本文主要介绍自动续订规则及操作流程。 为避免由于未及时对资源采取续订操作，资源被到期冻结或超期释放，客户购买包月包年产品后，可设置开通自动续订。开通自动续订后，系统将在资源到期前自动续订，无需客户再手动操作。 适用范围 自动续订仅针对采用包月、包年计费模式的资源。 已到期资源不支持设置/修改自动续订。 自动续订仅适于 付费用户 ，不适用于非付费用户。 目前支持设置自动续订的产品有：弹性云主机、GPU云主机、物理机、云桌面、云硬盘、对象存储经典版、云主机备份、专属云计算独享型、专属云存储独享型、弹性IP、共享带宽、天翼云SDWAN、云间高速、关系数据库MySQL版、关系数据库Postgre SQL版、分布式关系数据库、分布式缓存服务Redis版、分布式缓存服务Memcache、文档数据库服务、云HBASE数据库、分布式消息服务RocketMQ、分布式消息服务RabbitMQ、分布式消息服务Kafka、Web应用防火墙、服务器安全卫士、域名无忧、DDos高防IP、云解析、登录保护、网站安全监测、内容安全。 单次最多支持20个资源实例批量续订。 开通、变更、关闭自动续订 用户在续订管理页可开通自动续订功能，变更自动续约周期，或关闭自动续订。 不关闭自动续订的情况下，只要预付费账户余额充足，或为后付费客户，系统将持续按设定的周期自动续订下去。 预付费用户可在官网自主控制自动续订功能的开通、变更、关闭。后付费用户需要客户经理协助开启自动续订权限后才可以自主管理。

本节介绍如何查看API资产数及防护情况。 API总览页面展示API防护整体情况，包括API资产统计、API风险统计等。 前提条件 已开通Web应用防火墙（原生版）实例企业版或旗舰版。 防护对象列表 页面左侧展示所有防护对象信息，统计已接入的对象个数（不包括泛域名、ELB防护对象）。 支持选择“所有防护对象”或选择单个域名站点，查看统计信息： 选择“所有防护对象”，页面右侧展示全局防护统计信息。 选择单个域名站点，页面右侧展示单个域名站点统计信息。 资产统计 统计单个域名/所有域名下的资产统计信息，包含总资产数、活跃API接口分布、近七天访问IP数、近七天威胁事件数。 总资产数：展示总资产个数和七日内新增资产数。 活跃API接口分布：展示所选域名下活跃访问、低频访问、失活的API资产分布占比情况（饼状图）。 近七天访问IP数：展示所选域名近7天访问IP总数和近14天的访问趋势（柱状图），并统计日访问量。 近七天威胁事件数：统计所选域名下近7天威胁涉及API的威胁事件数量和近14天威胁事件日趋势（柱状图），并统计攻击占比（攻击占比指所有攻击事件数/正常业务事件数，不包含因为带宽原因被屏蔽的部分）。

安全VIP服务可以提供724安全值守服务。对接入域名评估与加固指导。可以协助客户对重点系统进行安全体检，并指导客户进行安全优化。根据业务情况，定制整体防护方案和服务支撑。在重保和护网期间安全专家指导安全策略对安全事件进行及时响应。 glmoscodeexplain 如何开通安全VIP服务？ 当前仅支持通过单击变更访问链接，进入变更访问链接后，单击【实例】，可按需在【全部产品】下拉框中过滤出【Web应用防火墙(边缘云版)】。 注意 暂时不支持单独退订安全VIP服务，如果需要单独退订，请

本文简述API返回参数code和message含义。 code code含义 message示例 :: 100000 正确返回 success 100001 认证失败 用户认证失败 100002 找不到指定路径的API 当前调用的api不存在:$ 100003 无请求指定API的权限 当前用户对api:${api}无权限 100004 调用超限 超过调用频率限制，请稍后重试 100005 请求类型错误 当前调用的api请求方式错误 100012 底层错误 请求错误，（底层返回结果）, RequestId是 100013 系统错误 系统错误, RequestId是 100014 底层超时 请求底层超时, RequestId是 200001 资源没有权限 请求参数域名校验失败，当前用户对域名%s无权限 200002 参数校验失败 请求参数校验失败，参数为必填 200003 域名和产品不匹配 域名和产品类型校验失败，产品类型{}下域名{}不存在 200003 操作失败域名 域名状态为已停用，无法进行修改 200004 未开通CDN相关产品服务调用统计分析类接口，查询失败 无法获取您已开通CDN相关产品的账号，请开通产品后再调用 200005 产品有效性校验 操作失败，当前用户未开通产品类型{}的服务 200005 操作失败非域名 操作失败，taggroup “xxx”在productcode“xxx”时，不存在 200006 查询失败 查询ark不存在，配置存在时返回

