本文主要介绍分布式消息服务RabbitMQ的产品优势。 天翼云分布式消息服务RabbitMQ完全兼容开源社区版本，旨在为用户提供便捷高效的消息队列。业务无需改动即可快速迁移上云，为您节省维护和使用成本。 一键式部署，免去集群搭建烦恼 专享实例只需要在实例管理界面选好规格配置，提交订单，后台将自动创建部署完成一整套RabbitMQ实例。 兼容开源，业务零改动迁移上云 兼容社区版RabbitMQ的API，具备原生RabbitMQ的所有消息处理特性。 业务系统基于开源的RabbitMQ进行开发，只需加入少量认证安全配置，即可使用天翼云分布式消息服务RabbitMQ，做到无缝迁移。 说明 RabbitMQ实例兼容开源社区RabbitMQ 3.8.35版本。 独占式体验 RabbitMQ实例采用物理隔离的方式部署，租户独占RabbitMQ实例，每个RabbitMQ之间互不影响。 高性能 单队列性能最高可达10万TPS（默认配置），增加队列可获得更高性能。 数据安全 独有的安全加固体系，提供业务操作云端审计，消息存储加密等有效安全措施。 在网络通信方面，除了提供SASL认证，还借助虚拟私有云（VPC）和安全组等加强网络访问控制。 无忧运维 天翼云提供一整套完整的监控告警等运维服务，故障自动发现和告警，避免724小时人工值守。RabbitMQ专享实例自动上报相关监控指标，如分区数、主题数、堆积消息数等，并支持配置监控数据发送规则，您可以在第一时间通过短信、邮件等获得业务消息队列的运行使用和负载状态。

终端节点和访问域名 终端节点（Endpoint）：OBS为每个区域提供一个终端节点，终端节点可以理解为OBS在不同区域的区域域名，用于处理各自区域的访问请求。 访问域名：OBS会为每一个桶分配默认的访问域名。访问域名是桶在互联网中的域名地址，可应用于直接通过域名访问桶的场景，比如：云应用开发、数据分享等。 OBS桶访问域名的结构为：BucketName.Endpoint。其中BucketName为桶名称，Endpoint为桶所在区域的终端节点（区域域名）。 除了桶访问域名外，下表列出了与OBS相关的其他域名的结构、协议类型等信息，以便您全面地了解OBS域名。 域名类型 域名结构 说明 协议类型 区域域名 Endpoint 不同的区域分配各自对应的域名，即各区域的终端节点。请向企业管理员获取区域和终端节点信息。 HTTPS/HTTP 桶访问域名 BucketName.Endpoint 桶创建成功后，可以使用桶访问域名来访问桶。您可以根据访问域名结构自行拼接，也可以通过在OBS管理控制台、OBS Browser+上查看桶基本信息获取。 HTTPS/HTTP 对象访问域名 BucketName.Endpoint/ObjectName 对象上传到桶中后，可以使用对象访问域名来访问桶中的指定对象。您可以根据访问域名结构自行拼接，也可以通过在OBS管理控制台、OBS Browser+上查看对象属性获取。 HTTPS/HTTP 静态网站访问域名 BucketName.obswebsite.Endpoint 桶配置为静态网站托管时，桶的静态网站访问域名。 HTTPS/HTTP

本节介绍了如何使用Web应用防火墙（边缘云版）的规则防护引擎为您的网站做好WEB应用攻击防护。 应用场景 攻击者经常会采用SQL注入、XSS跨站、Webshell上传、命令注入、后门隔离、非法文件请求、路径穿越、常见应用漏洞攻击等Web攻击手段对网站进行攻击。您的网站接入WAF后，可以通过配置对应的WAF漏洞防护集合规则来抵御这些Web应用类型攻击。 如何配置防护策略 网站接入Web应用防火墙（边缘云版）时，Web应用防火墙（边缘云版）会根据您选择的防护等级和开发语言等选项自动为您选择合适的漏洞防护规则集合，Web应用防火墙（边缘云版）根据不同的漏洞防护规则集合提供不同程度的Web防护效果。每种漏洞集合针对不同的场景进行Web防护，减少正常请求的误报漏报，提高在您选择的场景下的拦截非法请求的成功率。 默认提供七种防护规则集合： 全量防护规则：适用于重保等级高，且允许一定程度误报的业务场景。该漏洞规则集防护包含全量规则，绝大部分规则处理动作为拦截（网站防护模式为拦截时则直接进行拦截）。 敏感防护规则集：适用于常规网站，且允许少量误报的业务场景。该漏洞规则集防护等级较为严格，容易误报的规则处理动作为告警，其他规则处理动作为拦截（网站防护模式为拦截时则直接进行拦截），存在一定误报可能性。 宽松防护规则集：适用于常规网站，允许存在一定漏报的业务场景。该漏洞规则集防护等级较为宽松，关闭容易产生误报的规则，可能存在一定漏报。 PHP防护规则集：适用于后台开发语言为PHP的网站业务。该漏洞规则集主要针对后台语言为PHP进行制定，关闭其他容易产生误报的规则。 JAVA防护规则集：适用于后台开发语言为JAVA的网站业务。该漏洞规则集主要针对后台语言为JAVA进行制定，关闭其他容易产生误报的规则。 非PHP和JAVA防护集：适用于后台开发语言明确非PHP和JAVA网站业务。该漏洞规则集主要针对后台语言为非PHP和JAVA进行制定，关闭其他容易产生误报的规则。 下载类业务规则集：适用于下载类业务，即包含zip、rar、tar、gz等下载类后缀的业务网站。该漏洞规则集主要针对下载类业务进行设定规则，关闭其他容易产生误报的规则。 关于域名规则开关的选项说明： 关闭：关闭规则防护，不会对Web攻击进行有效拦截和记录。 告警：Web应用防火墙（边缘云版）不会拦截任何Web攻击，仅会根据域名规则匹配到的Web攻击记录到攻击日志。 拦截：Web应用防火墙（边缘云版）会根据域名规则内容匹配，如果请求与域名规则匹配上会拦截请求，并记录到攻击日志中。 需要注意的是，Web应用防火墙（边缘云版）防护引擎是否会根据防护规则对攻击进行拦截，受防护总开关和域名规则开关的影响，仅在域名防护总开关与域名规则开关均为开启时生效。当您需要Web应用防火墙（边缘云版）根据防护规则及时拦截Web应用攻击时，您需要在“安全基础配置”页面设置防护模式为开启，处理动作修改为拦截，并且在“域名规则”页面将域名规则开关设置成拦截。 防护模式和处理动作配置如下图： 域名规则开关如下图： 当您需要修改某个域名子规则的处理动作，例如域名子规则5111的处理动作由告警修改为拦截状态时，可以通过提交工单，联系天翼云安全专家进行处理，联系方式见服务保障。除了控制全量域名规则的开关，您还可以根据您网站特性，选择一些误报率较高的域名规则进行关闭，减少误报率，如下图：

