功能 说明 Referer防盗链是基于HTTP请求头中Referer字段来设置访问控制规则，实现对用户来源的识别和过滤，防止网站资源被非法盗用。 客户端IP是客户端与CDN节点建立连接时所使用的IP，通过识别客户端IP来过滤用户请求，拦截特定IP的访问或者允许特定IP的访问，可以用来解决恶意IP盗刷、攻击等问题。 UserAgent（简称UA）是HTTP请求头的一部分，可体现用户使用的终端标识。通过识别HTTP请求头中的UA字段，可以识别特定终端，从而限制用户行为，拦截或允许某一类用户的访问，实现防盗链、防盗刷、防攻击的目的。 URL黑白名单是网络安全管理中的一种重要机制，主要用于控制用户对特定资源的访问权限。 为了防止站点资源被恶意下载或者非法盗用，避免产生不必要的带宽浪费，可配置URL鉴权功能。配置URL鉴权后，CDN会对加密串及时间戳进行校验，从而有效地保护用户站点资源。 可以通过配置远程同步鉴权功能，在CDN节点收到用户请求后，将请求转发回提前设定的鉴权源站，在源站鉴权许可后，CDN节点才给用户返回对应内容，从而实现用户鉴权规则由源站全权定义。 带宽控制功能可通过设置总带宽值来控制带宽总用量，避免因带宽突发带来更多的带宽费用。 IP访问限频功能可以限制单个用户IP在天翼云CDN单台服务器上的请求频次，防御CC攻击，防止恶意用户盗刷。 单请求限速功能可以限制CDN节点响应给用户的下行速率，从而减少域名的整体带宽，节省成本。

本节介绍网络的用户指南:Ingress概述。 概述 与Service的四层负载均衡不同，Ingress是反向代理的抽象，提供七层的HTTP和HTTPS协议转发，可使用域名和路径配置转发规则，例如通过访问路径将请求路由到不同的Service，以实现7层的负载均衡。 Ingress资源定义了访问集群服务的规则，这些规则包括如何处理来自外部的请求、如何路由这些请求到后端的服务等。Ingress资源可以定义多个规则，每个规则对应一个前端的路径和一个或多个后端的服务。Ingress并非自身提供服务，而是依赖Ingress Controller来实现。Ingress Controller是一个持续运行的守护进程，负责处理实际的路由和负载均衡。常见的Ingress Controller包括NGINX Ingress Controller、Traefik等。 应用场景 Ingress在以下几个关键应用场景中发挥着重要作用： 单服务暴露 ：当集群中只有一个服务需要对外暴露时，Ingress可以作为该服务的路由器，处理所有进入应用的请求； 基于主机名或URL的路由 ：当集群中有多个服务需要对外提供服务时，Ingress可以基于请求的主机名或URL路径，将请求路由到对应的服务。这种情况下，Ingress充当反向代理服务器的角色，使得在一个公共的IP地址下，可以提供多个服务； SSL终止 ：对于需要提供安全传输服务的应用，Ingress可以负责处理SSL连接，包括证书的管理和续签，使得后端服务可以专注于提供业务逻辑，而无需处理SSL连接； 负载均衡 ：Ingress可以根据配置的路由规则，将请求分发到后端的多个服务实例，实现负载均衡。这对于需要处理大量请求，或者需要高可用服务的应用至关重要； 网络流量控制 ：Ingress还可以实现更为复杂的网络流量控制，如基于请求的权重进行路由，或者实现蓝绿部署等。

云原生API网关以托管的方式来做流量入口,提供丰富的流量治理能力,支持多种服务发现方式,如容器服务、MSE Nacos、固定地址和DNS域名,并以统一的模型支持服务版本以及灰度发布能力。本文介绍基于容器服务K8s发现机制来实践服务发布策略。 前提条件 了解蓝绿部署、A/B测试以及金丝雀发布机制。详细信息，请参见 服务发布策略。 已具备云容器引擎CCE实例，参见 创建一个CCE应用集群。 已完成云原生API网关创建，具体操作，请参见创建网关实例。 部署服务 容器内部署服务 首先在容器内部署两个版本的服务，两个版本的Deployment分别挂到reviewsv1和reviewsv2服务下： plaintext apiVersion: v1 kind: Service metadata: name: reviewsv1 labels: workloadKind: Deployment workloadName: reviewsv1 spec: ports: port: 9080 targetPort: 9080 name: http selector: app: reviews version: v1 apiVersion: apps/v1 kind: Deployment metadata: name: reviewsv1 spec: replicas: 1 selector: matchLabels: name: reviewsv1 template: metadata: labels: app: reviews version: v1 name: reviewsv1 source: CCE spec: containers: name: reviews image: 'registryvpccrs' imagePullPolicy: IfNotPresent env: name: LOGDIR value: "/tmp/logs" volumeMounts: name: tmp mountPath: /tmp name: wlpoutput mountPath: /opt/ibm/wlp/output volumes: name: wlpoutput emptyDir: {} name: tmp emptyDir: {} apiVersion: v1 kind: Service metadata: name: reviewsv2 labels: workloadKind: Deployment workloadName: reviewsv2 spec: ports: port: 9080 targetPort: 9080 name: http selector: app: reviews version: v2 apiVersion: apps/v1 kind: Deployment metadata: name: reviewsv2 spec: replicas: 1 selector: matchLabels: name: reviewsv2 template: metadata: labels: app: reviews version: v2 name: reviewsv2 source: CCE spec: containers: name: reviews image: 'registryvpccrs' imagePullPolicy: IfNotPresent env: name: LOGDIR value: "/tmp/logs" volumeMounts: name: tmp mountPath: /tmp name: wlpoutput mountPath: /opt/ibm/wlp/output volumes: name: wlpoutput emptyDir: {} name: tmp emptyDir: {}

字段 字段说明 策略名称 投递策略名称，可设置便于您记忆和辨识的相关策略名称。 策略描述 投递策略描述，用于记录相应策略信息，增加对应描述和备注。 投递方式 投递的方式，目前支持：Kafka、Syslog服务器（可选TCP或UDP协议）、SLS（天翼云）。 投递日志类型 每个投递策略只能投递一种日志类型，若您需要投递多个日志类型，则可创建多个日志投递策略。当前可投递日志类型为：内网审计日志、终端登录日志、平台操作日志、网关防护日志、策略处置记录。 投递设置 设置投递方式的详细配置，具体参数如下： 1、Kafka：需设置Kafka服务器地址、Topic（Kafka事件流主体）、认证方式（可选：无、SASL/PLAIN），若选择认证方式，则需提供用户名、密码。 2、Syslog服务器：需设置Syslog服务器地址，投递协议可选：TCP、UDP。 3、SLS（天翼云）：需设置云日志服务访问地址、accessKey、secretkey、日志项目编码、日志单元编码。 说明 天翼云sls的日志投递方式受限于天翼云sls（云日志服务）产品对不同服务区域的功能限制，部分服务区域不支持公网方式传输，具体 内网访问 可选开启内网访问，使用连接器内网通道安全投递，减少投递服务器的公网暴露面，确保数据安全。 若您的Syslog服务器位于内网，请勾选并配置连接器集群，内网访问不支持域名方式访问。 勾选内网访问后，需选择关联的连接器集群，用于走该连接器的网络通道，将投递日志传输到您接收投递日志的相应服务器，请确保连接器集群到服务器地址网络可达。 策略状态 投递策略可选开启和关闭。 时间 展示更新时间、创建时间。 操作 详情：查看投递策略详情。 修改：修改投递策略配置，不支持修改投递方式。 删除：删除投递策略。

配置示例二 为bookinfo命名空间下匹配标签app: reviews的工作负载下发自定义配置，在sidecar入站方向HttpConnectionManager中的最后一个Router插件之前插入lua插件，在收到请求后会执行lua代码调用一个外部授权服务；这个外部授权服务通过一个外部域名标识，也通过配置下发到数据面 apiVersion: networking.istio.io/v1alpha3 kind: EnvoyFilter metadata: name: reviewslua namespace: bookinfo spec: workloadSelector: labels: app: reviews configPatches: The first patch adds the lua filter to the listener/http connection manager applyTo: HTTPFILTER match: context: SIDECARINBOUND listener: portNumber: 8080 filterChain: filter: name: "envoy.filters.network.httpconnectionmanager" subFilter: name: "envoy.filters.http.router" patch: operation: INSERTBEFORE value: lua filter specification name: envoy.filters.http.lua typedconfig: "@type": "type.googleapis.com/envoy.extensions.filters.http.lua.v3.Lua" defaultSourceCode: inlineString: function envoyonrequest(requesthandle) Make an HTTP call to an upstream host with the following headers, body, and timeout. local headers, body requesthandle:httpCall( "luacluster", { [":method"] "POST", [":path"] "/acl", [":authority"] "internal.org.net" }, "authorize call", 5000) end The second patch adds the cluster that is referenced by the lua code cds match is omitted as a new cluster is being added applyTo: CLUSTER match: context: SIDECAROUTBOUND patch: operation: ADD value: cluster specification name: "luacluster" type: STRICTDNS connecttimeout: 0.5s lbpolicy: ROUNDROBIN loadassignment: clustername: luacluster endpoints: lbendpoints: endpoint: address: socketaddress: protocol: TCP address: "internal.org.net" portvalue: 8888 配置示例三 为根命名空间下匹配istio: ingressgateway标签的网关下发自定义配置，当请求sni是app.example.com时给HttpConnectionManager配置HTTP空闲连接时间和XFF信任的跳数 apiVersion: networking.istio.io/v1alpha3 kind: EnvoyFilter metadata: name: hcmtweaks namespace: istiosystem spec: workloadSelector: labels: istio: ingressgateway configPatches: applyTo: NETWORKFILTER

按带宽峰值计费 当前天翼云官网支持自助订购的按带宽峰值计费的计费方式仅为“日带宽峰值”，日带宽峰值计费是每5分钟统计一个带宽峰值，每日得到288个值，取其中的最大值做为计费值。如需了解更多按带宽计费的具体单价可通过提交工单或拨打4008109889热线电话联系天翼云客服进行咨询。 中国内地价格 带宽阶梯 标准资费（元/Mbps/日） (0Mbps，100Mbps] 0.8 (100Mbps，500Mbps] 0.72 (500Mbps，5Gbps] 0.64 (5Gbps，+∞) 0.59 计费规则 计费方式：按日峰值带宽计费（按日阶梯到达模式）。 计费周期：按日结算，定时扣费。（当月最终账单将在次月3日生成，在次月4日10点后可查看和导出，具体出账时间以系统为准。） 计费场景：适用于域名流量曲线比较平稳，全天内带宽利用率大于30%的用户。 计费方向：视频直播默认只计费下行播放费用。但当上行推流费用和下行播放费用的比例大于1:50时，则同时会收取上行推流费用，单价与下行播放费用一致。 示例 ： 以按需的带宽峰值计费为例，假设8月1日带宽日峰值为10Mbps，8月2日带宽日峰值为10Gbps，计费情况如下所示： 日期 日带宽峰值 区间分布 计费标准(元/Mbps/日) 当日收费(元) 8.1 10Mbps (0Mbps，100Mbps] 0.8 8 8.2 10Gbps (5Gbps，+∞) 0.59 5900 8月1日带宽日峰值为10Mbps，位于区间(0Mbps，100Mbps]，执行0.8元/Mbps/日计费标准，当日收费8元。 8月2日带宽日峰值为10Gbps，位于区间(5Gbps，+∞)，执行0.59元/Mbps/日计费标准，当日收费5900元。 若8月其余时间未产生带宽，则月度账单金额为8+59005908元。

