参数 示例值 描述 ccse.ctyun.cn/eniinstanceid portxxx ECI容器实例的网卡ID k8s.ctyun.cn/eciinstanceid ecixxxxx ECI容器实例的ID k8s.ctyun.cn/eciinstancecpu "1.0" ECI容器实例CPU大小 k8s.ctyun.cn/eciinstancemem "1.0" ECI容器实例Memory大小 k8s.ctyun.cn/eciinstancezone cnxxxxxxxxpublicctcloud ECI容器实例所在可用区名称 k8s.ctyun.cn/ecivpc vpcxxxxxx ECI容器实例所属VpcId k8s.ctyun.cn/ecisubnet subnetxxxxxx ECI容器实例所属子网ID k8s.ctyun.cn/ecisecuritygroup sgxxxxxx ECI容器实例所在的安全组ID k8s.ctyun.cn/ecirequestid 80e90ccca5b54034acae7c0c8eeb376f 请求ID k8s.ctyun.cn/k8sversion v1.25.6 集群版本 k8s.ctyun.cn/clusterdns 10.96.0.10 集群DNS服务器的IP地址 k8s.ctyun.cn/clusterdomain cluster.local 集群本地域名 k8s.ctyun.cn/vkversion v1.2.020240829 cubevk版本

本文介绍全局task脚本的添加、查看、编辑、删除等操作。 全局task脚本是客户粒度的，客户的多个域名可共享全局task脚本。在添加全局task脚本前，需确保已添加全局字典。 注意 UDFScript目前处于邀测期间，客户控制台默认不开放自助，如有需要，请 添加全局task脚本 1. 登录CDN控制台。 2. 单击左侧导航栏【UDFScript】【全局task脚本】。 3. 单击全局task脚本首页右上角的【添加全局task脚本】来添加全局task脚本，最多可添加3个全局task脚本。 注意 添加全局task脚本前必须得先添加全局字典。 4. 进入添加全局task脚本的页面后，可输入脚本名称和脚本内容，脚本名称为264位的小写字母、数字、下划线的结合，开头结尾只允许小写字母和数字，多个全局task脚本的名称不允许相同。单击【查看已创建的全局字典】可查看已创建的全局字典名称和大小，供编写全局task脚本内容的时候参考。脚本名称和脚本内容确认无误后，单击【确认提交】进行部署，单击【取消】可返回全局task脚本的首页。 5. 每个全局task脚本是独立部署，这个不同于全局字典，全局字典是多个一起部署的。提交部署后，在全局task脚本的首页可看到所有已提交部署的全局task脚本列表及部署状态。全局task脚本的部署状态有等待部署、部署中、部署成功、部署失败四种，部署失败的可单击操作列的【失败重试】重新部署。

参数 说明 回源类型 根据需求场景选择镜像回源或重定向回源： 镜像回源：镜像回源会从回源规则指定的源站抓取对应资源，转发给客户端，同时在后台生成回源任务，将源站数据保存至ZOS中。 重定向回源：重定向回源对用户的请求根据回源规则生成新的url后进行重定向，由客户端对重定向的url进行访问，不会将源站数据保存至ZOS中。 回源条件 触发回源需同时满足下列两个条件： HTTP状态码：404 文件名前缀：设置请求的文件名前缀 回源地址规则 选择添加前缀/添加前后缀/替换文件名前缀。 回源地址 选择https/http，填入域名或 IP 地址。 跟随重定向 可选开启或关闭。开启后ZOS会跟踪源站的3xx重定向请求，前往重定向的目标获取资源，并将资源保存到ZOS。关闭时ZOS会透传3xx响应，不会前往重定向的目标获取资源。

1. 验证备案类型 登录天翼云备案系统并填写信息，系统将根据您所填写的主体和域名信息，自动识别对应的备案类型并生成备案订单。 2. 填写备案信息 根据系统提示填写相关的主体信息和网站/APP信息，上传证件照片等备案材料，并完成真实性核验。确认信息无误后，提交至天翼云进行初审。 3. 天翼云初审 天翼云将1个工作日内进行初审，审核期间我们会拨打您备案信息中的联系电话进行沟通，请保持电话畅通。 4. 短信核验 天翼云将您的备案订单提交管局后，工信部系统会自动下发短信验证码（发信号码为12381），您需在24小时内，点击短信中的链接进行短信核验。 5. 管局审核 管局将在20个工作日内对您的备案资料进行审核。 6. 审核结果 备案完成审核通过以后，会发送邮件至您主体负责人邮箱；天翼云也会通知网站负责人，告知管局审核结果；您也可以登录备案系统查看已备案具体信息。

本文介绍如何通过边缘函数修改用户请求内容。 根据特殊分支场景，修改用户请求内容。 示例代码 javascript async function handleRequest(request) { // 修改当前请求的地址的 host 指向别的域名 const url new URL(request.url) url.hostname "www.ctyun.cn" url.protocol "https" // 继承原始请求的头、请求方法等参数 let newheaders request.headers newheaders.delete("Host") const requestInit { method: request.method, newheaders, } const newreq new Request(url, requestInit) // 访问 yourdomain/path 即请求 ctyun.cn/path return fetch(newreq) } addEventListener("fetch", event > { event.respondWith(handleRequest(event.request)) }) 示例预览 请求内容被修改，根据用户修改后的请求响应其他内容。 相关参考 运行时API：addEventListener 运行时API：FetchEvent 运行时API：Web Standards 运行时API：Fetch 运行时API：Request 运行时API：Response

字段 字段说明 规则名称 规则的名称，建议使用便于记忆的名称。例如根据使用场景进行命名。 防护状态 支持按钮开启防护状态或者关闭防护。 规则描述 规则的说明。 匹配条件 配置对应的匹配字段、逻辑符、匹配内容。 匹配字段包含：客户端IP、客户端IPS、客户端IPR、客户端端口、目的IPS、目的IPR、目的IP、目的端口、协议、域名、用户、生效时间段(周期性)、地区、设备ID等。 逻辑符为：包含、不包含。 匹配内容为：根据对应匹配字段渲染出来的填写框，支持下拉勾选，填写精确内容等方式。 处置动作 支持对访问进行拦截、监控、丢弃、加白操作。 监控：请求命中访问控制策略后，不对其拦截，仅记录攻击日志。 加白：请求命中访问控制策略后，将对其进行加白，请求不经过任意安全防护策略。 拦截：提示由于您企业配置了访问控制策略，您此次的访问不符合访问条件，请确认是否存在非法IP地址、不合规时间或者非法地区访问等情况。 丢弃：拦截后不会响应页面，会减少带宽。

