可选配置 零信任针对远程办公提供丰富的安全管控策略，目前部分策略控制台待开放，如有需求，可联系我们。 登录策略：主要是针对登录的密码策略、二次认证方式进行设置，可进行快捷打开或关闭二次登录，开启二次认证时，默认使用上次所勾选的二次认证方式 ，若无已勾选的二次认证方式，则默认采用短信验证码进行二次认证，如需配置其他方式，可到账户安全进行配置，若未开启二次登录则安全策略未配置将计数累加1。 访问控制：部分场景下，需要对访问的来源进行控制，远程零信任办公服务支持对客户端访问来源、访问IP、用户粒度、访问时间等进行访问控制，详情可查看配置访问控制，此处快捷展示已配置的规则条数，若配置条数为0则安全策略未配置将计数累加1。 横向扫描防护：针对横向扫描的行为进行设定不同策略模版，如IP类横向渗透防护、域名类横向渗透防护，主要都是针对单用户进行不同协议、端口、地址的组合判断频次，若高于异常则进行阻断或挑战认证。详情可查看横向扫描防护，此处快捷展示已配置的规则条数，若配置条数为0则安全策略未配置将计数累加1。 准入管控：可通过不同维度设置准入条件，仅满足准入条件的用户才可通过认证登录成功。详情可查看准入管控，此处快捷展示已配置的规则条数，若配置条数为0则安全策略未配置将计数累加1。 动态授权：实时获取终端环境情况，进行实时判别是否存在符合条件，若存在异常则根据策略执行阻断、二次认证等处理。详情可查看动态授权，此处快捷展示已配置的规则条数，若配置条数为0则安全策略未配置将计数累加1。 内外网隔离：可针对常用的互联网域名、ip设定黑白名单进行互联网行为控制，客户端搭配快捷上下线能力，保障用户体验。详情可查看内外网隔离，此处快捷展示是否已开启该能力，若未开启则安全策略未配置将计数累加1。

本文帮助您了解对象存储删除桶的操作步骤。 操作场景 当您不再需要使用一个桶时，可以通过ZOS控制台将其删除，这样可以释放桶所占用的数量配额，以便您可以创建更多的桶。存储桶数量配额说明请见产品使用限制。 约束与限制 若桶中有对象和碎片，需先彻底删除对象和碎片后，再删除桶。 若桶已绑定自定义域名，需先解绑后，再删除桶。 若桶作为了日志存储目标桶，请取消后再删除桶。 操作步骤 1. 点击天翼云门户首页的“控制中心”，输入登录的用户名和密码，进入控制中心页面。 2. 在控制台上方点击，选择地域，以下操作选择华东华东1。 3. 在控制台首页，选择“存储>对象存储”。 4. 在对象存储桶列表，选择Bucket名称，点击“删除”。 5. 单击“确定”，完成桶删除。

本文介绍构造请求内容。 1、请求地址 {终端节点地址}+{对应接口URL}。 终端节点地址： 对应接口URL：每个API对应一个接口URL，请参考各个接口URL。 2、通信协议 接口通过 HTTPS 进行通信，保护用户数据的机密性和完整性，确保网络通信的安全性。 3、请求方法 支持的 HTTP 请求方法：见具体接口说明。 POST 请求支持的 ContentType 类型：application/json。 4、请求头及说明 Key Value(说明) ContentType application/json（POST类型时） ctyuneoprequestid 用户请求id，通过uuid生成，形如33dfa732b27b464fb15a21ed6845afd5 EopAuthorization 由天翼云官网accessKey和securityKey经签名后生成，签名逻辑详见后续说明 eopdate 请求时间，形如yyyymmddTHHMMSSZ，例如20211221T163014Z host 终端节点域名 tenantId 租户ID 5、tenantId获取方式 在控制台页面，查看使用的示例，并点击访问。 在打开的对话页面，可看到租户id(tenantId)。

特权级容器 特权级容器：即给容器赋予主机的root用户权限，一般情况下都不需要设置。一个常见的使用场景是，使用主机目录挂载时，如果该目录是root用户权限的，那么容器想要操作这么目录，那么必须开启特权级容器，开启特权容器后，容器内的用户会设置为root用户 Deployment高级设置 负载注解与负载标签 支持给Deployment设置注解，注解将会以keyvalue形式写入Deployment 支持给Deployment设置标签，标签将会以keyvalue形式写入Deployment 镜像拉取凭证 支持给Deployment设置镜像拉取凭证 镜像拉取凭证主要适用于：如果我们给Deployment设置的镜像属于私有仓库中的镜像，那么一定要先创建镜像拉取凭证，然后再此处添加镜像拉取凭证 节点选择器 支持发布Deployment到指定节点上，选择了keyvalue之后，可以通过查看节点查看Deployment可以发布到哪些节点上。 注意 如果所有的节点都无法满足节点选择器，那么Pod将不会调度，会出现类似的事件0/3 nodes match node selector。 主机别名配置 如果我们希望给运行在k8s上的Pod增加一些域名的解析（例如宿主机的主机名），那么我们可以通过主机别名配置往容器的/etc/hosts文件中添加域名解析 给Deployment设置的主机别名可以等容器启动后，进入容器终端执行命令cat/etc/hosts查看

参数 是否必填 参数类型 说明 示例 下级对象 appId 否 String 授权APP的标识ID 64b9eb7120587e096d60977d authType 否 String 认证方式，NOAUTH或者APP，大小写敏感，默认为NOAUTH APP routeId 是 String 路由唯一编码 64b9eb7120587e096d60977d gwInstanceId 是 String 实例ID a4eeaed8d921701f0de44c96fb7ac8c2 host 否 String 请求域名，不可为空格 a.com method 是 String api的匹配方法,GET、POST、PATCH、PUT、DELETE、HEAD、OPTIONS的一种 GET protocol 是 String 请求协议类型，http或者https，大小写不敏感 https requestBodyType 否 String body请求参数输入类型,当请求方法为POST、PUT、PATCH时允许选择form或者json，默认为form;其他请求方法，为null，不放开body参数. null or form or json requestBody 否 Object 路由请求的body参数,以表单的方式交互.当body请求类型的为form时传入 ParameterVO requestBodyString 否 String 路由请求的body字串,以编辑窗口展示.当body请求类型的为json时传入 requestHeader 否 Object 路由请求的头部参数 ParameterVO requestQuery 否 Object 路由请求的query参数 ParameterVO uri 是 String 请求路径 /usr