OOS是否支持开发规范和接口规范？ OOS支持开发规范和接口规范。OOS采用兼容亚马逊S3的应用程序编程接口，支持通过基于Http的REST API来访问OOS服务。具体兼容的OOS API详见OOS兼容哪些Amazons S3 API。 OOS是否支持AWS S3 Java SDK调用？ 支持调用OOS兼容的Amazons S3 API，具体兼容的API详见OOS兼容哪些Amazons S3 API，具体使用步骤详见使用S3 Java SDK访问OOS。 OOS接口能否在iOS、Android系统的设备上使用？ 可以，OOS提供基于HTTP的标准REST接口，可以跨平台使用。具体的API接口详见API参考。 OOS支持哪些语言的SDK? OOS的对象存储网络、香港资源池支持JAVA、Python、JS、PHP、iOS、Android 、C、Go。 OOS的其他资源池支持Java、Android、iOS、C、Python、JS。 具体SDK安装包和对应手册可以参见SDK及开发指南。 使用Python SDK分片上传时，如何指定文件存储类型（标准或低频）？ 目前使用Python SDK分片上传时，只能指定文件存储类型为标准，暂不支持低频类型。 PUT上传和POST上传有什么区别？ PUT上传中参数通过请求头域传递；POST上传则作为消息体中的表单域传递。 PUT上传需在URL中指定文件（Object）名；POST上传提交的URL为存储桶域名，无需指定文件名。两者的请求行分别为： PUT /ObjectName HTTP/1.1 POST / HTTP/1.1 两种方式单次上传文件大小范围均为[0, 5TiB]，如果需要上传超过5TiB的大文件，需要通过分段上传实现。 关于PUT和POST上传更详细的API信息，请参见PUT Object和POST Object。

本文帮助您快速熟悉如何配置HTTP重定向。 操作场景 HTTPS在HTTP的基础上通过传输加密和身份认证保证了传输过程中的安全性。如果企业为了保障业务建立安全连接，想要从HTTP升级使用HTTPS，可以使用HTTP重定向功能帮助用户业务从HTTP平滑无感知的迁移到HTTPS。当客户端通过HTTP请求访问云上的web服务时，配置了HTTP到HTTPS的重定向后，弹性负载均衡会返回HTTPS的响应，从而强制客户端以HTTPS的方式访问web服务。 前提条件 已创建HTTPS监听器，并运行正常。 注意事项 只能重定向至HTTPS监听器，并且每个监听器只能重定向一次。开启重定向功能后，QPS限速、请求超时时间、空闲超时时间、附加http头字段、WAF能力失效，请在重定向后的监听器开启。 重定向的监听器不可创建转发策略。 添加HTTP监听器时配置重定向，具体操作如下： 1. 添加HTTP协议监听器，在高级配置中可见HTTP重定向参数，通过开关控制。 2. 开启“HTTP重定向”开关，选择重定向目标HTTPS监听器，点击“立即创建”，监听器直接进入创建步骤。 3. 当HTTP监听器状态跳转至“运行中”，则创建成功。 4. 重定向的监听器不可创建转发策略，到此监听器的访问都将被重定向至已配置的HTTPS监听器。 在监听器的转发策略配置中开启重定向，具体操作如下： 1. 在HTTP监听器详情页面，点击“转发策略”，匹配特定域名或URL做重定向。 2. 在弹出的转发策略页面开启“HTTP重定向”后，直接点击“立即创建”，略过后端主机和健康检查配置步骤。

本章节介绍了源站服务器部署在天翼云弹性云服务器（以下简称ECS）或天翼云弹性负载均衡（以下简称ELB）时，如何判断源站存在泄漏风险，以及如何配置访问控制策略保护源站安全。 网站已接入Web应用防火墙（Web Application Firewall，简称WAF）进行安全防护后，您可以通过设置源站服务器的访问控制策略，只放行WAF回源IP段，防止黑客获取您的源站IP后绕过WAF直接攻击源站。 说明 网站已接入WAF进行安全防护后，无论您是否配置源站保护，都不影响正常业务的转发。没有配置源站保护可能导致攻击者在源站IP暴露的情况下，绕过WAF直接攻击您的源站。 如果在ECS前使用了NAT网关做转发，也需要设置ECS入方向规则在ECS的安全组配置只允许放行WAF的回源IP地址段，保护源站安全。 操作须知 在配置源站保护前，请确保该ECS或ELB实例上的所有网站域名都已经接入WAF，保证网站能正常访问。 配置安全组存在一定风险，避免出现以下问题： 您的网站设置了Bypass回源，但未取消安全组和网络ACL等配置，这种情况下，可能会导致源站无法从公网访问。 当WAF有新增的回源网段时，如果源站已配置安全组防护，可能会导致频繁出现5xx错误。 如何判断源站存在泄露风险 您可以在非天翼云环境直接使用Telnet工具连接源站公网IP地址的业务端口（或者直接在浏览器中输入访问Web应用的IP），查看是否建立连接成功。 如果可以连通：表示源站存在泄露风险，一旦黑客获取到源站公网IP就可以绕过WAF直接访问。 如果无法连通：表示当前不存在源站泄露风险。

本文介绍Web应用防火墙（边缘云版）在CC攻击常见场景推荐的防护策略和配置。 CC攻击是一种恶意网络攻击，旨在通过向目标服务器发送大量的请求，超过其处理能力，从而使其无法正常工作或服务受到严重影响。以下是一些常见的CC攻击场景及WAF在不同场景下提供的具体防护策略和配置。 场景1：高频海量的虚假请求耗尽服务器资源 攻击者利用大量的虚假请求，不断向目标网站发送超过正常用户请求频率的请求，导致目标网站无法正常服务，这个最常见的一种CC攻击场景。您可以关注您的网站请求数趋势，如果请求QPS在某一时刻突然异常突增很多(比正常业务QPS突增超过10倍)，就很有可能是受到了CC攻击。 针对超过正常请求频率的攻击，最直接有效的防护方式就是配置频率控制，通过限制指定URL的访问频率，拦截超过网站正常业务请求频率的攻击。如：配置登录接口的单IP访问频率达到每分钟50次时则进行拦截，具体配置操作请参考：设置客户端IP访问域名首页次数限制。 除此之外，您还可以通过开启CC防护功能对CC攻击进行防护，设置URL达到指定阈值后则进行挑战，通过CC防护策略来校验请求是否来自于真实浏览器（注意：该功能不适用于不能执行JS的环境，如API、Native App、Websocket等） 配置示例：以下配置在阈值请求达到每5秒5000次时，则会开启CC攻击防护。更多CC防护配置请参考：设置CC防护配置。

参数名 说明 取值样例 名称 连接的名称，根据连接的数据源类型，用户可自定义便于记忆、区分的连接名。 mysqllink 数据库服务器 配置为要连接的数据库的IP地址或域名。 单击输入框后的“选择”，可获取用户的DWS、RDS等实例列表。 192.168.0.1 端口 配置为要连接的数据库的端口。 不同的数据库端口不同，请根据具体情况配置。例如： SQLServer默认端口：1433 PostgreSQL默认端口：5432 数据库名称 配置为要连接的数据库名称。 dbname 用户名 待连接数据库的用户。该数据库用户需要有数据表的读写权限，以及对元数据的读取权限。 cdm 密码 用户名密码。 使用Agent 是否选择通过Agent从源端提取数据。 是 Agent 单击“选择”，选择3.3.5.3管理Agent中已创建的Agent。 驱动版本 不同类型的关系数据库，需要适配不同的驱动。 一次请求行数 可选参数，单击“显示高级属性”后显示。 指定每次请求获取的行数，根据数据源端和作业数据规模的大小配置该参数。如果配置过大或过小，可能影响作业的时长。 1000 SSL加密 可选参数，支持通过SSL加密方式连接数据库，暂不支持自建的数据库。 RDS上的PostgreSQL数据库服务做了一些安全增强，在创建RDS上的PostgreSQL的连接时，该参数需要配置为“是”。 是 连接属性 可选参数，单击“添加”可增加多个指定数据源的JDBC连接器的属性，参考对应数据库的JDBC连接器说明文档进行配置。 说明 CDM作业默认打开了useCursorFetch开关，即JDBC连接器与关系型数据库的通信使用二进制协议。 sslmoderequire 引用符号 可选参数，连接引用表名或列名时的分隔符号，参考对应数据库的产品文档进行配置。 '