本节介绍如何开启Cookie安全属性。 当“对外协议”配置为HTTPS时，WAF支持开启“Cookie安全属性”，开启后会将Cookie的HttpOnly和Secure属性设置为true。 Cookie是后端Web Server插入的，可以通过框架配置或setcookie实现，其中，Cookie中配置Secure，HttpOnly有助于防范XSS等攻击获取Cookie，对于Cookie劫持有一定的防御作用。 Appscan扫描器在扫描网站后发现客户站点没有向扫描请求Cookie中插入HttpOnly Secure等安全配置字段将记录为安全威胁。 约束条件 “对外协议”包含“HTTP”时，“Cookie安全属性”默认为关闭状态，不支持开启。 操作步骤 1. 登录管理控制台。 2. 单击页面顶部的区域选择框，选择区域。 3. 单击页面左上角的“服务列表”，选择“安全 > Web应用防火墙（独享版）”。 4. 在左侧导航树中，选择“网站设置”，进入“网站设置”页面。 5. 在目标网站所在行的“域名”列中，单击目标网站，进入网站基本信息页面。 6. 在“高级配置”栏中“Cookie安全属性”列单击，开启Cookie安全属性。

通过临时URL访问对象存储 媒体存储支持通过临时URL将对象分享其他用户（包括匿名用户）访问，所有临时URL都存在有效期，其他用户可在有效期内访问该对象。 临时URL是由文件的访问域名和临时鉴权信息组成。示例如下： 其中 , XAmzExpires定义鉴权的有效期。 通过控制台获取临时URL： 可在控制台上进入对象详情，点击URL显示框下方的“复制文件URL”按钮。 对于私有权限的对象，服务会以默认1天的有效期获取临时访问URL，此时链接开始计算时间。每调整一次URL有效期，就会重新获取一次鉴权信息以生成新的临时URL，新URL的有效期从调整的时候开始计算。 通过XstorBrowser获取临时URL：可参考 分享文件或文件夹 。

本节介绍如何配置全局白名单。 防护对象接入Web应用防火墙后，您可以选择开启全局白名单功能，并配置白名单规则。 可用于放行具有指定特征的请求，使请求不经过全部（包含 Web 基础防护、CC 防护、BOT 防护、精准访问控制）或特定防护模块（Web基础防护）的检测。 也可用于处理误报事件，对于误报的事件可进行规则级别的加白，将单次拦截放通。 前提条件 已购买WAF云SaaS型实例，且实例版本为标准版及以上版本。 网站已通过“域名接入”方式接入WAF进行防护。 操作步骤 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“防护配置 > 全局防护配置”，进入全局防护配置页面。 5. 定位到“防护白名单”模块，可以选择开启/关闭防护。 6. 点击防护规则右侧的“前去配置”，进入白名单页面。 7. 单击“新建白名单”，在弹出的对话框中，配置白名单规则。 参数说明如下： 配置项 说明 规则名称 设置规则的名称。 规则名称用于标识当前防护规则，建议您使用有明确含义的名称。 企业项目 选择需要配置白名单实例所在的企业项目。 接入对象 设置白名单作用对象，支持选择“全部防护对象”或选择“特定防护对象”。 说明 全局白名单不支持独享版和监听器防护对象。 规则描述 可选项。设置规则的描述信息。 匹配条件 设置白名单请求需要匹配的条件（即特征）。单击“新增条件”，可以设置最多30个条件。存在多个条件时，多个条件必须同时满足才算命中。 关于匹配条件的配置描述，请参见匹配条件字段说明。 过期时间 规则配置后，规则状态开启即生效。可通过设置过期时间，为该规则定义生效时间段。 过期时间可选： 永久生效 限定日期：自定义设置失效日期 生效范围 设置白名单生效范围，表示触发匹配条件的请求不受所选规则的检测，可选项： 全部规则：选择该项，表示触发匹配条件的请求不受Web 基础防护、CC 防护、BOT 防护、精准访问控制模块的检测，将被直接放行到源站服务器。 特定模块：只忽略检测指定的防护模块，支持Web基础防护。在模块右侧的下拉框，选择不检测的规则类型。 特定规则ID：只忽略检测指定的规则，支持Web基础防护。在模块右侧的下拉框，选择不检测的规则ID。 8. 单击“确定”，规则创建成功，成功后规则默认启用。您可以在规则列表中查看该规则。

本章节主要介绍MySQL数据迁移到OBS。 操作场景 CDM支持表到OBS的迁移，本章节以MySQL>OBS为例，介绍如何通过CDM将表数据迁移到OBS中。流程如下： 1.创建CDM集群并绑定EIP 2.创建MySQL连接 3.创建OBS连接 4创建迁移作业 前提条件 已获取OBS的访问域名、端口，以及AK、SK。 已获取连接MySQL数据库的IP地址、端口、数据库名称、用户名、密码，且该用户拥有MySQL数据库的读写权限。 用户已参考管理驱动，上传了MySQL数据库驱动。 创建CDM集群并绑定EIP 1.参考创建CDM集群，创建CDM集群。 关键配置如下： CDM集群的规格，按待迁移的数据量选择，一般选择cdm.medium即可，满足大部分迁移场景。 2.CDM集群创建完成后，选择集群操作列的“绑定弹性IP”，CDM通过EIP访问MySQL。 说明 如果用户对本地数据源的访问通道做了SSL加密，则CDM无法通过弹性IP连接数据源。 创建MySQL连接 1.在CDM集群管理界面，单击集群后的“作业管理”，选择“连接管理 > 新建连接”，进入连接器类型的选择界面。 2.选择“MySQL”后单击“下一步”，配置MySQL连接的参数。 单击“显示高级属性”可查看更多可选参数，具体请参见 配置常见关系数据库连接。这里保持默认，必填参数如下表“MySQL连接参数”所示。 参数名 说明 取值样例 名称 输入便于记忆和区分的连接名称。 mysqllink 数据库服务器 MySQL数据库的IP地址或域名。 192.168.1.110 端口 MySQL数据库的端口。 3306 数据库名称 MySQL数据库的名称。 sqoop 用户名 拥有MySQL数据库的读、写和删除权限的用户。 admin 密码 用户的密码。 使用本地API 使用数据库本地API加速（系统会尝试启用MySQL数据库的localinfile系统变量）。 是 使用Agent 是否选择通过Agent从源端提取数据。 是 localinfile字符集 mysql通过localinfile导入数据时，可配置编码格式。 utf8 驱动版本 适配mysql的驱动。 Agent 单击“选择”，选择连接Agent中已创建的Agent。 单次请求行数 指定每次请求获取的行数。 1000 单次提交行数 支持通过agent从源端提取数据 1000 连接属性 自定义连接属性。 useCompressiontrue 引用符号 连接引用表名或列名时的分隔符号。默认为空。 ' 单次写入行数 指定单次批量写入的行数，当写入行数累计到单次批量提交行数时提交一次，该值应当小于单次提交行数。 100 3.单击“保存”回到连接管理界面。 说明 如果保存时出错，一般是由于MySQL数据库的安全设置问题，需要设置允许CDM集群的EIP访问MySQL数据库。