4、完成 配置参数填写完成后，点击“下一步”完成任务配置，系统回到认证源列表，可查看认证源的相关信息。 在完成OAuth 2.0认证源设置后，需要在第三方服务应用中指定一个回调地址，以便在用户完成认证后，服务应用能够接收到认证结果。回调地址格式是： 其中{poolId}和{connectionId}分别代表用户池和认证源的唯一标识符，需要将这两个占位符替换为实际的用户池ID和认证源ID。 登录验证 1. 需要通过AOne客户端进行点击“其他登录方式”图标。 2. 则自动打开浏览器，选择对应登录方式进行登录。 3. 登录完成自动拉起客户端完成登录。 管理员查看登录账号 当用户池内的用户使用OAuth 2.0认证源登录后，管理员可在AOne零信任工作台身份用户与组织用户界面管理相关用户。

本章节介绍服务条目管理 概述 在服务网格内部服务需要访问的外部的场景下，可以使用服务条目（ServiceEntry）定义外部服务的访问信息，这样网格内的服务也可以访问外部的服务。服务条目描述了服务的域名、协议、端口、节点列表等信息，定义服务条目时，需要注意端口不要与sidecar的端口冲突。 端口与服务条目 当前sidecar占用端口： 端口 协议 说明 15000 TCP sidecar管理端口。 15001 TCP outbound代理端口。 15004 HTTP debug端口。 15006 TCP inbound代理端口。 15008 TCP HBONE mTLS隧道端口。 15009 H2C HBONE安全网络端口。 15020 HTTP 合并的指标采集端口。 15021 HTTP 健康检查端口。 15053 DNS DNS端口。 15090 HTTP envoy指标采集端口。 18181 HTTP opa策略管理端口。 18282 TCP opa sidecar健康检查端口。 19191 GRPC opa授权检查端口。 通过集群与工作负载菜单下的服务条目可以管理网格内的外部服务；当前提供了三种模板用于创建服务条目，如下图： 访问网格外部的www.ctyun.cn服务可以按照下面的配置： apiVersion: networking.istio.io/v1beta1 kind: ServiceEntry metadata: name: externalsvchttps

Action 可选键 描述 说明 ListBucket prefix String类型，列举以指定的字符串prefix开头的对象。 配置prefix、delimiter、maxkeys后，执行List操作时需要带上符合条件的键值对信息，桶策略才生效。 例如，某桶配置了匿名用户可读的桶策略，且条件运算符NumericEquals，键maxkeys，值100。则匿名用户列举对象时需要在桶访问域名末尾加上?maxkeys100，才能完成对象列举，且列举的对象将是按照字典顺序的前100个对象。 ListBucket maxkeys Numeric类型，指定返回的最大数，返回的对象列表将是按照字典顺序的最多前maxkeys个对象。 ListBucketVersions prefix String类型，列举以指定的字符串prefix开头的多版本对象。 ListBucketVersions maxkeys Numeric类型，指定返回的最大数，返回的对象列表将是按照字典顺序的最多前maxkeys个对象。 PutBucketAcl acl String类型，设置桶ACL。修改桶ACL时在头域中可以包含的Canned ACL，取值范围为privatepublicreadpublicreadwriteauthenticatedreadbucketownerreadbucketownerfullcontrollogdeliverywrite。 无

参数名 说明 取值样例 名称 输入便于记忆和区分的连接名称。 mysqllink 数据库服务器 MySQL数据库的IP地址或域名。 192.168.1.110 端口 MySQL数据库的端口。 3306 数据库名称 MySQL数据库的名称。 sqoop 用户名 拥有MySQL数据库的读、写和删除权限的用户。 admin 密码 用户的密码。 使用本地API 使用数据库本地API加速（系统会尝试启用MySQL数据库的localinfile系统变量）。 是 使用Agent 是否选择通过Agent从源端提取数据。 是 localinfile字符集 mysql通过localinfile导入数据时，可配置编码格式。 utf8 驱动版本 适配mysql的驱动。 Agent 单击“选择”，选择连接Agent中已创建的Agent。 单次请求行数 指定每次请求获取的行数。 1000 单次提交行数 支持通过agent从源端提取数据 1000 连接属性 自定义连接属性。 useCompressiontrue 引用符号 连接引用表名或列名时的分隔符号。默认为空。 ' 单次写入行数 指定单次批量写入的行数，当写入行数累计到单次批量提交行数时提交一次，该值应当小于单次提交行数。 100

本文介绍安全加速产品优势。 覆盖丰富的资源覆盖 国内拥有丰富的节点覆盖承载能力，覆盖多运营商、主要省份和城市无盲点。 加速节点可根据需求随时增加，致力于客户的发展壮大。 特色特色的安全防护 敏感信息回显脱敏，保护用的身份证号、手机号和卡号等敏感信息。 撞库攻击防护，防止网站撞库攻击，保护网站用户数据安全。 恶意挖矿防护，识别js挖矿脚本，避免访问网站的用户被利用成“挖矿机”。 客户端防广告，移除客户端被插入的广告，保护内容安全。 安全可靠的安全防护 分布式集群防护，单点故障自动转移，确保网站的高可用性。 利用大平台优势，基于全网、全行业流量的攻击数据，结合机器学习算法，构建一套智能防护体系。 精准防护，域名粒度的防护策略，结合客户自身业务定制化防护策略。 维护完善的售后服务 集中监控和分散维护相结合，NOC 工程师7×24小时集中监控，网络工程师7×24小时在线支持，所有节点都有现场服务工程师进行服务保障。 便捷便捷的接入方式 安全加速一体化，基于CDN的架构，实现加速防护一体化。 零部署、零运维、使用CNAME接入，云端安全专家配置策略