本文介绍天翼云CDN回源相关的功能和配置。 概述 回源配置模块主要介绍CDN回源相关的功能和配置。部分能力支持但暂不支持客户自助的功能，可通过提交工单给天翼云客服人工操作开启。 回源功能简介 回源相关功能及说明如下： 功能 说明 源站配置 支持IP或域名，最多可添加60个。 回源协议 设置CDN在回源时遵循的协议类型，如：HTTP、HTTPS或跟随。 回源加密算法 回源协议为HTTPS协议时，默认使用国际标准加密算法回源，也可以选择使用国密加密算法回源或者跟随客户端加密算法回源；未选择默认使用国际加密算法回源。 回源端口 设置CDN在回源时使用的端口。 默认回源HOST 当您的源站的同一个IP地址上绑定多个域名或站点时配置回源HOST，CDN在回源时根据HOST信息去对应站点获取资源。 回源HOST带端口 当源站绑定了多个域名，且源站服务运行在非80/443端口（比如8080）时，开启回源host带端口功能，回源时可以在回源host中带上具体的端口（如test.ctyun.cn:8080），精准找到源站服务。 指定源站回源HOST 当您的加速域名配置多个回源站点，且回源站点与加速域名不同时，您可以使用指定源站回源HOST功能，为不同的源站配置不同的回源HOST，天翼云CDN在回源时会根据配置的回源HOST信息去访问不同站点的资源。 回源SNI 如果一个源站IP地址绑定多个域名，且CDN加速使用HTTPS协议回源时，需通过配置回源SNI的方式，在SNI中指定具体的请求域名，此时源站服务器可以返回该域名对应的SSL证书，以达到多个域名共用源站的目的。 回源URI改写 改写回源请求中的URI。 回源302/301跟随 开启回源302/301跟随功能后，CDN节点会代替用户去处理源站给出的302/301状态码内容，即CDN节点会直接跳转到源站302/301响应中的Location地址请求资源，不会直接把源站响应的302/301跳转地址直接返回给用户。 区分IPv4/IPv6回源 域名既有IPv4源站，又有IPv6源站，可以配置区分IPv4/IPv6协议回源，实现跟随客户端V4/V6协议回源效果，即：IPv4协议的客户端回IPv4的源站，IPv6协议的客户端回IPv6的源站。 分区域分运营商回源 域名有多个源站，且希望通过CDN加速实现多个源站之间负载均衡，可以按照区域或者运营商划分源站，让不同区域或者运营商的客户端IP回不同的源，从而实现同运营商回源，或者就近回源。 回源参数改写 改写回源请求URL的查询参数，既问号后的参数值。 Common Name白名单 开启Common Name白名单功能后，CDN节点以HTTPS协议与源站建连时，将会对请求的SNI和源站返回证书的Common Name进行校验。 私有Bucket回源 若客户使用媒体存储/对象存储作为源站，在新建Bucket权限选择【私有】之后，需要配置私有Bucket回源功能。 高级回源 当客户希望CDN基于某些特殊场景回不同源站时，例如需要根据请求的不同文件后缀名、不同目录回不同的源站时，可以使用天翼云高级回源功能。 回源超时时间设置 回源超时时间可配置回源连接超时时间跟回源请求超时时间。 回源超时时间设置（新） “回源超时时间设置（新）”与“回源超时时间设置”的区别：新的回源连接超时时间和回源请求超时时间具备内部链路超时时间从回源层往边缘层逐层递增的能力，默认递增1s。可促进回源重试，降低访问异常的概率。

本文介绍Web应用防火墙（边缘云版）的接入防护前提条件以及防护能力概览。 接入防护前提条件 您需要先在控制台新增域名并接入边缘云WAF，具体操作可见WAF接入 防护能力概览 下表将为您描述目前边缘云WAF具备的防护能力以及应用场景 模块 防护能力 说明 应用场景 Web安全 []( 支持配置Web安全的防护开关，可调整防护处理动作以及防护规则集、无需检测的静态文件后缀 为Web安全的基础配置，您需要使用任何防护能力都需要先进行基础配置 Web安全 规则防护 目前已维护6套防护规则集，基于正则的规则防护引擎进行 Web 漏洞和未知威胁防护，能够抵御SQL 注入、XSS 攻击、恶意扫描、命令注入攻击、Web 应用漏洞、WebShell 上传、不合规协议、木马后门等17类通用的 Web 攻击 建议基于自身业务防护需求选择对应的防护规则集 Web安全 网页防篡改 位于高级防护模块下，能够保护网站核心静态页面，避免因为源站页面被恶意篡改带来的负面影响 希望网站防止被恶意篡改页面内容时配置 Web安全 防护敏感信息泄露 位于高级防护模块下，支持对网站返回的内容进行脱敏展示，过滤内容包括敏感信息（如身份证、手机号、银行卡、邮箱等） 希望网站避免泄露身份证、手机号等敏感信息时配置 Web安全 []( 支持检查HTTP协议头部，对HTTP请求信息中的方法以及参数长度等信息进行检测，对不符合的请求项进行拦截或告警 针对不在HTTP请求合规、上传内容合规、配置符合网站处理规范内的请求进行相应处理 Web安全 cookie防护 位于高级防护模块下，采用cookie加密、cookie签名等方式对cookie字段的字进行加密或签名，防护一些使用cookie中的弱key进行权限绕过的漏洞利用，也能在一定程度上限制基于cookie修改的爬虫 可以防护cookie盗用、cookie篡改、cookie信息泄露等攻击事件。需要客户端支持携带cookie，通常小程序、APP、API可能不支持 Web安全 攻击挑战 位于高级防护模块下，支持自动阻断短时间内发起多次Web攻击的IP，快速应对恶意扫描及代理、Web 攻击威胁等行为，可提升攻防对抗效率 攻防演练、恶意扫描及代理、Web攻击行为等 Web安全 CSRF防护 位于高级防护模块下，支持防护跨站请求伪造（英语：Crosssite request forgery，简称CSRF）攻击 针对发起CSRF攻击进行防护 Web安全 广告防护 位于高级防护模块下，支持解析源站响应页面代码，在body中插入广告检测js代码，实现广告防护和监测功能 针对网站出现的恶意广告（网站中出现未将网站所有者允许的广告内容）进行防护 Web安全 设置账户安全防护 从撞库、暴力破解两个攻击角度进行防护，保障用户的账户安全 针对账户安全的场景进行防护 Bot管理 Bot防护策略 通过cookie挑战、跳转挑战、人机挑战、爬虫阈值限制、爬虫陷阱等防爬策略，精准命中爬虫流量，拦截各类恶意爬虫 针对支持携带cookie的客户端请求，小程序、APP、API可能不支持 对于无法正常执行跳转的请求，可以设置跳转挑战 Bot管理 爬虫情报规则 支持针对搜索引擎IP放行、针对恶意Bot请求IP封禁，目前爬虫情报库已维护接近10万条数据 对已知搜索引擎IP放行处理，不经过Bot防护策略，提升网站SEO权重； 对已知恶意Bot请求IP拦截处理 Bot管理 IP情报规则 支持针对已维护的IP信誉库，从威胁类型维度（IDC服务器、傀儡机、漏洞利用等十几类）进行IP封禁，目前IP信誉库已维护接近120万条数据 对已知IDC IP进行封禁处理；拦截傀儡机、漏洞利用等已知恶意IP 访问控制/限流 []( 支持根据请求的URL，频率、行为等访问特征，迅速识别CC攻击并进行拦截 防护大规模CC攻击，避免源站资源耗尽，保证企业网站的正常访问 访问控制/限流 IP黑名单 支持针对指定IP以及指定地域IP进行封禁处理 封禁来自国外访问的IP 访问控制/限流 扫描防护 支持识别常见的扫描器类型，也支持自定义扫描器识别规则，做到精准拦截 拦截常见的扫描器类型，避免网站受到外部扫描 防护白名单 网站白名单 支持在访问控制中，针对特定请求设置为白名单，则不经过全局防护策略的检测 对于可信任流量可以设置为白名单，将不经过任务防护策略 防护白名单 Web规则白名单 支持针对防护规则集中的具体规则设置白名单，则指定请求不经过该规则的检测 某条域名规则出现误拦截时，可以将误拦截的请求设置为白名单 防护白名单 []( 支持针对Bot防护策略设置白名单，则指定请求将不经过Bot防护策略的检测 明确不需要经过Bot防护策略的请求，可以在Bot功能模块中设置为白名单 开启IPv6防护 开启IPv6防护 提供IPv4/IPv6双栈服务，能够解决网站“天窗”问题，并可以有效提升网站IPv6链接支持率 政策驱动，各地市对于当地企业网站的IPv6浓度有一定指标

