说明：本章节会介绍如何在控制台配置和修改数据库内网地址 操作背景 用户从线下或者其他云迁移到关系型数据库后要面对更改IP的问题，为减少客户业务更改，降低迁移难度。提供规划与更改内网IP方式，降低客户迁移成本。 配置内网IP 在购买实例时，可在“服务选型”页面的网络部分，根据选择的子网自动配置内网地址。 修改内网IP 对于创建完成的关系型数据库实例，支持更改内网地址。 登录管理控制台。 单击管理控制台左上角的，选择区域和项目。 选择“数据库 > 关系型数据库”。进入关系型数据库信息页面。 在“实例管理”页面，选择指定的实例，单击实例名称，进入实例基本信息页面。 在“基本信息”页“连接信息”模块“内网地址”处，单击“修改”。 您也可以在左侧导航栏，单击“连接管理”，在“内网连接”页面中，在“连接信息”模块“内网地址”处，单击“修改”。 在“修改内网地址”弹出框中进行修改。单击“确定”，保存修改内容。 修改内网IP后域名需要几分钟重新解析地址导致数据库连接中断，请在业务停止期间操作。 已使用IP地址列表中使用情况为“待使用”的IP地址表示已被占用，不允许被当前实例使用。

Set the scrape interval to every 15 seconds. Default is every 1 minute. evaluationinterval: 15s Evaluate rules every 15 seconds. The default is every 1 minute.scrapetimeout is set to the global default (10s).Alertmanager configurationalerting: alertmanagers:staticconfigs:targets: alertmanager:9093Load rules once and periodically evaluate them according to the global 'evaluationinterval'.rulefiles: "firstrules.yml" "secondrules.yml"A scrape configuration containing exactly one endpoint to scrape:Here it's Prometheus itself.scrapeconfigs:The job name is added as a label ​job 步骤 4 检查内网域名配置 由于上述配置中的数据上报是通过内网进行数据传输，因此需要确保您的Prometheus所在的主机能够解析内网域名。 步骤 5 重新启动Prometheus。 步骤 6 可通过grafana查询指标数据的方法，来验证上述配置修改后数据上报是否成功。

本文介绍全站加速产品的优势。 全站加速产品的优势主要体现在以下几个方面： 极简的运维部署 零部署：一键CNAME接入, 即可实现动静混合的站点加速，无需改变网站拓扑，无需拆分动静态域名。 零运维：以云原生技术为“内核”，秉承DevOps理念，实现开发、测试、运维自动化。 极致的加速体验 优质的资源覆盖： CN2和163互备支撑，所有节点和IDC出口并行，避免峰值带宽拥堵。 动静分离，智能高效：智能分离动静态内容，静态内容就近缓存分发，动态内容AI选路传输回源。 传输优化：基于先进的内核技术及自研的私有协议，大幅提升传输效率。 多业务加速：支持http/https协议加速、上传加速、websocket加速、IPv6升级等。 安全可靠的传输保障 访问控制：支持设置IP黑白名单、Referer防盗链、UA黑白名单、URI黑白名单等进行访问控制。 安全传输：通过私有传输协议、https加密传输、无私钥驻留等技术，保障全站加速传输安全。 可靠传输：智能切换故障链路，保证数据传输可靠性。 全方位的售后服务 技术支持：一对一专属项目经理，724小时技术支持。 精准调度：全网节点实时监控，基于质量的精准调度。 服务保障：全面的源站性能监控及多种负载均衡策略，保障服务不中断。

本章介绍天翼云关系型数据库如何查看和修改内网地址 操作场景 用户从线下或者其他云迁移到关系型数据库后要面对更改IP的问题，为减少客户业务更改，降低迁移难度。提供规划与更改内网IP方式，降低客户迁移成本。 约束限制 修改内网IP后域名需要几分钟重新解析地址导致数据库连接中断，请在业务停止期间操作。 仅支持修改IPv4内网地址。 操作步骤 在购买实例时，可在“服务选型”页面的网络部分，根据选择的子网自动配置内网地址。 对于创建完成的关系型数据库实例，支持更改内网地址。 步骤1 登录管理控制台。 步骤2 单击管理控制台左上角的，选择区域和项目。 步骤3 选择“数据库> 关系型数据库”。进入关系型数据库信息页面。 步骤4 在“实例管理”页面，选择指定的实例，单击实例名称，进入实例基本信息页面。 步骤5 在“基本信息”页“连接信息”模块“内网地址”处，单击“修改”。您也可以在左侧导航栏，单击“连接管理”，在“连接信息”模块“内网地址”处，单击“修改”。 步骤6 填写未被使用的内网地址，单击“是”。已使用IP地址，不能再作为实例的新内网地址。 结束

参数 描述 AccessKeyID OOS对应的AccessKeyID。 SecretAccessKey OOS对应的SecretAccessKey。 Endpoint OOS的Endpoint。详见“OOS具体地区与域名对应关系表”。 Region OOS的Endpoint的对应Region。详见“OOS具体地区与域名对应关系表”。 withPathStyleAccessEnabled 请求的DNS格式。 取值： false：路径格式（ true：虚拟主机格式（ 默认为false。 withChunkedEncodingDisabled 请求负载时是否禁用分块编码的选项。 取值： false：不禁用。 true：禁用。 默认为false。OOS目前不支持分块编码，因此此项必须设置为true。