本文介绍使用全站加速和媒体存储【即对象存储（融合版）】后访问文件被强制下载的可能原因及解决方案。 问题描述 使用天翼云全站加速产品加速媒体存储【即对象存储（融合版）】资源，在通过全站加速访问媒体存储【即对象存储（融合版）】资源时，对应文件被强制下载。 问题原因 由于媒体存储【即对象存储（融合版）】在访问Bucket域名时，如果未设置对象属性，媒体存储【即对象存储（融合版）】会根据文件后缀自动添加合适的对象属性，如果文件无后缀则会给文件添加ContentType：application/octetstream和ContentDisposition：attachment响应头，导致文件被强制下载。 解决方案 需要修改媒体存储【即对象存储（融合版）】中资源的对象属性，操作步骤如下： 1. 登录媒体存储【即对象存储（融合版）】控制台。 2. 单击左侧导航栏【对象存储】【Bucket列表】。 3. 在【Bucket列表】页面，单击目标Bucket。 4. 单击【文件列表】标签页，并单击【上传文件】按钮，针对上传文件进行设置对象属性。 5. 单击【点击上传】，选择需要上传的文件，单击【开始上传】。

按带宽峰值计费 当前天翼云官网支持自助订购的按带宽峰值计费的计费方式仅为“日带宽峰值”，日带宽峰值计费是每5分钟统计一个带宽峰值，每日得到288个值，取其中的最大值做为计费值。如需了解更多按带宽计费的具体单价可通过提交工单或拨打4008109889热线电话联系天翼云客服进行咨询。 中国内地价格 带宽阶梯 标准资费（元/Mbps/日） (0Mbps，100Mbps] 0.8 (100Mbps，500Mbps] 0.72 (500Mbps，5Gbps] 0.64 (5Gbps，+∞) 0.59 计费规则 计费方式：按日峰值带宽计费（按日阶梯到达模式）。 计费周期：按日结算，定时扣费。（当月最终账单将在次月3日生成，在次月4日10点后可查看和导出，具体出账时间以系统为准。） 计费场景：适用于域名流量曲线比较平稳，全天内带宽利用率大于30%的用户。 计费方向：视频直播默认只计费下行播放费用。但当上行推流费用和下行播放费用的比例大于1:50时，则同时会收取上行推流费用，单价与下行播放费用一致。 示例 ： 以按需的带宽峰值计费为例，假设8月1日带宽日峰值为10Mbps，8月2日带宽日峰值为10Gbps，计费情况如下所示： 日期 日带宽峰值 区间分布 计费标准(元/Mbps/日) 当日收费(元) 8.1 10Mbps (0Mbps，100Mbps] 0.8 8 8.2 10Gbps (5Gbps，+∞) 0.59 5900 8月1日带宽日峰值为10Mbps，位于区间(0Mbps，100Mbps]，执行0.8元/Mbps/日计费标准，当日收费8元。 8月2日带宽日峰值为10Gbps，位于区间(5Gbps，+∞)，执行0.59元/Mbps/日计费标准，当日收费5900元。 若8月其余时间未产生带宽，则月度账单金额为8+59005908元。

本页面介绍将ClickHouse集群绑定天翼云弹性负载均衡(ELB) ClickHouse集群绑定天翼云弹性负载均衡（ELB），实现以下核心能力： 流量负载均衡：ELB 按指定策略，将客户端 ClickHouse 查询 / 写入流量均匀分发至集群所有可用节点，避免单节点过载，提升集群并发承载能力。 高可用与故障自动切换：ELB 通过健康检查实时探测 ClickHouse 节点状态，自动剔除异常节点，流量仅转发至健康节点，保障服务不间断。 统一访问入口：对外提供单一 ELB VIP / 域名作为 ClickHouse 服务访问地址，无需客户端感知后端节点 IP 变化，简化应用配置与运维。 端口监听与协议适配：支持 ClickHouse 默认TCP 9000 端口、HTTP 8123 端口监听，适配 JDBC、客户端命令行、BI 工具等多种接入场景。 适用场景： 需规避单节点故障导致的服务中断，提升业务连续性 多应用 / 多客户端统一接入 ClickHouse 集群 前置条件 ClickHouse 集群：已在天翼云创建并部署完成高可用 / 分布式 ClickHouse 集群（至少 2 个可用数据节点，节点状态正常、服务可正常访问），记录所有节点私网 IP、8123/9000 端口状态 ELB 实例：已在天翼云同region / 同 VPC 下创建应用型 ELB，ELB 与 ClickHouse 集群处于同一 VPC，ELB 状态为「运行中」

输出音频格式支持 音频格式 播放体验 :: MP3 一种常用的音频有损压缩格式。由于流行时间较早，得到广泛的生态支持。 M4A M4A是MPEG4音频标准，属于苹果生态体系下的专用音频格式，在iOS生态下原生支持。该音频音质较好，但占用空间大于MP3。 OGG 是一种自由开放的音频容器格式。 相比于 MP3，OGG 格式可以提供更好的音质，但普及度不及M4A和MP3,并不是所有设备都支持。 HLS 使用HLS格式封装MP3音频，用于某些场景下的音乐播放。 使用控制台转码 前提条件 已开通云点播产品。 至少创建了一个点播实例。 操作步骤 1. 新建一个转码模板。转码模板的创建过程，详见【公共模板管理】【转码模板】。 2. 在【点播模式】【媒体库】页面，选择需要转码的一个视频条目，在右侧的操作栏，点击【媒体处理】。在弹出的对话框（如下图所示）中，将处理类型选择为【转码】。在界面中选择一个合适的转码模版。您可以选择系统预设的转码模板，或者自定义的转码模板。如果需要在视频中叠加水印，也可以选择一个水印模板。最后点击【确定】，即可发起一个转码任务。待转码任务完成以后，您可以在回调接口处获得转码后视频的URL地址等信息。详情可以查看音视频转码完成点播模式。 3. 您可以在【媒体库】中的原视频条目下，点击【详情】【视频地址】找到刚才视频条目的转码后视频。由于同一个视频条目可能会多次转码，因此在【视频地址】栏，您可能会发现多个视频地址。其中第一个文件为原始视频名称，随后的文件会根据转码时间先后排序，【名称】一栏会展示相应适配的转码模板名称，用于区分不同转码模板产生的转码后文件。当您使用多于一个转码模板转码生产HLS文件时，除了对应模板的生成文件外，点播模式下还会额外生成一个名为“多清晰度HLS视频”的视频地址。该视频地址实际是上面提及的多个转码HLS模板结果的归纳合集。利用HLS协议的特性，将多个HLS转码的m3u8文件合并为一个m3u8文件，用于在实际播放时，由前端播放器根据当前的网络带宽情况自动选择合适的码率和分辨率调整下一个视频片段的清晰度。“多清晰度HLS视频”的m3u8文件命名方式始终为 该文件会随着同一个视频条目下的每次HLS转码任务同步更新，且在视频地址栏持续显示。请注意，“多清晰度HLS视频”只是根据您的HLS转码任务对结果进行了整合，并未产生额外的转码视频，因此您不用担心该项服务产生额外的转码费用或者空间占用。 4. 您也可以在【任务管理】【转码任务】【点播模式】下找到刚才转码任务的转码进度和完成情况。