本章节介绍云主机DNS篡改故障演练。 背景介绍 DNS 篡改是一种常见的攻击手段或配置错误，它会导致域名被错误地解析到非预期的IP地址，从而引发流量劫持、服务中断或数据泄露等风险。本演练通过模拟 DNS 篡改场景，帮助您检验系统的安全防护机制、验证监控告警的有效性，并评估业务在域名解析被劫持时的表现。 基本原理 预先在探针管理处将内部自研Agent安装至云主机上，使用管控通道下发动作执行命令。 原理是通过修改本地DNS解析文件实现。 故障注入 1、纳管实例资源 1. 导航至 故障演练 > 目标应用 > 应用资源页面。 2. 在资源类型页签中选择云主机 ，然后单击添加资源。 3. 在弹出的对话框中，勾选目标云主机 实例，单击确定。 2、编排演练任务 1. 导航至 故障演练 > 目标应用 > 演练管理 页面，单击新建演练。 2. 在基本信息 页面，按提示填写演练名称和描述，然后单击下一步。 3. 在演练对象配置页面： 配置动作组 ：为动作组 命名，资源类型选择云主机。 添加实例 ：单击添加实例 ，勾选上一步中添加的云主机实例。 添加故障动作 ：单击立即添加 ，在列表中选择DNS篡改动作。 4. 在弹出的参数配置框中，配置所需参数，然后单击确定。 持续时间：故障动作持续时间。 域名：待篡改的域名。 映射IP：将目标域名解析到该IP地址。

本小节介绍云解析添加SRV记录操作方法。 使用场景 服务器资源记录。 操作方法 1. 登录控制中心找到云解析产品列表，点击“解析管理”进入域名维护页面。 2. 在域名维护页面，点击要修改的域名进入记录管理页。 3. 单击页面上方的“添加记录”按钮，系统将自动生成一条空白记录。 4. 填写以下信息。 主机记录：格式为“服务的名字.协议的类型”。 记录类型：选SRV记录。 线路类型：通常选择默认（默认为必填项，否则会导致部分用户无法解析）。 记录值：格式为 “优先级 权重 端口 主机名”。 TTL：缓存时间，默认为3600秒。 5. 单击“√”完成记录添加。

本小节介绍Web应用防火墙术语解释。 域名解析 域名解析（Domain Name Resolution）指互联网上服务器相互间通过IP地址来建立通信，但是为了方便记忆，采用域名代替IP地址标识站点地址，让人们通过注册的域名可以方便地访问到业务的一种服务。域名解析就是域名到IP地址的转换过程。 常用域名解析类型： A记录：用来指定域名的IPv4地址。 AAAA记录：用来指定域名的IPv6地址。 CNAM记录：将域名指向另一个域名，再由另一个域名来提供IP地址。最常用CNAME的场景包括使用CDN、云WAF、企业邮箱与高防DDoS等。 MX记录：用于电子邮件系统发邮件时根据收信人的地址后缀来定位邮件服务器。 TXT记录：用于对域名进行标识和说明，进行SPF反垃圾邮件。 Web应用 Web应用（Web Application）指通过浏览器即可访问的应用程序。 源站 源站（Source Application Server）指实际业务所处的站点，通常也代指源站公网IP及后端到达真实应用服务器间的整个网络拓扑环境。 回源IP 回源IP（Return Source IP Address）指开启云WAF防护后，云WAF用来与源站服务器建立网络连接的公网IP地址。 CC攻击 CC攻击（Challenge Collapsar Attack）指攻击者借助自动化工具脚本模拟多个用户持续向网站发送大量合法请求，造成服务器资源耗尽直至业务不可用。 SSL 证书 SSL 证书（Secure Sockets Layer）及其继任者 TLS（Transport Layer Security）是网络通信的一种安全协议，具有服务器身份验证和数据传输加密功能，为互联网间的数据传输提供安全性与完整性保障。SSL证书遵循SSL协议，可安装在服务器上，实现数据传输加密。