本文介绍视频直播是否支持第三方平台的直播流。 视频直播支持分发其他平台直播流。 回源拉流场景 您可以将其他平台的直播流作为源站，并在直播控制台配置回源拉流域名实现该功能。详细操作请参见：添加加速域名。 推拉流场景 您可以在直播控制台配置推拉流域名，并将其他平台的直播流转推到天翼云直播中心推流节点，实现直播的分发。详细操作请参见：添加加速域名。

本文介绍批量注册防护功能。 批量注册是什么？ 批量注册是指通过脚本实现原有的正式注册流程，不断重复执行注册的一个过程，可以短时间内得到目标大量的新用户，用作于ddos攻击、业务利用等非法行为。 边缘云WAF实现批量注册防护的原理 注册行为监控。由于批量注册需要不断访问注册接口，因此可以通过一些基本粒度（如ip等）去统计访问行为并设置对应触发值。 注册行为挑战。通过交互方式挑战达到防护纯机器注册的效果（如验证码、行为挑战）。 注意 注意：目前控制台尚未开放批量注册防护的功能，如有防护需求请通过 前提条件 已开通Web应用防火墙（边缘云版）。 已新增域名并成功接入WAF，具体操作请见WAF接入。 开通套餐为基础版及以上版本，支持批量注册防护相关功能。 相关操作 设置撞库防护 设置暴力破解防护

HTTP触发器 HTTP触发器 Http触发器为函数提供了基于Http协议的访问方式，主要适用于web服务、API暴露等场景，同时也提供了丰富的配置已满足各种访问形式。 使用限制 根据相关规章制度，Http触发器的域名需要您提供，需要提前创建自定义域名，详情请查看配置自定义域名。 函数计算会基于您提供的自定义域名创建子域名作为工作流访问端点url，因此也需要您给子域名配置CNAME记录。 一个工作流下，只能创建一个Http触发器。 触发消息格式 通过HTTP触发器和自定义域名访问工作流时，仅会把请求中的body部分作为工作流的输入，数据类型必须为JSON格式。 操作步骤 1. 登录工作流控制台，点击目标工作流，进入工作流详情详情。 2. 在配置选项卡中，选择左边的 工作流调度 选项卡。 3. 点击 创建工作流调度 ，在弹出的右抽屉中选择 Http触发器，配置参数解释如下表。 配置项 参数说明 示例 名称 工作流调度的名称 httpTicker 请求方法 触发器支持的Http请求方法，目前只支持POST。 POST 公网 选择已创建的自定义域名，并确保该域名已经配置CNAME记录，记录值每个地域的内外网不同，具体留意页面提示。适用于公网环境访问。 认证方式 无需认证：请求没有认证限制，任何人都能访问。 JWT认证：请求启用JWT认证，访问时需要带上jwt，函数网关会自动校验请求的合法性。配置方式请参考函数计算HTTP触发器> JWT配置指南 部分

本文介绍跨域资源共享功能及其配置说明。 功能介绍 跨域资源共享（CrossOrigin Resource Sharing，简写为CORS），是一种由W3C标准化组织提出的网络浏览器的规范机制，它允许网页应用程序在浏览器中向不同源（包括不同的域、协议或端口）的服务器请求资源。当客户的业务需要跨域共享或者访问资源时，可以通过自定义HTTP响应头来实现。 注意事项 若源站与CDN控制台同时配置CORS跨域头，则CDN的配置将覆盖源站CORS跨域头。 配置说明 1. 登录CDN控制台。 2. 单击左侧导航栏【域名管理】【域名列表】。 3. 在【域名列表】页面，找到目标域名，单击【操作】列的【编辑】。 4. 单击右侧【头部修改】。 5. 在【HTTP响应头】模块，单击【增加规则】，HTTP响应头部值配置：AccessControlAllowOrigin。 参数名 说明 示例 头部值 跨域头部固定填写：AccessControlAllowOrigin。 AccessControlAllowOrigin 跨域验证 跨域验证开关默认关闭。 关闭：固定响应“AccessControlAllowOrigin”头部及其配置的取值。 开启：按照以下规则对用户请求进行跨域校验。 1.任意匹配：取值配置为“ ”，固定响应“AccessControlAllowOrigin:”。 2.泛匹配：取值配置为泛域名，校验请求头Origin值与配置的泛域名是否匹配，匹配则“AccessControlAllowOrigin”头部值响应Origin请求头值，匹配不上则不响应跨域头。 3.精确匹配：取值配置为单个或者多个精确域名，校验请求头Origin值与配置的精确域名是否匹配，匹配则“AccessControlAllowOrigin”头部值响应Origin请求头值，匹配不上则不响应跨域头。 开启 取值 1.响应头取值配置为“ ”，可匹配所有来源。 2.响应头取值配置非“ ”，必须包含协议头“http:// ”或者“ 3.响应头取值配置非“ ”，支持配置多个域名，多个值之间用英文逗号分隔。 4.响应头取值支持携带端口。