实例版本 支持的实例变更类型 变更须知及影响 Redis 3.0 单机实例变更为主备实例 连接会有秒级中断，大约1分钟左右的只读。 Redis 3.0 主备实例变更为Proxy集群实例 如果Redis 3.0主备实例数据存储在多DB上，或数据存储在非DB0上，不支持变更为Proxy集群；数据必须是只存储在DB0上的主备实例才支持变更为Proxy集群。 连接会中断，5~30分钟只读。 Redis 4.0/5.0 主备实例或读写分离实例变更为Proxy集群实例 变更为proxy集群时，需要评估proxy集群的多DB使用限制和命令使用限制对业务的影响。具体请参考 Redis 4.0/5.0 Proxy集群实例变更为主备实例或读写分离实例 变更为proxy集群时，需要评估proxy集群的多DB使用限制和命令使用限制对业务的影响。具体请参考

名称 描述 是否必须 Host 操作跟踪访问域名。 对象存储网络：ooscncloudtrail.ctyunapi.cn。 对象存储网络2：ooscn2cloudtrail.ctyunapi.cn。 香港精品网和香港普通网：ooscnhkcloudtrail.ctyunapi.cn。 是 Authorization V4请求头签名。 类型：字符串 是 XAmzDate 日期和时间格式必须遵循ISO 8601标准，并且必须使用“yyyyMMddT HHmmssZ”格式进行格式化。例如，如果日期和时间是“08/01/2018 15：32：41.982700”，则必须首先将其转换为UTC（协调世界时），然后提交为“20180801T083241Z”。 是 XAmzTarget 操作跟踪请求目标，格式为cn.ctyunapi.ooscncloudtrail.v20131101.CloudTrail20131101.Target。 例如创建操作跟踪的请求为： XAmzTarget:cn.ctyunapi.ooscncloudtrail.v20131101.CloudTrail20131101.CreateTrail 是 ContentType 请求内容类型。 类型：字符串 取值：application/json。 是 Connection 客户端与OOS服务器之间的连接状态。 取值： keepalive：长连接，请求结束后继续保持连接。 close：短连接，请求结束后关闭连接。 默认值为：keepalive。 否

本小节介绍业务IP暴露后如何检查。 IP暴露后如何检查？ 若业务IP历史存在攻击，可能已被攻击者获知，即使配置DDoS高防，攻击者有可能绕过高防IP对业务IP发起攻击，若攻击流量过大，仍会超过DDoS基础防护阈值，触发临时封禁，因此建议在配置高防的同时，同步更换业务IP并限制仅能被高防IP访问，实现业务IP隐藏。 在更换业务 IP 前建议对其他可能暴露业务IP的因素进行检查，避免新更换的业务IP通过其他渠道再次暴露。 网站信息泄露检查 检查业务网站是否存在回源IP等信息泄露。 检查业务网站是否存在可能泄露配置的命令执行漏洞。 服务器信息泄露检查 检查服务器是否存在后门程序。 DNS检查 检查是否存在域名直接解析到更换后的新IP的情况。 安全组检查 检查安全组是否限制新IP仅可被高防IP等授权IP访问，防止攻击者扫描获知新IP信息。

本文介绍使用CDN加速后访问HTML页面弹出下载界面的处理方案。 问题现象 域名使用CDN加速后访问HTML页面未正常响应，弹出下载界面。 处理方案 通过本地电脑绑定host（host文件地址：C:WindowsSystem32driversetc下的hosts文件），添加方式如下图： 测试CDN加速源站是否正常，同时检查源站响应头： 如源站直接返回响应头ContentType: application/octetstream，则需要将其修改为ContentType:text/html，并在CDN控制台刷新缓存；如源站为媒体存储，可参考如下文档进行处理：使用CDN和媒体存储后访问文件被强制下载。 如源站并未返回上述响应头，则检查是否CDN特殊设置了ContentType: application/octetstream响应头。如果是，需要针对HTML文件将ContentType值修改为text/html。详情请见：HTTP响应头。

本文介绍CDN缓存节点的分类。 背景说明 使用天翼云CDN加速以后，用户访问网站域名的请求，将会由客户网站权威DNS通过CNAME的方式授权给天翼云权威DNS，由天翼云权威DNS进行全局负载均衡调度，将用户请求引导至最近的边缘节点。本文主要介绍CDN节点的分类。 详细信息 CDN节点分为边缘节点和中间节点，边缘节点分布在全国各省市，用于与终端用户直接交互，中间节点位于各大区，用于将所有边缘节点请求收敛，以降低回源量。 相关节点架构如下图示： 1. 客户端首先经由DNS的牵引，向天翼云CDN边缘节点发起请求；边缘节点有缓存，则直接返回给用户。 2. 若CDN边缘节点无此内容，则边缘节点向中间节点发起请求。 3. 若中间节点无此内容，则回客户源站获取内容并缓存，同时响应给边缘节点。 4. 边缘节点最终响应给客户端，并按照配置的策略缓存该文件。