本文介绍CC安全报表所展示的数据。 使用场景 业务接入DDoS高防（边缘云版）后，您可以通过CC攻击报表查询CC攻击防护的相关统计数据。 前提条件 已开通DDoS高防（边缘云版）。 开启CC防护配置，并触发产生CC攻击事件。 使用说明 1.登录DDoS高防（边缘云版）控制台。 2.进入【安全分析】【安全报表】【CC安全报表】页面。 查询功能 您可以在CC安全报表头部指定您要查询的域名、时间范围。默认将展示最近7天，用户名下所有域名的统计数据。 报表内容： 说明 卡片栏 展示CC攻击事件数、CC攻击峰值、峰值取值时间、遭受CC攻击的网站数量。 攻击区域分布 国内攻击来源城市分布，按照攻击次数的范围展示为不同的颜色。 威胁事件排序情况：按照攻击次数的从多到少，将攻击来源区域进行TOP10排序，并计算不同攻击来源区域的占比。 攻击趋势 展示被攻击域名的QPS趋势图。 TOP攻击域名 按照请求数从多到少，展示被攻击域名的TOP10排序，并计算请求数的占比。 TOP URL排名 按照请求数从多到少，展示被攻击URL的TOP10排序，并计算请求数的占比。 TOP攻击IP 按照请求数从多到少，展示TOP攻击源IP，并展示其请求次数、区域及运营商。

SSL证书或证书管理服务到期前30天,天翼云将会自动为您续期证书,请配合天翼云验证域名。 约束与限制 手动DNS验证的域名解析只能在您的域名管理平台上进行操作，具体的解析方法以域名服务商提供的解析方法为准。 前提条件 绑定的域名须做实名认证，如果未做实名认证，请前往您的域名服务商处完成域名实名认证。 获取域名验证信息 1. 登录证书管理服务控制台。 2. 选择需要进行域名验证（“状态/申请进度”为“申请审核中待域名验证”）的证书，单击“操作”列的“证书验证”。 3. 在证书验证页面，查看并记录解析记录的记录类型 、主机记录 和记录值。 在天翼云云解析服务器上进行DNS验证 1. 下面以天翼云解析为例，演示为域名添加DNS解析记录过程。如果您域名对应的DNS域名解析服务不在天翼云，请您前往域名对应的DNS域名解析商添加解析记录。 1. 使用域名持有者所在的天翼云账号，登录云解析服务管理控制台。 2. 在需要添加DNS解析记录的域名记录操作列，单击“解析设置”。 3. 在添加记录面板，将域名认证获取到的验证信息进行添加，填写规则参见下表。 参数 填写说明 主机记录 证书的验证信息对话框，域名服务商返回的“主机记录”。 记录类型 证书的验证信息对话框，域名服务商返回的“记录类型”。 线路类型 选择“默认”。 记录值 证书的验证信息对话框，域名服务商返回的“记录值”。 MX优先级 TTL 选择默认值，不作修改。 4. 单击“√”完成记录添加。 2. 成功配置解析记录后，等待CA中心对DNS验证信息进行审核，审核通过后，证书变为“已签发”状态。

本文为您介绍开启IPv6访问功能的前提条件以及操作步骤。 功能介绍 支持网站IPv6访问功能，开启功能开关后，将为您提供IPv4/IPv6双栈服务。 Web应用防火墙（边缘云版）支持全站外链替换功能，能够有效提高网站链接的IPv6支持度。如果您需要解决IPv6天窗问题（提升二、三级链接IPv6支持度），请通过提交工单给天翼云客服，由其人工操作开启。 前提条件 已开通Web应用防火墙（边缘云版） 已新增域名并成功接入WAF，具体操作请见WAF接入 开通基础版及以上版本支持使用IPv6访问功能 操作步骤 1. 登录Web应用防火墙（边缘云版）控制台 2. 在左侧导航栏中选择【域名管理】—【域名列表】，选择您要开启IPv6访问的域名，开启IPv6开关

分布式缓存服务Redis版支持为已创建的实例开启内网域名功能，并可在控制台随时修改内网域名配置。 说明 启用内网域名功能目前为白名单特性， 如需要使用该特性，请联系技术支持开通后使用。 前提条件 已成功开通分布式缓存服务Redis实例，且实例处于运行中状态。 操作步骤 1. 登录 Redis管理控制台。 2. 在管理控制台左上角选择实例所在的区域。 3. 在实例列表页，单击目标实例名称进入实例详情管理。 4. 在连接信息栏，内网域名处，单击"修改" 按钮。 5. 填写目标域名后，单击确定，即开始修改内网域名地址。 说明 如需通过内网域名访问实例，您需更改云主机DNS，使内网域名在VPC内正常解析，具体配置请参考： 配置DNS

参数 字段说明 用户id 用户唯一身份标识，可在统一身份认证控制台查看。 AK/SK 访问云资源时的身份凭证，如何获取请参考： 日志项目（可选） 在云日志服务中创建的日志项目，可参考： 日志项目ID（可选） 提供日志项目对应的日志项目ID，可在云日志服务控制台查看。 日志单元（可选） 在云日志服务中创建的日志单元，可参考： 日志单元ID（可选） 提供日志单元对应的日志单元ID，可在云日志服务控制台查看。 上传域名（可选） 提供需要上传日志至云日志服务的域名，若不提供则上传对应用户下的所有防护域名。 攻击类型（可选） 提供需要上传的防护事件类型，若不提供默认上传所有防护事件类型。 防护事件目前可选择：核心Web攻击事件、CC攻击事件、智能BOT事件、IP/地域黑名单、攻击惩罚。