参数 说明 任务信息 任务名称 输入自定义的任务名称。 说明 命名规则：必须为大小写字母、数字、横线或下划线，长度在432个字符之间；自定义的任务名称不能与您已存在的任务名称重复。 迁移模式 迁移任务运行模式 选择创建迁移任务的模式，支持全托管模式和半托管模式。 说明： 全托管模式：迁移任务将在服务端执行，适合数据量在10TB以内，或对迁移耗时没有紧急诉求的客户。 半托管模式：迁移任务将运行在客户自己的设备上，客户可通过提供更高的网络带宽和更多的迁移设备，实现更高速的迁移，适合数据量在10TB以上，或对迁移耗时有明确诉求的客户。 注意 半托管迁移模式依赖您已经部署完成代理，代理设备与迁移服务服务端连通，否则无法创建半托管模式的迁移任务。 若您想使用半托管模式进行迁移，可阅读 迁移模式 选择执行本任务的代理设备 选择执行本任务的代理设备，迁移任务将会下发给指定的代理设备用于执行迁移。 说明 仅能选择“已连接”状态，且有“可用”状态worker节点的代理。 选择源端 源端 选择源端数据的服务提供方。 说明 目前支持的源端： 支持阿里云（OSS）、华为云（OBS）、腾讯云（COS）迁移至ZOS。 支持天翼云对象存储（ZOS）、天翼云（OOS）迁移至ZOS。 支持AWS（S3）和其他遵循标准S3协议的对象存储服务迁移至ZOS。 选择源端 EndPoint Endpoint支持输入IP地址或域名。 若使用非默认端口，请输入端口号，格式为IP:Port。 注意 腾讯云COS的Endpoint较为特殊，仅需填写region即可，例如：apbeijing、apshanghai。 选择源端 Access Key 输入您源端的Access Key。 选择源端 Secret Key 输入您源端的Secret Key。 选择源端 存储桶 输入您源端的对象存储桶名称。 选择源端 迁移方式 选择源端数据的迁移方式，支持：指定存储桶、指定文件夹、指定对象、指定前缀。 说明 指定存储桶 ：选择“指定存储桶”时，将会迁移存储桶内的全部对象。 指定文件夹 ：选择“指定文件夹”时，将会迁移选中文件夹下的所有对象。仅支持单个文件夹。 指定对象 ：选择“指定对象”时，将会迁移选中的对象。最大支持指定100个对象。 指定前缀 ：选择“指定前缀”时，将会迁移桶中所有以该前缀开头的对象。仅支持单个前缀。 选择源端 迁移晚于起始时间的对象 选择该选项时，用户可配置“ 起始时间 ”，任务将仅迁移最后修改时间晚于该“ 起始时间 ”的对象。 选择源端 迁移早于终止时间的对象 选择该选项时，用户可配置“ 终止时间 ”，任务将仅迁移最后修改时间早于该“ 终止时间 ”的对象。 注意 若您同时设定“ 起始时间 ”和“ 终止时间 ”，限制“ 终止时间 ”需晚于（不包含等于）“ 起始时间 ”。 选择目的端 目的端 指定为天翼云对象存储ZOS。 选择目的端 EndPoint Endpoint支持输入IP地址或域名。 若使用非默认端口，请输入端口号，格式为IP:Port。 说明 目的端为ZOS，您可在对象存储ZOS的bucket“概览域名信息”中找到终端节点（Endpoint）信息。 选择目的端 Access Key 输入您目的端的Access Key。 选择目的端 Secret Key 输入您目的端的Secret Key。 选择目的端 存储桶 输入您目的端的对象存储桶名称。 选择目的端 目的端指定前缀 是否在目的端指定前缀： 关闭 目的端指定前缀，则会将源端数据按原有目录结构迁移至目的端存储桶。 开启 目的端指定前缀，可为迁移至目的端的对象（或文件夹）增加指定的前缀，可分为“增加前缀”和“增加前缀目录”。 说明 说明： 增加前缀 ：若您输入的前缀不为目录，则为迁移的对象（或文件夹）增加该部分前缀。例如：指定源端桶 bucketA 的文件夹 bucketA/a/folder1 进行迁移，目的端桶为 bucketB，目的端指定前缀为 Test，则迁移至目的端后为 bucketB/Testa/folder1 。 增加前缀目录 ：若您输入的前缀为目录，则为迁移的对象（或文件夹）增加该部分前缀目录，实现将对象迁移至指定的目录下的效果。例如：指定源端桶bucketA的对象 bucketA/a/fileA.png 和 bucketA/b/fileB.png 进行迁移，目的端桶为 bucketB，目的端指定前缀为 Test/，则迁移至目的端后为 bucketB/Test/a/fileA.png 和 bucketB/Test/b/fileB.png 。 选择目的端 存储类型 选择迁移数据在目的端的存储类型，支持：匹配源端、标准存储、低频存储、归档存储。 说明 匹配源端 ：会自动匹配源端存储类型，与源端存储类型保持一致。但仅能自动匹配源端的“标准”和“低频”类型，匹配源端的“归档”或“深度归档”类型，请您务必提前对源端归档数据进行手动解冻，并确保迁移任务完成前数据保持解冻状态，否则该部分数据会迁移失败。 标准存储 ：将会存储为标准类型。 低频存储 ：将会存储为低频类型。 归档存储 ：将会存储为归档类型。 不同地域的对象存储ZOS bucket所支持的存储类型不一致，若您此处选择的存储类型，在您的目的端bucket所在地域并不支持，则迁移会失败。您可参考 选择目的端 ACL配置 选择迁移数据在目的端的ACL配置，支持：匹配源端、私有、公共读。 说明 匹配源端 ：会自动匹配源端的ACL配置，与源端保持一致。 私有 ：会将目的端ACL配置为私有。 公共读 ：会将目的端ACL配置为公共读。 高级选项 同名文件是否覆盖 选择迁移的同名文件处理策略，支持：同名文件不覆盖、同名文件全覆盖、按最后修改时间判断。 说明 不覆盖 ：对同名文件，不进行任何判断，一律执行跳过。 全覆盖 ：对于同名文件，不进行任何判断，一律执行覆盖。 按最后修改时间 ：对于同名文件，优先判断二者的Lastmodified（即最后修改时间），仅当源端文件相较目的端修改时间更新时，进行覆盖。若源端与目的端文件最后修改时间一致，则判断两者的文件大小，大小一致则执行跳过，大小不一致则执行覆盖。 注意 选择“ 全覆盖 ”将会覆盖您目的端的同名文件，被覆盖的文件无法被恢复，请您配置时慎重评估是否全覆盖，避免不必要的损失。

按带宽峰值计费 当前天翼云官网支持自助订购的按带宽峰值计费的计费方式仅为“日带宽峰值”，日带宽峰值计费是每5分钟统计一个带宽峰值，每日得到288个值，取其中的最大值做为计费值。如需了解更多按带宽计费的具体单价可通过提交工单或拨打4008109889热线电话联系天翼云客服进行咨询。 中国内地价格 带宽阶梯 标准资费（元/Mbps/日） (0Mbps，100Mbps] 1.06 (100Mbps，500Mbps] 1.04 (500Mbps，5Gbps] 1 (5Gbps，+∞) 0.98 计费规则 计费方式：按日峰值带宽计费（按日阶梯到达模式）。 计费周期：按日结算，定时扣费。（当月最终账单将在次月3日生成，在次月4日10点后可查看和导出，具体出账时间以系统为准。） 计费场景：适用于域名流量曲线比较平稳，全天内带宽利用率大于30%的用户。 计费方向：极速直播默认只计费下行播放费用。但当上行推流费用和下行播放费用的比例大于1:50时，则同时会收取上行推流费用，单价与下行播放费用一致。 示例： 以按需的带宽峰值计费为例，假设8月1日带宽日峰值为10Mbps，8月2日带宽日峰值为10Gbps，计费情况如下所示： 日期 日带宽峰值 区间分布 计费标准(元/Mbps/日) 当日收费(元) 8.1 10Mbps (0Mbps，100Mbps] 1.06 10.6 8.2 10Gbps (5Gbps，+∞) 0.98 9800 8月1日带宽日峰值为10Mbps，位于区间(0Mbps，100Mbps]，执行1.06元/Mbps/日计费标准，当日收费10.6元。 8月2日带宽日峰值为10Gbps，位于区间(5Gbps，+∞)，执行0.98元/Mbps/日计费标准，当日收费9800元。 若8月其余时间未产生带宽，则月度账单金额为10.6+98009810.6元。

缓存已接入云审计服务。通过云审计服务，您可以查询缓存实例相关的操作事件，便于日后的查询、审计和回溯。 前提条件 1. 开通天翼云对应资源池的云审计服务。 操作步骤 1. 您可通过云审计控制台查看云搜索服务近7天的相关操作。具体查看方法参见查看审计事件。 当前已纳入云审计的关键操作列表 操作事件 字段 资源类型 SSL加密设置 modifyInstanceSSL 分布式缓存服务Redis 下载Redis历史慢日志 downloadHistorySlowLog 分布式缓存服务Redis 下载Redis慢日志 downloadSlowLog 分布式缓存服务Redis 下载Redis运行日志 downloadRedisRunLog 分布式缓存服务Redis 下载SSL证书 downloadSslCert 分布式缓存服务Redis 下载access节点信息 downloadAccessNodeDetails 分布式缓存服务Redis 下载redis节点信息 downloadRedisNodeDetails 分布式缓存服务Redis 下载redis运行日志 downloadRunLog 分布式缓存服务Redis 下载命中率分析信息 downloadKeyMisslog 分布式缓存服务Redis 下载大key、热key信息 downloadTopkeysInfo 分布式缓存服务Redis 下载大key、热key历史报告 downloadTopkeysHistoryInfo 分布式缓存服务Redis 下载实例列表 exportInstances 分布式缓存服务Redis 下载实例配置 downloadRedisConfigs 分布式缓存服务Redis 下载客户端会话列表信息 downloadClientIPinfo 分布式缓存服务Redis 下载证书 downloadCert 分布式缓存服务Redis 为Redis实例创建数据备份 createBackup 分布式缓存服务Redis 为Redis实例删除数据备份 deleteBackup 分布式缓存服务Redis 主从切换 switchInstanceHA 分布式缓存服务Redis 交换IP exchangeIp 分布式缓存服务Redis 从对象存储导入数据 importZosData 分布式缓存服务Redis 修复Aof文件格式 repaireAof 分布式缓存服务Redis 修改Redis实例的自动备份策略 modifyBackupPolicy 分布式缓存服务Redis 修改proxy集群的连接信息 editProxyConnectConfig 分布式缓存服务Redis 修改redis集群中checkBeforeSwitch配置 updateCheckBeforeSwitch 分布式缓存服务Redis 修改top key自动扫描开关 topKeySwitch 分布式缓存服务Redis 修改内网域名 changeRecordName 分布式缓存服务Redis 修改可维护时间段 modifyInstanceMaintainTime 分布式缓存服务Redis 修改实例IP白名单分组 modifySecurityIps 分布式缓存服务Redis 修改实例名 changeInstanceName 分布式缓存服务Redis 修改实例密码 modifyInstancePassword 分布式缓存服务Redis 修改实例的淘汰策略 modifyInstanceStrategy 分布式缓存服务Redis 修改实例账号 changeAccount 分布式缓存服务Redis 修改实例账号密码 modifyAccountPassword 分布式缓存服务Redis 修改实例账号描述 modifyAccountDescription 分布式缓存服务Redis 修改实例账号权限 grantAccountPrivilege 分布式缓存服务Redis 修改实例退订保护开关 changeInstanceProtectionStatus 分布式缓存服务Redis 修改实例部分信息 modifyInstanceAttribute 分布式缓存服务Redis 修改接入机配置 batchEditAccessConfig 分布式缓存服务Redis 修改数据备份磁盘类型 changeBackupDisktype 分布式缓存服务Redis 修改数据闪回开关 dataflashBackSwitch 分布式缓存服务Redis 修改自定义参数模板 editRedisTemplate 分布式缓存服务Redis 修改配置参数 modifyInstanceConf 分布式缓存服务Redis 修改配置参数 modifyInstanceConfig 分布式缓存服务Redis 修改配置参数 ModifyInstanceConfig 分布式缓存服务Redis 停止Redis节点 stopRedisNode 分布式缓存服务Redis 停止redis实例 stopRedis 分布式缓存服务Redis 停止对象存储导入任务 stopImportZosDataTask 分布式缓存服务Redis 停止数据迁移任务 stopTransferTask 分布式缓存服务Redis 关闭危险命令重命名 disableRenameCommand 分布式缓存服务Redis 关闭定时扫描过期key任务 closeScanJob 分布式缓存服务Redis 关闭定时扫描过期key任务 closeScanExpiredKeysJob 分布式缓存服务Redis 关闭弹性伸缩 closeAutoScale 分布式缓存服务Redis 创建实例 createInstance 分布式缓存服务Redis 创建实例账号 createAccount 分布式缓存服务Redis 创建数据传输任务 createOpenApiTransferTask 分布式缓存服务Redis 创建数据迁移任务 createTransferTask 分布式缓存服务Redis 创建自定义参数模板 createRedisTemplate 分布式缓存服务Redis 删除任务中心记录 delTasks 分布式缓存服务Redis 删除公共对象存储配置 delCommonS3Info 分布式缓存服务Redis 删除内网域名 deleteDnsRecord 分布式缓存服务Redis 删除分组 removeGroup 分布式缓存服务Redis 删除分组 deleteDbGroup 分布式缓存服务Redis 删除分组数据 removeGroupData 分布式缓存服务Redis 删除实例账号 deleteAccount 分布式缓存服务Redis 删除对象存储导入任务 delImportZosDataTask 分布式缓存服务Redis 删除指定会话 killSelectedClient 分布式缓存服务Redis 删除数据迁移任务 deleteTransferTask 分布式缓存服务Redis 删除白名单 deleteWhiteListItem 分布式缓存服务Redis 删除自定义参数模板 deleteRedisTemplate 分布式缓存服务Redis 包周期转按需付费 transToPrePaid 分布式缓存服务Redis 升级实例代理版本 upgradeInstanceProxyMinorVersion 分布式缓存服务Redis 升级引擎大版本 modifyInstanceMajorVersion 分布式缓存服务Redis 升级引擎小版本 upgradeInstanceMinorVersion 分布式缓存服务Redis 变更公共对象存储配置 updateCommonS3Info 分布式缓存服务Redis 变更实例AZ modifyInstanceAz 分布式缓存服务Redis 变更实例的规格 modifyInstanceSpec 分布式缓存服务Redis 同步redis主从实例数据 syncInstanceData 分布式缓存服务Redis 启动redis实例 startRedis 分布式缓存服务Redis 命令窗口批量执行命令 executeCommands 分布式缓存服务Redis 实例克隆 cloneInstance 分布式缓存服务Redis 实例开启IPV6 enableInstanceIpv6 分布式缓存服务Redis 实例续费 renewInstance 分布式缓存服务Redis 实例过期key扫描配置 autoScanExpiredKeys 分布式缓存服务Redis 实例重启 restartInstance 分布式缓存服务Redis 对实例的扩容/缩容/类型变更操作进行限制或者解限 modifyInstanceFeature 分布式缓存服务Redis 导入实例元数据 metaDataImport 分布式缓存服务Redis 导出实例节点信息 downloadInstanceNodesInfo 分布式缓存服务Redis 导出操作审计事件 exportAuditEvent 分布式缓存服务Redis 将备份文件中的数据恢复到当前Redis实例中 restoreInstance 分布式缓存服务Redis 应用参数模板到对应实例 applyTemplateToInstance 分布式缓存服务Redis 应用数据管理删除key deleteKey 分布式缓存服务Redis 应用数据管理删除value接口，针对List，Hash，Set，Sorted Set等集合类型。 deleteValue 分布式缓存服务Redis 应用数据管理更新key接口，针对Hash集合类型。 updateKey 分布式缓存服务Redis 应用数据管理更新value接口，针对List，Hash，Set，Sorted Set等集合类型。 updateValue 分布式缓存服务Redis 应用数据管理添加value接口，针对List，Hash，Set，Sorted Set等集合类型。 addValue 分布式缓存服务Redis 开启redis模块 redisModulesSwitch 分布式缓存服务Redis 开启内网域名 enableDnsRecord 分布式缓存服务Redis 开启危险命令重命名 enableRenameCommand 分布式缓存服务Redis 开启弹性伸缩 openAutoScale 分布式缓存服务Redis 开启或关闭rdb加密 rdbEncryptSwitch 分布式缓存服务Redis 异步导出实例列表 asyncExportInstances 分布式缓存服务Redis 手动主从切换 manualInstanceSwitch 分布式缓存服务Redis 手动更新Dns manualUpdateDnsForExpansion 分布式缓存服务Redis 执行redis命令 executeCommand 分布式缓存服务Redis 批量主从切换 batchMasterSlaveSwitch 分布式缓存服务Redis 批量执行命令不保存历史 executeCommandsWithoutHistory 分布式缓存服务Redis 批量退订实例 deleteInstances 分布式缓存服务Redis 按需转包周期付费 transChargeType 分布式缓存服务Redis 操作数据迁移任务 operateTransferTask 分布式缓存服务Redis 数据闪回 doDataflashBack 分布式缓存服务Redis 新增分组 addGroup 分布式缓存服务Redis 新增分组 createDbGroup 分布式缓存服务Redis 更改实例端口 modifyCachePort 分布式缓存服务Redis 更新证书 updateCertValidity 分布式缓存服务Redis 更新防火墙 updateFirewalld 分布式缓存服务Redis 添加白名单 appendWhiteList 分布式缓存服务Redis 清空实例数据 flushData 分布式缓存服务Redis 清空节点数据 delInstanceData 分布式缓存服务Redis 清空过期key flushExpireKeys 分布式缓存服务Redis 清除分组(db)数据 flushDbGroupData 分布式缓存服务Redis 清除慢日志 slowLogReset 分布式缓存服务Redis 满意度评价 satisfaction 分布式缓存服务Redis 立即扫描过期key scanExpiredKeysImmediately 分布式缓存服务Redis 绑定弹性IP bindElasticIP 分布式缓存服务Redis 节点恢复 batchRestartNode 分布式缓存服务Redis 获取备份文件的下载url getRdbDownloadUrl 分布式缓存服务Redis 覆盖原白名单分组 coverWhiteList 分布式缓存服务Redis 解绑弹性IP unBindElasticIP 分布式缓存服务Redis 设置副本优先级 updateSlavePriority 分布式缓存服务Redis 设置实例自动续费 changeAutoRenewStatus 分布式缓存服务Redis 设置读写分离开关 enableRWSep 分布式缓存服务Redis 设置读写分离的读策略 setReadPolicy 分布式缓存服务Redis 退订实例 deleteInstance 分布式缓存服务Redis 配置自动重试类型 configAutoRetryType 分布式缓存服务Redis 重启Redis节点 restartRedisNode 分布式缓存服务Redis 重启access节点 restartAccessNode 分布式缓存服务Redis 重启数据迁移任务 restartTransferTask 分布式缓存服务Redis 重新执行数据迁移任务 retryTransferTask 分布式缓存服务Redis 重置redis密码 resetRedisPwd 分布式缓存服务Redis 重置实例密码 resetInstancePassword 分布式缓存服务Redis 重置实例账号密码 resetAccountPassword 分布式缓存服务Redis