字段 说明 请求改写 路径改写 保持原样：请求路径不改写。 静态改写：指定新路径。 正则改写：根据输入的正则表达式和模板进行路径改写。 域名改写 保持原样：不改写域名 静态改写：指定新域名 HTTP方法改写 不改写：不改写HTTP方法。 指定HTTP方法：将请求方式改写为指定HTTP方法。 请求头添加 输入请求头的参数名和参数值，添加指定请求头。 请求头改写 输入请求头的参数名和参数值，将指定请求头的值改写。 请求头移除 输入请求头参数，删除指定参数。

如果开启了弹性防护，但没有产生攻击或攻击峰值没有超过套餐内防护峰值，是否会产生弹性防护费用？ 不会产生。弹性防护为后付费服务，只有触发弹性防护才会产生费用。 即使开启了弹性防护，但是实际没有触发（即攻击峰值没有超过套餐内的防护峰值），那么只会产生套餐包月费用，不会产生额外的费用。 如果所购买的套餐包含20 Gbps的防护带宽、再开启100 Gbps的弹性防护，那么最终的防护能力是多大？ DDoS高防（边缘云版）为用户提供的防护峰值包括套餐内的防护带宽及弹性防护带宽之和。上述情况，用户最终能够防护的攻击峰值大小为120Gbps（20Gbps+100Gbps）。 攻击流量超过弹性防护能力上限会怎样？ 如果攻击流量超过用户可防护的带宽峰值（套餐内的防护带宽和弹性防护带宽之后），将会自动触发所有域名回源2小时（CNAME解析到客户源站地址），2小时后自动解封。 如果套餐内防护带宽为10 Gbps，弹性防护带宽50 Gbps，实际入方向流量只有45 Gbps，如何收费？ 入方向流量小于10 Gbps（套餐内防护带宽）的部分不会额外计费，计算入方向流量超出套餐内防护带宽的部分，即35 Gbps（45 Gbps10 Gbps），收取弹性防护的费用，对应的价格为 3260元/天 。具体费用，请参见计费模式。

计费区域 计费区域：中国内地、全球（不含中国内地）、全球 节点分布信息，详见：节点分布。 计费示例 定价示例1:静态网站 您要使用AOne为小型业务网站提供静态内容加速服务以及攻击检测能力。 假设您每月对外服务，客户访问产生的流量为10GB，且您的终端用户全部在中国大陆境内，可能遭受DDoS攻击，web攻击。 计费项目 用量 费用计算 每月总费用（元） AOne基础版（中国内地）套餐 1 11800元1800元 1800元 总计 1800元 定价示例2:动静态混合网站 针对加速场景同时有动静态内容，如文字，图片，视频等静态可缓存内容，以及接口类、在线交易类需要实时回源的动态内容的加速。您可针对业务域名开启动态加速，以降低网络延迟，智能分离动静态内容，静态内容通过配置缓存提升命中率；动态内容通过动态加速配置多种回源策略（择优回源、轮询回源、保持登录回源等）实现最优路径提速回源。 假设您每月有两个一级域名对外服务，客户访问产生的流量为5T，且您的终端用户全部在中国大陆境内，期间动态请求数用量为2000万次，业务有时会遭受少量的DDoS攻击量，且您还需要waf防护。 推荐订阅AOne高级版（中国内地），其中包含5T加速流量和动态加速能力，以及web防护功能。 计费项目 用量 费用计算 每月总费用（元） AOne高级版（中国内地）套餐 1 13800元3800元 3800 域名扩展包 1 1000元11000元 1000 总计 4800

相关操作 若需要修改添加的攻击惩罚标准，可单击待修改的攻击惩罚标准所在行的“修改”，修改该标准的拦截时长。 若需要删除添加的攻击惩罚标准，可单击待删除的攻击惩罚标准所在行的“删除”，删除该标准。 配置示例Cookie拦截攻击惩罚 假如防护域名“www.example.com”已接入WAF，访问者IP XXX.XXX.248.195为恶意请求，而您需要对来自该IP地址Cookie标记为jsessionid的访问请求封禁10分钟。您可以参照以下操作步骤验证封禁效果。 1. 在“网站设置”页面，单击“www.example.com”，进入域名基本信息页面。 2. 配置防护域名的Cookie流量标识，即“Session标记”。 3. 添加一条拦截时长为600秒的“长时间Cookie拦截”的攻击惩罚标准。 4. 开启攻击惩罚。 5. 添加一条黑白名单规则，拦截XXX.XXX.248.195，且“攻击惩罚”选择“长时间Cookie拦截”。 6. 清理浏览器缓存，在浏览器中访问“ 当XXX.XXX.248.195源IP访问页面时，会被WAF拦截。当WAF检测到来自该源IP的Cookie标记为jsessionid访问请求时，WAF将封禁该访问请求，时长为10分钟。 7. 返回Web应用防火墙管理控制台，在左侧导航树中，单击“防护事件”，进入“防护事件”页面，您可以查看该防护事件。