介绍安全加速产品中常用术语。 CNAME记录 CNAME ( Canonical Name )，即别名，用于把一个域名解析到另一个域名，当DNS系统在查询CNAME 左面的名称的时候，都会转向CNAME右面的名称再进行查询，一直追踪到最后的PTR或A名称，成功查询后才会做出回应，否则失败。例如，您有一台服务器，使用www.ctyun.cn访问，您又希望通过www.example.ctyun.cn1也能访问该服务器，那么就需要在您的DNS解析服务商添加一条CNAME记录，将www.example.ctyun.cn1指向www.ctyun.cn，添加该条CNAME记录后，所有访问www.example.ctyun.cn1的请求都会被转到www.ctyun.cn，获得相同的内容。 CNAME域名 接入CDN时，在天翼云控制台添加完加速域名后，您会得到一个天翼云CDN给您分配的CNAME域名，（该CNAME域名一定是. ctdns.cn）， 您需要在您的DNS解析服务商添加CNAME记录，将自己的加速域名指向这个. ctdns.cn的CNAME域名，这样该域名所有的请求才会都将转向天翼云CDN的节点，达到加速效果。 DNS DNS即Domain Name System，是域名解析服务的意思。它在互联网的作用是：把域名转换成为网络可以识别的ip地址。人们习惯记忆域名，但机器间互相只认IP地址，域名与IP地址之间是一一对应的，它们之间的转换工作称为域名解析，域名解析需要由专门的域名解析服务器来完成，整个过程是自动进行的。比如：上网时输入的www.ctyun.cn会自动转换成为220.181.112.143。 常见的DNS解析服务商有：阿里云解析，万网解析，DNSPod，新网解析，Route53（AWS），Dyn，Cloudflare等。

验证负载均衡服务 将域名映射到ELB实例的EIP上，然后可通过访问ELB实例对应的域名，验证是否实现访问到不同的后端服务器。 使用浏览器访问对应域名，显示一个标题为“Welcome to ecs01”的页面，说明本次访问请求被ELB实例转发到弹性云服务器"ecs01"。 多次使用浏览器访问对应域名，当显示一个标题为“Welcome to ecs02”的页面，说明本次访问请求被ELB实例转发到弹性云服务器"ecs02"。 用户在实际使用弹性负载均衡时，应该根据自身业务和应用场景选择合适的配置方式和策略，以实现负载均衡、扩展性和高可用性等目标。

本小节介绍 云解析云解析实现智能解析最佳实践。 跨运营商或跨区域进行访问： 中国大陆地区实现跨运营商进行访问，大多数都会使用多个运营商IP地址，由于传统DNS解析是随机或优选的方式将其中一个IP地址返回给访问用户，这种情况下容易造成访问用户跨网或跨地域访问速度慢或访问质量差，因此企业可通过 DNS 智能解析的配置来实现用户的就近访问。 前提条件 1个可访问的域名，例如test.ctyun.cn。 3个运营商 IP 地址，例如：【联通】线路解析至 1.1.1.1、【移动】线路解析至 2.2.2.2、【电信】线路解析至 3.3.3.3。 操作步骤 1. 登录天翼云控制中心找到云解析产品列表，点击“解析管理”进入域名维护页面。 2. 在域名维护页面，点击要修改的域名进入记录管理页。 3. 单击页面上方的“添加记录”按钮，创建主机名为test.ctyun.cn的子记录。例如 test. ctyun.cn 设置“默认”线路解析到1.1.1.1，“电信”线路解析到2.2.2.2。 4. 配置后实现效果，电信运营商用户访问将返回2.2.2.2的 IP 地址，非电信运营商用户访问将返回1.1.1.1的IP地址。

本章节介绍云原生网关管理类常见问题 云原生网关支持哪些服务来源？ 云原生网关当前支持从天翼云Nacos注册中心或者云容器引擎集群发现服务；添加完服务来源之后，可以从Nacos或者云容器引擎指定命名空间中发现服务，配置为网关代理转发的目标服务；网关通过监听指定namespace下的服务，实时动态感知服务节点列表变化，实现网关的动态路由转发能力。 为什么添加服务来源的时候只能看到部分Nacos或者云容器引擎实例？ 云原生网关属于某一个指定的vpc网络，选择Nacos或者云容器引擎作为服务来源时会过滤集群列表，只能选择和当前网关同一vpc下的集群作为服务发现来源。 云原生网关如何支持https访问？ 通过域名管理功能可以配置访问域名，对于有https访问需求的场景，可以配置域名的https证书；通过网关节点的27154端口或者外部ELB的https端口（需要配置转发规则转发到网关的27154端口）访问，实现https加密通信。 路由配置支持哪些匹配规则？ 当前路由支持根据请求的域名、路径、HTTP方法、header、query匹配；路径匹配支持精确匹配和前缀匹配，对于前缀匹配/abc可以匹配请求/abc，/abcd/ef，/abc/def/cc。 一个请求同时匹配到多个路由时，最终会使用哪条路由规则？ uri精确匹配优先级最高；对于多个uri前缀匹配同时命中的情况，匹配深度较高的优先；相同uri的路由，如果存在其他匹配条件，则优先按其他条件匹配；其他条件也都同时匹配的情况下，优先级数字较大的路由优先匹配。