本文主要介绍算力网关侧的裸金属访问天翼云4.0侧的对象存储。 操作步骤 一、 前提 通过公共算力服务提前完成跨域互联的创建。 二、 创建VPCE实例 在天翼云4.0侧的VPCE管理控制台，点击“创建终端节点”按钮，打开创建终端节点的页面。 说明： 服务类型：选择云服务。 选择服务：搜索并选择zos终端节点。 虚拟私有云：选择先前创建的VPC以及子网（此VPC和子网是跨域互联里使用的VPC和子网，已和算力网关侧的VPC完成互联打通）。 其它选项按需填写后点击创建。 在VPCE终端节点里记录ZOS终端节点的IP（此处举例：172.25.0.6）。后续使用终端节点IP来访问对象桶以及其中的对象数据。 如前期操作一切无误，可在算力网关侧的裸金属实例中ping通ZOS终端节点IP（此处为172.25.0.6）。 三、 创建对象桶以及上传对象数据 在对象存储界面按需创建出对象桶。 点击访问刚创建桶的详情页面，选择“文件管理”标签页，按需上传文件数据。 打开上传文件的详情页面，URL即为此文件的下载URL（如上图所示）。 说明： 使用先前VPCE实例的节点IP替换上图URL中的域名，示例替换后如下。 桶的链接： 文件的链接： 在算力网关侧的裸金属实例，可以使用wget下载到桶中的文件，如上图所示。

本文介绍如何通过浏览器查看CDN缓存是否成功。 背景说明 使用天翼云CDN加速后，用户首次访问某个文件，CDN边缘节点会回源获取文件并缓存在节点，下个用户访问同个文件时，会由CDN节点直接响应给用户。该过程可通过在浏览器查看。 具体方法 天翼云CDN加速的响应内容，默认会在响应头中添加CtlCacheStatus响应头部，该头部值代表节点是否命中的信息，从前到后依次体现中间节点、边缘节点的命中状态。如果您的某个域名已经在天翼云CDN加速，可通过如下步骤查看文件是否成功缓存。 1. 打开edge浏览器，单击右上角“设置及其他”，选择“更多工具”“开发人员工具”。或者按“F12”键。 2. 单击“网络”，然后在“名称”列选中对应url，即可在“标头”标签中看到缓存相关响应头。 相关响应头含义说明如下： Age：表示该文件在对应CDN边缘节点已缓存的时间，单位为秒。只有文件已在CDN边缘节点缓存时，才会响应该头部；如该文件为首次访问则无该头部。 CtlCacheStatus：表示该文件在CDN边缘节点和中间层节点的缓存状态，值为HIT或MISS；HIT表示对应文件在该节点已缓存，MISS表示该节点无缓存；如存在两个HIT或MISS状态，则前一个代表边缘节点回中间节点获取该文件时，中间节点的缓存状态，后一个代表边缘节点本次响应给用户时的缓存状态。 注意 由于边缘节点缓存该文件时，会一并缓存当次请求中间节点给出的CtlCacheStatus响应头信息，因此该头部存在两个HIT或MISS状态时，主要关注后一个，即边缘节点伴随每次用户请求追加的HIT/MISS状态即可。

首次安装（Windows环境） 非本区域的服务器安装ICAgent，请先在弹性云主机控制台购买一台Linux操作系统的弹性云主机作为跳板机，具体操作请参考购买ELB和多主机作为跳板机，然后执行如下操作： 说明 推荐CentOS 6.5 64bit及其以上版本的镜像， 最低规格为1vCPUs 1GB，推荐规格为2vCPUs 4GB。 1. 单击右上角“安装ICAgent”。 2. 主机类型选择“区域外主机”。 3. “安装系统”选择“Windows”。 4. “网络连通性方式”为“专线”。专线连通场景下，默认其它IDC上的机器与LTS后端网络不通，需要配置网络打通方案，建议您选择VPCEP。 说明 专线：区域外主机与当前区域LTS通过跳板机或VPCEP专线连通，安全性和稳定性都更高。在专线连通场景下，默认区域外主机与当前区域LTS网络不通，安装在区域外主机上的ICAgent无法直接访问当前区域LTS上报日志的网段。因此需要配置网络打通方案，使用跳板机或VPCEP的方式去连通LTS后端将数据转发到LTS。 跳板机：跳板机作为数据转发器，将区域外主机ICAgent采集到的数据转发给LTS。当您在进行测试，或者日志流量并不大的情况下，可以使用跳板机的方案。对于大流量日志场景推荐您使用VPCEP。 VPCEP：即VPC终端节点，能够将VPC私密地连接到当前区域LTS，使VPC中的资源无需弹性公网IP就能够访问终端节点服务。这种方式能够减少数据在公网上传输的风险，提高数据传输的安全性和效率。 5. 选择“连通LTS后端方式”为VPCEP时，填写VPCEP域名，填写完成后，直接从步骤7开始执行。 请您在网络同事的协助下，在他云上配置VPCEP的DNS域名解析规则，将VPCEP的域名解析到指定IP。 配置完成后，选择一台要采集日志的主机，输入界面上的测试命令，如果能ping通，表示网络配置OK。 6. 选择“连通LTS后端方式”为跳板机时，需要设置该步骤。在跳板机上开通转发端口。 1）在当前region区申请一台ECS主机当跳板机。 2）添加跳板机ECS使用的安全组规则，开放入方向对应端口，保证区域外主机到跳板机数据连通。在弹性云服务器控制台，单击ECS主机名称进入详情页，选择安全组页签，进入安全组列表页。单击具体的安全组名，进入安全组详情页。在该安全组详情页，单击“入方向规则 > 添加规则”，按下表添加安全组规则。 方向 协议 端口 说明 入方向 TCP 8149、8102、8923、30200、30201、80 ICAgent发送数据到跳板机的端口列表。 3）输入跳板机私有IP，生成跳板机转发命令。 说明 跳板机私有IP是指VPC内网IP。 4）单击“复制命令”，复制跳板机转发命令。 5）以root用户登录跳板机，执行SSH Tunnel转发命令。根据命令提示输入root用户名密码即可。 plaintext ssh f N L {跳板机ip}:8149:{elbip}:8149 L {跳板机ip}:8102:{elbip}:8102 L {跳板机ip}:8923:{elbip}:8923 L {跳板机ip}:30200:{elbip}:30200 L {跳板机ip}:30201:{elbip}:30201 L {跳板机ip}:80:icagent{region}.{obsdomain}:80 {跳板机ip} 6）执行netstat lnp grep ssh命令查看对应端口是否被侦听，如果返回结果如下图所示，说明TCP端口已开通。 说明 如果跳板机ECS掉电重启，请重新执行如上命令。 7. 通过界面提示链接，下载ICAgent安装包到本地。 8. 将ICAgent安装包存放到Windows主机目录（如：C:ICAgent）并解压。 9. 获取AK/SK。 10. 生成安装命令，并复制该命令。在文本框输入跳板机连接IP，手动替换AK/SK，生成安装命令。 说明 跳板机连接IP：使用EIP方式连接，为跳板机弹性公网IP，使用云专线VPC对等连接方式，为跳板机VPC内网IP。 单击“复制命令”，复制ICAgent安装命令。 11. 打开cmd窗口并进入ICAgent安装包的解压目录，执行ICAgent安装命令进行安装。 说明 当显示“Service icagent installed successfully”时，表示安装成功。安装成功后，在左侧导航栏中选择“主机管理 > 主机”，查看ICAgent状态。 如果安装失败，请卸载ICAgent后重新安装，如果还未安装成功，请联系技术支持。

