他盘。 7. 检查配置信息，点击“下一步”。 8. 安装前自动进行先决条件检查，检查通过后点击“安装”，系统自动安装并重启。安装需要一段时间请耐心等待。 9. 查看是否安装成功。理论上重启后AD域即部署成功，打开“服务器管理器”，点击“工具>Active Directory用户和计算机”，在弹窗中依次点击“sfs.com>Domain Controllers”，若展示云主机名称即代表AD域部署成功。

DNS配置参数名称 DNS配置参数含义 DNS策略 目前支持通过DNS策略 （dnsPolicy）字段为每个Pod配置不同的DNS策略。 ClusterFirst ：通过CoreDNS来做域名解析，Pod内/etc/resolv.conf配置的DNS服务地址是集群DNS服务的kubedns地址。该策略是集群工作负载的默认策略。 ClusterFirstWithHostNet ：强制在hostNetWork网络模式下使用ClusterFirst策略（默认使用Default策略）。 Default ：Pod直接继承集群节点的域名解析配置。即在集群直接使用ECS的/etc/resolv.conf文件。 None ：忽略集群DNS策略，需要您提供DNS配置（dnsConfig）字段来指定DNS配置信息，暂不支持此能力。 域名别名 通过hostAliases允许为Pod中的hosts文件增加本地域名解析条目。 IP地址 ：主机列表被解析到的目标IP地址。 主机名 ：将指定的主机解析到IP地址，多个主机名通过半角逗号（,）拼接。

参数 类型 是否必传 名称 描述 starttime int 是 开始时间戳 起始时间，时间戳(秒)。 endtime int 是 结束时间戳 结束时间，时间戳(秒)。 domain string 是 域名

参数 类型 是否必传 名称 描述 starttime int 是 开始时间戳 起始时间，时间戳(秒)。 endtime int 是 结束时间戳 结束时间，时间戳(秒)。 domain string 是 域名

名称 类型 描述 address String Pushgateway的IP或域名。 port Integer Pushgateway的端口号。 labels.agent String Pushgateway的客户端。 labels.idc Integer 数据所属的数据中心。 labels.hostname String 主机名称。 labels.serverIp String 服务器IP。 labels.clusterId String 集群ID。 labels.clusterName String 集群名称。 labels.job String Pushgateway推送数据的来源。

参数 类型 描述 是否必须 endpoint string 域名 是 accessKey string AccessKey，简称ak 是 secretKey string SecretKey ，简称sk 是 logProject string 日志项目编码 是 logUnit string 日志单元编码 是

本文主要介绍配置DNS解析的步骤。 选择默认DNS服务器或者添加DNS服务器地址，域名防护策略将会按照您配置的域名服务器进行IP解析并下发。 说明 当前账号拥有多个防火墙时，DNS解析操作仅应用于设置的防火墙。 约束条件 最多支持自定义2个DNS服务器。 操作步骤 1. 登录管理控制台。 2. 在左侧导航栏中，单击左上方的，选择“安全> 云防火墙”，进入云防火墙的总览页面。 3. （可选）当前账号下仅存在单个防火墙实例时，自动进入防火墙详情页面，存在多个防火墙实例时，单击防火墙列表“操作”列的“查看”，进入防火墙详情页面。 4. 在左侧导航栏中，选择“系统管理> DNS配置”，进入“DNS配置”页面。 5. 选择“默认DNS服务器”或添加“指定DNS服务器”。 说明 当前仅支持添加2个指定DNS服务器地址。 6. 单击“应用”，完成配置。 说明 当前账号拥有多个防火墙时，DNS解析操作仅应用于设置的防火墙。

功能 标准版 专业版（包周期） 防护对象 IPv4 ✓ ✓ 防护对象 IPv6 ✓ ✓ 防护规格 防护的公网IP（EIP）数量 20个（可扩容，最大扩容至2000个） 50个（可扩容，最大扩容至2000个） 防护规格 防护的VPC数量 × 2个（可扩容，最大扩容至100个） 防护规格 互联网边界防护带宽 10Mbps（可扩容，最大扩容至5000Mbps） 50Mbps（可扩容，最大扩容至5000Mbps） 防护规格 VPC边界防护带宽 × 200Mbps（随VPC数量扩容） 访问流量控制 公网资产ACL访问控制（基于IP、域名、域名组、地理位置等） ✓ ✓ 访问流量控制 南北向流量防护，统一隔离防护云上资产在互联网的暴露风险（例如EIP） ✓ ✓ 访问流量控制 南北向流量审计，日志查询 ✓ ✓ 访问流量控制 东西向流量防护，VPC间的资产保护、全流量分析 × ✓ 访问流量控制 东西向流量监控，实时获取VPC间流量数据 × ✓ 防护策略 入侵防御IPS ✓ ✓ 防护策略 自定义IPS特征库 × ✓ 防护策略 虚拟补丁 ✓ ✓ 防护策略 敏感目录、反弹Shell ✓ ✓ 防护策略 病毒防御AV × ✓