配置步骤 1. 登录DDoS高防（边缘云版）控制台，在左侧导航中，点击【业务接入】【域名接入】。 2. 选择需要防护的域名，在操作栏点击【防护配置】。 3. 进入CC防护配置页面，点击【编辑】。 4. 在编辑页面可进行防护开关、防护模式、防护时长配置。具体说明可参见CC防护配置。 5. 配置完成后，点击保存。该域名会进入“配置中”状态，配置成功后，域名状态会变为“已启用”。 报表分析 DDoS高防（边缘云版）产品提供CC相关的报表数据，能清晰直观地展示您的网站遭受的攻击情况。其中包含 TOP URL、TOP 攻击IP及攻击区域分布信息，您可结合报表数据进一步配置相应的防护规则，更好地保障您的网站服务稳定。更多信息，请参见安全分析。 1. 登录DDoS高防（边缘云版）控制台,在左侧导航中，单击 【安全分析】【安全报表】。 2. 进入【CC安全报表】tab页面，可选择域名及时间维度等过滤条件查看详细攻击情况。 告警监控 针对应用层CC攻击，DDoS高防（边缘云版）提供了相应的告警策略，您可根据实际业务情况结合报表数据配置相应的告警策略。更多信息，请参见告警管理。

产品版本 接入方式 接入步骤 WAF SAAS版 域名接入 1. 进入云WAF产品控制台，在左侧导航栏选择“接入管理”，在接入管理页面选择“域名接入”页签。 2. WAF独享版 独享型接入 1. 进入云WAF产品控制台，在左侧导航栏选择“接入管理”，在接入管理页面选择“独享型接入”页签。 2. 添加防护对象：在列表上方点击“添加防护对象”，根据页面提示配置域名或IP、服务器协议、源站地址、代理情况、负载均衡策略等相关信息。

接口描述：调用本接口获取指定时间内将要证书过期的域名数和已过期的域名数 请求方式：get 请求路径：/cert/queryexpirecount 使用说明： 单个用户一分钟限制调用10000次，并发不超过100 请求参数说明： 参数 是否必填 参数类型 说明 示例 下级对象 days 否 int 多少天内证书即将过期的域名个数,不传默认30 10 producttype 否 string 产品类型列表,多个用英文逗号隔开，不传默认所有产品类型，产品类型支持：“001”(静态加速)，“003”(下载加速),“004”(视频点播加速),“008”(CDN加速),“014”(下载加速闲时),“007”(安全加速),“005”(直播加速),“006”(全站加速),“010”(web应用防火墙（边缘云版）),“011”(高防DDoS（边缘云版）),“018”(爬虫管理) 006 返回参数说明： 参数 是否必填 参数类型 说明 示例 下级对象 code 是 int 状态码 成功100000 message 是 string 信息描述 成功返回success，其他返回异常信息描述 expirewithindayscount 否 int XX天内即将过期证书和已过期证书的域名数之和 35 expiredcount 否 int 证书已过期的域名个数 10

步骤2：准备工作 注意 在将业务接入DDoS高防（边缘云版）时，强烈建议您先使用测试业务环境进行测试，测试通过后再正式接入生产业务环境。 接入DDoS高防（边缘云版）前，您需要完成以下准备工作。 准备需要接入的网站域名信息，包括源站服务器公网IP、端口、请求协议等信息。 网站域名必须已完成ICP备案。 需要具备域名解析服务商添加TXT记录值权限或源站管理权限，以便完成域名归属校验。更多信息，请参见域名归属权校验指南。 需要具备DNS域名解析管理权限，用于切换DNS解析记录，以便接入后将网站流量引流到DDoS高防（边缘云版）。 若网站支持HTTPS协议访问，需要准备相应的证书和私钥信息，用于证书上传。更多信息,请参见证书管理。 检查网站业务是否有客户端黑白名单限制。业务接入后需要配置防护策略放行或拉黑相应的客户端IP。 推荐网站业务接入前，完成压力测试。 步骤3：接入DDoS高防（边缘云版） 1. 业务接入配置。 说明 如果在接入DDoS高防（边缘云版）前业务已遭受攻击，建议您更换源站服务器IP。更换IP前，请务必确认业务端是否存在直接指向源站IP的相关代码，若存在需要调整代码或配置，避免影响业务正常访问。 根据您的业务信息及流量请求购买相应的DDoS高防（边缘云版）套餐，并根据以上准备信息配合以下接入配置指导，将您的网站域名业务接入DDoS高防（边缘云版）： 添加域名。或参见视频接入指导： 视频专区。 2. 配置源站保护。 为避免恶意攻击者绕过DDoS高防（边缘云版）直接攻击源站服务器，建议您针对源站服务器采取相应安全配置。 3. 配置防护策略。 根据您的业务特征及攻击情况配置对应的防护策略。 CC攻击防护：若您的业务有遭受CC攻击的情况，可配置CC攻击防护策略。更多信息，请参见CC防护最佳实践。 访问配置访问限制：若您的业务受众群体物理位置区域相对集中或仅面向中国区域，可在访问控制防护模块配置相应的防护规则进行限制。更多信息，请参见访问控制。 访问配置频率控制：若您的业务存在单url请求或单ip等需要限制访问频率，可在频率控制模块配置相应的防护规则进行限制。更多信息，请参见访问控制。 4. 本地测试。 完成上述DDoS高防（边缘云版）配置后，建议您进行配置准确性检查和验证测试。 说明 您可以通过修改本地系统hosts文件的方式进行本地测试。 编号 检查项 网站域名配置准确性检查项 1 接入配置域名是否填写正确。 2 接入配置协议及服务端口是否与实际一致。 3 源站填写的IP是否是真实服务器IP。 4 若使用HTTPS检查证书是否上传成功。 5 是否开启频率控制、访问控制的防护规则严格模式。 6 查看计费详情，检查是否了解DDoS高防（边缘云版）的计费方式。 业务可用性验证项 1 测试业务是否能够正常访问。 2 观察业务返回4XX和5XX响应码的次数，确保回源IP未被拦截。 3 测试HTTPS链路访问是否正常。 4 （建议项）是否配置源站保护，防止攻击者绕过DDoS高防（边缘云版）直接攻击源站。 5 测试TCP业务的端口是否可以正常访问。 5. 切换DNS解析，引流业务流量。 说明 调整DNS解析记录需要几分钟后生效，可使用dig命令等确认是否已生效。 以上检查均测试通过后，可开始按域名逐个切换调整DNS解析记录，将网站流量引流到DDoS高防（边缘云版），并实时观察监测。若切换流量后出现异常，请快速恢复DNS解析记录。 6. 告警监控。 建议您根据业务情况在告警模块配置相应的告警策略，以便及时了解业务运行情况和发现异常现象。