本文介绍本地网络速度正常但访问HTTPS网站速度慢的问题原因及解决方案。 问题现象 域名接入CDN后，本地网络速度正常，但访问HTTPS网站速度慢。 问题原因 本地网络速度正常情况下，出现该问题，可能是因为HTTPS访问过程中TLS(SSL)建连慢造成。 解决方案 排查方法： 1. 使用HTTP访问，确认HTTP请求有无访问速度慢问题。 在浏览器访问HTTP请求，若页面请求响应快，则确认HTTP请求无访问慢问题。 说明 若HTTPS请求URL为 ，则对应HTTP请求URL为 。 2. 使用HTTPS访问，查看HTTPS请求的TLS(SSL)建连耗时。 步骤一：打开浏览器（以Chrome浏览器为例），按F12进入开发者模式，单击【Network】，在浏览器地址栏输入https访问地址，单击【Waterfall】查看各阶段响应时间： 步骤二：Waterfall中，有一项名为“SSL”的项，即为TLS(SSL)建连时间： 若TLS(SSL)建连时间长，则确认本地网络速度正常情况下，HTTPS慢是由于TLS建连慢导致（图中SSL即指TLS）。 该问题原因，很大可能是TLS握手过程中，客户端需要通过OCSP协议来验证服务器证书耗时过长导致。解决方案是开启OCSP装订功能，OCSP装订功能介绍以及开启，详情请见：OCSP装订。

Web应用防火墙（边缘云版）适用于天翼云以及天翼云外所有用户，包含但不限于网站类业务广泛应用于政府门户、金融证券、电子商务、新闻媒体、游戏、教育等行业的Web应用类安全防护。 应用场景 业务特点 Web应用防火墙（边缘云版）可解决的业务痛点 政企网站 作为政府、企业的互联网信息服务的重要渠道，保障网站的稳定运行是服务提供的关键。 集成各类业务平台，业务接口多。 信息数据量大，用户信息价值高。 对Web类攻击进行多维度识别和防御，防止网站被挂马、篡改影响网站声誉。 智能AI与大数据协同，在现有的防护体系上扩充防护规则，提高防护效果。 降低硬件防护压力，利用边缘云安全、算力优势，减少硬件维护成本。 0day虚拟补丁第一时间生成防护策略，避免漏洞被利用带来负面影响。 金融行业 网站上存在大量的用户敏感信息，非法者利用刷库、撞库等手段获取用户账号信息。 常收到境外攻击团队勒索邮件，遭受攻击较多。 受行业监管要求，金融机构每年定期组织安全演练。 信用卡中心的各种推广活动，引来“羊毛党”通过恶意程序、软件等工具进行营销欺诈。 “云端+本地”双重保障，对攻击进行层层识别和防御，避免数据泄漏造成负面影响。 行业情报共享，不断优化安全防护模板。 爬虫防护，精准的人机识别，在拦截爬虫的同时，保障业务的正常进行。 新闻媒体 对外服务站点多，暴露面广，容易成为黑客突破口。 站点脆弱性未知，存在大量的漏洞未修复。 舆论、监管压力大，受主管、监管单位严格监管。 爬虫、钓鱼重灾区，竞争对手恶意竞争。 CNAME接入防御，自助配置，隐藏并保护源站，保障网站内容不被黑客入侵篡改。 通过业务分析及攻击分析定制防护策略，有效提升防护的精准度。 情报共享，全网攻击数据分析入库，反哺优化护网期间的攻击策略。 提供爬虫和 IP 情报特征，快速识别恶意爬虫行为。 教育行业 大量用户集中访问，高并发易卡顿。 跨区域运营商访问慢。 站点脆弱性未知，漏洞利用风险高。 挂马、数据篡改等事件高发时段。 域名CNAME接入，不改变源站架构，快速接入防护策略。 智能选路，分布式部署，资源弹性扩容，从容应对高并发。 0day漏洞快速修复，避免漏洞被利用带来负面影响。 支持防篡改，以及网站安全监测，提前预警防患于未然。

参数 描述 中间件IP地址或域名 源数据库的IP地址或域名。 端口 源数据库服务端口，可输入范围为1~65535间的整数。 中间件用户名 源数据库DRDS中间件的用户名。 中间件密码 源数据库DRDS中间件用户名所对应的密码。 SSL安全连接 通过该功能，用户可以选择是否开启对迁移链路的加密。如果开启该功能，需要用户上传SSL CA根证书。 说明 最大支持上传500KB的证书文件。 如果不启用SSL安全连接，请自行承担数据安全风险。 数据库实例 根据源库实际的分片数据库，填写对应的数据库信息。

权限 S3 API Action 列举全部桶 ListBuckets zos:AllMyBuckets:List 创建桶 CreateBucket zos:Bucket:Create 获取AK/SK 无 zos:Keys:Get 资源包管理 无 zos:ResourceBundles:Get 查看接入管理（VPC） 无 zos:VPC:Get 设置接入管理（VPC） 无 zos:VPC:Put 用户数据统计 无 zos:UserUsage:Get 获取桶数据统计 无 zos:BucketUsage:Get 查询Endpoint 无 zos:Endpoint:Get 查询桶的自定义域名 无 zos:BucketDomain:Get 设置桶的自定义域名 无 zos:BucketDomain:Put 获取桶位置 无 zos:BucketLocation:Get 设置桶配额 无 zos:BucketQuota:Put 设置访问控制 无 zos:AccessControl:Put