名称 描述 是否必须 srcType 迁移源类型： OOS：天翼云对象存储（经典版）I型。 OSS：阿里云。 COS：腾讯云。 OBS：华为云。 S3：AmazonS3。 LOCAL：本地。 是 srcEndpoint 源资源池Endpoint。 迁移源类型为COS、LOCAL：不配置此参数。 迁移源类型为OOS、OSS、OBS、S3：此项必须填。 条件 srcAccessKey 源资源池账户AccessKey。 迁移源类型为LOCAL：不配置此参数。 迁移源类型为OOS、OSS、COS、OBS、S3：此项必须填。 条件 srcSecretKey 源资源池账户SecretKey。 迁移源类型为LOCAL：不配置此参数。 迁移源类型为OOS、OSS、COS、OBS、S3：此项必须填。 条件 srcBucket 源资源池Bucket。 迁移源类型为LOCAL：不配置此参数。 迁移源类型为OOS、OSS、COS、OBS、S3：必须填。 条件 srcRegionName 源资源池RegionName 迁移源类型为COS、S3：必须填。 迁移源类型为OOS、OSS、OBS、LOCAL：不配置此参数。 条件 localFolderPath 本地文件夹路径，或以执行脚本的相对路径。 需要完整路径，以单个正斜线（/）进行分割并且以单个正斜线（/）结尾，仅支持如c:/example/ 或者/data/example/ 的格式。 迁移源类型为LOCAL：必须填。 迁移类型为OOS、OSS、COS、OBS、S3：不配置此参数。 条件 destEndpoint 目标资源池Endpoint，即要迁移到的OOS资源池Endpoint，参见 是 destAccessKey 目标资源池AccessKeyID，可以从OOS控制台中获取，参见 是 destSecretKey 目标资源池SecretAccessKey。 是 destBucket 目标资源池Bucket。 是 srcPrefix 源文件名前缀，默认为空。该前缀不包括存储桶（Bucket）名称，仅为文件（Object）名前缀。 说明 此参数空或者未配置此参数，表示迁移所有的文件。 否 destPrefix 目标前缀，即为迁移文件指定具体存放文件夹。 注意 如果不需要目标前缀，此参数不要写在配置文件中。 取值：字符串形式，以“/”结尾，且不能以“/”开头；不能包含以下字符：'、"、//。 说明 如果不指定，迁移文件直接存放在目标资源池存储桶下。 如果指定前缀，则将迁移文件存放在目标资源池存储桶下以前缀命名的文件夹中；如果前缀命名的文件夹不存在，则在该存储桶下创建以前缀命名的文件夹。 如果目标前缀包含字符“”，会识别为转义字符，不建议使用字符“”。 否 srcMarker 迁移源类型为OOS，表示按字典序，从srcMarker文件开始迁移。默认为空，表示从第一个文件开始迁移。 迁移源类型为OSS、OBS、COS、S3，表示按字典序，从srcMarker文件后的下一个文件开始迁移。默认为空，表示从第一个文件开始迁移。 迁移源类型为LOCAL，此项不起作用，不配置此参数。 否 srcStopObject 迁移的截止文件名，默认为空。 如果配置了srcStopObject，则迁移到配置的文件后停止迁移，即迁移到该文件的前一个文件，此文件及后续文件都不迁移。 如果指定的srcStopObject不存在，则迁移满足迁移条件的所有文件。 注意 迁移源类型为LOCAL，此项不起作用，不配置此参数。 否 isSkipExistFile 是否跳过目标资源池中已有的文件。 true：跳过已有文件，根据Etag和size进行判断数据是否为已有文件。 false：覆盖已有文件。 默认值为false。 否 migrateLogFile 表示是否根据日志文件加载迁移文件。 日志文件仅支持通过本迁移工具生成的四种类型的日志文件：successObjectLogtime.txt、errorObjectLogtime.txt、skipObjectLogtime.txt、 otherObjectLogtime.txt。 true：仅处理日志文件中的项，不扫描源资源池或者local文件夹、不加载备份文件。 false：扫描资源池或local文件夹，加载备份文件。 默认值为false。 否 logFile 表示日志文件路径。 migrateLogFile为true时，此项必须填。 条件 importSince 表示迁移大于此时间的数据，Unix时间戳。即仅迁移此时间点后的文件。 取值：大于等于0的整数，单位是秒。默认值为0，表示迁移所有的数据。 否 objectSize 表示迁移文件（Object）的大小范围。格式是NM，表示迁移N至M大小的文件。 取值：N和M是大于等于0的整数，且N≤M，单位是字节。默认不配置此项，表示迁移所有大小的文件。 否 storageClass 设置迁移后文件的存储类型。 取值： STANDARD：标准存储。 STANDARDIA：低频访问存储。 默认值为STANDARD。 注意 仅对象存储网络、香港节点支持STANDARDIA，其他地域不支持。 否 contentType 迁移之后，文件的标准MIME类型。 注意 如果srcType为OOS，且isAcceleratedMigration为true，contentType配置会失效。 否 isAcceleratedMigration 是否加速迁移文件。 取值： true：加速迁移文件。 false：不加速迁移文件。 默认值为false。 说明 srcType为OOS时，该参数才生效。建议源和目的资源池为同类资源池时使用该参数，如源和目的资源池为5.0的同一地域、源和目的资源池同为香港资源池、或源和目的资源池同为对象存储网络。 使用加速迁移文件时，srcAccessKey和srcSecretKey需要具备srcBucket的ListBucket和GetObject权限；destAccessKey和destSecretKey需要具备destBucket中PutObject的权限、srcBucket的GetObject权限。 否

本文主要介绍如何配置静态网站托管。 用户可将自己的桶配置成静态网站托管模式，并通过桶域名访问该静态网站。 静态网站托管配置会在两分钟内生效。 前提条件 静态网站所需的网页文件已上传到指定桶中。 桶内的静态网站文件必须配置为匿名用户可访问。 如果静态网站文件为“归档存储”类别，则需要先恢复。 操作步骤 步骤 1 在桶列表单击待操作的桶，进入“对象”页面。 步骤 2 可选 ：如果还未将桶内静态网站文件配置为匿名用户可访问，请执行本步骤配置匿名访问权限。如果已经配置，请跳过此步骤。 若桶中只有静态网站文件，则配置桶策略为“公共读”，使桶内所有文件能被公开访问。 1. 单击“访问权限控制>桶策略”。 2. 单击“创建”。 3. 单击“公共读”模板右侧的“使用模板创建”。 4. 无需修改桶策略模板内容，直接单击“配置确认”后再单击“创建”，完成桶策略创建。 步骤 3 在左侧导航栏，单击“概览”，进入“概览”页面。 步骤 4 在“基础配置”区域下，单击“静态网站托管”卡片，系统跳转至“静态网站托管”界面。 或您可以直接在左侧导航栏单击“基础配置>静态网站托管”，进入“静态网站托管”界面。 步骤 5 单击“配置静态网站托管”，系统弹出“配置静态网站托管”对话框。 步骤 6 “状态”设置为使能状态。 步骤 7 “托管模式”选择“配置到当前桶”，如下图所示。 步骤 8在“默认首页”、“默认404错误页面”中设置默认缺省页面和404（Not Found）页面。 默认首页：即访问静态网站时的默认首页。当使用OBS管理控制台配置静态网站托管时，仅支持“html”格式的网页文件；当使用API的方式配置时，OBS不进行限制，用户必须指定对象的“ContentType”。OBS仅支持配置桶根目录下的文件（如“index.html”）作为默认首页，暂不支持按目录层级的方式（如“/page/index.html”）配置默认首页。 默认404错误页面：即访问静态网站遇到错误时，OBS返回给用户的错误页面。当使用OBS管理控制台配置静态网站托管时，仅支持桶根目录下html、jpg、png、bmp、webp格式的文件；当使用API的方式配置时，OBS不进行限制，用户必须指定对象的“ContentType”。 步骤 9 可选 ：在“重定向规则”中配置重定向规则。满足重定向规则的请求将被重定向到指定主机或页面。 “重定向规则”采用JSON或XML格式编写，可以包含多条重定向规则，每条重定向规则包含一个Condition和一个Redirect，参数说明如下所示。 容器 键值 键值说明 ::: Condition KeyPrefixEquals 重定向生效时的对象名前缀。当向对象发送请求时，如果对象名前缀等于这个值，那么重定向生效。 例如：重定向ExamplePage.html对象的请求，KeyPrefixEquals设为ExamplePage.html。 Condition HttpErrorCodeReturnedEquals 重定向生效时的HTTP错误码。当发生错误时，如果错误码等于这个值，那么重定向生效。 例如：当返回的HTTP错误码为404时重定向到NotFound.html，可以将Condition中的HttpErrorCodeReturnedEquals设置为404，Redirect中的ReplaceKeyWith设置为NotFound.html。 Redirect Protocol 重定向请求生效时使用的协议。取值为http 或https ，如不设置，默认为http。 Redirect HostName 重定向请求生效时使用的主机名。如不设置，代表重定向至原请求的HostName。 Redirect ReplaceKeyPrefixWith 重定向请求生效时使用的对象名前缀。 Redirect ReplaceKeyWith 重定向请求生效时使用的对象名。 Redirect HttpRedirectCode 响应中的HTTP状态码。默认值为301，表示永久重定向到Redirect指定的位置，也可根据业务实际情况设置。 重定向规则示例 示例一：对所有前缀为“folder1/”对象的请求，自动重定向至主机“www.example.com”上前缀为“target.html”的页面，并使用https协议。 [ { "Condition": { "KeyPrefixEquals": "folder1/" }, "Redirect":{ "Protocol": "https", "HostName": "www.example.com", "ReplaceKeyPrefixWith": "target.html" } } ] 示例二：对所有前缀为“folder2/”对象的请求，自动重定向至本OBS桶中前缀为“folder/”的对象上。 [ { "Condition": { "KeyPrefixEquals": "folder2/" }, "Redirect":{ "ReplaceKeyPrefixWith": "folder/" } } ] 示例三：对所有前缀为“folder.html”对象的请求，自动重定向至本OBS桶的“folderdeleted.html”对象上。 [ { "Condition": { "KeyPrefixEquals": "folder.html" }, "Redirect":{ "ReplaceKeyWith": "folderdeleted.html" } } ] 示例四：在未找到请求对象返回HTTP状态码404时，自动重定向至主机“www.example.com”上前缀为“report404/” 的页面。 例如，如果您请求页面ExamplePage.html，且它导致了HTTP 404错误，该请求将重定向至www.example.com上的report404/ExamplePage.html页面。如果没有设置404的重定向规则，在发生HTTP 404错误时将返回上一步中配置的默认404错误页面。 [ { "Condition": { "HttpErrorCodeReturnedEquals": "404" }, "Redirect":{ "HostName": "www.example.com", "ReplaceKeyPrefixWith": "report404/" } } ] 步骤 10 单击“确定”。 在OBS上托管静态网站配置生效后，您可以通过静态网站托管访问域名访问该静态网站。 说明 由于浏览器缓存等原因，您可能需要清除浏览器缓存后才能查看到预期效果。