名词 说明 内网域名 由一串点分隔的名字组成的用于云VPC网络访问目标主机或负载均衡的名称。 记录集 记录集是域名下一组资源记录的集合，这些资源记录属于同一域名，用于该域名支持的解析类型和解析值。 A记录 指定域名对应的IPv4地址，用于将域名解析到IPv4地址。 AAAA记录 指定域名对应的IPv6地址，用于将域名解析到IPv6地址。 CNAME记录 指定域名的别名，用于将域名解析成另一个域名。 MX记录 指定域名对应的邮件服务器，用于为邮件域名设置邮箱服务器。 TXT记录 文本记录，用于对域名进行标识和说明，主要用于： 记录DKIM公钥，用 于反电子邮件欺诈。 记录域名所有者身份信息，用于域名找回。 SRV记录 服务记录类型，记录值含服务器的地址、服务端口、优先级和权重。 PTR记录 反向解析记录，对指定IP地址的反向解析记录，用于从私网IP地址反向查询对应的域名。

本文介绍IPv6功能和配置规则。 功能介绍 天翼云全站加速节点已经支持接收IPv6协议的请求，新增域名时默认开启IPv6，当您的用户处于IPv6环境，客户端可以通过IPv6协议访问天翼云全站加速节点，支持关闭IPv6。 配置说明 新增域名： 1. 登录客户控制台。 2. 单击左侧导航栏【域名管理】【域名列表】，点击【添加域名】。 3. 添加域名时，ipv6开关是默认开启的，如您不需要IPv6可选择关闭。 修改IPv6解析： 1. 登录客户控制台。 2. 单击左侧导航栏【域名管理】【域名列表】。 3. 在【域名列表】页面，找到目标域名【IPv6解析】列。 4. 单击【】，弹出提示框。 5. 单击【确定】，完成配置。

使用内网DNS需要修改 主机的DNS配置么? 需要。 为实现内网域名在VPC 上的正常解析，您需要将主机内的 DNS 改成内网 DNS 服务地址。具体请参考更改主机DNS使内网DNS配置生效，以确保内网DNS的配置生效并实现预期的域名解析。 内网域名是否会覆盖公共域名? 创建内网域名后并不会立即覆盖公共网络中存在的域名。只有当您关联该内网域名到特定的VPC之后，在对应的VPC内访问该内网域名时，才会覆盖公共网络中的现有域名解析。 例如您在内网DNS中创建了internal.example.com作为内网域名，并且关联了特定的VPC。 在关联VPC之前，internal.example.com并没有与任何具体的解析记录相关联。当在关联之前访问internal.example.com时，会继续解析公共网络中的现有域名解析结果，而不是内网域名中的解析记录。 在关联了VPC之后，您在内网域名中设置了如下解析记录： internal.example.com A 60 10.0.0.1。当在关联VPC的云主机上解析internal.example.com时，将会显示地址为10.0.0.1，而公共网络中的解析记录将被覆盖。 如果您希望创建的内网域名可以解析在内网域名中配置有解析记录的私有域名，并且也可以解析在内网域名中未配置的公共域名，那么您可以开启子域名递归解析代理功能，具体操作请参考开启子域名递归解析代理功能。

本节介绍了如何在控制台新增端口接入规则。 使用场景 如果您需要为非网站类业务提供DDoS高防（边缘云版）服务。您可以在DDoS高防（边缘云版）控制台通过TCP、UDP端口接入配置完成业务接入。 注意 相同域名，无法同时进行域名接入（HTTP/HTTPS）和端口接入(TCP/UDP)。 前提条件 已开通DDoS高防（边缘云版）。 不支持80、8080、443、8443端口接入配置，关于上述接口的防护，建议您使用域名接入。 使用说明 1.登录DDoS高防（边缘云版）控制台。 2.进入【业务接入】【端口接入】页面。 3.点击右上角【新增规则】按钮。 新增规则配置说明： 配置项 说明 协议类型 支持TCP、UDP协议。 转发端口 即为业务端口，支持配置端口、端口段。 若配置多个转发端口，则对应源站端口、源站均为相同。 部分端口不可用（不可用端口会在控制台更新）。 源站端口 选择端口接入，可支持配置多个，用分号隔开。 选择端口段接入，不可配置，源站端口跟随请求端口进行回源。 回源转发模式 默认为轮询模式。 源站 支持配置IPV6、IPV4、域名作为源站。 支持源站配置20个。 4.配置完成后，点击【确认】按钮，新增规则将变成“配置中”状态。 5.进入后台自动化配置流程（正常情况15分钟以内），流程结束后会自动变成“配置完成”状态。若“配置中”状态持续时间过长，可创建工单获取支持。