在LTS上查看WAF防护日志 当您将WAF防护日志配置记录到LTS上后，请参考以下操作步骤，在LTS管理控制台查看、分析记录的WAF日志数据。 1. 登录管理控制台。 2. 单击页面顶部的区域选择框，选择区域。 3. 单击页面左上角的“服务列表”，选择“管理与部署> 云日志服务”，进入“日志管理”页面。 4. 在日志组列表中，单击展开图标展开waf日志组（例如，“ltsgroupwaf”）。 5. 查看WAF防护日志。 WAF访问日志accesslog字段说明 字段 类型 字段说明 描述 accesslog.requestid string 随机ID标识 与攻击日志的“reqid” 字段末尾8个字符一致。 accesslog.time string 访问请求的时间 日志内容记录的GMT时间。 accesslog.connectionrequests string 标识该长链接第几个请求 accesslog.engip string WAF引擎IP accesslog.pid string 标识处理该请求的引擎 引擎（worker PID）。 accesslog.hostid string 访问请求的域名标识 防护域名ID(upstreamid)。 accesslog.tenantid string 防护域名的租户ID 一个账号对应一个租户ID。 accesslog.projectid string 防护域名的项目ID 用户在对应区域下的项目ID。 accesslog.remoteip string 标识请求的四层远端IP 请求的客户端IP。 说明 如果在WAF前部署了7层代理，本字段表示最靠近WAF的代理节点的IP地址。此时，真实访问者IP参考“xforwardedfor”，“xrealip”字段。 accesslog.remoteport string 标识请求的四层远端端口号 请求的客户端端口号。 accesslog.sip string 标识请求的客户端IP 如，XFF等。 accesslog.scheme string 请求协议类型 请求所使用的协议有： http https accesslog.responsecode string 请求响应码 源站返回给WAF的响应状态码。 accesslog.method string 请求方法 请求行中的请求类型。通常为“GET”或“POST”。 accesslog.httphost string 请求的服务器域名 浏览器的地址栏中输入的地址，域名或IP地址。 accesslog.url string 请求URL URL链接中的路径（不包含域名）。 accesslog.requestlength string 请求的长度 包括请求地址、HTTP请求头和请求体的字节数。 accesslog.bytessend string 发送给客户端的总字节数 WAF返回给客户端的总字节数。 accesslog.bodybytessent string 发送给客户端的响应体字节数 WAF返回给客户端的响应体字节数。 accesslog.upstreamaddr string 选择的后端服务器地址 请求所对应的源站IP。例如，WAF回源到ECS，则返回源站ECS的IP。 accesslog.requesttime string 标识请求处理时间 从读取客户端的第一个字节开始计时（单位：s）。 accesslog.upstreamresponsetime string 标识后端服务器响应时间 后端服务器响应WAF请求的时间（单位：s）。 accesslog.upstreamstatus string 标识后端服务器的响应码 后端服务器返回给WAF的响应状态码。 accesslog.upstreamconnecttime string 源站与后端服务建立连接的时间，单位为秒。 在使用SSL的情况下，握手过程所消耗的时间也会被记录下来。多次请求建立的时间，使用逗号分隔。 accesslog.upstreamheadertime string 后端服务器接收到第一个响应头字节的用时，单位为秒。 多次请求响应的时间，使用逗号分隔。 accesslog.bindip string WAF引擎回源IP WAF引擎所使用的回源IP。 accesslog.groupid string 对接LTS服务的日志组ID WAF对接云日志服务日志组ID。 accesslog.accessstreamid string 日志流ID 与“groupid”相关，是日志组下用户的accessstream的ID。 accesslog.engineid string WAF引擎标识 WAF引擎的唯一标识。 accesslog.timeiso8601 string 日志的ISO 8601格式时间 accesslog.sni string 通过SNI请求的域名 accesslog.tlsversion string 建立SSL连接的协议版本 请求所使用的TLS协议版本。 accesslog.sslcurves string 客户端支持的曲线列表 accesslog.sslsessionreused string SSL会话是否被重用。 表示SSL会话是否被重用。 r：是 .：否 accesslog.processtime string 引擎的检测用时（单位：ms） accesslog.args string 标识URL中的参数数据 accesslog.xforwardedfor string 当WAF前部署代理时，代理节点IP链 代理节点IP链，为1个或多个IP组成的字符串。 最左边为最原始客户端的IP地址，代理服务器每成功收到一个请求，就将请求来源IP地址添加到右边。 accesslog.cdnsrcip string 当WAF前部署CDN时CDN识别到的客户端IP 当WAF前部署CDN时，此字段记录的为CDN节点识别到的真实客户端IP。 说明 部分CDN厂商可能使用其他字段，WAF仅记录最常见的字段。 accesslog.xrealip string 当WAF前部署代理时，真实的客户端IP 代理节点识别到的真实客户端IP。 accesslog.intelcrawler string 用于情报反爬虫分析 accesslog.sslciphersmd5 string 标识sslciphers的md5值 accesslog.sslcipher string 标识使用的sslcipher accesslog.webtag string 标识网站名称 accesslog.useragent string 标识请求header中的useragent accesslog.upstreamresponselength string 标识后端响应的大小 accesslog.regionid string 标识请求所属Region accesslog.enterpriseprojectid string 标识请求域名所属企业项目ID accesslog.referer string 标识请求头中的Referer内容 最大长度为128字符，大于128字符会被截断。 accesslog.rule string 标识请求命中的规则 命中多条规则此处也只会显示一条。

本文介绍CDN加速使用天翼云媒体存储作为源站时的计费方式。 背景说明 天翼云CDN加速可为媒体存储上存储的静态资源（包括静态脚本、图片、音频、视频等文件）进行分发加速。利用天翼云CDN全球加速节点和全局负载均衡调度的能力，可将热点资源提前下发至边缘节点，当终端用户发出资源访问/下载请求时，就近获取所需要的资源。从而降低源站压力，减少传输延迟，显著提升用户体验。 费用说明 当选择天翼云的媒体存储作为源站时，则会产生CDN加速的产品费用+媒体存储的产品费用。 计费产品 计费说明 CDN加速产品 主要为CDN加速下行流量费用。如果还有开启其他增值服务，则根据实际情况按量收费。 媒体存储产品 主要为流量费用、存储费用、请求费用。根据实际情况按量收费，详情请见：媒体存储计费项。 流量费用说明 当媒体存储作为CDN加速源站时，会产生CDN加速下行流量费用（由CDN加速收费）和媒体存储将内容传输到天翼云CDN所产生的流量费用（由媒体存储收费）。 CDN加速下行流量费用：用户从CDN加速节点请求资源，节点将资源响应给客户端时产生的流量费用；流量从CDN加速流向客户端，消耗的流量由CDN加速收费。详情请见：基础服务计费（必选）。 媒体存储将内容传输到天翼云CDN所产生的流量费用：流量从媒体存储流向CDN加速，由媒体存储收费。其中，天翼云CDN回源流出流量较普通公网流出流量可享受优惠费率，详情请见：媒体存储计费项说明。 注意 您需要在CDN控制台【域名管理】【域名列表】【回源配置】【源站配置】中选择【

