域名信息模板创建：在新域名服务界面点击“控制台”进入到创建模板页面。具体有如下两种方式： 在天翼云官网搜索“新域名服务”，找到新域名服务产品，点击“控制台”进入控制台页面。 在天翼云官网点击“产品” → “企业应用” → “新域名服务”进入新域名服务产品界面，并点击“控制台”进入控制台页面。 在控制台模版界面，点击“域名信息模版管理” → “创建模版”进入创建模版页面。 在创建模板页面输入域名服务需要的相关信息。 点击“提交”，即可完成域名信息模板创建，等待模版实名认证通过后即可购买域名。 注：域名所有者证件类型和上传的证件扫描件保持一致，模版审核一般5个工作日内可以完成，若模版实名被拒绝，请修改或者新建模版 。

本文介绍Referer防盗链的配置方法。 功能介绍 Referer防盗链，是基于HTTP请求头中Referer字段（例如，Referer黑白名单）来设置访问控制规则，实现对访客的身份识别和过滤，防止网站资源被非法盗用。配置Referer黑白名单后，全站会根据名单识别请求身份，允许或拒绝访问请求。允许访问请求，全站会返回资源链接；拒绝访问请求，全站会返回403响应码。 配置说明 1. 登录客户控制台。 2. 单击左侧导航栏【域名管理】【域名列表】。 3. 在【域名列表】页面，找到目标域名，单击【操作】列的【编辑】。 4. 单击右侧【访问控制】。 5. 打开【Referer防盗链】功能，默认为关闭。 6. 按需启用【是否允许空referer访问】、【是否允许空协议】、【匹配所有端口】、【忽略大小写】、【是否追加】。 7. 设置类型，选择【白名单】或【黑名单】，每种类型最多添加400个，使用换行符分隔，支持通配，支持IP，支持端口，如：.ctyun.cn、ctyun.cn:80、127.0.0.1:80、localhost、匹配所有端口：ctyun.cn(:[09]+)?。 8. 单击【保存】，完成配置。 参数名 说明 Referer防盗链 默认关闭，开启后可配置Referer防盗链。 是否允许空Referer访问 默认开启，即允许空Referer访问，若要禁止空Referer访问，需关闭此功能。 是否允许空协议 默认关闭，即不允许空协议访问，若要支持空协议访问，需开启此功能。 匹配所有端口 默认关闭，即根据实际配置Referer进行匹配，若要匹配所有端口，需开启此功能。 忽略大小写 默认关闭，即根据实际配置的Referer大小写字符进行匹配，若要忽略大小写匹配，需开启此功能。 是否追加 默认关闭，即需要全量下发，开启后可增量下发。 类型 可选择配置白名单或者黑名单，二选一。 黑名单：黑名单内的域名无法访问资源。 白名单：只有白名单内的域名可以访问资源。如果有同时开启允许空Referer访问，则空Referer也可访问资源。

本文介绍CCE容器集群拉取本地私有仓库镜像权限不足问题。 问题背景 用户自己搭建了一套harbor镜像仓库，并购买了天翼云的容器引擎产品。用户需要cce集群能够使用用户本地搭建的harbor镜像仓库中的镜像。 操作前提 保证该harbor仓库所在网络与cce容器引擎集群的网络是联通的 解决方案 准备好仓库的ca.crt文件 在初期进行harbor私有仓库搭建的时候，为了保证对于harbor的安全使用，对harbor的https访问进行配置，为了能够使cce集群拉取harbor的镜像，我们需要搭建harbor仓库时所使用的CA证书。证书通常存放在Harbor主机上的docker 证书目录：/etc/docker/certs.d/harbor域名/中，在/etc/docker/certs.d/harbor域名/ 中存放着我们所需要的文件：ca.crt 在cce集群上创建存放证书的文件夹 执行以下命令，创建文件夹，用于存放证书文件： mkdir p /etc/docker/certs.d/harbor域名/ 拷贝证书文件到指定文件夹 登陆本地harbor主机，将CA文件拷贝到集群主机指定文件夹下，执行以下命令： scp r /etc/docker/certs.d/harbor域名/ca.crt root@集群主机IP:/etc/docker/certs.d/harbor域名/ 验证 登陆集群节点，再集群节点上进行操作。 方法一：重新部署相关服务，验证是否能够正常拉取镜像。 方法二：通过登陆harbor仓库，执行拉取镜像操作： docker login harbor域名 docker pull 仓库名/镜像名:镜像tag

热门Referer 热门Referer支持客户按加速类型、标签、域名、流量优先、访问次数优先、时间等搜索条件，查询热门Referer、热门Referer对应的流量、流量占比、访问次数、访问占比。选择【流量优先】时按照流量大小排序，选择【访问次数优先】时按照访问次数排序，并支持表格导出。 域名排行 域名排行支持客户按加速类型、标签、域名、流量优先、访问次数优先、时间等搜索条件，查询到相应的域名、域名对应的流量、流量占比、带宽峰值、峰值时刻、访问次数。并支持表格导出。 TOP客户端IP TOP客户端IP支持客户按加速类型、标签、域名、状态码类型、全部地区（大区/省份）、流量优先、访问次数优先、时间等搜索条件，查询TOP客户端IP及其对应的IP归属、流量、访问次数。并支持表格导出。 热门UA 热门UA支持客户按加速类型、标签、域名、流量优先、访问次数优先、时间等搜索条件，查询热门UA及其对应的流量、流量占比、访问次数、访问占比。支持按设备类型、浏览器、操作系统进行排行。并支持表格导出。