本文为您介绍如何通过密钥管理控制台创建证书并导入控制台实现托管。 支持数字证书和Ukey证书，关于两种证书的区别，请参见证书管理概述。 创建数字证书 1. 登录密钥管理服务控制台。 2. 在页面最上方的导航栏的资源池下拉列表，选择服务所在的区域。 3. 在左侧导航栏，点击证书管理， 进入数字证书管理页，点击创建证书。 4. 在弹出的创建证书对话框，根据页面提示进行配置信息填写。 配置项说明： 配置项 说明 主体名称（CN） 证书使用的主体名称。 国家/地区（C） 使用ISO 31661的二位国家代码，例如：CN代表中国。 省/市（ST） 省、直辖市、自治区或特别行政区名称。 城市（L） 城市名称。 公司名称（O） 企业、单位、组织或机构的法定名称。 部门名称（OU） 部门名称。 单击右侧加号，可以添加多个部门名称，最多可添加5个。 邮箱（E） 证书持有者或管理者邮箱。 主体别名 当证书为DV证书时，可使用主体别名生成多域名证书请求。最多可添加10个。 密钥类型 取值：RSA2048、SM2（企业版支持） 私钥可否导出 证书私钥是否需要导出使用。取值： 是：证书私钥需要导出使用。 否：证书私钥不需要导出使用。 建议选择否，以便使用更高安全级别的密钥保护。 企业项目 选择证书归属的企业项目，默认为default。 5. 证书信息填写完成后，点击 创建证书 ，系统会返回证书ID及证书请求，点击 下载证书请求 ，下载完成点击 确定 。 6. 下载csr格式的证书请求文件后，将其提交给CA机构，获取正式的证书和证书链。 7. 将证书和证书链导入证书管理服务，在证书列表页面，找到目标证书，点击 更多导入证书。 8. 在导入证书对话框，输入或上传CA机构颁发的证书和证书链，点击 确定 。 9. 导入证书成功后，证书状态为 启用中 ，您可以使用证书进行签名验签等操作。

本文介绍边缘安全加速平台的产品优势。 随着全球在线业务的发展，企业拓展业务的趋势日益增长，这也为用户体验和数据资产安全带来了更为复杂的挑战。 AOne边缘安全加速平台提供了加速、计算和安全为一体的服务，为您的业务运营提供全方位的保障。 极致的加速体验 优质的资源覆盖： CN2 和 163 互备支撑，所有节点和 IDC 出口并行，避免峰值带宽拥堵。 智能高效：智能分离站点内容，实现网络智能加速。 传输优化：基于先进的内核技术及自研的私有协议，大幅提升传输效率。 多业务加速：支持 http / https 协议加速、上传加速、websocket 加速、IPv6 升级等。 37层一体化防护 DDoS 防护：提供分布式DDoS攻击清洗，超百G节点大区粒度覆盖，防护总带宽超过12T。结合云原生、智能调度能力，实现资源动态扩容，攻击调度，满足用户三网防护需求，保障业务可用性。 Web 安全防护：基于 AI+ 规则的 Web 攻击识别，有效防御 SQL 注入、XSS 跨站脚本攻击等 OWASP TOP 10的关键 Web 风险。 Bot管理：基于已知Bot情报、精准访问控制、客户端特性识别、人机交互验证、机器学习等智能识别与检测技术，对业务流量进行实时检测和分析，智能识别并区分真实用户流量与各类Bot流量。 API 安全防护：基于安全可靠的接入认证方式，保证 API 访问安全。 持续认证动态评估：持续认证过程引入RBAC（基于角色的访问控制）与ABAC（基于属性的访问控制）鉴权体系，能根据角色及用户属性、环境属性、资源属性等综合授予用户访问权限。 全链路HTTPS：支持全链路HTTPS安全传输方案，防劫持防篡改，保护数据安全。 基于全网的HTTPDNS防劫持：支持用户通过HTTPDNS协议访问天翼云服务器，绕过运营商的LocalDNS解析，避免域名在解析阶段被劫持。 全周期安全保护：基于可信授权、最小授权、持续认证、业务隐身、终端安全、应用安全、链路安全等核心能力，对访问过程进行持续的安全保护，实现在任意网络环境中安全访问企业资源。

本文主要介绍 通过grafana查看AOM中的指标数据 前提条件 已创建弹性云主机ECS。 已创建弹性公网IP，并绑定到购买的弹性云主机ECS上。 操作步骤 步骤 1 安装并启动Grafana，具体操作请参见Grafana官方文档。 步骤 2 添加AccessCode。 1. 登录AOM控制台，在左侧导航栏中选择“配置管理 > 接入管理”。 2. 单击“添加AccessCode”。 添加AccessCode 说明 每个项目最多可创建2个AccessCode。 AccessCode是调用API的身份凭据，请您妥善保管。 3. 在弹出的窗口，单击“确定”，添加AccessCode。 4. 添加成功后，单击即可查看AccessCode。也可单击“删除”，删除AccessCode（ 删除后无法恢复，请谨慎操作 ）。 查看AccessCode 步骤 3 配置Grafana。 1. 登录Grafana。 2. 在左侧菜单栏，选择“Configuration > Data Sources”，单击“Add data source”。 配置Grafana 3. 单击“Prometheus”，进入Prometheus配置页面。 进入Prometheus配置页面 4. 参考示例配置参数。 Password：将Password设置为步骤2中生成的AccessCode。 User：aomaccesscode。 − URL： {URIscheme}://{Endpoint}/v1/{projectid} URIscheme：表示用于传输请求的协议，当前所有API均采用HTTPS协议。 Endpoint为指定承载REST服务端点的服务器域名或IP，不同服务不同区域的Endpoint不同。 projectid 为项目的ID。 说明 Auth下Basic auth和Skip TLS Verity的开关必须开启。 accesscode与projectid有对应关系，请在填写时确认匹配关系。 配置参数 5. 配置完成后，单击“Save&Test”，验证是否配置成功。 配置成功即可使用Grafana配置Dashboards，查看指标数据。 配置完成

参数名 说明 取值样例 名称 连接的名称，根据连接的数据源类型，用户可自定义便于记忆、区分的连接名。 oraclelink 数据库服务器 配置为要连接的数据库的IP地址或域名。 192.168.0.1 端口 配置为要连接的数据库的端口。 默认端口：1521 数据库连接类型 选择Oracle数据库连接类型： Service Name：通过SERVICENAME连接Oracle数据库。 SID：通过SID连接Oracle数据库。 SID 实例名称 配置Oracle实例ID，用于实例区分各个数据库。“数据库连接类型”选择“SID”时才有该参数。 dbname 数据库名称 配置为要连接的数据库名称。“数据库连接类型”选择“Service Name”时才有该参数。 dbname 用户名 待连接数据库的用户。该数据库用户需要有数据表的读写权限，以及对元数据的读取权限。 cdm 密码 用户密码。 使用Agent 是否选择通过Agent从源端提取数据。 是 Agent 单击“选择”，选择管理Agent中已创建的Agent。 Oracle版本 创建Oracle连接时才有该参数，根据您Oracle数据库的版本来选择。当出现“java.sql.SQLException: Protocol violation异常”时，可以尝试更换版本号。 高于12.1 一次请求行数 可选参数，单击“显示高级属性”后显示。 指定每次请求获取的行数，根据数据源端和作业数据规模的大小配置该参数。如果配置过大或过小，可能影响作业的时长。 Oracle到DWS迁移时，可能出现目的端写太久导致迁移超时的情况。此时请减少Oracle源端“一次请求行数”参数值的设置。 1000 连接属性 可选参数，单击“添加”可增加多个指定数据源的JDBC连接器的属性，参考对应数据库的JDBC连接器说明文档进行配置。 说明 CDM作业默认打开了useCursorFetch开关，即JDBC连接器与关系型数据库的通信使用二进制协议。 开源MySQL数据库支持useCursorFetch参数，无需对此参数进行设置。 阿里云AnalyticDB(ADB)数据库对useCursorFetch参数有兼容问题，在配置与ADB连接时需要关闭useCursorFetch开关，即添加连接属性“useCursorFetch”，对应属性值设置为“false”。如不进行此设置，会出现日期转换出错的情况。 sslmoderequire 引用符号 可选参数，连接引用表名或列名时的分隔符号，参考对应数据库的产品文档进行配置。 '

变量名 变量说明 举例 arg参数名 url中的某个具体参数的值 比如请求为: http参数名 某个请求头xxx的值 比如请求为: H "test: hello" H "headacc: 222"， 调用ctyun.var("httptest")返回“hello”。 调用ctyun.var("httpheadacc") 返回“222”。 如果xxx有破折号，通过var调用时，用下划线代替。 cookiexxx 请求cookie头中的name值 使用方式同上。 scheme 请求使用的Web协议，“http” 或 “https” ctyun.var("scheme") 返回http。 serverprotocol 服务器的HTTP版本，通常为 “HTTP/1.0” 或 “HTTP/1.1” ctyun.var("serverprotocol") 返回HTTP/1.1。 timeiso8601 服务器时间的ISO 8610格式 ctyun.var("timeiso8601") 返回 20220714T11:13:56+08:00。 timelocal 服务器时间 ctyun.var("timelocal") 返回14/Jul/2022:11:13:56 +0800。 timehttp 服务器时间的http表示法 ctyun.var("timehttp") 返回 Thu, 14 Jul 2022 03:13:56 GMT。 host 客户端请求的域名 ctyun.var("host") 返回ctyun.cn。 requesturi 用户原始请求url包括查询参数 比如客户端发送请求uri为： /%E4%BD%A0%E5%A5%BD?tt123 ctyun.var("requesturi") 返回/%E4%BD%A0%E5%A5%BD?tt123。 uri requesturi变量中不带查询参数部分，且进行了urldecode 比如客户端发送请求uri为： /%E4%BD%A0%E5%A5%BD?tt123 ctyun.var("uri") 返回 /你好。 querystring 查询参数, requesturi的参数部分 比如：请求uri为： /hello?tt123&t2%E4%BD%A0%E5%A5%BD ctyun.var("querystring") 返回 tt123&t2%E4%BD%A0%E5%A5%BD。 requestmethod HTTP请求方法，通常为"GET"或"POST"等 ctyun.var("requestmethod") 返回GET。 remoteaddr 返回客户端ip ctyun.var("remoteaddr") 返回172.21.51.44。 remoteport 客户端端口号 ctyun.var("remoteport") 返回38966。 serveraddr 服务端ip ctyun.var("serveraddr") 返回172.21.51.88。 serverport 服务端端口号 ctyun.var("serverport") 返回80。