本文主要介绍云日志服务的API接入概述。 云日志服务支持通过REST风格的API上报日志数据，详情请查看上报日志。 前提条件 您需要在源端云主机所在的VPC创建云日志服务的VPC终端节点，以打通与日志服务的网络连接。更多关于VPC终端节点请查看VPC终端节点产品介绍。 操作步骤： 1. 访问终端节点创建页面。 2. 服务列表中，选择名称为.lts结尾的服务。如在华东1资源池，则服务名称为‘cn.ctyun.cnhuadong1.lts’。 3. 虚拟私有云中，选择源端所在的VPC。 4. 展开高级配置，打开私网域名开关。 5. 点击下一步，提交订单，完成VPC终端节点创建。 6. 将源端云主机内的 DNS 改成内网 DNS 服务地址（100.95.0.1）。详细步骤请查看内网DNS操作指南。 访问地址（Endpoint） 云日志服务访问地址。详情请查看访问地址（Endpoint）。

本文主要介绍云日志服务的API接入概述。 云日志服务支持通过REST风格的API上报日志数据，详情请查看上报日志。 前提条件 您需要在源端云主机所在的VPC创建云日志服务的VPC终端节点，以打通与日志服务的网络连接。更多关于VPC终端节点请查看VPC终端节点产品介绍。 操作步骤： 1. 访问终端节点创建页面。 2. 服务列表中，选择名称为.lts结尾的服务。如在华东1资源池，则服务名称为‘cn.ctyun.cnhuadong1.lts’。 3. 虚拟私有云中，选择源端所在的VPC。 4. 展开高级配置，打开私网域名开关。 5. 点击下一步，提交订单，完成VPC终端节点创建。 6. 将源端云主机内的 DNS 改成内网 DNS 服务地址（100.95.0.1）。详细步骤请查看内网DNS操作指南。 访问地址（Endpoint） 云日志服务访问地址。详情请查看访问地址（Endpoint）。

本文介绍如何确认域名CNAME解析是否正常。 问题概述 本文主要介绍如何确认域名CNAME解析是否符合预期且工作正常。 验证方式 Windows PC客户端：同时按住Windows+R键，输入cmd，敲回车以打开命令提示符窗口，输入命令“nslookup 域名”，查看返回的结果中是否显示正确的CNAME信息。 MAC OS 或者 Linux 客户端：打开终端工具，输入命令“dig 域名”，查看返回的结果中是否显示正确的的CNAME信息。 相关概念 关于CNAME、DNS的相关基本概念解释，详情请见：术语解释。

本文介绍加速区域的配置规则。 功能介绍 由于境内外的监管要求存在差异，不同的加速区域需要遵守当地的法律要求，天翼云CDN支持“中国内地”、“全球（不含中国内地）”、“全球”三类，对应不同的要求详情请见：使用限制中的“加速域名准入条件”。 配置说明 1. 登录CDN控制台。 2. 单击左侧导航栏【域名管理】【域名列表】。 3. 在【域名列表】页面，找到目标域名【加速区域】列。 4. 单击右侧【】 5. 单击【加速区域】下的选项，可实现不同加速区域的切换，例如，从“中国内地”变更为“全球”。 参数名 说明 中国内地 选择中国内地，表示全球用户的访问，均会被调度至分布在中国内地的节点。天翼云CDN节点中国内地的最新分布情况，详情请见：节点分布。 加速域名请先完成在中国大陆的ICP备案，同时完成公安网备案。 全球（不含中国内地） 选择全球（不含中国内地），表示全球用户的访问，均会被调度至分布在中国澳门、中国台湾、中国香港以及其他国家和地区的节点。天翼云CDN节点全球（不含中国内地）的最新分布情况，详情请见：节点分布。 由于加速区域不包含中国内地，加速域名无需完成在中国大陆的ICP备案和公安网备案。 全球 选择全球，表示全球用户的访问，均会被择优调度至最近的节点进行加速服务。 由于加速区域包含中国内地，加速域名请先完成在中国大陆的ICP备案，同时完成公安网备案。

本文介绍当攻击发生且触发平台稳定性红线时的处理预案及注意事项等。 场景说明 天翼云全站加速是公共的加速服务，平台承载着成千上万的域名加速业务，是一个多客户共用的加速平台，默认不提供防攻击服务。当某个客户的域名遭受攻击（例如CC攻击），而出现带宽或QPS异常大幅上涨触发平台稳定性红线时，全站加速平台有权（根据域名业务情况、攻击影响程度等因素综合判断）将对应客户的域名切入专用隔离资源池以隔离异常业务，避免影响其他正常用户的加速服务。在攻击较严重的情况下，同账户下的其他域名也会切入隔离资源池。 域名被切入隔离资源池后，天翼云全站将不再保证服务质量，部分时段可能会出现无法服务的情况。 说明 隔离资源池是天翼云全站的一组特殊节点，这组节点与常规节点之间相互隔离，隔离资源池被用于隔离有风险的加速业务。 注意事项 因被攻击导致域名被切入隔离资源池后，用户访问带来的流量仍然会产生计费账单。 相关建议 如您的域名存在潜在被攻击风险，不希望在上述场景下被切换至隔离资源池，请切换至安全类加速产品，例如：边缘安全加速平台。 相关概念： DDoS：分布式拒绝服务攻击（Distributed Denial of Service，简称DDoS）是指攻击的发出点是分布在不同地方，且所请求的服务往往要消耗大量的系统资源，造成目标主机无法为用户提供正常服务。 CC攻击：攻击者借助代理服务器生成指向受害主机的合法请求，以实现DDoS和伪装的，称为CC(Challenge Collapsar)，CC主要是攻击页面，属于应用层攻击。