步骤二：创建用户网关 1. 在网络区域选择“VPN连接”，进入VPN连接页面。 2. 在左侧网络控制台，选择“IPsec VPN”，进入用户网关列表页面。 3. 单击“创建用户网关”。具体步骤可参见创建用户网关。 4. 按照提示配置用户网关参数，单击“确定”，创建成功。 步骤三：创建IPsec连接 1. 在网络区域下拉“VPN连接”选择“IPsec VPN”，进入IPsec VPN页面。 2. 单击“IPsec连接”，进入“IPsec连接”页签。 3. 单击“创建IPsec连接”。 4. 按照提示配置参数。具体步骤可参见创建和管理IPsec连接。 5. 配置完成后单击“确认”，完成IPsec连接创建。 步骤四：在本地网关设备中加载VPN配置 VPN网关配置对应的ipsec连接，您可联系公司网工，根据所用防火墙网关完成配置。具体可参见本地网关配置。 步骤五：内网DNS配置使用 1. 在内网DNS创建内网DNS，关联VPCnewDNS。 2. 在目标域名行，单击“管理记录集”添加记录集，添加newdns主机记录。 添加完成，可在“解析记录”列表看到解析记录信息。 3. 进入网络控制台“终端节点”服务，单击“创建终端节点”。 选择服务及所属VPC后单击“下一步”，勾选“我已阅读”后“确认下单”完成DNS终端节点创建。 4. 设置IDC服务器的DNS服务地址为上一步骤创建的终端节点私网地址（本示例该地址为192.168.0.3）。 以linux操作系统的服务器为例，可以通过修改 resolv.conf文件临时修改服务器的DNS服务地址。 echo "nameserver 192.168.0.3" sudo tee /etc/resolv.conf 通过如下命令可以查看resolv.conf的配置情况 cat /etc/resolv.conf 查看结果 5. 使用nslookup命令查看解析结果，成功后即可实现云下访问云上资源。

功能 说明 简述边缘安全加速支持的国密算法及配置方法。 简述HTTP2.0的定义和配置方法。 简述OCSP Stapling功能的概念、使用前提和配置方法。 简述HSTS功能和配置方法。 简述安全与加速服务支持的TLS协议版本和配置方法。 简述批量关联域名启用HTTPS加速服务的配置方法。 简述强制跳转的场景及配置方法。包括HTTP强制跳转HTTPS，HTTPS强制跳转HTTP。 简述边缘加速节点无需部署私钥的情况下如何加速HTTPS业务。 天翼云边缘安全加速支持的SSL/TLS加密套件及对应套件支持的最低版本的SSL/TLS协议。

本文帮助您快速熟悉批量导入解析记录。 操作步骤 1. 登录到内网DNS控制中心页面。 2. 可以看到域名记录，在目标记录行“操作”列单击“管理记录集”。 3. 进入解析记录页面，右上角单击“导入/导出记录集”进入导入/导出记录集页面。 4. 在进行批量导入前，需要首先完成导入文件的填写。 a)在批量导入/导出详情页面，单击“下载模板”，获取导入模板。 b)按模板要求完成解析记录的填写 5. 在导入页面，选择文件开始执行批量导入。 导入完成后，可以通过查看“导入预校验记录”和“实际下发结果记录”检查解析记录导入是否成功。 a)导入预校验记录：显示导入成功的预校验结果,校验失败的记录会逐条显示，您可以根据“失败记录明细”对校验失败的记录进行处理。。 b)实际下发结果记录：显示实际导入结果。

参数 是否必填 参数类型 说明 示例 下级对象 cookiePredicates 否 Array of Objects 请求参数（Cookie）匹配，区分大小写 Predicate description 否 String 路由描述 用于灰度测试的路由 destinationType 是 String 目标服务类型：single：单服务；multiple:多服务；versionoriented：标签路由；mock: Mock路由, redirect: 重定向，dubboproxy：dubbo代理 single dubboProxy 否 Object dubbo代理路由时需要填写 DubboProxyDTO headerPredicates 否 Array of Objects 请求头（Header）匹配 Predicate hosts 否 Array of Strings 域名 ["test.com"] instId 是 String 实例Id 7a9n7g6d4ef6e32e041a2ef124b19e63 methods 否 Array of Strings HTTP方法，为空表示包含所有方法 ["GET"] mockResponse 否 Object Mock路由响应体 MockResponse name 是 String 名称 test priority 否 Integer 优先级，默认值为0 12 queryPredicates 否 Array of Objects 请求参数（Query）匹配 Predicate redirect 否 Object 重定向 Redirect routeAuthType 否 String 认证方式,默认值为NOAUTH NOAUTH routeTagNormalize 否 Object 路由参数规整化 RouteTagNormalizeDTO routeTagNormalizedFlag 否 Boolean 是否启用路由参数规整化处理 false status 是 Integer 路由状态 0 type 否 String 创建来源，默认值control upstreamList 否 Array of Objects 目标服务 DestinationUpstream uri 是 String 路径 /app/a