参数 描述 IP地址或域名 源数据库的IP地址或域名。说明对于RAC集群，建议使用SCAN IP接入，提高访问性能。 端口 源数据库服务端口，可输入范围为1~65535间的整数。 数据库服务名 数据库服务名（Service Name/SID），客户端可以通过其连接到Oracle，具体查询方法请参照界面提示。 PDB名称 PDB同步仅在Oracle12c及以后的版本支持，该功能为选填项，当需要迁移PDB中的表时开启。PDB功能开启后，只能迁移该PDB中的表，并且需要提供CDB的service name/sid及用户名和密码，不需要PDB的用户名和密码。 数据库用户名 源数据库的用户名。 数据库密码 源数据库的用户名所对应的密码。 SSL安全连接 如启用SSL安全连接，请在源库开启SSL，并确保相关配置正确后上传SSL证书。 说明 最大支持上传500KB的证书文件。 如果不启用SSL安全连接，请自行承担数据安全风险。

错误码 错误信息 HTTP状态码 语义 解决方案 APIG.0101 The API does not exist or has not been published in the environment. 404 API不存在或未发布到环境 检查调用API所使用的域名、请求方法、路径和注册的API是否一致；检查API是否发布，如果发布到非生产环境，检查请求XStage头是否为发布的环境名；检查调用API使用的域名是否已经绑定到API所在的分组。 APIG.0101 The API does not exist. 404 API请求方法不存在 检查API请求方法是否与API定义的方法相同 APIG.0103 The backend does not exist. 500 无法找到后端 联系技术支持 APIG.0104 The plugins do not exist. 500 无法找到插件配置 联系技术支持 APIG.0105 The backend configurations do not exist. 500 无法找到后端配置 联系技术支持 APIG.0106 Orchestration error. 400 编排错误 检查API配置的前后端参数是否合理 APIG.0201 API request error. 400 请求格式不合法 使用合法的请求 APIG.0201 Request entity too large. 413 请求body过大（大于12M） 减小请求body大小 APIG.0201 Request URI too large. 414 请求URI过大（大于32K） 减小请求URI大小 APIG.0201 Request headers too large. 494 请求头过大（单个请求头大于32K或所有请求头总长度大于128K） 减小请求头大小 APIG.0201 Backend unavailable. 502 后端不可用 检查API配置的后端地址是否可用 APIG.0201 Backend timeout. 504 后端超时 增大超时时间或缩小后端的处理时间 APIG.0201 An unexpected error occurred 500 内部错误 联系技术支持 APIG.0204 SSL protocol is not supported: TLSv1.1 400 SSL协议版本不支持 使用支持的SSL协议版本 APIG.0301 Incorrect IAM authentication information. 401 IAM认证信息错误 检查token是否正确 APIG.0302 The IAM user is not authorized to access the API. 403 IAM用户不允许访问API 检查用户是否被黑白名单限制 APIG.0303 Incorrect app authentication information. 401 APP认证信息错误 检查请求的方法、路径、查询参数、请求体和签名使用的方法、路径、查询参数、请求体是否一致；检查客户端机器时间是否正确。 APIG.0304 The app is not authorized to access the API. 403 APP不允许访问API 检查APP是否授权访问API APIG.0305 Incorrect authentication information. 401 认证信息错误 检查认证信息是否正确 APIG.0306 API access denied. 403 不允许访问API 检查是否授权访问API APIG.0307 The token must be updated. 401 token需要更新 重新从IAM获取token APIG.0308 The throttling threshold has been reached. 429 超出流控值限制 等待流控刷新后访问。如果触发子域名的单日请求数上限，请绑定独立域名。 APIG.0310 The project is unavailable. 403 project不可使用 使用其他project访问 APIG.0311 Incorrect debugging authentication information. 401 调试认证信息错误 联系技术支持 APIG.0401 Unknown client IP address. 403 无法识别客户端IP地址 联系技术支持 APIG.0402 The IP address is not authorized to access the API. 403 IP地址不允许访问 检查IP地址是否被黑白名单限制 APIG.0404 Access to the backend IP address has been denied. 403 后端IP不允许访问 后端IP地址或后端域名对应的IP地址不允许访问 APIG.0502 The app has been frozen. 405 APP被冻结 余额不足 APIG.0601 Internal server error. 500 内部错误 联系技术支持 APIG.0602 Bad request. 400 非法请求 检查请求是否合法 APIG.0605 Domain name resolution failed. 500 域名解析失败 检查域名拼写，以及域名是否绑定了正确的后端地址 APIG.0606 Failed to load the API configurations. 500 未加载API配置 联系技术支持 APIG.0607 The following protocol is supported: {xxx} 400 协议不被允许，允许的协议是 xxx。 注意：xxx以实际响应中的内容为准。 改用支持的协议（HTTP/HTTPS）访问 APIG.0608 Failed to obtain the admin token. 500 无法获取管理帐户 联系技术支持 APIG.0609 The VPC backend does not exist. 500 找不到vpc后端 联系技术支持 APIG.0610 No backend available. 502 没有可连接的后端 检查所有后端是否可用，如调用信息与实际配置是否一致。 APIG.0611 The backend port does not exist. 500 后端端口未找到 联系技术支持 APIG.0612 An API cannot call itself. 500 API调用自身 修改API后端配置，递归调用层数不能超过10层。 APIG.0613 The IAM service is currently unavailable. 503 IAM服务暂时不可用 联系技术支持 APIG.0705 Backend signature calculation failed. 500 计算后端签名失败 联系技术支持 APIG.0802 The IAM user is forbidden in the currently selected region 403 该IAM用户在当前region中被禁用 联系技术支持 APIG.1009 AppKey or AppSecret is invalid 400 AppKey或AppSecret不合法 检查请求的AppKey或AppSecret是否正确