本文简述边缘安全加速节点无需部署私钥的情况下如何加速HTTPS业务,适用场景、注意事项等。 功能介绍 通常情况下，HTTPS协议的域名，如果需要在边缘安全加速平台配置加速服务，需要将HTTPS公钥和私钥部署到边缘安全加速平台。使用HTTPS无私钥驻留加速方案后，您只需要将公钥部署到边缘安全加速平台，私钥可以由源站唯一保有，即可实现HTTPS业务的加速。 HTTPS无私钥驻留加速方案原理如上图，具体过程如下： 1A: 客户端发起https请求，与边缘加速节点进行ssl握手，边缘加速节点将相应的SSL证书公钥传送给客户端，客户端使用公钥加密客户端生成的随机密码后发往边缘加速节点。 1B: 边缘加速节点与源站的私钥服务器建连，通过双方约定的加密方式将客户端发来的公钥加密的随机密码发往源站的私钥服务器，私钥服务器使用私钥解密获取随机密码，然后再将随机密码通过双方约定的加密方式返回给边缘安全加速节点，边缘加速节点解密后获取随机密码。 2A: 边缘加速节点与客户端双方都拥有随机密码后，即可以正常通信发送加密数据了。 2B: 边缘加速节点回源请求，与源站真实服务器建立https连接获取源站内容。

4. 完成 配置参数填写完成后，点击“下一步”完成任务配置，系统回到认证源列表，可查看认证源的相关信息。 在完成OAuth 2.0认证源设置后，需要在第三方服务应用中指定一个回调地址，以便在用户完成认证后，服务应用能够接收到认证结果。回调地址格式是： 其中{poolId}和{connectionId}分别代表用户池和认证源的唯一标识符，需要将这两个占位符替换为实际的用户池ID和认证源ID。 登录验证 1. 需要通过花卷慧办客户端进行点击“其他登录方式”图标。 2. 则自动打开浏览器，选择对应登录方式进行登录。 3. 登录完成自动拉起客户端完成登录。 管理员查看登录账号 当用户池内的用户使用OAuth 2.0认证源登录后，管理员可在花卷慧办工作台身份用户与组织用户界面管理相关用户。

参数 配置说明 名称 自定义的对象存储的名称，支持中文和英文字符。 存储类型 仅支持选择S3 Compatible。 存储访问地址 对象存储的访问域名endpoint，需要写明协议类型（https/http），如果是URL形式，则不需要包含桶名。 证书校验 用于Console Server访问对象存储时校验认证使用，此配置默认开启。此功能仅在对象存储使用HTTPS协议且拥有对应证书的前提下可开启使用，如果环境不满足要求，则需要关闭此配置项，否则无法正常连接/浏览对象存储。 Access Key 对象存储的访问账户对应的Access Key（即Secret ID）。 Access Secret 对象存储的访问账户对应的Access Secret（即Secret Key）。 大文件分片大小 用于将大文件分成小文件，加速传输效率的一个选项。默认值为：200，单位为MiB。输入框内右侧有增加和减少的按钮。 签名版本 访问对象存储发出请求时使用的签名版本。 地域 对象存储所属地域，如果对象存储有地域区分时需要填写。 访问模式 对象存储提供两种访问模式：Path、Virtual Hosting；在实际配置时建议先使用Path方式。 备注 自定义此对象存储的备注内容。