本章节主要介绍如何使用Windows gsql客户端连接集群。 用户在创建好数据仓库集群，开始使用集群数据库之前，需要使用数据库SQL客户端连接到数据库。DWS 提供了与集群版本配套的Windows gsql命令行客户端工具，您可以使用Windows gsql客户端通过集群的公网地址或者内网地址访问集群。 操作步骤 1. 准备一个Windwos操作系统服务器，用于安装和运行gsql客户端。Windwos操作系统支持Windows Server 2008/Windows 7及以上。 2. 下载客户端下载Windows gsql客户端，并将压缩包解压到本地文件夹中。 3. 设置环境变量，32位选择x86文件夹；64位选择x64文件夹。 方式一：命令行设置环境变量，打开电脑cmd窗口，执行set path;%path%，其中为上一步骤解压Windows gsql客户端的文件夹路径。例如： set pathC:UsersxxDesktopdws8.1.xgsqlforwindowsx64;%path% 方式二：在控制面板中选择“系统>高级系统设置>高级>环境变量”，在系统环境变量Path中增加gsql路径。例如： 详见下图：设置Windows环境变量 4. （可选）如果要使用SSL方式连接集群，请参考使用SSL进行安全的TCP/IP连接，在客户端主机配置SSL认证相关的参数。 说明 SSL连接方式的安全性高于非SSL方式，建议在客户端使用SSL连接方式。 5. 执行以下命令，使用gsql客户端连接DWS 集群中的数据库。 gsql d h U p r 参数说明如下： “数据库名称”：输入所要连接的数据库名称。首次使用客户端连接集群时，请指定为集群的默认数据库“gaussdb”。 “集群地址”：请参见 获取集群连接地址进行获取。如果通过公网地址连接，请指定为集群“公网访问域名”，如果通过内网地址连接，请指定为集群“内网访问域名”。 “数据库用户”：输入集群数据库的用户名。首次使用客户端连接集群时，请指定为创建集群时设置的默认管理员用户，例如“dbadmin”。 “数据库端口”：输入创建集群时设置的“数据库端口”。 例如，执行以下命令连接DWS 集群的默认数据库gaussdb： gsql d gaussdb h 10.168.0.74 U dbadmin p 8000 W password r 显示如下信息表示gsql工具已经连接成功： gaussdb>

参数 说明 任务信息 任务名称 输入自定义的任务名称。 说明 命名规则：必须为大小写字母、数字、横线或下划线，长度在432个字符之间；自定义的任务名称不能与您已存在的任务名称重复。 迁移模式 迁移任务运行模式 选择创建迁移任务的模式，支持全托管模式和半托管模式。 说明： 全托管模式：迁移任务将在服务端执行，适合数据量在10TB以内，或对迁移耗时没有紧急诉求的客户。 半托管模式：迁移任务将运行在客户自己的设备上，客户可通过提供更高的网络带宽和更多的迁移设备，实现更高速的迁移，适合数据量在10TB以上，或对迁移耗时有明确诉求的客户。 注意 半托管迁移模式依赖您已经部署完成代理，代理设备与迁移服务服务端连通，否则无法创建半托管模式的迁移任务。 若您想使用半托管模式进行迁移，可阅读 迁移模式 选择执行本任务的代理设备 选择执行本任务的代理设备，迁移任务将会下发给指定的代理设备用于执行迁移。 说明 仅能选择“已连接”状态，且有“可用”状态worker节点的代理。 选择源端 源端 选择源端数据的服务提供方。 说明 选择源端为天翼云（OOS）即可。 选择源端 EndPoint Endpoint支持输入IP地址或域名。 若使用非默认端口，请输入端口号，格式为IP:Port。 说明 源端为天翼云OOS，您可在OOS的bucket“ 属性区域属性Endpoint ”中找到 Endpoint 信息。 选择源端 Access Key 输入您源端的Access Key。 选择源端 Secret Key 输入您源端的Secret Key。 选择源端 存储桶 输入您源端的对象存储桶名称。 选择源端 迁移方式 选择源端数据的迁移方式，支持：指定存储桶、指定文件夹、指定对象、指定前缀。 说明 指定存储桶 ：选择“指定存储桶”时，将会迁移存储桶内的全部对象。 指定文件夹 ：选择“指定文件夹”时，将会迁移选中文件夹下的所有对象。仅支持单个文件夹。 指定对象 ：选择“指定对象”时，将会迁移选中的对象。最大支持指定100个对象。 指定前缀 ：选择“指定前缀”时，将会迁移桶中所有以该前缀开头的对象。仅支持单个前缀。 选择源端 迁移晚于起始时间的对象 选择该选项时，用户可配置“ 起始时间 ”，任务将仅迁移最后修改时间晚于该“ 起始时间 ”的对象。 选择源端 迁移早于终止时间的对象 选择该选项时，用户可配置“ 终止时间 ”，任务将仅迁移最后修改时间早于该“ 终止时间 ”的对象。 注意 若您同时设定“ 起始时间 ”和“ 终止时间 ”，限制“ 终止时间 ”需晚于（不包含等于）“ 起始时间 ”。 选择目的端 目的端 指定为天翼云对象存储ZOS。 选择目的端 EndPoint Endpoint支持输入IP地址或域名。 若使用非默认端口，请输入端口号，格式为IP:Port。 说明 目的端为天翼云ZOS，您可在对象存储ZOS的bucket“ 概览域名信息 ”中找到 终端节点（Endpoint） 信息。 选择目的端 Access Key 输入您目的端的Access Key。 选择目的端 Secret Key 输入您目的端的Secret Key。 选择目的端 存储桶 输入您目的端的对象存储桶名称。 选择目的端 目的端指定前缀 是否在目的端指定前缀： 关闭 目的端指定前缀，则会将源端数据按原有目录结构迁移至目的端存储桶。 开启 目的端指定前缀，可为迁移至目的端的对象（或文件夹）增加指定的前缀，可分为“增加前缀”和“增加前缀目录”。 说明 说明： 增加前缀 ：若您输入的前缀不为目录，则为迁移的对象（或文件夹）增加该部分前缀。例如：指定源端桶 bucketA 的文件夹 bucketA/a/folder1 进行迁移，目的端桶为 bucketB，目的端指定前缀为 Test，则迁移至目的端后为 bucketB/Testa/folder1 。 增加前缀目录 ：若您输入的前缀为目录，则为迁移的对象（或文件夹）增加该部分前缀目录，实现将对象迁移至指定的目录下的效果。例如：指定源端桶bucketA的对象 bucketA/a/fileA.png 和 bucketA/b/fileB.png 进行迁移，目的端桶为 bucketB，目的端指定前缀为 Test/，则迁移至目的端后为 bucketB/Test/a/fileA.png 和 bucketB/Test/b/fileB.png 。 选择目的端 存储类型 选择迁移数据在目的端的存储类型，支持：匹配源端、标准存储、低频存储、归档存储。 说明 匹配源端 ：会自动匹配源端存储类型，与源端存储类型保持一致。但仅能自动匹配源端的“标准”和“低频”类型，匹配源端的“归档”或“深度归档”类型，请您务必提前对源端归档数据进行手动解冻，并确保迁移任务完成前数据保持解冻状态，否则该部分数据会迁移失败。 标准存储 ：将会存储为标准类型。 低频存储 ：将会存储为低频类型。 归档存储 ：将会存储为归档类型。 不同地域的对象存储ZOS bucket所支持的存储类型不一致，若您此处选择的存储类型，在您的目的端bucket所在地域并不支持，则迁移会失败。您可参考 选择目的端 ACL配置 选择迁移数据在目的端的ACL配置，支持：匹配源端、私有、公共读。 说明 匹配源端 ：会自动匹配源端的ACL配置，与源端保持一致。 私有 ：会将目的端ACL配置为私有。 公共读 ：会将目的端ACL配置为公共读。 高级选项 同名文件是否覆盖 选择迁移的同名文件处理策略，支持：同名文件不覆盖、同名文件全覆盖、按最后修改时间判断。 说明 不覆盖 ：对同名文件，不进行任何判断，一律执行跳过。 全覆盖 ：对于同名文件，不进行任何判断，一律执行覆盖。 按最后修改时间 ：对于同名文件，优先判断二者的Lastmodified（即最后修改时间），仅当源端文件相较目的端修改时间更新时，进行覆盖。若源端与目的端文件最后修改时间一致，则判断两者的文件大小，大小一致则执行跳过，大小不一致则执行覆盖。 注意 选择“ 全覆盖 ”将会覆盖您目的端的同名文件，被覆盖的文件无法被恢复，请您配置时慎重评估是否全覆盖，避免不必要的损失。