搭配使用 共享带宽、弹性云主机、弹性负载均衡、NAT网关 其他常见场景 通过弹性IP访问互联网 有公网访问需求的场景即可使用弹性IP来满足。 将弹性IP绑定至需要访问互联网的资源，比如弹性云主机、物理机、GPU云主机等，即可实现资源通过弹性IP连接互联网，访问互联网。 通过弹性IP被互联网访问 弹性云主机、物理机等产品绑定弹性IP后，即可以通过弹性IP的地址对这台云主机/物理机进行远程访问。 网站建设场景 网站建设时，需要将域名解析到一个固定的IP地址上，弹性IP可作为域名解析所需的IP地址。 对于网站建设场景，您可以为网站服务器（如弹性云主机）绑定一个弹性IP，然后在域名提供商的管理界面，将域名解析到您的弹性IP上。在进行域名备案时，也可以将该弹性IP作为备案登记信息。

此小节介绍登录方式及密码类问题。 云堡垒机可以域名登录吗？ 可以。 一般情况下，云堡垒机通过绑定的EIP地址登录。当企业用户有统一登录域名管理需求时，可先通过云解析服务（Domain Name Service，DNS）将域名解析为EIP，再创建云堡垒机实例绑定解析的EIP。用户可直接在浏览器中输入域名，登录云堡垒机系统。 云堡垒机系统支持哪些登录方式？ 云堡垒机系统支持Web浏览器方式直接登录，同时支持SSH客户端方式登录。 Web浏览器方式登录，为用户提供全量云堡垒机系统配置和管理功能。SSH客户端方式登录在不改变用户原来使用SSH客户端习惯的前提下，对授权云主机资源进行运维管理，并支持多种快捷操作命令。建议管理员优先在Web浏览器为运维员完成授权配置后，运维员再在SSH客户端登录系统进行运维操作。 云堡垒机系统有哪些登录认证方式？ 云堡垒机的认证方式是系统全局可选择设置，即系统所有用户都可选择认证方式，包括本地认证、多因子认证（手机令牌、手机短信、USBKey、动态令牌）、远程认证（AD域、RADIUS、LDAP、Azure AD）。 用户帐号配置多因子认证后，仅可通过多因子认证方式登录。通过登录名和密码不能登录，本地认证方式验证失效。 配置了多种双因子认证时，可任意选择其中一种方式登录云堡垒机系统。 本地认证 系统默认，即通过“密码登录”方式验证系统用户登录名和密码 ，认证登录用户身份。

步骤二：配置域名CNAME解析 获得域名CNAME后，需要将指定域名的DNS解析指向我们提供的CNAME，以确保访问请求能够转发到边缘云清洗节点上，操作步骤参考配置CNAME。

本文介绍简述缓存规则设置方法。 功能介绍 缓存规则指源站资源在边缘云节点缓存的时长，达到预设时间，资源将会被边缘云节点标记为缓存过期。您可以根据业务需求，按指定路径或文件名后缀等方式配置静态资源的缓存过期时间。 前提条件 已开通Web应用防火墙（边缘云版）。 已新增域名并成功接入WAF，具体操作请见WAF接入。 开通Web应用防火墙（边缘云版）扩展服务智能负载均衡，支持配置缓存规则，具体请见智能负载均衡。 操作步骤 登录Web应用防火墙（边缘云版）控制台 在左侧导航栏中选择【域名管理】—【域名列表】，选择您要防护的域名，单击操作列【接入配置】，单击【新增】按钮。 配置项说明： 配置项 说明 类型 选择需要配置的文件类型，并且配置相应的内容。 后缀名：指文件后缀名，例如内容输入为.mp4，.flv，表示后缀为.mp4或.flv的文件。 目录：指具体目录，例如值为：/a，表示目录前缀为/a的文件。 首页：指域名首页，值固定为/。 全部文件：指对应域名下的所有文件，值固定为/。 全路径文件：指对应URI的文件，例如值为：/a/b.js，则表示请求url中位于/a/目录下的b.js文件的缓存规则（无论是否携带问号后参数）。 过期时间 选择配置内容的过期时间单位，如秒、分钟、小时、天。再填写对应的过期时间。 缓存规则 设置配置内容的缓存规则，默认为强制缓存。 去问号缓存 默认为开启，如需要带问号后参数缓存，请选择关闭该功能。 优先级 支持自定义，数字越大则越优先生效。如果同个URL满足不同的缓存规则设置，例如该URL既属于某个文件后缀，又属于某个目录下，此时具体遵循哪条缓存规则，取决于二者的权重设置，最终按权重数字大的生效。

参数项 说明 区域 指APIG专享版实例部署的区域，建议和您其他的业务部署在相同区域，这样不同的业务可以在VPC内以子网方式通信，节省公网带宽成本，降低网络延时。 可用区 指同一区域内电力、网络等资源物理隔离的地理区域，一般为互相独立的机房。 APIG实例支持同时选择多个可用区，进行跨可用区部署，提升实例高可用性。 实例名称 实例的名称，根据规划自定义。 实例规格 当前开放基础版、专业版、企业版、铂金版实例。 时间窗 指允许云服务技术支持对实例进行维护的时间段。如果有维护需要，技术支持会提前与您沟通确认。 建议选择业务量较少的时间段。 公网入口 指允许外部服务通过弹性IP地址，调用专享版实例创建的API。开启“公网入口”，需要绑定一个“弹性IP地址”。 您需要使用独立域名/子域名访问，使用子域名访问时存在单日访问次数限制。可在创建API分组后，为分组绑定独立域名，独立域名需要解析到专享版实例的弹性IP。 例如您有一个API，请求协议为HTTPS，Path为/apidemo，开启了公网访问，并为分组绑定了独立域名后，可使用 公网出口 指允许专享版实例API的后端服务部署在外部网络，APIG为实例开启公网出口。您可以根据业务预估设置合适的“出公网带宽”。出公网带宽可配置范围为1~2000Mbit/s，费用按小时计算，以弹性IP服务的价格为准。 IPv6 如果后端云主机部署在外部网络，且需要使用IPv6地址访问，则需要勾选“支持IPv6”。 网络 指为实例绑定到一个虚拟私有云，并为其分配子网。 在相同虚拟私有云中的云服务资源（如ECS），可以使用APIG专享版实例的私有地址调用API。 建议将专享版实例和您的其他关联业务配置一个相同的虚拟私有云，确保网络安全的同时，方便网络配置。 安全组 安全组用于设置端口访问规则，定义哪些端口允许被外部访问，以及允许访问外部哪些地址与端口。 例如，后端服务部署在外部网络，则需要设置相应的安全组规则，允许访问后端服务地址与API调用监听端口。 说明 如果开启公网入口，安全组入方向需要放开80（HTTP）和443（HTTPS）端口的访问权限。 描述 实例的描述信息。