参数 描述 应用名称 以中英文开头，支持中文、大小写字母、数字、下划线、中划线，长度为2~32个字符。 应用类型 若选择网站域名，则需要输入访问地址，支持网站名称（例如：www.ctyun.cn）或域名格式（例如：ctyun.cn）； 若选择五元组，则需要填写协议类型、源地址、源端口范围、目的地址、目的端口范围等信息，配置源/目的端口范围时，请先指定协议类型（TCP或UDP）；不配置协议或协议类型为ICMP时，不支持配置源/目的端口范围。 所属应用组 选择您新建的应用组。

通过控制台“AI风险概览”为您呈现推理安全、语料安全、环境安全的风险态势。 操作场景 AI风险概览实时为您呈现大模型合规态势，支持大模型的数据语料风险运营、推理业务风险运营和环境安全风险运营，实时呈现大模型的风险概览，助您识别大模型风险和潜在威胁。 推理安全：基于WAF攻击日志和访问日志，分析呈现大模型接口的调用请求次数、调用请求命中防护策略数、以及命中防护策略数排名前5的推理模型域名和数量、提示词注入的攻击分布、推理模型攻击类型分布等。 语料安全：基于DSC告警日志，分析呈现大模型中的语料风险类别和数量、TOP5语料风险资产分布等。 环境安全：基于态势感知（专业版）基线检查、漏洞管理、告警管理功能，分析呈现当前工作空间的TOP5合规检查风险、TOP5漏洞风险、TOP5告警和最近攻击列表。 前提条件 推理安全 依赖Web应用防火墙 WAF服务，在使用AI风险概览的推理安全功能模块前需要确保Web应用防火墙 WAF服务在有效使用期内，且仅WAF云模式支持。 语料安全 依赖数据安全中心DSC服务，在使用AI风险概览的语料安全功能模块前需要确保大模型数据安全防护在有效使用期内。 已经在态势感知（专业版）控制台接入“WAF攻击日志”，“WAF访问日志”和“DSC告警日志”。接入云服务日志请参见接入日志数据。 仅态势感知（专业版）专业版支持。

本节介绍通过业务Cookie和HWWAFSESID联合配置限制恶意抢购、下载等的最佳实践。 业务场景 场景一： 限制同一个账号切换IP、终端的恶意请求（抢购、下载等）。 防护措施：使用业务 Cookie（或者用户id）基于路径配置CC限速。 场景二： 限制恶意人员在同一个PC多个账号不停切换的恶意请求（抢购、下载等）。 防护措施：使用HWWAFSESID基于路径配置CC限速。 使用业务Cookie（或者用户id）基于路径配置CC限速 步骤 1 登录管理控制台，将您的网站成功接入到WAF。独享模式添加域名的方法：网站接入WAF。 步骤 2 在目标域名所在行的“防护策略”栏中，单击“已开启N项防护”，进入“防护策略”页面。 步骤 3 在“CC攻击防护”配置框中，确认“CC攻击防护”的“状态”为“开启”，单击“自定义CC攻击防护规则”，进入CC防护规则配置页面。 步骤 4 在“CC攻击防护”规则配置页面左上角，单击“添加规则”。 步骤 5 根据业务情况，使用业务Cookie（或者用户id）基于路径配置CC限速。根据实际情况配置参数。 步骤 6 单击“确认”，完成配置。 使用HWWAFSESID基于路径配置CC限速 步骤 1 登录管理控制台，将您的网站成功接入到WAF。独享模式添加域名的方法：网站接入WAF。 步骤 2 在目标域名所在行的“防护策略”栏中，单击“已开启N项防护”，进入“防护策略”页面。 步骤 3 在“CC攻击防护”配置框中，确认“CC攻击防护”的“状态”为“开启”，单击“自定义CC攻击防护规则”，进入CC防护规则配置页面。 步骤 4 在“CC攻击防护”规则配置页面左上角，单击“添加规则”。 步骤 5 根据业务情况，使用HWWAFSESID基于路径配置CC限速。 “用户标识”：选择“Cookie”，配置为“HWWAFSESID”。 其他参数根据业务实际情况进行配置。 步骤 6 单击“确认”，完成配置。