本文帮助您了解对象存储删除桶的操作步骤。 操作场景 当您不再需要使用一个桶时，可以通过ZOS控制台将其删除，这样可以释放桶所占用的数量配额，以便您可以创建更多的桶。存储桶数量配额说明请见产品使用限制。 约束与限制 若桶中有对象和碎片，需先彻底删除对象和碎片后，再删除桶。 若桶已绑定自定义域名，需先解绑后，再删除桶。 若桶作为了日志存储目标桶，请取消后再删除桶。 操作步骤 1. 点击天翼云门户首页的“控制中心”，输入登录的用户名和密码，进入控制中心页面。 2. 在控制台上方点击，选择地域，以下操作选择华东华东1。 3. 在控制台首页，选择“存储>对象存储”。 4. 在对象存储桶列表，选择Bucket名称，点击“删除”。 5. 单击“确定”，完成桶删除。

本文介绍构造请求内容。 1、请求地址 {终端节点地址}+{对应接口URL}。 终端节点地址： 对应接口URL：每个API对应一个接口URL，请参考各个接口URL。 2、通信协议 接口通过 HTTPS 进行通信，保护用户数据的机密性和完整性，确保网络通信的安全性。 3、请求方法 支持的 HTTP 请求方法：见具体接口说明。 POST 请求支持的 ContentType 类型：application/json。 4、请求头及说明 Key Value(说明) ContentType application/json（POST类型时） ctyuneoprequestid 用户请求id，通过uuid生成，形如33dfa732b27b464fb15a21ed6845afd5 EopAuthorization 由天翼云官网accessKey和securityKey经签名后生成，签名逻辑详见后续说明 eopdate 请求时间，形如yyyymmddTHHMMSSZ，例如20211221T163014Z host 终端节点域名 tenantId 租户ID 5、tenantId获取方式 在控制台页面，查看使用的示例，并点击访问。 在打开的对话页面，可看到租户id(tenantId)。

本小节介绍SSL VPN的配置L3VPN资源最佳实践。 功能简述 L3VPN应用的实现是通过在客户端安装虚拟网卡，由虚拟网卡抓取访问服务器的数据，进行封装后通过虚拟网卡和SSL设备建立的隧道将数据传递到应用服务器。L3VPN目前支持TCP、UDP、ICMP协议。 准备工作 确认业务系统名称和对应的IP和端口（如有）。 配置思路 1. 在资源管理里创建相应的L3VPN应用。 2. 在角色里关联资源关联用户。 配置方式 1. 在资源管理里创建相应的L3VPN应用。 新建L3VPN资源： 2. 新建角色授权关联资源给用户。 新建角色，将用户和资源关联起来（配置完成后须点击“立即生效”按钮完成配置保存）。 用户登录访问资源 1. 登录SSL VPN，查看EasyConnect客户端虚拟网卡（VNIC）安装成功了，分配到了虚拟IP。 2. 在资源列表直接点击对应资源；或者在浏览器另开标签页，输入资源地址直接访问。 注意 不管发布哪种类型资源，前提是SSL本身能访问得到，SSL到目标服务器网络层路由可达、传输层端口通。 如果发布的资源要在资源列表点击就能访问，要在“+”添加的第一条端口范围为固定值，如80到80。 如果要求拨入SSL VPN能ping通服务器，需要将ICMP协议发布。 如果服务器需要主动连接客户端，此时需要将L3VPN资源访问模式改成“使用分配的虚拟IP地址作为源地址”，并在应用服务器加到对应虚拟IP网段的回包路由。 如果资源是以域名形式发布的，要求SSL本身能解析到，建议配置“内网域名解析”或者添加内网DNS规则，保证客户端DNS解析请求能进VPN隧道。