本章节介绍当使用数据库服务器备份， 应用一致性Agent脚本无法下载或安装失败， 可能造成的原因和解决方案。 现象描述 系统提示无法下载脚本或使用Linux系统方式二安装Agent时失败。 可能原因 原因1：DNS无法正常解析OBS的域名。 原因2：目标云服务器openssl版本过低。 原因1解决方法 原因1：DNS无法正常解析安装域名。 需要手动修改DNS服务器IP地址，IP地址请从技术工程师处获取。若修改DNS后仍无法正常解析，请稍候重试或使用Linux系统方式一进行安装。 Linux 系统操作步骤 步骤1、以root用户登录云服务器。 步骤2、执行vi /etc/resolv.conf命令编辑“/etc/resolv.conf”文件。在已有的nameserver配置前写入DNS服务器的IP地址，如下图所示。 配置DNS 格式如下： nameserver DNS服务器IP地址 步骤3、单击“Esc”，并输入 :wq ，保存退出。 步骤4、执行以下命令，查看IP地址是否写入成功。完成修改DNS。 cat /etc/resolv.conf Windows 系统操作步骤 步骤1、进入弹性云服务器界面，登录已创建好的Windows 2012版本的弹性云服务器。 步骤2、单击左下角“这台电脑”，弹出“这台电脑”界面。 步骤3、右键单击“网络”，选择“属性”。弹出“网络和共享中心”，如下图所示。选择“本地连接”。 网络和共享中心 步骤4、在“活动”区域，选择“属性”。如下图所示。 本地连接活动 步骤5、弹出“本地连接属性”对话框，选择“Internet 协议版本 4 (TCP/IPv4)”，单击“属性”。如下图所示。 本地连接属性 步骤6、在弹出的“Internet 协议版本 4(TCP/IPv4)属性”对话框中，选择“使用下面的DNS服务器地址”，如图138所示，根据需要配置DNS。需要手动修改DNS服务器IP地址，IP地址请从技术工程师处获取。配置完成后，单击“确定”，完成配置。 配置DNS

参数 是否必填 参数类型 说明 示例 下级对象 regionID 是 String 资源池ID domainName 是 String 整个域名的总长度不能超过 255 个字符，每个子域名（包括顶级域名）的长度不能超过 63 个字符，域名中的字符集包括大写字母、小写字母、数字和连字符（减号），连字符不能位于域名的开头 example.com certificateID 是 String 证书 ID certxxxxx listenerID 是 String 监听器 ID listenerxxxxx description 否 String 支持拉丁字母、中文、数字, 特殊字符：~~!@$%^&()+ <>?:{},./;'[]·~~！@￥%……&（） —— +{}《》？：“”【】、；‘'，。、，不能以 http: / https: 开头，长度 0 128 test

参数名 参数解释 内网域名 通过内部网络访问集群数据库的域名地址。内网访问域名在创建集群时自动生成。通过域名访问DWS集群，域名解析器具有负载均衡的功能。 单击“修改”可以修改内网访问域名。访问域名由字母、数字、中划线组成，以大小写字母开头，长度为4~63个字符。 更多信息请参见 内网IP 通过内部网络访问集群数据库的IP地址。 说明 内网访问IP地址在创建集群时自动生成，生成后的IP地址是固定的。 内网访问IP的数量对应的是CN节点的个数，可以通过登录任一节点连接到集群。 通过内网访问某个固定的IP，工作负载会集中在一个CN上。 公网域名 通过外部网络访问集群数据库的域名地址。 更多信息请参见 公网IP 通过外部网络访问集群数据库的IP地址。 说明 如果创建集群时没有绑定弹性IP，“公网IP”显示为空，可以单击“绑定弹性IP”为集群绑定弹性IP。 如果创建集群时绑定了弹性IP，可以单击“解绑弹性IP”为集群解绑弹性IP。 初始管理员用户 创建集群时指定的数据库管理员用户。当用户第一次连接集群时，需要使用初始数据库管理员用户及其密码连接到默认数据库。 端口 通过公网或者内网访问集群数据库的端口号。端口号在创建集群时指定，它是集群监听客户端连接的端口。 默认数据库 创建集群时默认自动创建的数据库。当用户第一次连接集群时，需要连接到该默认数据库。 弹性负载均衡地址 为实现集群高可用，解决CN单点问题，集群创建后需手动绑定弹性负载均衡（ELB），连接集群时建议连接ELB地址。

步骤二：提交证书申请 1. 登录证书管理服务控制台。 2. 在左侧导航栏选择“SSL证书管理 > SSL证书列表”。 3. 选择“测试证书”页签，在待申请的证书操作列，单击“证书申请”按钮，进行测试证书申请。 4. 在右侧弹出的窗口中填写证书申请的相关信息。 填写参数 参数说明 证书绑定域名 第一个域名将作为证书通用域名名称（不可修改）。 注意 若填写的域名为4级及以上子域名，请加上“www”，否则不会包含主域名。例如：申请www.aaa.bbb.ctyun.cn，会包含aa.bbb.ctyun.cn这个备用域名，若直接申请aaa.bbb.ctyun.cn，则不会包含www.aaa.bbb.ctyun.cn这个备用域名。 域名验证方式 支持“手动DNS验证”和“文件验证”。 联系人 选择联系人，如何新建联系人请参考信息管理章节。 所在地 选择公司实际所在地区。（目前仅支持选择中国地区） 密钥算法 可选择“RSA”、“ECC”。 CSR生成方式 CSR是一个包含网站、服务、国家、组织、域名、公钥和签名的编码文件，用于从可信的证书颁发机构（CA）获取SSL证书。 支持“系统生成”或“手动生成”两种方式： 系统生成：根据用户所配置的信息，系统自动生成一个CSR。为保障您的证书顺利申请，建议您使用系统生成CSR的方式，避免因内容不正确而导致的审核失败。 手动生成：在下拉框中选择已手动创建的CSR，使用已创建的CSR申请证书。 注意 请不要在证书签发完成前删除CSR。 手动生成将无法署到天翼云产品。 5. 填写完后，单击“提交审核”。 提交审核后，CA颁发机构将对您提交的申请进行处理并给您填写的邮箱发送一封验证邮件。您需要按照要求进行域名验证。

域名解析 配置成功后，防护配置的状态变为“防护中”。 之后客户可以进行域名解析： 如域名：www.ctyun.com，需要客户联系DNS服务商将域名解析指向CNAME：www.ctyun.com.iname.damddos.com 即：源域名+.iname.damddos.com，DNS牵引指向CNAME后，Web应用防火墙防护正式完成配置。