请求分析图表 请求分析图表展示请求趋势图，包含请求次数、QPS、带宽、响应码随时间变化的趋势。 不同趋势数据的说明如下： 请求次数：包含全部请求次数、全部攻击次数、Web入侵防护次数、CC安全防护次数、精准访问防护次数、地域访问控制防护次数、BOT防护次数、黑白名单防护次数、防敏感信息泄露防护次数、Cookie防篡改防护次数、攻击惩罚防护次数随时间的变化趋势。 QPS：包含全部请求QPS、全部攻击QPS、Web入侵防护QPS、CC安全防护QPS、精准访问防护QPS、地域访问控制QPS、BOT防护QPS、黑白名单QPS、防敏感信息泄露QPS、Cookie防篡改QPS、攻击惩罚QPS随时间的变化趋势。 带宽：包含入方向带宽和出方向带宽（单位：bps）随时间的变化趋势。 响应码：包含WAF返回给客户端、源站返回给WAF的5XX、405、499、302、404等异常响应码的数量随时间的变化趋势。 攻击事件分布 攻击事件分布可以展示域名受到攻击的分布、以及各类排行分析图。 各图表具体含义如下： 攻击类型：可查看指定域名被攻击的类型的数量占比。 受攻击防护对象TOP10：受攻击统计次数Top 10的域名以及各域名受到攻击次数的占比。 攻击源IP TOP10：攻击统计次数Top 10的攻击源IP以及各源IP发出攻击次数的占比。 受攻击URL TOP10：受攻击统计次数Top 10的URL以及各URL受攻击次数的占比。 攻击来源区域TOP10：攻击次数Top 10的地区以及各地区发起攻击次数的占比。 业务异常监控TOP10：业务异常的Top 10防护网站。可以按响应码查看业务异常的防护网站。

内网DNS服务当前免费使用。

本页介绍了SSL证书产品的试用规则。 OV证书、DV单域名证书和EV证书均不提供试用。

本文介绍状态码过期时间的配置方法。 功能介绍 全站加速节点从源站获取资源时，源站会返回响应状态码。针对3xx、4xx、5xx特殊状态码，您可以在天翼云上配置状态码过期时间，当客户端再次请求相同资源时，未过期时间内将由全站加速节点直接响应状态码，不会触发回源，减轻源站压力。当状态码在全站加速节点上的缓存时长超过设置的过期时间，缓存的状态码会失效，此时针对同一资源的请求需要回源。 典型场景：文件A在源站已被删除，但客户端仍持续访问，全站加速节点没有缓存文件A，所有针对文件A的请求都将被转发回源，由源站响应404状态码，这将会大幅增加源站的压力。如果全站加速节点上配置了缓存404状态码，那么全站加速节点针对文件A的请求首次回源后，会缓存404状态码，在预设缓存时间内，当客户端再次请求文件A时，将会由全站加速节点直接响应404状态码，无需回源。 注意 未配置状态码过期时间时，默认5xx不缓存，4xx遵循源站缓存。配置状态码过期时间后，全站加速将忽略源站相关缓存头，按照客户控制台设置的过期时间缓存。其中，源站相关缓存头包括Pragma:nocache、CacheControl、Expires，同时存在时，其优先级从高到低为：Pragma:nocache、CacheControl:nocache/private/nostore > CacheControl:maxagen(n>0) > Expires。 配置说明 1. 登录客户控制台。 2. 单击左侧导航栏【域名管理】【域名列表】。 3. 在【域名列表】页面，找到目标域名，单击【操作】列的【编辑】。 4. 单击右侧【缓存配置】。 5. 在【状态码缓存】下方单击【增加规则】，配置状态码过期时间。 6. 点击【保存】，完成配置。 参数名 说明 过期时间 对应状态码的过期时间，值为具体数字；单位可选择秒、分钟、小时、天。 状态码 需要缓存的特殊状态码，支持多个，使用逗号“,”分割；支持范围 3xx,4xx,5xx。 3xx：301、302等（不支持304）； 4xx：401、403、404、405、407、414等； 5xx：500、501、502、503、504、509、514等。

Cookie签名 针对Cookie进行签名，会新增一个Cookie签名字段，原始Cookie内容正常发送给用户，当客户端Cookie内容进行了修改，请求在WAF端签名校验不通过，该请求将被拦截。 前提条件 已经订购边缘安全加速平台安全与加速服务，若未订购，请参见服务开通。 在控制台新增域名，请参见添加服务域名。 开通套餐为高级版及以上版本，支持Cookie防护相关功能。 操作步骤 1. 登录边缘安全加速平台控制台。 2. 在左侧导航栏中选择【安全能力】，进入【Web应用防火墙】菜单，并在左侧域名列表选择您要防护的域名。 3. 进入防护能力高级安全防护【Cookie防护】详细设置页。 配置说明 防护开关 控制策略生效的总开关，可以选择关闭、告警或拦截，关闭后Cookie防护将不生效。 防护条件 配置项 说明 Cookie key 值 设置需要防护的Cookie名称，Cookie必须有参数值，例如：setcookie: SFcookie11ENCRYPTCOOKIE1988262423afZ5ZEIzbEL%3D; Secure; SameSiteStrict, 只有SFcookie11、SameSite可配置为key 防护方式 支持选择加密与签名两种防护方式，需要配置防护动作与防护过渡期 加密：对Cookie值进行加密，客户端查看到的值为加密后的内容 签名：给Cookie值加签名字段，签名方式可选 UA：使用该方式签名，客户UA变换后，Cookie签名验证将不通过 IP+HOST+UA：泛域名模式下，加签HOST字段 IP+UA：使用该方式签名，客户IP或使用浏览器改变后，使用之前Cookie防护验证不通过 IP：使用该方式签名，客户ip变换后，Cookie签名验证将不通过 防护动作 拦截/清除 拦截：Cookie值检测不通过将拦截请求，并清除Cookie 清除：Cookie检测不通过清除该Cookie回源，总开关为拦截，防护动作为清除，最终效果仍为清除 防护过渡期 在过渡期内（即在配置的时间之前），检测失败不会进行拦截，只会清除Cookie值，重新登录后将下发新的Cookie值 Cookie属性 支持选择HTTP Only和secure 设置后Cookie不允许js读取，有效防止xss盗取客户Cookie，配置后，Cookie响应头部增加值Http Only，若源站响应已存在Http Only，会同时存在 secure：Cookie设置为secure的时候，客户端只能通过https协议发送Cookie，无法通过http发送