配置ELB访问日志 在“弹性负载均衡”界面配置访问日志。 1. 在“负载均衡器”控制台界面，单击需要配置访问日志的负载均衡器名称。 2. 在该负载均衡器界面的“访问日志”页签，单击“配置访问日志”。 3. 开启日志记录，选择您在云日志服务中创建的日志组和日志流。 4. 单击“确定”，配置完成。 查看访问日志 当您配置了访问日志，可以查看访问日志的详细信息。 通过“云日志服务”控制台，进入日志主题界面，选择相应日志主题名称，单击“实时日志”，即可查看弹性负载均衡的访问日志。 日志显示格式如下，日志字段说明下表所示。不支持修改日志格式。 $msec $accesslogtopicid [$timeiso8601] $logver $remoteaddr:$remoteport $status "$requestmethod $scheme://$host$routerrequesturi $serverprotocol" $requestlength $bytessent $bodybytessent $requesttime "$upstreamstatus" "$upstreamconnecttime" "$upstreamheadertime" "$upstreamresponsetime" "$upstreamaddr" "$httpuseragent" "$httpreferer" "$httpxforwardedfor" $lbname $listenername $listenerid $poolname "$membername" $tenantid $eipaddress:$eipport "$upstreamaddrpriv" $certificateid $sslprotocol $sslcipher $snidomainname $tcpinfortt $selfdefinedheader 参数 描述 取值说明 取值示例 msec 以秒为单位的时间，日志写入时的分辨率为毫秒。 浮点型数据 1530153091.868 accesslogtopicid 访问日志流ID。 uuid 04465dfa640f45678b5845c9f8bbc23f timeiso8601 日志写入时的时间，采用ISO 8601标准格式本地时间。 20180628T10:31:31+08:00 logver ELB服务日志版本号。 固定值：elb01 elb01 remoteaddr: remoteport 客户端IP地址：客户端端口。 记录客户端IP地址和客户端端口号。 10.184.30.170:59605 status ELB响应的状态码。 记录请求状态码。 200 requestmethod scheme://host requesturi serverprotocol 请求方法。请求方式：//主机名：请求URI请求协议。 l requestmethod：请求方法。 l scheme: http或https。 l host:主机名，可能为域名或者IP。 l requesturi： 浏览器发起的不做任何修改的原生URI。不包括协议及主机名。 POST requestlength 从客户端收到的请求长度（包括请求header和请求body）。 整型数据 295 bytessent 发送到客户端的字节数 。 整型数据 58470080 bodybytessent 发送到客户端的字节数（不包括响应头）。 整型数据 58469792 requesttime 请求处理时间，即ELB收到第一个客户端请求报文到ELB发送完响应报文的时间间隔（单位：秒）。 浮点型数据 499.769 upstreamstatus 从上游服务器获得的响应状态码，当ELB代理进行请求重试时会包含多个响应的状态码，当请求未被正确转发到后端云主机时此字段为。 后端返回给ELB的状态码 200 或者", 200"，或者"502, 502 : 200"，或者"502 : " upstreamconnecttime 与上游服务器建立连接所花费的时间，时间以秒为单位，分辨率为毫秒。当ELB代理进行请求重试时会包含多个连接的时间，当请求未被正确转发到后端云主机时此字段为。 浮点型数据 0.008或者", 0.008"，或者"0.008, 0.005 : 0.004"，或者"0.008 : " upstreamheadertime 从上游服务器接收响应头所花费的时间，时间以秒为单位，分辨率为毫秒。当ELB代理进行请求重试时会包含多个响应时间，当请求未被正确转发到后端云主机时此字段为。 浮点型数据 0.008或者", 0.008" ，或者"0.008, 0.005 : 0.004"，或者"0.008 : " upstreamresponsetime 从上游服务器接收响应所花费的时间，时间以秒为单位，分辨率为毫秒。当ELB代理进行请求重试时会包含多个响应时间，当请求未被正确转发到后端云主机时此字段为。 浮点型数据 0.008或者", 0.008" ，或者"0.008, 0.005 : 0.004"，或者"0.008 : " upstreamaddr 后端主机的IP地址和端口号。可能有多个值，每个值都是ip:port或者，用逗号空格隔开。 （该参数适用于独享型负载均衡） IP地址+端口号 ，192.168.1.2:8080（可能有多个值，每个值都是ip:port或者,用逗号空格隔开） httpuseragent ELB收到请求头中的httpuseragent内容，表示客户端的系统型号、浏览器信息等。 记录浏览器的相关信息 Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/67.0.3396.99 Safari/537.36 httpreferer ELB收到请求头中的httpreferer内容，表示该请求所在的页面链接。 页面链接请求 httpxforwardedfor ELB收到请求头中的httpxforwardedfor内容，表示请求经过的代理服务器IP地址。 IP地址 10.154.197.90 lbname 负载均衡器的名称（格式为“loadbalancer”+“负载均衡器ID”）。 字符串 loadbalancer789424af3fd242928c622a2dd7005175 listenername 监听器的名称（格式为“listener”+“监听器ID”）。 字符串 listenerfde03b66f960440e954a0be8b2b75093 listenerid 监听器在ELB服务内部的ID（客户可忽略）。 字符串 poolname 后端主机组名称（格式为“pool”+“后端主机组ID”）。 字符串 pool066a5dc5a3e44ea199f12a5716b681f6 membername 后端云主机的名称（格式为“member”+“服务器ID”，尚未支持）。可能有多个值，每个值都是memberid或者，用逗号空格隔开。 字符串 member47b07465075a4d2f8ce90b9f39bff160(可能有多个值，每个值都是memberid或者，用逗号空格隔开) tenantid 租户ID。 字符串 04dd36f921000fe20f95c00bba986340 eipaddress:eipport 弹性IP地址和监听器监听的端口号。 弹性IP地址和监听器监听的端口号。 4.17.12.248:443 upstreamaddrpriv 后端主机的IP地址和端口号。可能有多个值，每个值都是ip:port或者，用逗号空格隔开。 （该参数适用于共享型负载均衡） IP地址+端口号 ，192.168.1.2:8080（可能有多个值，每个值都是ip:port或者,用逗号空格隔开） certificateid [HTTPS监听器]SSL连接建立时使用的证书ID（尚未支持）。 字符串 17b03b19b2cc454e921b4d187cce31dc sslprotocol [HTTPS监听器]SSL连接建立使用的协议，非HTTPS监听器，此字段为。 字符串 TLS 1.2 sslcipher [HTTPS监听器]SSL连接建立使用的加密套件，非HTTPS监听器，此字段为。 字符串 ECDHERSAAES256GCMSHA384 snidomainname [HTTPS监听器]SSL握手时客户端提供的SNI域名，非HTTPS监听器，此字段为。 字符串 www.test.com tcpinfortt ELB与客户端之间的tcp rtt时间，单位：微秒。 整型数据 39032 selfdefinedheader 该字段为保留字段，默认为“”。 字符串

前提条件 已经订购边缘安全加速平台安全与加速服务，若未订购，请参见服务开通。 在控制台新增域名，请参见添加服务域名。 开通套餐为高级版及以上版本，支持账户安全防护相关功能。 配置说明 撞库防护配置说明 配置项 说明 开关 可以选择开启或者关闭撞库防护策略 处理动作 设置触发撞库策略的处理动作，可以选择拦截或告警 登录页URL 设置登录页面的URL 登录页数据请求URL 先单击键盘F12或者抓包，点击登录按钮，获取登录数据请求的URL地址（所获地址与登录页面URL可能是同一个，但是一般情况下动静态页面是分离的，所以大概率是不同的页面） 登录post包 用户Key：一般是username，具体看您的网站是怎么定义Key，加解密方式：不加密/base64/md5值的加密方式，用以解密密码Key: 一般是password，具体看您的网站是怎么定义Key，加解密方式：不加密/base64/md5值的加密方式，用来解密 触发条件 在【统计周期】内的【作用域】的请求数，请求次数超过【拦截阈值】次数，则执行【处理动作】。其中，作用域支持CI、IP+UA、IP CI：客户端ID，订购扩展服务BOT管理后支持该作用域 IP+UA：客户端IP与客户端UA IP：客户端IP 密码有泄露风险 判断密码存在泄露的处理方式,日志告警/重置密码/正常访问 请求内容类型 支持选择"application/xwwwformurlencoded"或"application/json"，指正常post包的请求方式 白名单 针对误拦设置白名单，可选粒度：URI、支持配置多条，多个粒度为“且”的逻辑，多个范围为“或”的关系 暴力破解防护配置说明 配置项 说明 开关 可以选择开启或者关闭暴力破解防护策略 处理动作 设置触发暴力破解策略的处理动作，可以选择拦截或告警 登录页URL 设置登录页面的URL 登录页数据请求URL 先单击键盘F12或者抓包，点击登录按钮，获取登录数据请求的URL地址（所获地址与登录页面URL可能是同一个，但是一般情况下动静态页面是分离的，所以大概率是不同的页面） 登录失败跳转URI 设置登录失败后需要跳转的URI 触发条件 在【防护统计频率】内的【作用域】的请求数，请求次数超过【拦截阈值】次数，则执行【处理动作】，处理动作持续时间【拦截时间】。其中，作用域支持CI、IP+UA、IP CI：客户端ID，订购扩展服务BOT管理后支持该作用域 IP+UA：客户端IP与客户端UA IP：客户端IP 白名单 针对误拦设置白名单，可选粒度：IP、IPS、IPR等多个粒度，支持配置多条白名单规则，多个粒度为“且”的逻辑，多个范围为“或”的关系