配置说明 配置项 说明 防护开关 将CSRF防护功能设置为关闭、拦截或告警。 可信任域名 当请求referrer中含该域名，则该请求放行（可填多个域名，默认一级本域名）默认域名可进行修改 防护配置 防护范围：设置要检测的请求范围，支持正则匹配/字符串。支持配置多条防护粒度与防护范围，多条防护粒度为且关系，多条防护范围为或关系。URI：填写等于/不等于防护的URI；METHOD:填写等于/不等于的请求方法；PATH：填写等于/不等于的PATH 合法referrer：填写合法url，当请求referer精确匹配“合法referrer”，则该请求放行 无referrer：当请求没有referrer这个字段时候的处理动作；跳转，拦截，监控，放行（其中选择跳转后需要填跳转目的地址，默认当前域名首页） 不合法referrer时执行操作：当请求referer没有在"可信任域名"、"合法referrer"中，该请求的处理动作，拦截，监控，放行（其中选择跳转后需要填跳转目的地址，默认当前域名首页） 注意：存在多条CSRF防护配置时，按照顺序进行防护范围的匹配，采用第一条命中防护范围的策略；最多支持配置5条策略

本文介绍HSTS功能和配置方法。 功能介绍 HSTS（HTTP Strict Transport Security，HTTP 严格传输安全），是一种网站用来声明他们只能使用安全连接（HTTPS）访问的方法。网站可通过声明HSTS，来强制客户端（如浏览器）只能使用HTTPS与服务器连接，拒绝所有的HTTP连接并阻止用户接受不安全的SSL证书，降低第一次访问请求被拦截的风险。例如： 当您的域名在CDN加速产品中配置HTTPS功能和HTTP强制跳转HTTPS的功能时，若用户在浏览器中输入HTTP协议的URL进行访问，CDN节点会将该HTTP请求强制跳转到HTTPS协议，此时： 若未启用HSTS功能，且用户是首次以HTTP协议访问CDN节点，HTTP请求可能会被拦截或者篡改，存在安全隐患。 若启用HSTS功能，CDN节点会响应一个强制HSTS的头（例如：StrictTransportSecurity：maxagexxxx;includeSubDomains）给客户端，告诉客户端只能使用HTTPS协议访问CDN节点，此后浏览器将直接使用HTTPS协议访问CDN节点，不再需要HTTP协议强制跳转HTTPS协议。 注意事项 配置HSTS功能前，请确保已成功配置HTTPS证书，操作方法详情请见：新增证书。 在HSTS生效前，可参考：强制跳转功能，使用户首次以HTTP协议访问时，能够强制跳转到HTTPS协议发起访问。 配置说明 1. 登录CDN控制台。 2. 单击左侧导航栏【域名管理】【域名列表】。 3. 在【域名列表】页面，找到目标域名，单击【操作】列的【编辑】。 4. 单击右侧【请求协议】。 5. 在【请求协议】模块，勾选【HTTPS】。 6. 单击右侧【HTTPS配置】。 7. 选择域名对应的证书。如果已经在证书管理上传证书，可直接选择对应域名证书。如果还未上传证书，可单击【点击上传】，添加自有证书。添加完毕后，再选择对应证书。 8. 在【HSTS】模块，开启功能并根据需求填写配置。 9. 单击【保存】，完成配置。 参数 说明 过期时间 即StrictTransportSecurity响应头中maxage的值，单位为s；如过期时间为2592000s，则代表一个月内，访问该网站均需要使用HTTPS协议。 包含子域名 即StrictTransportSecurity响应头中是否需要包括includeSubDomains；如包括，则代表服务端告知客户端访问该域名及其子域名均需要使用HTTPS协议。

接口描述：调用本接口查询域名在指定时间段的攻击概况 请求方式：post 请求路径：/waf/statistics/queryattackinfo 使用说明： 修改域名之前，您需要先开通对应产品类型的服务，且服务有效； 支持查询最近30天数据 单个用户一分钟限制调用10000次，并发不超过100 支持查询WAF攻击类型的数据 请求参数说明： 参数名 类型 是否必填 名称 说明 domain string 是 域名 单次调用仅支持一个域名查询 startTime string 是 开始时间 格式为：YYYYMMDDThh: mm:ssZ 支持最近30天的数据 endTime string 是 结束时间 格式为：YYYYMMDDThh: mm:ssZ 支持最近30天的数据 pageSize int 否 查询每页的数量 不传默认30，pageSize以及pageNumber的乘积不得超过2000 pageNumber int 否 查询的页数 不传默认30，pageSize以及pageNumber的乘积不得超过2000 返回参数说明： 参数 类型 是否必传 名称及描述 code string 是 状态码，成功100000 message string 是 描述信息，成功返回success，其他返回异常信息描述 data overviewData 否 查询结果以及域名对应状态 1） overviewData参数 参数 类型 是否必返回 名称及描述 bandwidth string 是 业务带宽 flow string 是 业务流量 requestsNumber string 是 请求数 peakAttack string 是 攻击峰值 domain string 是 安全加速域名

本文介绍IPv6外链改造功能的配置方法。 功能介绍 提供网站外链改造能力，通过代理访问外链源站，为您解决网站外链不支持IPv6访问的问题，并解决“天窗问题”。 前提条件 您已经完成添加服务域名，如果您未添加，请参考添加服务域名。 开通基础版以及以上版本。 操作步骤 1. 登录边缘安全加速控制台，选择【域名】【基础配置】，在域名列表中选中需要配置的域名。 2. 进入域名配置详情页面后，选择【IPv6外链改造】，单击【编辑配置】按钮。 3. 开启【IPv6外链改造】按钮。 4. 查看并同意功能实现原理以及相关风险。 5. 点击确定。 6. 配置外链改造相关字段。 配置界面 字段名称 是否必填 说明 IPv6外链改造 否 即IPv6外链改造的功能开关，需要开启才能生效。 外链改造层数 是 支持配置外链改造层数，可配置范围0~5，默认选择0，代表无限改写链接层数。 改造生效范围 是 即不同网络环境下的改造生效范围。支持选择IPv6请求或IPv4&IPv6请求，默认选择IPv6请求，代表只在IPv6网络环境下生效。 外链改造黑名单 否 即不需要进行外链改造的黑名单，支持配置域名、uri、url格式，多个黑名单之间用“,”分隔。 点击类外链改造 否 支持对点击类的外部链接进行改造，需要先开启功能开关。