参数 描述 中间件IP地址或域名 源数据库DRDS中间件的IP地址或域名。 端口 源数据库DRDS中间件服务端口，可输入范围为1~65535间的整数。 中间件用户名 源数据库DRDS中间件的用户名。 中间件密码 源数据库DRDS中间件用户名所对应的密码。 SSL安全连接 通过该功能，用户可以选择是否开启对迁移链路的加密。如果开启该功能，需要用户上传SSL CA根证书。 说明 最大支持上传500KB的证书文件。 如果不启用SSL安全连接，请自行承担数据安全风险。 数据库实例 根据源库实际的分片数据库，填写对应的数据库信息。

本文简述如何配置html禁止操作。 功能介绍 html禁止操作，支持在客户控制台自助进行html页面的禁止右键操作和禁止复制操作，以防止源站的源码泄露。 配置说明 域名新增完成后，方可配置html禁止操作的功能，操作步骤如下： 1. 登录边缘安全加速控制台。 2. 在接【域名】【基础配置】页面，点击目标域名。 3. 进入设置页面，单击“编辑配置”，选择“页面优化”下的“html禁止操作”配置进行相关配置。 配置界面 html禁止操作默认关闭，打开开关后，可按后缀名、目录、首页、全部文件、全路径文件粒度开启禁止复制或者禁止右键，也可同时开启禁止复制及禁止右键功能。 参数说明 参数名 说明 html禁止操作 html禁止操作总开关，默认关闭，开启后可按后缀名、目录、首页、全部文件、全路径文件粒度开启禁止复制或者禁止右键，也可同时开启禁止复制及禁止右键功能。 类型 选择按什么粒度开启禁止复制、禁止右键功能。 内容 按照选择的类型，填写对应的内容，如后缀名填写内容：jpg,png,css。 禁止复制 html禁止操作开启后，禁止复制功能默认开启，可按需关闭，但html禁止操作开启后，禁止复制和禁止右键至少开启一项。禁止复制功能开启后，html页面将禁用复制。 禁止右键 html禁止操作开启后，禁止右键功能默认开启，可按需关闭，但html禁止操作开启后，禁止复制和禁止右键至少开启一项。禁止右键功能开启后，html页面将禁用右键。

本文将向您介绍如何使用边缘安全加速平台安全与加速服务提供的Bot人机识别功能。 功能介绍 边缘安全加速平台安全与加速服务提供的人机识别模块支持Cookie挑战、跳转挑战、人机挑战等一系列反爬能力，帮助客户及时且精准地拦截爬虫流量，保障网站业务安全。 注意 目前控制台尚未开放人机识别功能，如有防护需求请通过 前提条件 已经订购边缘安全加速平台安全与加速服务，若未订购，请参见服务开通。 在控制台新增域名，请参见添加服务域名。 购买Bot防护扩展服务，支持Bot防护相关功能。 人机识别功能 Cookie基础检测 客户端标识检测：客户端标识检测是Bot防护第一检测策略，校验下发的Cookie个数和完整性，无客户端标识、客户端标识缺失、客户端标识解析失败都需要配置。 无客户端标识：针对请求没有Cookie的情况进行处理。 处理动作：拦截/告警/跳转/放行。 拦截：拦截请求。 告警：仅记录请求。 跳转：GET请求启动302跳转策略，POST请求启动307跳转策略。 放行：不对该异常做处理，另外不会再校验其他的BOT防护规则。 统计粒度：静态Cookie/IP+UA/IP。 触发条件：达到触发条件的请求将对其执行处理动作，并支持配置处理动作持续时长（触发规则后的惩罚时间）。 客户端标识缺失：针对请求带回Cookie个数小于下发的个数（最多会下发四个）进行处理。 客户端标识解析失败：针对失败解析Cookie的情况下进行处理。 其他字段： 客户端标识过期时间：默认15天，单位天，最大值365天。 白名单：即例外条件，符合条件的请求不进行功能检测。

参数 说明 服务 选择【自定义】 服务器 域名+发布点，例如rtmp://pushtest.ctyun.cn/live/ 串流密钥 流名

类型 描述 域名管理 包含了域名增删改查等API。 证书管理 包含了证书增删查等API。 回调配置 包含了录制截图审核等信息回调API。 直播媒体处理 包含了转码录制截图审核增删改查等API。 统计分析 包含了带宽、流量、状态码、在线人数、转码用量、录制用量、截图用量等统计分析数据查询API。 直播流管控 包含了禁播、解禁和断流等相关操作API。 预拉取服务 包含了预拉取增删改查等API。 日志下载 包含了查询下载离线日志的API。 账单服务 包含了账单、用量查询等API。