绑定OBS桶 1. 进入SFS Turbo文件系统列表页面。 2. 在文件系统列表中，单击创建的文件系统名称，进入文件系统详情页面。 3. 进入“绑定后端存储”页签，单击“绑定OBS桶”。 4. 在右侧弹窗“绑定OBS桶”中，填写如下参数。 5. 参数 含义 限制 配置后可编辑 联动目录名称 SFS Turbo文件系统根目录下会以该名称创建一个子目录，该目录将绑定对应的OBS桶，且该目录名称不能和已有目录重名。 子目录名称不能重复。 子目录名称必须是文件系统根目录下不存在的目录名。 子目录名称不能是“.”或“..”。 不支持 桶名 OBS存储桶桶名。 无法绑定不存在的存储桶。 不支持绑定OBS并行文件系统和已配置服务端加密的OBS存储桶进行联动。 不支持 OBS区域域名 OBS区域域名，即OBS的终端节点。 OBS存储桶必须和SFS Turbo文件系统在同一个Region。 不支持 导入的文件权限 导入的文件权限。输入的三位数字分别表示文件所有者、文件所属用户组和其他用户的权限，每一位数字的取值为4（读权限）、2（写权限）、1（执行权限）、0（无权限）相加的组合。 可选参数。取值范围是0到7组成的三位数。 支持 导入的目录权限 导入的目录权限。输入的三位数字分别表示文件所有者、文件所属用户组和其他用户的权限，每位数字的取值为4（读权限）、2（写权限）、1（执行权限）、0（无权限）相加的组合。 可选参数。取值范围是0到7组成的三位数。 支持 用户ID 导入的文件或目录所有者的用户ID。 可选参数。取值范围是0到4294967294（即2^322）。 支持 用户组ID 导入的文件或目录所属用户组ID。 可选参数。取值范围是0到4294967294（即2^322）。 支持 自动导出 打开开关后，当文件系统发生数据更新时，将自动导出到OBS桶。 支持 导出数据 打开“自动导出”开关，则会出现该参数。 选择导出到OBS桶的数据更新类型“新增数据”、“修改数据”或“删除数据”后，SFS Turbo会以异步方式导出到OBS。 新增数据：SFS Turbo联动目录下创建的文件，及之后对这些文件进行的元数据和数据修改，会被自动同步到OBS桶里。 修改数据：从OBS桶里导入到SFS Turbo联动目录下的文件，在SFS Turbo上对这些文件所进行的数据和元数据的修改，会被自动同步到OBS桶里。 删除数据：在SFS Turbo联动目录下删除文件，OBS桶对应的对象也会被删除，只有被SFS Turbo写入的OBS对象才会被删除。 支持 6. 勾选“将OBS桶的读写权限通过桶策略授权给SFS Turbo云服务”，并单击“确定”，完成绑定。 说明 不支持绑定OBS并行文件系统和已配置服务端加密的OBS存储桶进行联动。 绑定OBS桶时，会在OBS桶上添加Sid为“PolicyAddedBySFSTurbo”的桶策略，请不要修改或删除该桶策略，否则可能导致联动功能异常。 如果您已将一个或多个SFS Turbo文件系统绑定了OBS存储桶，在删除文件系统或删除绑定之前，请不要删除该OBS存储桶，否则可能导致联动功能异常。 以桶名为“obstest”的OBS桶为例，桶策略“PolicyAddedBySFSTurbo”的内容如下所示： { "Statement": [ { "Sid": "PolicyAddedBySFSTurbo", "Effect": "Allow", "Principal": { "ID": [ "domain/xxx:user/xxx" ] }, "Action": [ "ListBucket", "HeadBucket", "GetBucketStorage", "GetBucketPolicy", "GetBucketAcl", "GetBucketNotification", "GetBucketQuota", "GetObject", "PutObject", "DeleteObject", "GetObjectAcl", "PutObjectAcl", "ModifyObjectMetaData" ], "Resource": [ "obstest", "obstest/" ] } ] }

参数 是否必填 参数类型 说明 示例 下级对象 appId 否 String 授权APP的标识ID 64b9eb7120587e096d60977d authType 否 String 认证方式，NOAUTH或者APP，大小写敏感，默认为NOAUTH APP routeId 是 String 路由唯一编码 64b9eb7120587e096d60977d gwInstanceId 是 String 实例ID a4eeaed8d921701f0de44c96fb7ac8c2 host 否 String 请求域名，不可为空格 a.com method 是 String api的匹配方法,GET、POST、PATCH、PUT、DELETE、HEAD、OPTIONS的一种 GET protocol 是 String 请求协议类型，http或者https，大小写不敏感 https requestBodyType 否 String body请求参数输入类型,当请求方法为POST、PUT、PATCH时允许选择form或者json，默认为form;其他请求方法，为null，不放开body参数. null or form or json requestBody 否 Object 路由请求的body参数,以表单的方式交互.当body请求类型的为form时传入 ParameterVO requestBodyString 否 String 路由请求的body字串,以编辑窗口展示.当body请求类型的为json时传入 requestHeader 否 Object 路由请求的头部参数 ParameterVO requestQuery 否 Object 路由请求的query参数 ParameterVO uri 是 String 请求路径 /usr

参数 是否必填 参数类型 说明 示例 下级对象 appId 否 String 授权APP的标识ID 64b9eb7120587e096d60977d authType 否 String 认证方式，NOAUTH或者APP，大小写敏感，默认为NOAUTH APP routeId 是 String 路由唯一编码 64b9eb7120587e096d60977d gwInstanceId 是 String 实例ID a4eeaed8d921701f0de44c96fb7ac8c2 host 否 String 请求域名，不可为空格 a.com method 是 String api的匹配方法,GET、POST、PATCH、PUT、DELETE、HEAD、OPTIONS的一种 GET protocol 是 String 请求协议类型，http或者https，大小写不敏感 https requestBodyType 否 String body请求参数输入类型,当请求方法为POST、PUT、PATCH时允许选择form或者json，默认为form;其他请求方法，为null，不放开body参数. null or form or json requestBody 否 Object 路由请求的body参数,以表单的方式交互.当body请求类型的为form时传入 ParameterVO requestBodyString 否 String 路由请求的body字串,以编辑窗口展示.当body请求类型的为json时传入 requestHeader 否 Object 路由请求的头部参数 ParameterVO requestQuery 否 Object 路由请求的query参数 ParameterVO uri 是 String 请求路径 /usr

入侵防御 基于状态、精准的高性能攻击检测和防御 实时攻击源阻断、IP屏蔽、攻击事件记录 支持针对HTTP、SMTP、IMAP、POP3、VOIP等几十种协议和应用的攻击检测和防御 支持自定义入侵防御特征 提供预定义防御配置模板 提供几千种特征的攻击检测和防御，特征库支持网络实时更新 病毒过滤 基于流、低延时、高并发、高性能的病毒过滤 支持大病毒文件的扫描 实时病毒连接阻断，病毒事件记录 支持常见病毒传输协议HTTP、FTP及各种邮件协议扫描 超千万级的病毒特征库，病毒库可以在线更新、本地更新 数据安全 支持基于文件类型、文件大小、文件名称进行数据传输安全控制 支持HTTP、FTP、SMTP、POP3、SMB协议文件传输的识别 支持近百种主流文件类型的特征码及后缀名双重识别 僵尸网络C2 防御 通过监控C&C连接发现内网肉鸡，阻断僵尸网络/勒索软件等高级威胁进一步破坏 定期僵尸网络服务器地址升级更新 支持C&C IP和域名两种方式检测 支持TCP和HTTP、DNS协议检测