本文简述天翼云边缘安全加速平台安全与加速服务支持的国密算法套件、适用场景、注意事项及配置方法。 背景介绍 随着近年来外部的国际贸易冲突和技术封锁，内部互联网的快速发展，IOT领域的崛起，以及金融领域的变革愈演愈烈，安全高度不断上升。摆脱对国外技术和产品的过度依赖，建设行业网络安全环境，增强我国行业信息系统的安全可信显得尤为必要和迫切。密码算法是保障信息安全的核心技术，尤其是最关键的银行业核心领域长期以来都是沿用3DES、SHA1、RSA等国际通用的密码算法体系及相关标准，存在安全隐患，天翼云积极响应国家政策，支持国密标准，为金融等政企客户提供更加安全的加密算法。 天翼云边缘安全加速平台安全与加速服务，支持自主部署域名证书，证书算法支持国际和国密标准，并允许同个域名双证书并行。即网关支持双算法证书应用，智能识别和匹配适用算法。在客户端环境支持国密算法时，自动选择国密算法证书，在客户端环境仅支持国际算法时，自动选择国际算法证书，自动建立匹配算法加密通道。 国密介绍 国密算法，即国家商用密码算法。是由国家密码管理局认定和公布的密码算法标准及其应用规范，其中部分密码算法已经成为国际标准。如SM系列密码，SM代表商密，即商业密码，是指用于商业的、不涉及国家秘密的密码技术。 商用密码有很多，以下列举了常用的国际跟国产商用密码： 密码分类 国产商用密码 国际商用密码 对称加密 分组加密/块加密 SM1/SCB2、SM4/SMS4、SM7 DES、IDEA、AES、RC5、RC6 对称加密 分组加密/块加密 ZUC（祖冲之算法）、SSF46 RC4 非对称/公钥加密 大数分解 / RSA、DSA、ECDSA、Rabin 非对称/公钥加密 离散对数 SM2、SM9 DH、DSA、ECC、ECDH 密码杂凑/散列 SM3 MD5、SHA1、SHA2 SM1是一种分组加密算法 对称加密算法中的分组加密算法，其分组长度、秘钥长度都是128bit，算法安全保密强度跟 AES 相当，但是算法不公开，仅以IP核的形式存在于芯片中，需要通过加密芯片的接口进行调用。采用该算法已经研制了系列芯片、智能IC卡、智能密码钥匙、加密卡、加密机等安全产品，广泛应用于电子政务、电子商务及国民经济的各个应用领域(包括国家政务通、警务通等重要领域)。 SM2是非对称加密算法 它是基于椭圆曲线密码的公钥密码算法标准，其秘钥长度256bit，包含数字签名、密钥交换和公钥加密，用于替换RSA/DH/ECDSA/ECDH等国际算法。可以满足电子认证服务系统等应用需求，由国家密码管理局于2010年12月17号发布。SM2采用的是ECC 256位的一种，其安全强度比RSA 2048位高，且运算速度快于RSA。 SM3是一种密码杂凑算法 用于替代MD5/SHA1/SHA2等国际算法，适用于数字签名和验证、消息认证码的生成与验证以及随机数的生成，可以满足电子认证服务系统等应用需求，于2010年12月17日发布。它是在SHA256基础上改进实现的一种算法，采用MerkleDamgard结构，消息分组长度为512bit，输出的摘要值长度为256bit。 SM4是分组加密算法 跟SM1类似，是我国自主设计的分组对称密码算法，用于替代DES/AES等国际算法。SM4算法与AES算法具有相同的密钥长度、分组长度，都是128bit。于2012年3月21日发布，适用于密码应用中使用分组密码的需求。 SM7也是一种分组加密算法 该算法没有公开。SM7适用于非接IC卡应用包括身份识别类应用(门禁卡、工作证、参赛证)，票务类应用(大型赛事门票、展会门票)，支付与通卡类应用(积分消费卡、校园一卡通、企业一卡通、公交一卡通)。 SM9是基于标识的非对称密码算法 用椭圆曲线对实现的基于标识的数字签名算法、密钥交换协议、密钥封装机制和公钥加密与解密算法，包括数字签名生成算法和验证算法，并给出了数字签名与验证算法及其相应的流程。并提供了相应的流程。可以替代基于数字证书的PKI/CA体系。SM9主要用于用户的身份认证。据新华网公开报道，SM9的加密强度等同于3072位密钥的RSA加密算法，于2016年3月28日发布。 相关标准： 2014年：国家密码管理局发布标准《GMT 00242014》规范了国密算法套件：ECCSM4SM3、ECDHESM4SM3。 2020年：国家标准化管理委员会发布标准《GBT386362020》，将国密套件重新规范命名为：ECCSM4CBCSM3、ECDHESM4CBCSM3，并且新增了GCM模式下的算法套件：ECCSM4GCMSM3、ECDHESM4GCMSM3以及基于RSA证书的算法套件：RSASM4CBCSM3、RSASM4GCMSM3、RSASM4CBCSHA256、RSASM4GCMSHA256。 2021年：IETF工作组正式发布国际标准《rfc8998》，该标准在TLS1.3上定义了使用国密算法的套件：TLSSM4GCMSM3、TLSSM4CCMSM3，使用ECDHESM2密钥协商算法，取消了 Client 证书的要求和server 双证书要求。

接口功能介绍 更新转发规则 接口约束 仅支持更新策略名称和描述，未见策略名称字段；域名和URL字段不支持修改。 URI POST /v4/elb/updaterule 路径参数 无 Query参数 无 请求参数 请求头header参数 无 请求体body参数 参数 是否必填 参数类型 说明 示例 下级对象 clientToken 是 String 客户端存根，用于保证订单幂等性, 长度 1 64 79fa97e3c48bxxxx9f466a13d8163678 regionID 是 String 区域ID 81f7728662dd11ec810800155d307d5b ID 否 String 转发规则ID, 该字段后续废弃 xxxx policyID 否 String 转发规则ID, 推荐使用该字段, 当同时使用 ID 和 policyID 时，优先使用 policyID xxxx priority 否 Integer 优先级，数字越小优先级越高，取值范围为：1100(目前不支持配置此参数,只取默认值100) 100 description 否 String 支持拉丁字母、中文、数字, 特殊字符：~!@ $%^&()+ <>?:'{},./;'[,]·！@ ￥%……&（） —— +{},《》？：“”【】、；‘'，。、，不能以 http: / https: 开头，长度 0 128 desc conditions 否 Array of Objects 匹配规则数据 conditions action 否 Object 规则目标 action 表 conditions 参数 是否必填 参数类型 说明 示例 下级对象 type 是 String 类型。取值范围：servername（服务名称）、urlpath（匹配路径） urlpath serverNameConfig 否 Object 服务名称 serverNameConfig urlPathConfig 否 Object 匹配路径 urlPathConfig 表 serverNameConfig 参数 是否必填 参数类型 说明 示例 下级对象 serverName 否 String 服务名称 xxxx 表 urlPathConfig 参数 是否必填 参数类型 说明 示例 下级对象 urlPaths 否 String 匹配路径 /// matchType 否 String 匹配类型。取值范围：ABSOLUTE，PREFIX，REG REG 表 action 参数 是否必填 参数类型 说明 示例 下级对象 type 是 String 默认规则动作类型。取值范围：forward、redirect、deny(目前暂不支持配置为deny) forward forwardConfig 否 Object 转发配置 forwardConfig redirectListenerID 否 String 重定向监听器ID，当type为redirect时，此字段必填 xxzzzz 表 forwardConfig 参数 是否必填 参数类型 说明 示例 下级对象 targetGroups 否 Array of Objects 后端服务组 targetGroup 表 targetGroup 参数 是否必填 参数类型 说明 示例 下级对象 targetGroupID 是 String 后端服务组ID tgxxx weight 否 Integer 权重，取值范围：1256。默认为100 100

获取ACL 下面的例子是获取名为examplebucket的Bucket的访问控制权限配置信息。 请求 StringToSign GET /?acl HTTP/1.1 Host: examplebucket.ooscn.ctyunapi.cn Date: Tue, 11 Jun 2024 02:06:03 GMT ContentType: application/octetstream Authorization: AWS 3a7451ae6b635b4f5ded:7x+mp5y3YFS6BC9pdPiqsevbjb4 GETn n application/octetstreamn Tue, 11 Jun 2024 02:06:03 GMTn /examplebucket/?acl 注意 在CanonicalizedResource中是如何包含子资源查询字符串参数的。 Delete Object 从名为examplebucket的Bucket中删除文件。Bucket在path中指定，并使用xamzdate请求头。 请求 StringToSign DELETE /examplebucket/photos/puppy.jpg HTTP/1.1 Host: ooscn.ctyunapi.cn Date: Tue, 11 Jun 2024 06:47:39 GMT xamzdate: Tue, 11 Jun 2024 06:37:21 GMT Authorization: AWS 3a7451ae6b635b4f5ded:0kgBoDiPB3sQAy+Ole+oKcH+QRE DELETEn n n n xamzdate:Tue, 11 Jun 2024 06:37:21 GMTn /examplebucket/photos/puppy.jpg 注意 此请求使用xamzdate请求头来替代Date请求头，在StringToSign中，实际的Date请求头被设置成空行。 使用CNAME形式上传文件 下面的例子通过CNAME 形式上传文件，并使用自定义元数据。其中：Bucket为examplebucket，Bucket绑定的自定义域名为oos11.ctyun.cn。 请求 StringToSign PUT /examplebucket/dbbackup.dat.gz HTTP/1.1 Host: oos11.ctyun.cn Date: Tue, 11 Jun 2024 07:18:11 GMT contenttype: application/xdownload ContentMD5: ICy5YqxZB1uWSwcVLSNLcA XAmzMetaReviewedBy: joe XAmzMetaFileChecksum: 0x02661779 XAmzMetaChecksumAlgorithm: crc32 ContentDisposition: attachment; file namedatabase.dat ContentEncoding: gzip ContentLength: 3 Authorization: AWS 3a7451ae6b635b4f5ded:Wdqh0EKuT5lUZioWfc0rk2a6Arg PUTn ICy5YqxZB1uWSwcVLSNLcAn application/xdownloadn Tue, 11 Jun 2024 07:18:11 GMTn xamzmetachecksumalgorithm:crc32n xamzmetafilechecksum:0x02661779n xamzmetareviewedby:joen /examplebucket/dbbackup.dat.gz 注意 “xamz ”请求头被排序了，空白行被删除，转换为小写字符，多个同名的请求头使用逗号分隔的方式被加入。只有ContentType, ContentMD5请求头被加入到了StringToSign中，但是其他的Content请求头没有被加入。