参数 描述 URIscheme 表示用于传输请求的协议，当前所有API均采用HTTPS协议 Endpoint 指定承载REST服务端点的服务器域名或IP，不同服务不同区域的Endpoint不同，您可以从地区和终端节点获取。例如云主机产品服务在某个区域的Endpoint为“ctecsxxx.ctapi.ctyun.cn” resourcepath 资源路径，即API访问路径。从具体API的URI模块获取，例如"根据regionID查询用户资源"API的resourcepath为“/v4/region/customerResources” querystring 查询参数，是可选部分，并不是每个API都有查询参数。查询参数前面需要带一个“?”，形式为“参数名参数取值”，例如“?limit10”，表示查询不超过10条数据

参数 参数说明 插件规格 并发域名解析能力。请根据业务需求选择插件规格。 存根域 用户可对自定义的域名配置域名服务器，格式为一个键值对，键为DNS后缀域名，值为一个或一组DNS IP地址，如"acme.local 1.2.3.4,6.7.8.9"。

本文介绍全站加速是否支持websocket加速。 全站加速支持websocket加速。天翼云全站加速产品支持对websocket协议和http/https协议同时加速，即同一个域名可以既有http/https协议，又有websocket协议，您无需拆分域名，使用全站加速产品就可以实现对域名下http/https协议的应用和websocket协议的应用同时加速。 全站加速节点会自动识别客户端与全站加速边缘节点通信使用的协议，自动切换协议。通常情况下，websocket协议的应用多为动态业务，对实时性要求很高，全站加速的动态探测选路能力可以为websocket应用选择最快的回源路径，提升websocket业务的访问效果。 需要使用websocket加速的域名在控制台添加域名时，域名类型请选择“全站加速websocket加速”，即可享受websocket加速服务。详见：websocket加速。

限制项 具体要求 说明 加速域名 中国内地： 1、已在天翼云进行实名认证 2、域名已完成ICP备案且备案信息准确有效 3、域名接入时需要经过内容审核 全球（不含中国内地）： 1、已在天翼云进行实名认证 2、域名接入时需要经过内容审核 全球： 1、已在天翼云进行实名认证 2、域名已完成ICP备案且备案信息准确有效 3、域名接入时需要经过内容审核 1、全球加速（不含中国内地）：包括中国香港、中国澳门、中国台湾、其他国家及地区。 2、加速范围为：中国内地、全球加速的域名必须已完成ICP备案且备案信息准确有效才能接入天翼云应用加速，否则天翼云无法提供加速服务。 加速端口 不能加速的端口： 1、tcp端口：21、22、23、135、137、138、139、445、593、1068、1433、1434、1521、3306、3332、3389、4000、4444、5554、6379、6669、9000、9996、65528 2、udp端口：135、136、137、138、139、445、1434、4000、4444、17185 不能加速的端口为应用加速平台内部占用端口，无法对外提供服务。

接口描述：调用本接口查询配置了指定功能的域名列表 请求方式：get 请求路径：/domain/querydomainbyfunc 使用说明： 单个用户一分钟限制调用10000次，并发不超过100 请求参数说明： 参数 是否必填 参数类型 说明 示例 下级对象 producttype 是 list 产品类型列表，支持：“001”(静态加速)，“003”(下载加速),“004”(视频点播加速),“008”(CDN加速),“014”(下载加速闲时) [“001”,“003”] funcname 是 string 功能名称，仅支持单个，当前支持查询的功能为：blackreferer（referer黑名单），whitereferer（referer白名单），filetypettl（文件过期时间设置），ipblacklist（ip黑名单），ipwhitelist（ip白名单），reqheaders（自定义回源请求头），respheaders（自定义响应头），reqhost（回源host），errorcode（错误码缓存配置），sharedhost（共享缓存域名） blackreferer page 否 int 页码，不填返回所有有相应功能配置的域名，跟pagesize配套存在 1 pagesize 否 int 每页条数，不填返回所有有相应功能配置的域名，跟page配套存在 10 返回参数说明： 参数 是否必填 参数类型 说明 示例 下级对象 code 是 int 状态码 成功100000 message 是 string 信息描述 成功返回success，其他返回异常信息描述 total 否 int 域名总数 19 page 否 int 页码 1 pagesize 否 int 每页条数 5 result 否 list 返回结果 resultsingle 表resultsingle： 参数 是否必填 参数类型 说明 示例 下级对象 domain 否 string 有配置相应功能的域名 test.ctyun.cn producttype 否 string 有配置相应功能的域名所属产品 001

接口描述：调用本接口查询配置了指定功能的域名列表 请求方式：get 请求路径：/domain/querydomainbyfunc 使用说明： 单个用户一分钟限制调用10000次，并发不超过100 请求参数说明： 参数 是否必填 参数类型 说明 示例 下级对象 producttype 是 list 产品类型列表，支持：“001”(静态加速)，“003”(下载加速),“004”(视频点播加速),“008”(CDN加速),“014”(下载加速闲时)，“006”(全站加速) [“001”,“003”] funcname 是 string 功能名称，仅支持单个，当前支持查询的功能为：blackreferer（referer黑名单），whitereferer（referer白名单），filetypettl（文件过期时间设置），ipblacklist（ip黑名单），ipwhitelist（ip白名单），reqheaders（自定义回源请求头），respheaders（自定义响应头），reqhost（回源host），errorcode（错误码缓存配置），sharedhost（共享缓存域名） blackreferer page 否 int 页码，不填返回所有有相应功能配置的域名，跟pagesize配套存在 1 pagesize 否 int 每页条数，不填返回所有有相应功能配置的域名，跟page配套存在 10 返回参数说明： 参数 是否必填 参数类型 说明 示例 下级对象 code 是 int 状态码 成功100000 message 是 string 信息描述 成功返回success，其他返回异常信息描述 total 否 int 域名总数 19 page 否 int 页码 1 pagesize 否 int 每页条数 5 result 否 list 返回结果 resultsingle 表resultsingle： 参数 是否必填 参数类型 说明 示例 下级对象 domain 否 string 有配置相应功能的域名 aa.bb.ctyun.cn producttype 否 string 有配置相应功能的域名所属产品 006