参数名称 描述 name 报文的名称，可修改。 httpversion 协议类型。 支持HTTP、HTTPS、TCP和UDP。 当请求类型为HTTP和HTTPS时，设置以下参数。 method 支持GET、POST、PATCH、PUT和DELETE。 returntimeout 发送请求，等待服务器响应的超时时间。 如果不设置此参数，默认响应超时时间为5000ms。 URL 发送请求的URL地址，比如“ headers 由关键字/值对组成，请求头部通知服务器有关于客户端请求的信息，“头域”的说明请参见 报文内容 实体的主体部分包含一个由任意数据组成的数据块，并不是所有的报文都包含实体的主体部分。 如果已设置全局变量或响应提取的局部变量，可在报文内容部分引用变量，执行压测任务过程会将报文内容中的变量值动态替换为指定的值。 说明 请求方式为GET时，不支持报文内容。 当请求类型为TCP时，设置以下参数。 说明 TCP类型的报文暂不支持响应提取功能。 IP 发送请求到被测服务器的IP地址。 port 发送请求到被测服务器的端口号。 connecttimeout 发起连接，服务器无响应的超时时间。 returntimeout 连接建立成功，等待响应返回的超时时间。 连接设置 重复使用连接：请求响应完成后，不断开连接，复用连接发送接收下一次请求响应。 关闭连接：每次完成请求响应完成后，断开连接，下一次重新建立连接。 checkendtype 通过返回结束设置，来判断本次请求的响应内容是否已经接收完成。 返回数据长度：设置返回数据的长度，单位字节。当接收到此长度的响应内容时，数据接收完成。 结束符：设置返回数据的结束标记。当接收到结束符时，数据接收完成 。 说明 结束符建议设置一个唯一的结束标记，如果设置的结束符在响应内容中存在多个，当接收到第一个结束符时，就认为响应内容已经接收完成，这样接收的响应数据就不完整。 body 实体的主体部分包含一个由任意数据组成的数据块，并不是所有的报文都包含实体的主体部分。 内容格式：请根据被测服务器的业务请求内容，选择“字符串”或“16进制码流”。 说明 16进制码流的内容取值范围为“09”和“af”，且总字符个数为双数。 如果已设置全局变量或响应提取的局部变量，可在报文内容部分引用变量，执行压测任务过程会将报文内容中的变量值动态替换为指定的值。

本文介绍天翼云全站加速的性能数据。 背景说明 行业内，全站加速一般通过如下相关性能指标衡量使用全站加速前后的加速效果，客户可以通过观测相关指标的发展变化来判断全站加速对自身业务的实际加速效果。 通用指标 业内一般通过平均响应时间、服务可用性、DNS解析时间、TCP建连时间、SSL握手时间、首包时间等相关性能指标来监测使用全站加速前后的加速效果，客户可以通过第三方监测平台监测以下相关指标的变化来判断全站加速对自身业务的实际加速效果。 类型 指标 描述 ::: 主要评价指标 整体性能 总下载时间，该值越小，则响应时间越短。 主要评价指标 服务可用性 访问成功率，该值越高，则可靠性越强。 网络指标 DNS解析时间 通过域名解析服务（DNS），将指定的域名解析成IP地址的消耗时间。 网络指标 TCP建连时间 浏览器或客户端和WEB服务器建立TCP/IP连接的消耗时间。 网络指标 SSL握手时间（按需） 浏览器或客户端和WEB服务器建立安全套接层（SSL）连接的消耗时间。 网络指标 首包时间 浏览器或客户端发送HTTP请求结束开始，到收到WEB服务器返回的第一个数据包的消耗时间。 网络指标 内容下载时间 监测一个页面时，从页面角度看，浏览器或客户端接收WEB服务器返回第一个数据包，到所有内容传输完成的时间。 平台指标 回源率 回源率分为回源请求数比例及回源流量比例两种。 1. 回源请求数比：指全站节点对于没有缓存、缓存过期（可缓存）和不可缓存的请求占全部请求记录的比例。 2. 回源流量比：回源流量是全站节点回源请求内容时产生的流量。回源流量比回源流量/用户请求访问的流量，比值越低，性能越好。 平台指标 缓存命中率 缓存命中率包括流量命中率和请求命中率。全站缓存命中率低，会导致源站压力大，静态内容访问效率低。 统计方式： 流量命中率 1 源站响应节点的流量/节点响应用户的总流量（5分钟粒度）。 请求命中率 1 节点回源请求数/用户访问节点的总请求数（5分钟粒度）。 注意 对于开启Range回源功能的域名，因为回源做了分片，而用户访问全站节点没有分片，可能会出现全站节点回源请求数远大于用户访问全站节点的请求数的情况。这种情况下回源请求数比的数据将没有参考意义。