Action 可选键 描述 说明 ListBucket prefix String类型，列举以指定的字符串prefix开头的对象。 配置prefix、delimiter、maxkeys后，执行List操作时需要带上符合条件的键值对信息，桶策略才生效。 例如，某桶配置了匿名用户可读的桶策略，且条件运算符NumericEquals，键maxkeys，值100。则匿名用户列举对象时需要在桶访问域名末尾加上?maxkeys100，才能完成对象列举，且列举的对象将是按照字典顺序的前100个对象。 ListBucket maxkeys Numeric类型，指定返回的最大数，返回的对象列表将是按照字典顺序的最多前maxkeys个对象。 ListBucketVersions prefix String类型，列举以指定的字符串prefix开头的多版本对象。 ListBucketVersions maxkeys Numeric类型，指定返回的最大数，返回的对象列表将是按照字典顺序的最多前maxkeys个对象。 PutBucketAcl acl String类型，设置桶ACL。修改桶ACL时在头域中可以包含的Canned ACL，取值范围为privatepublicreadpublicreadwriteauthenticatedreadbucketownerreadbucketownerfullcontrollogdeliverywrite。 无

本章节介绍服务条目管理 概述 在服务网格内部服务需要访问的外部的场景下，可以使用服务条目（ServiceEntry）定义外部服务的访问信息，这样网格内的服务也可以访问外部的服务。服务条目描述了服务的域名、协议、端口、节点列表等信息，定义服务条目时，需要注意端口不要与sidecar的端口冲突。 端口与服务条目 当前sidecar占用端口： 端口 协议 说明 15000 TCP sidecar管理端口。 15001 TCP outbound代理端口。 15004 HTTP debug端口。 15006 TCP inbound代理端口。 15008 TCP HBONE mTLS隧道端口。 15009 H2C HBONE安全网络端口。 15020 HTTP 合并的指标采集端口。 15021 HTTP 健康检查端口。 15053 DNS DNS端口。 15090 HTTP envoy指标采集端口。 18181 HTTP opa策略管理端口。 18282 TCP opa sidecar健康检查端口。 19191 GRPC opa授权检查端口。 通过集群与工作负载菜单下的服务条目可以管理网格内的外部服务；当前提供了三种模板用于创建服务条目，如下图： 访问网格外部的www.ctyun.cn服务可以按照下面的配置： apiVersion: networking.istio.io/v1beta1 kind: ServiceEntry metadata: name: externalsvchttps

参数名 说明 取值样例 名称 输入便于记忆和区分的连接名称。 mysqllink 数据库服务器 MySQL数据库的IP地址或域名。 192.168.1.110 端口 MySQL数据库的端口。 3306 数据库名称 MySQL数据库的名称。 sqoop 用户名 拥有MySQL数据库的读、写和删除权限的用户。 admin 密码 用户的密码。 使用本地API 使用数据库本地API加速（系统会尝试启用MySQL数据库的localinfile系统变量）。 是 使用Agent 是否选择通过Agent从源端提取数据。 是 localinfile字符集 mysql通过localinfile导入数据时，可配置编码格式。 utf8 驱动版本 适配mysql的驱动。 Agent 单击“选择”，选择连接Agent中已创建的Agent。 单次请求行数 指定每次请求获取的行数。 1000 单次提交行数 支持通过agent从源端提取数据 1000 连接属性 自定义连接属性。 useCompressiontrue 引用符号 连接引用表名或列名时的分隔符号。默认为空。 ' 单次写入行数 指定单次批量写入的行数，当写入行数累计到单次批量提交行数时提交一次，该值应当小于单次提交行数。 100

本文介绍安全加速产品优势。 覆盖丰富的资源覆盖 国内拥有丰富的节点覆盖承载能力，覆盖多运营商、主要省份和城市无盲点。 加速节点可根据需求随时增加，致力于客户的发展壮大。 特色特色的安全防护 敏感信息回显脱敏，保护用的身份证号、手机号和卡号等敏感信息。 撞库攻击防护，防止网站撞库攻击，保护网站用户数据安全。 恶意挖矿防护，识别js挖矿脚本，避免访问网站的用户被利用成“挖矿机”。 客户端防广告，移除客户端被插入的广告，保护内容安全。 安全可靠的安全防护 分布式集群防护，单点故障自动转移，确保网站的高可用性。 利用大平台优势，基于全网、全行业流量的攻击数据，结合机器学习算法，构建一套智能防护体系。 精准防护，域名粒度的防护策略，结合客户自身业务定制化防护策略。 维护完善的售后服务 集中监控和分散维护相结合，NOC 工程师7×24小时集中监控，网络工程师7×24小时在线支持，所有节点都有现场服务工程师进行服务保障。 便捷便捷的接入方式 安全加速一体化，基于CDN的架构，实现加速防护一体化。 零部署、零运维、使用CNAME接入，云端安全专家配置策略

本文介绍使用全站加速和媒体存储【即对象存储（融合版）】后访问文件被强制下载的可能原因及解决方案。 问题描述 使用天翼云全站加速产品加速媒体存储【即对象存储（融合版）】资源，在通过全站加速访问媒体存储【即对象存储（融合版）】资源时，对应文件被强制下载。 问题原因 由于媒体存储【即对象存储（融合版）】在访问Bucket域名时，如果未设置对象属性，媒体存储【即对象存储（融合版）】会根据文件后缀自动添加合适的对象属性，如果文件无后缀则会给文件添加ContentType：application/octetstream和ContentDisposition：attachment响应头，导致文件被强制下载。 解决方案 需要修改媒体存储【即对象存储（融合版）】中资源的对象属性，操作步骤如下： 1. 登录媒体存储【即对象存储（融合版）】控制台。 2. 单击左侧导航栏【对象存储】【Bucket列表】。 3. 在【Bucket列表】页面，单击目标Bucket。 4. 单击【文件列表】标签页，并单击【上传文件】按钮，针对上传文件进行设置对象属性。 5. 单击【点击上传】，选择需要上传的文件，单击【开始上传】。

名称 描述 是否必须 Host 操作跟踪访问域名。 对象存储网络：ooscncloudtrail.ctyunapi.cn。 对象存储网络2：ooscn2cloudtrail.ctyunapi.cn。 香港精品网和香港普通网：ooscnhkcloudtrail.ctyunapi.cn。 是 Authorization V4请求头签名。 类型：字符串 是 XAmzDate 日期和时间格式必须遵循ISO 8601标准，并且必须使用“yyyyMMddT HHmmssZ”格式进行格式化。例如，如果日期和时间是“08/01/2018 15：32：41.982700”，则必须首先将其转换为UTC（协调世界时），然后提交为“20180801T083241Z”。 是 XAmzTarget 操作跟踪请求目标，格式为cn.ctyunapi.ooscncloudtrail.v20131101.CloudTrail20131101.Target。 例如创建操作跟踪的请求为： XAmzTarget:cn.ctyunapi.ooscncloudtrail.v20131101.CloudTrail20131101.CreateTrail 是 ContentType 请求内容类型。 类型：字符串 取值：application/json。 是 Connection 客户端与OOS服务器之间的连接状态。 取值： keepalive：长连接，请求结束后继续保持连接。 close：短连接，请求结束后关闭连接。 默认值为：keepalive。 否