Service Service是用来解决Pod访问问题的。每个Service有一个固定IP地址，Service将访问流量转发给Pod，而且Service可以给这些Pod做负载均衡。 图 通过Service访问Pod 根据创建Service的类型不同，可分成如下模式： ClusterIP：用于在集群内部互相访问的场景，通过ClusterIP访问Service。 NodePort：用于从集群外部访问的场景，通过节点上的端口访问Service。 LoadBalancer：用于从集群外部访问的场景，其实是NodePort的扩展，通过一个特定的LoadBalancer访问Service，这个LoadBalancer将请求转发到节点的NodePort，而外部只需要访问LoadBalancer。 Service的详细介绍请参见Service概述。 lngress Service是基于四层TCP和UDP协议转发的，而Ingress可以基于七层的HTTP和HTTPS协议转发，可以通过域名和路径做到更细粒度的划分，如下图所示。 图 IngressService Ingress的详细介绍请参见Ingress概述。 网络访问场景 负载网络访问可以分为如下几种场景。 集群内部访问：创建ClusterIP类型的Service，通过Service访问负载。 外部访问负载：从外部访问负载推荐使用Service（NodePort类型或LoadBalancer类型）或Ingress访问。 公网访问负载需要节点或LoadBalancer绑定公网IP。 内网访问负载通过节点或LoadBalancer内网IP即可。如果跨VPC需要通过对等连接等手段打通不同VPC网络。 负载访问外部： 负载访问内网：负载访问内网地址，在不同容器网络模型下有不同的表现，需要注意在对端安全组放通容器网段，具体请参见容器如何访问VPC内部网络。 负载访问公网：访问公网有几种方法可以实现，一是让容器所在节点绑定公网IP（容器网络模型为VPC网络或容器隧道网络），另一个是通过NAT网关配置SNAT规则，具体请参见从容器访问公网。 图 网络访问示意图

本文介绍视频直播支持的访问控制策略。 天翼云视频直播支持如下访问控制策略： Referer防盗链和UA防盗链：根据HTTP请求头中的Referer字段或UserAgent字段对请求来源的域名及其他信息进行黑白名单控制，从而实现对用户身份的识别和过滤。Referer防盗链支持控制台自助操作，如需配置请参见：Referer防盗链。UA防盗链暂不支持自助操作，如需配置请提交工单。 IP黑白名单：通过设置黑白名单对来源IP进行相应限制。IP黑白名单支持控制台自助操作，如何配置请参见：IP黑白名单。 区域访问控制：通过允许或者拒绝指定区域的用户访问，实现访问控制。区域访问控制暂不支持自助操作，如需配置请提交工单。 时间戳防盗链：在主播推流或观众播放的URL中加上鉴权信息。主播请求直播推流或观众请求播放时，视频直播会对请求进行时效性判断，并对URL中携带的鉴权信息进行合法性判断，仅校验通过的请求予以响应，其它非法的访问将予以拒绝，从而有效地保护直播资源。更多详细信息请参见：URL鉴权。URL鉴权暂不支持自助操作，如需配置请提交工单。 远程鉴权：如果希望更安全的访问控制策略，您可通过远程鉴权实现。即由您自行搭建鉴权中心，视频直播将接收到的请求，转发到您搭建的鉴权中心进行鉴权，鉴权通过的才可以允许播放，不通过的则拒绝。更多详细信息请参见：远程鉴权。 HTTPS访问：您可以配置HTTPS证书，用户请求时通过HTTPS访问，从而使用户和直播节点之间使用HTTPS加密传输。HTTPS支持控制台自助操作，如何配置请参见：HTTPS配置。

工信部增加全国备案短信验证功能通知 “备案短信核验”问题集锦 根据《工业和信息化部关于开展互联网基础管理专项行动的通知》工信部信管函[2016]485号文件要求，工业和信息化部将对通过 ICP/IP地址/域名信息备案管理系统提交备案申请的主体负责人及网站负责人的手机号码进行短信验证。即：备案信息通过天翼云审核后，天翼云在将备案信息提交管局审核时，备案主体负责人和（或）网站负责人手机号码中，将会收到工信部发出的短信息验证码。需在24小时内完成短信验证，备案申请才能进入省通信管理局的审核程序。 目前适用省份： 根据工信部最新要求，自2020年8月17日起，各省市进行以下类型的备案申请时需通过工信部备案管理系统进行短信核验，详情如下所示。 短信验证平台： 您在备案信息中填写的手机号码收到工信部发出的验证码后，需及时访问《工业和信息化部政务服务平台ICP/IP地址/域名信息备案管理系统》网站（以下简称公共查询网站） 填写证件号码、验证手机号和验证码，完成验证。 验证码发送及短信核验原则: 备案类型 验证逻辑 备注 新增备案 验证主体负责人手机号和网站负责人手机号。 若主体负责人与网站负责人为同一人，只发送一个验证码。 新增网站备案 验证网站负责人手机号码。 若主体信息有变更，则需要验证。 新增接入备案 验证网站负责人手机号码。（注意：该手机号码是通过其他接入商在管局侧备案时所提供的号码） 1、如果您更换了手机号码，需先到原备案接入服务商处变更手机号码，再进行接入备案。 2、如果您的网站为空壳网站（即无接入服务商），无法到原接入服务商处变更手机号码。只能注销备案后，再重新提交新增网站备案。 变更备案信息 验证主体负责人手机号或网站负责人手机号。 1、若变更主体信息，则验证主体负责人手机号码。 2、若变更网站信息，则验证网站负责人手机号码。 3、若同时变更了主体和网站信息，那么主体和网站负责人手机号码均需验证。 注销主体 主体负责人验证。 暂时无需验证。验证开放时间待定。 注销网站 无需验证。 暂时无需验证。验证开放时间待定。 取消接入 无需验证。 暂时无需验证。验证开放时间待定。 验证码有效时长： 验证码 24 小时以内有效。您需在 24 小时内，访问公共查询网站，并输入证件号码、验证手机号和验证码进行验证。 手机号码短信验证通过后，您的备案信息将流转至管局审核。 若 24 小时内，没有进行验证或验证失败，备案信息将会自动退回至接入商（天翼云）。需您重新提交备案申请，再次进入短信验证流程。完成短信验证后，备案申请信息才能递交至省管局审核。 验证码发送号码： 电信、联通、移动用户收到的短信验证码的发送号码为短信验证码的发送号码为12381或10612381。 1. 填写信息：验证码、手机号码、证件号码后六位数，完成图形验证，再单击 提交 。验证通过后，系统提示核验完成。如果您的备案订单中，还有其他需验证的手机号，请继续成。 2. 验证通过后，系统提示核验完成。如果您的备案订单中，还有其他需验证的手机号，请继续完成。 注意： 1、如果您的信息输入错误，或输入的三条信息（证件号码、手机号码、验证码）不匹配，则系统找不到对应的订单。系统提示找不到记录。请核实信息后，重新输入。 2、如果负责人证件号码输错 3 次以后，系统提示短信核验失败。您的备案申请信息将被工信部系统退回。 未收到验证短信，怎么办？ 在天翼云将您的备案信息提交管局审核的后，请注意查收工信部发出的验证短信。一般在 5 分钟内即可收到验证短信。若 5 分钟后仍然没有收到验证短信，请检查： 1、您的手机网络信号是否正常。 2、您是否设置了短信拦截或安装了垃圾短信拦截软件。 解决方法： 1、如果因手机网络信号不正常导致无法接收短信，请移到信号好的地方；或访问公共查询网站进行手动重发送验证短信。 2、如果因您设置了垃圾短信拦截，或安装了拦截软件，请关闭拦截。如果无法关闭拦截，建议您将您的 SIM 卡换至其他手机。 3、如果您误删了验证短信，可访问公共查询网站，进行手动重发。 4、如果您 24 小时未完成短信验证，备案系统会自动退回您的备案申请。您需重新提交备案申请。 如何操作手动重发验证码短信？ 访问公共查询网站，单击网站页面上“短信核验”按钮。 单击 短信重发 ，进入核验短信重发页面。填写您需验证的手机号码和证件号码后 6 位数，然后单击 提交。 发送成功通知：您的短信已发送成功。

操作场景 您可以使用对象分享功能，通过对象的临时URL将存放在OBS中的对象分享给所有用户。 背景知识 文件分享强调临时性，所有分享的URL都是临时URL，存在有效期。 临时URL是由文件的访问域名和临时鉴权信息组成。 临时鉴权信息主要包含 AccessKeyId 、 Expires 、xobssecuritytoken 和Signature 四个参数。其中 AccessKeyId 、xobssecuritytoken 和Signature 用于鉴权，Expires定义鉴权的有效期。 当在OBS控制台上单击了对象后的“分享”之后，OBS就会以默认5分钟的有效期获取临时鉴权信息，并生成分享链接，此时链接就已经生效并且开始计算时间了。每调整一次URL有效期，OBS就会重新获取一次鉴权信息以生成新的分享链接，新链接的有效期从调整的时候开始计算。 约束与限制 通过OBS控制台分享的文件，有效期的范围为1分钟到18小时。如果想要设置更长的有效期，建议使用客户端工具OBS Browser+，OBS Browser+支持1分钟到30天的有效期。如果想要设置永久的权限，请通过桶策略或对象策略实现。 仅桶版本号为3.0的桶支持文件分享功能。桶版本号可以在桶概览页的“基本信息”中查看。 加密对象不能分享。 归档存储对象需恢复后才能分享。 操作步骤 步骤 1 在桶列表单击待操作的桶，进入“对象”页面。 步骤 2 选中待分享的文件，并单击右侧的“分享”。 此时，链接信息中的链接就已经生效并开始计时，有效期为默认的5分钟。修改URL有效期，链接会相应变化，新链接的有效期从修改时开始计算。 步骤 3 URL相关操作。 单击“打开URL”，将在新页面打开文件进行预览或者直接下载文件到本地。 单击“复制链接”，您可以将该链接分享给所有用户，用户可以在浏览器中通过此链接直接访问文件。 单击“复制路径”，您可将该路径分享给所有拥有对象所在桶权限的用户，用户可以在对应桶中的文件搜索框中输入该路径搜索并访问文件。 说明 在“URL有效期”内，任何用户都可以访问该文件。

本文介绍跨域备份相关内容。 跨域备份 仅限备份空间为对象存储的实例开启跨域备份，该功能默认不开放，如需使用，请提交工单申请。 跨地域备份默认不开启，您可以根据需要选择是否开启。 历史备份开关默认不开启，开启历史备份开关意味着已有的历史备份文件将同步至跨域资源池。如果不开启，则只有新增的备份会同步至跨地域资源池。 目前支持设置跨域备份的资源池有：华东1、西南1、华北2，其中华东1资源池实例支持配置西南1作为跨域备份资源池， 西南1资源池实例支持配置华东1作为跨域备份资源池，华北2资源池实例支持配置华东1作为跨域备份资源池。 开启跨域备份后，本地备份（包括自动备份、手动备份，数据备份及日志备份）会同步至跨域资源池。跨域备份实际上是复用对象存储的（异步）复制能力，将对象复制到跨域资源池的对象存储中，因此跨域备份与本地备份之间有一定的延迟。 跨域备份可能涉及存储费用及流量费用，具体请参考备份计费说明。 虽然跨域备份源于本地备份复制，但跨域备份与本地备份独立管理，删除本地备份不影响跨域备份，删除跨域备份也不影响本地备份，提高备份的可靠性，本地备份和跨域备份可以设置不同的保留时间。 跨域备份适合于对备份安全性极高的场景或客户需求，一般跨域资源池都是分布在两个相距较远的不同城市。 已成功同步的跨域备份支持生成跨域资源池的下载链接，比如华东1的实例配置了西南1作为跨域资源池，则已成功同步至西南1的跨域备份支持生成西南1域名的下载链接，具体操作请参考下载备份。 如果要删除本地或跨域手动备份，需要分别删除，具体请参考删除手动备份。 已成功同步的跨域备份，支持跨域恢复至新实例，比如华东1的实例配置了西南1作为跨域资源池，则已成功同步至西南1的跨域备份支持恢复到西南1的新实例（开通新实例并恢复数据），具体请参考跨域恢复。