字段 字段说明 规则名称 规则的名称，建议使用便于记忆的名称。例如根据使用场景进行命名。 防护状态 支持按钮开启防护状态或者关闭防护。 规则描述 规则的说明。 匹配条件 配置对应的匹配字段、逻辑符、匹配内容。 匹配字段包含：客户端IP、客户端IPS、客户端IPR、客户端端口、目的IPS、目的IPR、目的IP、目的端口、协议、域名、用户、生效时间段(周期性)、地区、设备ID等。 逻辑符为：包含、不包含。 匹配内容为：根据对应匹配字段渲染出来的填写框，支持下拉勾选，填写精确内容等方式。 处置动作 支持对访问进行拦截、监控、丢弃、加白操作。 监控：请求命中访问控制策略后，不对其拦截，仅记录攻击日志。 加白：请求命中访问控制策略后，将对其进行加白，请求不经过任意安全防护策略。 拦截：提示由于您企业配置了访问控制策略，您此次的访问不符合访问条件，请确认是否存在非法IP地址、不合规时间或者非法地区访问等情况。 丢弃：拦截后不会响应页面，会减少带宽。

本文介绍浏览器访问提示:该网页无法正常运作,解决方式。 问题现象 域名接入安全与加速服务后，浏览器访问提示：该网页无法正常运作（ERREMPTYRESPONSE）。可能是因为请求触发了访问控制或者频率控制策略，并且处理动作为丢弃。 排查步骤 1.用客户端IP查看对应的攻击日志（日志与数据分析>实时日志>Web应用攻击日志），判断对应客户端IP是否触发攻击类型为访问控制或者频率控制的策略。 2.如果触发了访问控制或者频率控制策略，并且处理动作为丢弃，建议您如下操作： 如果处理动作为丢弃的防护规则是误配置的，可以将对应规则关闭或者删除。 如果处理动作为丢弃的防护规则是对所有请求进行防护的，但是要允许你使用的ip或者请求的url不受该规则约束，可以将对应ip或url加白，详情请参考防护白名单。 如果以上均无法解决，建议您联系我们协助解决。

4、完成 配置参数填写完成后，点击“下一步”完成任务配置，系统回到认证源列表，可查看认证源的相关信息。 在完成OIDC认证源的设置后，需要在OIDC应用中指定一个回调地址，以便在用户完成认证后，服务应用能够接收到认证结果。这个回调地址的格式是： 这里的{poolId}和{connectionId}分别代表用户池和认证源的唯一标识符，需要将这两个占位符替换为实际的用户池ID和认证源ID。 登录验证 1. 需要通过AOne客户端进行点击“其他登录方式”图标。 2. 则自动打开浏览器，选择对应登录方式进行登录。 3. 登录完成自动拉起客户端完成登录。 管理员查看登录账号 当用户池内的用户使用OIDC认证源登录后，管理员可在AOne零信任工作台身份用户与组织用户界面管理相关用户。

参数名称 参数描述 类型 是否必须 ID 参数解释： 跨域规则的ID。 约束限制： 最长长度为255个字符。 String 否 AllowedHeader 参数解释： 允许浏览器发送CORS请求时携带的自定义HTTP请求头部。 约束限制： 不区分英文大小写，单条CORSRule可以配置多个AllowedHeader。 String 否 AllowedMethod 参数解释： 允许该源执行的HTTP方法列表。 约束限制： 只能填入GET、PUT、HEAD、POST和DELETE，单条规则可以配置多个方法。 String 是 AllowedOrigin 参数解释： 允许能够访问该bucket的一个或多个源,支持 通配符，表示所有域名都允许访问，不推荐。 约束限制： 一条CORSRule可以配置多个AllowedOrigin。 String 是 ExposeHeader 参数解释： 允许浏览器获取的CORS请求响应中的头部。 约束限制： 不区分英文大小写，单条CORSRule可以配置多个 ExposeHeader。 String 否 MaxAgeSeconds 参数解释： 跨域资源共享配置的有效时间，单位为秒，对应CORS请求响应中的AccessControlMaxAge头部。 约束限制： 单条CORSRule只能配置一个MaxAgeSeconds。 Integer 否

参数 说明 回源类型 根据需求场景选择镜像回源或重定向回源： 镜像回源：镜像回源会从回源规则指定的源站抓取对应资源，转发给客户端，同时在后台生成回源任务，将源站数据保存至ZOS中。 重定向回源：重定向回源对用户的请求根据回源规则生成新的url后进行重定向，由客户端对重定向的url进行访问，不会将源站数据保存至ZOS中。 回源条件 触发回源需同时满足下列两个条件： HTTP状态码：404 文件名前缀：设置请求的文件名前缀 回源地址规则 选择添加前缀/添加前后缀/替换文件名前缀。 回源地址 选择https/http，填入域名或 IP 地址。 跟随重定向 可选开启或关闭。开启后ZOS会跟踪源站的3xx重定向请求，前往重定向的目标获取资源，并将资源保存到ZOS。关闭时ZOS会透传3xx响应，不会前往重定向的目标获取资源。

参数名称 参数描述 类型 是否必须 ID 参数解释： 跨域规则的ID。 约束限制： 最长长度为255个字符。 String 否 AllowedHeader 参数解释： 允许浏览器发送CORS请求时携带的自定义HTTP请求头部。 约束限制： 不区分英文大小写，单条CORSRule可以配置多个AllowedHeader。 String 否 AllowedMethod 参数解释： 允许该源执行的HTTP方法列表。 约束限制： 只能填入GET、PUT、HEAD、POST和DELETE，单条规则可以配置多个方法。 String 是 AllowedOrigin 参数解释： 允许能够访问该bucket的一个或多个源,支持 通配符，表示所有域名都允许访问，不推荐。 约束限制： 一条CORSRule可以配置多个AllowedOrigin。 String 是 ExposeHeader 参数解释： 允许浏览器获取的CORS请求响应中的头部。 约束限制： 不区分英文大小写，单条CORSRule可以配置多个 ExposeHeader。 String 否 MaxAgeSeconds 参数解释： 跨域资源共享配置的有效时间，单位为秒，对应CORS请求响应中的AccessControlMaxAge头部。 约束限制： 单条CORSRule只能配置一个MaxAgeSeconds。 Integer 否