组成部分 类型 描述 独享型 共享型 转发规则 域名 触发转发的域名，仅支持精确域名。 √ √ 转发规则 URL 触发转发的URL。 URL的匹配规则有：精确匹配、前缀匹配、正则匹配。 √ √ 转发规则 HTTP请求方法 触发转发的HTTP请求方法。 主要有：GET、POST、PUT、DELETE、PATCH、HEAD、OPTIONS。 √ ╳ 转发规则 HTTP请求头 触发转发的HTTP请求头。 请求头是键值对的形式，需要分别设置值。 √ ╳ 转发规则 查询字符串 当请求中的字符串与设置好的转发策略中的字符串相匹配时，触发转发。 √ ╳ 转发规则 网段 触发转发的请求网段。 √ ╳ 动作 转发至后端主机组 如果满足转发策略条件，则将请求转发至配置好的后端主机组。 √ √ 动作 重定向至监听器 如果满足转发策略条件，则将请求转发至配置好的监听器上。 √ ╳ 动作 添加重定向至URL 如果满足转发策略条件，则将请求重定向至配置好的URL。 客户端访问ELB网址A后，ELB返回302或者其他3xx返回码和目的网址B，客户端自动跳转到网址B，网址B可自定义。 √ ╳ 动作 返回固定响应 如果满足转发策略条件，则返回固定响应。 用户访问ELB实例后，ELB直接返回响应，不向后端主机继续转发，返回响应的状态码和内容可以自定义。 √ ╳

参数 类型 是否必传 名称 描述 starttime int 是 开始时间戳 起始时间，时间戳(秒)。 endtime int 是 结束时间戳 结束时间，时间戳(秒)。 interval string 否 时间粒度 时间粒度，目前支持1m，5m，1h和24h，默认5m。 producttype List< string> 否 产品类型列表 产品类型列表，不传默认名下所有产品，可多个产品类型，作为统计筛选项。支持：“001”(静态加速)，“003”(下载加速),“004”(视频点播加速),“008”(CDN加速),“014”(下载加速闲时) domain list< string> 否 域名列表 域名，不传默认名下所有域名，可多个域名，作为统计筛选项。 province list< int> 否 省编码列表 省编码，不传默认所有省份，可多个省编码，作为统计筛选项， isp list< string> 否 运营商编码列表 运营商编码，不传默认所有运营商，可多个运营商编码，作为统计筛选项， networklayerprotocol string 否 网络层协议 网络层协议，不传默认所有网络层协议，支持作为统计筛选项，可以为ipv4、ipv6，other。 applicationlayerprotocol string 否 应用层协议 应用层协议，不传默认所有络层协议，支持作为统计筛选项，可以为http，https，quic，other。 abroad int 否 区域 区域，枚举值：国内(0)，国外(1)，北美（201），欧洲（202），亚太1区（203），亚太2区（204），亚太3区（205），中东&非洲（206），南美（207）；不传或为空默认返回全部区域 groupby list< string> 否 结果聚合维度 指标在计算结果的聚合维度，不传或为空默认按照时间粒度聚合，可多个统计维度，可以为producttype，domain，province，isp，networklayerprotocol，applicationlayerprotocol，abroad。 continentcode list< int> 否 大洲编码 枚举值：亚洲（200），大洋洲（201），非洲（202），欧洲（203），美洲（204）；不传或为空默认全部大洲 continentregioncode list< int> 否 州大区编码 不传或为空默认全部洲大区；continentcode和continentregioncode参数同province参数互斥，即不允许同时传参，

检查是否与分片回源设置有关 通常情况下，针对较大文件，开启分片回源功能有助于提升回源效率，降低因回源链路网络拥塞造成的下载速度慢等问题。开启分片回源后，CDN节点将按照固定的分片大小以Range请求方式回源。但如果源站文件实际较小，例如大多小于10MB，则开启分片回源反而会降低回源效率，造成多次回源，命中率下降。 注意 请在新增域名时明确是否开启分片回源，以及开启分片回源的具体分片大小；一旦域名CNAME至我司产生流量后，建议不要轻易变更分片回源功能的分片大小，否则过渡期间可能会产生较高回源，命中率下降；如确实有调整需求，请提交工单联系天翼云客服处理，详情请见： 源站是否设置了多副本缓存 多副本缓存是指源站响应头中包含vary头，且值为AcceptEncoding或UserAgent等时，以值为AcceptEncoding为例，意味着源站针对AcceptEncoding请求头值不同时，会给出不同的响应体，因此要求CDN节点缓存成不同份文件，即多副本的方式来缓存。这样会导致同个URL请求，CDN节点将回源多次，造成命中率降低。 是否存在频繁刷新 在CDN控制台上操作刷新文件或目录时，会造成所有CDN节点回源，也会导致命中率下降。