为什么扫描任务自动登录失败了？ 漏洞扫描服务在扫描过程中，会在用户提交的登录页面上查找登录输入框，以及登录按钮，登录成功后，还会在页面上识别退出登录的触发链接，避免登出。查找这些元素的成功率受影响于用户站点页面元素的复杂程度。 如果扫描任务自动登录失败，可能是因为您的网站需要登录才能访问，请检查您是否通过漏洞扫描服务对您的网站进行了正确的网站登录信息配置，请参照以下操作步骤设置网站登录方式或者修改网站登录配置信息。 1. 登录管理控制台。 2. 在左侧导航树中，单击，选择“安全 > 漏洞扫描服务”，进入漏洞扫描服务页面。 3. 在“资产列表 > 网站”页签，进入网站列表入口。 4. 在目标域名的“操作”列，单击“编辑”，进入域名编辑页面，根据需要修改“网站登录设置”，如下图所示。 5. 单击“确认”。

开源组件Fastjson拒绝服务漏洞，攻击者可以利用该漏洞，构造恶意请求发给使用了Fastjson的服务器，使其内存和CPU耗尽，最终崩溃，造成用户业务瘫痪。本章节介绍开源组件Fastjson拒绝服务漏洞的最佳实践。 漏洞简介 攻击者可以利用该漏洞，构造恶意请求发给使用了Fastjson的服务器，使其内存和CPU耗尽，最终崩溃，造成用户业务瘫痪。 影响的版本范围 漏洞影响的产品版本包括：Fastjson 1.2.60以下版本，不包括Fastjson 1.2.60版本。 安全版本 Fastjson 1.2.60版本。 官方解决方案 建议用户将开源组件Fastjson升级到1.2.60版本。 防护建议 WAF支持对该漏洞的检测和防护，步骤如下： 步骤 1 申请WAF独享引擎。 步骤 2 将网站域名添加到WAF中并完成域名接入，详细操作请参见网站接入WAF。 步骤 3 将Web基础防护的状态设置为“拦截”模式，详细操作请参见配置Web基础防护规则。

本文解释客户源站不在中国内地时使用CDN加速（中国内地）的计费方式。 CDN加速按流量计费模式中的流量指的是下行流量，因此客户源站所处区域为全球（不含中国内地），加速区域却为中国内地时，将按照CDN加速（中国内地）服务的标准资费计费。详情请见：基础服务计费（必选）。 但是，选择这种加速模式并非最优，一定程度上会影响加速效果。因为CDN加速（中国内地）的CDN节点回源需要跨境访问海外源站，很可能会出现延迟。因此，如果客户源站在海外而用户在国内，建议在国内也同步搭建源站，并与海外源站进行数据同步，以保障中国内地CDN节点的回源效果；如果客户的源站和用户群体均在海外，建议开通CDN加速【全球（不含中国内地）】服务，新增域名时，加速域名的加速区域选择全球（不含中国内地）。服务开通相关，详情请见：产品开通。

本文介绍如果源站在海外，只开了中国内地加速，该如何收费的问题。 全站加速按流量（或带宽）计费模式中，流量（或带宽）指的是：按下行流量计费或按下行带宽计费，因此若客户源站所处区域为全球（不含中国内地），加速范围却为中国内地时，将按照全站加速（中国内地）服务的标准资费计费。详情请见：全站加速计费。 但是，选择这种加速模式并非最优，一定程度上会影响加速效果。因为全站加速（中国内地）的节点回源需要跨境访问海外源站，很可能会出现延迟。 因此，如果客户源站在海外而用户在国内，建议在国内也同步搭建源站，并与海外源站进行数据同步，以保障中国内地节点的回源效果。如果客户的源站和用户群体均在海外，建议开通全站加速【全球（不含中国内地）】服务，新增域名时，加速域名的加速范围选择全球（不含中国内地）。详情请见：变更加速区域。