网站无法访问怎么办？ 无法访问弹性云主机实例中运行的网站的原因较多，此处列举较为常见的问题原因，具体原因以现场的排查结果为准。 TCP 80端口不可用。 Web服务不可用。 网站未备案。 网站资源或后端服务存在异常。 以CentOS 7.6系统为例，为大家介绍排查思路： 1. 检查80端口配置 plaintext netstat ntulp grep 80 如果端口被正常监听，请执行检查安全组规则。 如果端口没有被正常监听，请检查Web服务进程是否启动或者正常配置。 2. 检查安全组配置 如果安全组没有网站访问使用的端口，需要在云主机实例对应的安全组中添加放行该端口的规则。 1. 在弹性云主机控制，单击主机名称。 2. 选择“安全组”页签，展开安全组规则。 3. 单击“更改安全组规则”。 4. 根据网站使用的端口配置新的安全组规则，放行网站使用的端口。 3. 检查防火墙配置 1. 使用iptables nvL linenumber命令查看已配置的防火墙策略。 2. 依次执行以下命令放行80端口。 3. plaintext iptables A INPUT p tcp dport 80 j ACCEPT 4. plaintext iptables A OUTPUT p tcp sport 80 j ACCEPT 5. 使用service iptables save命令保存添加的规则。 6. 使用service iptables restart命令重启iptables。 7. 使用iptables nvL linenumber命令查看增加的规则是否生效。 8. 关闭防火墙后，重新测试网站访问是否正常。 4. 检查云主机CPU利用率 可以通过云监控查看云主机负载情况，您可以创建告警任务，当CPU或带宽利用率高时，系统会自动发送告警给您。使用Top命令查看系统运行状态，排查异常进程并终止，再次尝试访问。 5. 检查网站备案及域名解析是否正常 无论网站是通过IP地址还是通过域名对外提供服务，都需要进行备案。请检查您的备案信息是否正常。 如果域名已备案，但未正确配置域名解析也可能会导致域名无法Ping通。您可以在域名提供商的控制台查看解析详情。 如果上述排查都没能成功访问网站，请提交工单，联系技术支持人员帮助解决。

本文介绍验证域名归属权。 客户在天翼云控制台新增域名时，需通过域名归属权验证。具体可根据如下方法一、方法二，任意选择一种方式进行操作验证即可。 方法一：DNS解析验证 本文以加速域名www.ctcdn.cn为例，为您介绍如何通过DNS解析验证来验证域名归属权。 1.客户需在自己的域名解析服务商（例如：腾讯云、新网等），操作本次要新增域名的【主域名】解析记录，添加天翼云控制台返回的TXT记录值（如下记录值仅为示例）。 主域名：一级域名，例如：www.ctcdn.cn的主域名为：ctcdn.cn（具体值以添加域名时控制台或API返回的主域名或domainzone值为准）。 主机记录：为固定值dnsverify。 根据域名随机生成TXT记录值。 2.域名解析操作完成后，等待（建议10分钟）DNS解析生效后即可进行解析验证。 Linux系统解析命令：dig dnsverify.ctcdn.cn txt。 3.如解析出来的txt值和天翼云控制台返回的TXT记录值一致，则表示配置正确。 确认配置正确后，可前往天翼云控制台，在新增域名界面点击验证，验证通过就可以正常操作新增域名。 方法二：文件验证 本文以加速域名www.ctcdn.cn为例，为您介绍如何通过文件验证方式来验证域名归属权。 1.在您的主域名源站根目录下，创建文件名为dnsverify.txt的文件（文件名为固定值），文件内容为天翼云控制台返回的TXT记录值（如下记录值仅为示例）。 主域名：一级域名，例如：www.ctcdn.cn的主域名为：ctcdn.cn（具体值以添加域名时控制台或API返回的主域名或domainzone值为准），根据域名随机生成TXT记录值。 2.文件在主域名源站根目录下创建完成后，即可进行访问验证（示例的www.ctcdn.cn的文件验证需要访问 windows验证： linux验证： 3.如访问展示的文件内容和天翼云控制台返回的TXT记录值一致，则表示配置正确。 确认配置正确后，可前往天翼云控制台，在新增域名界面点击验证，验证通过就可以正常操作新增域名。

本文介绍如何配置自定义TLS和加密套件。 前提条件 已开通Web应用防火墙（边缘云版）。 已经完成域名接入。 域名使用的是HTTPS协议且已上传了HTTPS证书。 如何配置自定义TLS 如果您需要自定义TLS协议版本，请提交工单联系天翼云技术支持。

日志下载说明 1、登录DDoS高防（边缘云版）控制台。 2、筛选对应域名和时间后，单击对应域名日志记录的下载图标，具体如下图示：