资源池名称 标准存储 低频存储 归档存储 多AZ规格 公共资源池 碎片管理 防盗链 跨域设置 桶ACL 生命周期 版本管理 日志转存 服务端加密 对象存储迁移 用户配额 桶清单 图片处理进阶版 跨区域复制 合规保留 自定义域名 数据回源 桶策略基础版 桶策略进阶版 双端固定 专线接入对象存储 对象存储监控 软链接 STS临时授权 桶配额 归档直读 通过VPCE访问对象存储 合肥2 √ √ √ √ √ √ √ √ √ √ √ ◎ ◎ ◎ ◎ 北京5 √ √ √ √ √ √ √ √ √ √ √ √ ◎ √ 重庆2 √ √ √ √ √ √ √ √ 福州25 √ √ √ √ √ √ √ √ √ √ ◎ ◎ 厦门3 √ √ √ √ √ √ √ √ √ 贵州3 √ √ √ √ √ √ √ √ √ √ ◎ 广州6 √ √ √ √ √ √ √ √ √ √ √ √ ◎ 南宁23 √ √ √ √ √ √ √ √ √ √ √ √ √ ◎ ◎ ◎ √ 兰州2 √ √ √ √ √ √ √ √ √ 郑州5 √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ ◎ ◎ √ √ 武汉4 √ √ √ √ √ √ √ √ √ 武汉41 √ √ √ √ √ √ √ √ √ √ √ √ √ √ ◎ ◎ ◎ ◎ √ 华东1 √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ ◎ √ ◎ ◎ √ ◎ ◎ ◎ √ 华南2 √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ ◎ ◎ ◎ ◎ √ 石家庄20 √ √ √ √ √ √ √ √ √ √ √ √ ◎ ◎ 长沙42 √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ ◎ ◎ ◎ ◎ ◎ √ 郴州2 √ √ √ √ √ √ √ √ √ 海口2 √ √ √ √ √ √ √ √ √ √ √ ◎ 华北2 √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ ◎ √ ◎ ◎ √ ◎ ◎ √ 南京3 √ √ √ √ √ √ √ √ √ 南京5 √ √ √ √ √ √ √ √ √ √ ◎ 九江 √ √ √ √ √ √ √ √ √ √ ◎ 南昌5 √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ ◎ ◎ √ 辽阳1 √ √ √ √ √ √ √ √ √ √ 中卫5 √ √ √ √ √ √ √ √ √ √ ◎ 内蒙6 √ √ √ √ √ √ √ √ √ √ √ ◎ ◎ ◎ 西宁2 √ √ √ √ √ √ √ √ √ 青岛20 √ √ √ √ √ √ √ √ √ √ √ ◎ √ ◎ √ 成都4 √ √ √ √ √ √ √ √ √ √ ◎ ◎ ◎ 西安5 √ √ √ √ √ √ √ √ √ √ ◎ √ 西安7 √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ ◎ ◎ √ 上海7 √ √ √ √ √ √ √ √ √ ◎ ◎ ◎ ◎ ◎ ◎ ◎ 上海15 √ √ √ √ √ √ √ √ √ √ √ √ √ ◎ ◎ √ 上海36 √ √ √ √ √ √ √ √ √ √ ◎ √ ◎ ◎ ◎ ◎ ◎ ◎ √ 晋中 √ √ √ √ √ √ √ √ 太原4 √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ ◎ ◎ 乌鲁木齐27 √ √ √ √ √ √ √ √ √ √ ◎ ◎ 拉萨3 √ √ √ √ √ √ √ √ √ √ 西南1 √ √ √ √ √ √ √ √ √ √ √ √ √ ◎ ◎ √ ◎ √ √ ◎ ◎ √ √ 西南2贵州 √ √ √ √ √ √ √ √ √ √ √ √ √ √ ◎ ◎ √ √ 昆明2 √ √ √ √ √ √ √ √ √ √ ◎ 杭州2 √ √ √ √ √ √ √ √ √ ◎ ◎ ◎ 杭州7 √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ ◎ ◎ ◎ ◎ ◎ √ 呼和浩特3 √ √ √ √ √ √ √ √ √ √ √ √ √ √ ◎ ◎ ◎ 芜湖4 √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ ◎ ◎ 庆阳2 √ √ √ √ √ √ √ √ √ √ √ √ √ √ ◎ ◎ ◎ 乌鲁木齐7 √ √ √ √ √ √ √ √ √ √ √ √ √ √ ◎ ◎ 沈阳8 √ √ √ √ √ √ √ √ √

本小节介绍业务IP暴露后如何检查。 IP暴露后如何检查？ 若业务IP历史存在攻击，可能已被攻击者获知，即使配置DDoS高防，攻击者有可能绕过高防IP对业务IP发起攻击，若攻击流量过大，仍会超过DDoS基础防护阈值，触发临时封禁，因此建议在配置高防的同时，同步更换业务IP并限制仅能被高防IP访问，实现业务IP隐藏。 在更换业务 IP 前建议对其他可能暴露业务IP的因素进行检查，避免新更换的业务IP通过其他渠道再次暴露。 网站信息泄露检查 检查业务网站是否存在回源IP等信息泄露。 检查业务网站是否存在可能泄露配置的命令执行漏洞。 服务器信息泄露检查 检查服务器是否存在后门程序。 DNS检查 检查是否存在域名直接解析到更换后的新IP的情况。 安全组检查 检查安全组是否限制新IP仅可被高防IP等授权IP访问，防止攻击者扫描获知新IP信息。

本文介绍使用CDN加速后访问HTML页面弹出下载界面的处理方案。 问题现象 域名使用CDN加速后访问HTML页面未正常响应，弹出下载界面。 处理方案 通过本地电脑绑定host（host文件地址：C:WindowsSystem32driversetc下的hosts文件），添加方式如下图： 测试CDN加速源站是否正常，同时检查源站响应头： 如源站直接返回响应头ContentType: application/octetstream，则需要将其修改为ContentType:text/html，并在CDN控制台刷新缓存；如源站为媒体存储，可参考如下文档进行处理：使用CDN和媒体存储后访问文件被强制下载。 如源站并未返回上述响应头，则检查是否CDN特殊设置了ContentType: application/octetstream响应头。如果是，需要针对HTML文件将ContentType值修改为text/html。详情请见：HTTP响应头。