本文介绍视频直播加速服务中播放地址和转码播放地址的生成规则。 前提条件 已开通视频直播服务。 已添加推拉流场景下的拉流域名，详细信息请参见：添加加速域名。 已配置CNAME。 如果是播放转码流，则已配置好转码模板并将转码模板绑定到对应的拉流域名，详细操作请参见：直播转码。 播放地址生成规则 生成规则 天翼云视频直播支持RTMP、HLS和FLV三种格式的直播拉流，对应播放地址的生成规则如下所示： RTMP格式：rtmp://拉流域名/AppName/StreamName HLS格式：http(s)://拉流域名/AppName/StreamName.m3u8 FLV格式：http(s)://拉流域名/AppName/StreamName.flv 字段 说明 拉流域名 在直播控制台添加的拉流域名。 AppName 发布点，即直播的应用名称，指直播流媒体文件的存放路径。默认为“live”，可根据实际需要自定义。AppName支持大小写字母、数字、下划线和中划线。 StreamName 流名，通常与域名和发布点一起唯一标识一路流。StreamName支持大小写字母、数字、下划线和中划线。 示例 假设拉流域名为"pull.ctyun.cn"、AppName为"live"、StreamName为"ctyun1"，则不同格式的播放地址为： RTMP格式：rtmp://pull.ctyun.cn/live/ctyun1 HLS格式：http(s)://pull.ctyun.cn/live/ctyun1.m3u8 FLV格式：http(s)://pull.ctyun.cn/live/ctyun1.flv

3.1. 基本使用 使用 SDK访问云日志服务，需要设置正确的 AccessKey、SecretKey 和endpoint，所有的服务可以使用同一 key 凭证来进行访问，但不同的服务地区需要使用不同的 endpoint 进行访问，详情参考天翼云官网SDK接入概述。在调用前SDK，需要已知以下参数： 云日志服务访问地址。详情请查看访问地址（Endpoint）。 key凭证：accessKey和secretKey 。详情请查看如何获取访问密钥（AK/SK）。 日志项目编码：logProject，在使用SDK前，需要确保您有至少一个已经存在的日志项目。 日志单元编码：logUnit，在使用SDK前，需要确保日志项目中有至少一个已经存在的日志单元。 待上传的日志：logItem，在使用SDK前，需要确保日志已按照特定格式组织。 参数 参数类型 描述 是否必须 endpoint string 域名，详情参考天翼云官网 是 accessKey string AccessKey，简称ak 是 secretKey string SecretKey ，简称sk 是 logProject string 日志项目编码 是 logUnit string 日志单元编码 是 示例代码：SDK日志上传 plaintext using Ctyun.LTS.LOG.Data; using Ctyun.LTS.LOG.Response; namespace Ctyun.LTS.LOG.Example { class SamplePutLogs { public static void Main() { string endpoint "your endpoint"; string accessKey "your accessKey"; string secretKey "your secretKey"; string logProject "your logProject"; string logUnit "your logUnit"; List logItems new List (); for (int i 1; i < 10; ++i) { LogItem logItem new LogItem(); logItem.OriMsg ".NET SDK"; logItem.PushBackContents("errorstring", "invalid operation"); logItem.PushBackContents("content.Int", 12345); logItem.PushBackContents("contentdouble", 3.1415926); logItem.PushBackLabels("usertag", "string"); logItems.Add(logItem); } try { LogClient client new LogClient(endpoint, accessKey, secretKey); for (int i 0; i < 10; i++) { PutLogsResponse response client.PutLogs(logProject, logUnit, logItems); Console.Write(i); response.Print(); } } catch (LogException le) { le.Print(); } catch (Exception e) { Console.WriteLine(e); } } } }

本文主要介绍创建节点。 前提条件 已创建至少一个集群。 您需要新建一个密钥对，用于远程登录节点时的身份认证。 若使用密码登录节点，请跳过此操作。 约束与限制 为了保证节点的稳定性，CCE集群节点上会根据节点的规格预留一部分资源给Kubernetes的相关组件（kubelet、kubeproxy以及docker等）和Kubernetes系统资源，使该节点可作为您的集群的一部分。 因此，您的节点资源总量与节点在Kubernetes中的可分配资源之间会存在差异。节点的规格越大，在节点上部署的容器可能会越多，所以Kubernetes自身需预留更多的资源，详情请参见节点预留资源计算公式。 节点的网络（如虚机网络、容器网络等）均被CCE接管，不允许用户自行添加删除网卡或改变路由，若自行修改，CCE不保证服务可用。例如，节点上名为的gw11cbf51a@eth0网卡为容器网络网关，不可修改。 节点购买后如需对其进行升级或降低规格等操作，请将节点关机后进行变更，也可以重新购买节点后，将老节点删除。 创建节点过程中会使用域名方式从OBS下载软件包，需要能够使用云上内网DNS解析OBS域名，否则会导致创建不成功。为此，节点所在子网需要配置为内网DNS地址，从而使得节点使用内网DNS。在创建子网时DNS默认配置为内网DNS，如果您修改过子网的DNS，请务必 确保子网下的DNS服务器可以解析OBS服务域名 ，否则需要将DNS改成内网DNS。 集群中的节点一旦创建后不可变更可用区。 集群开启IPv4/IPv6双栈时，所选节点子网不允许开启DHCP无限租约。