本文介绍回源URI改写功能的适用场景和配置说明。 功能介绍 回源URI改写可以实现在用户请求需要回源时进行URI改写， 配置回源URI改写功能后，全站加速节点向源站发起回源请求时将使用改写后的URI。 适用场景 1. 源站服务器的资源所在的路径发生了变化，而用户仍然使用原来的URI，此时可在客户控制台配置回源URI改写功能，将原URI指向新的资源路径。 2. 源站内有同样的资源在多个地方复用，也可以通过回源URI改写将资源指向指定的资源路径。 注意事项 1. 回源URI改写功能只能针对请求URI进行改写，无法对URI后的参数进行改写，若要对URI后的参数进行改写，详情请见：回源参数改写。 2. URI改写会按照从上到下顺序执行规则列表，因此规则列表的顺序会影响改写结果。 3. 单个域名可配置的回源URI改写的规则上限是50条。 配置说明 1. 登录客户控制台。 2. 单击左侧导航栏【域名管理】【域名列表】。 3. 在【域名列表】页面，找到目标域名，单击【操作】列的【编辑】。 4. 单击右侧【回源配置】。 5. 在【回源URI改写】模块，单击【增加规则】。 6. 配置【改写模式】、【待改写PATH】、【改写后PATH】。 7. 单击【保存】，完成配置。 参数名 说明 改写模式 默认解码，对回源URI解码后改写，回源时再编码；选择编码，对回源URI原始编码改写，回源时不再编码。 待改写PATH 以/开头的URI，不含 改写后PATH 以/开头的URI，不含 操作 可删除配置。

接口描述：调用该接口可新增应用加速产品的域名 请求方式：post 请求路径：/ipa/domain/createdomain 使用说明： 添加域名之前，您需要先开通对应产品类型的服务； 该域名必须已成功备案； 该域名之前未创建过，没有在途工单； 单个用户一分钟限制调用10次 请求参数说明： 参数名 类型 是否必选 名称 描述 productcode string 是 产品类型 支持：“009”：应用加速 areascope int 否 加速范围 加速范围，当前仅支持：1（中国国内），不传默认1 domain string 是 加速域名 需要创建/修改的IPA加速域名，仅支持创建/修改单个域名。 origin obj 是 源站信息 origin.origintype int 否 回源方式 1：择优回源方式，2：轮询回源方式，3：保持登录回源方式，默认：1 origin.tcpports list 是 tcp端口列表 origin.tcpports[].origin str 否 tcp回源端口 不传默认为空 origin.tcpports[].req str 是 tcp请求端口 tcp端口列表（origin: tcpports）有传值时，该字段必传 origin.udpports list 否 udp端口列表 origin.udpports[].origin str 否 udp回源端口 不传默认为空 origin.udpports[].req str 是 udp请求端口 udp端口列表（origin: udpports）有传值时，该字段必传 origin.detail list 是 回源角色信息 origin.detail[].address str 是 回源地址 origin.detail[].weight int 是 权重 范围：1100； origin.detail[].role int 是 源站角色 1：主，2：备； origin.detail[].level int 是 层级 角色为主时，层级取值为1；角色为备时，层级取值为15 返回参数说明： 参数 类型 是否必传 名称及描述 code int 是 状态码，成功100000 message string 是 描述信息，成功返回success，其他返回异常信息描述

客户端登录配置 1. 登录云堡垒机系统。 2. 选择“系统 > 系统配置 > 安全配置”，进入系统安全配置管理页面。 3. 在“客户端登录配置”区域，单击“编辑”，弹出客户端登录配置窗口，根据界面提示配置系统客户端登录参数。 参数 说明 :: 登录超时 用户登录SSH客户端后，无操作退出登录的限定时间。 默认超时时间为30分钟。 取值范围为1～43200，单位为分钟。 SSH公钥登录 选择开启或关闭SSH公钥登录，默认。 SSH密码登录 选择开启或关闭SSH密码登录，默认。 若同时开启了“公钥登录”和“密码登录”，优先验证公钥登录方式。 4. 单击“确定”，返回安全配置管理页面，查看当前系统客户端登录配置。 更新系统Web证书 云堡垒机Web证书是验证系统网站身份和安全的SSL（Secure Sockets Layer）证书，遵守SSL协议的服务器数字证书，并由受信任的根证书颁发机构颁发。 云堡垒机系统默认配置安全的自签发证书，但受限于自签发证书的认证保护范围和认证保护时间，用户可替换证书。 本小节主要介绍在证书过期或安全扫描不通过时，用户如何更新证书，确保CBH系统安全。 前提条件 已获取证书，并下载签发证书。 上传证书绑定的域名已解析到绑定云堡垒机实例的弹性公网IP。 用户已获取“系统”模块管理权限。

本文介绍企业组织常见问题 我是主账号，为什么我不能创建子账号？ 天翼云对不同渠道来源的账号做了创建子账号的限制动作。若您为电信省公司渠道账号将不允许在企业中心创建子账号，您可以通过客户经理为您创建账号，再进行邀请加入企业组织。若您为天翼云公司或天翼云省分公司后付费渠道账号，需要由客户经理在BCP完成申请动作才能在企业中心创建子账号。 邀请子账号有什么限制？ 被邀请的子账号需要完成企业实名认证，且原则上要求待被邀请的子账号实名认证信息需与主账号一致，或为关联企业。 代理商渠道账号是否允许开通企业中心功能? 暂时不支持代理商渠道账号开通企业中心。 企业组织对成员账号的授权与CTIAM授权的区别？ 企业组织对成员账号的授权是隐式拒绝权限，是范围权限，判定成员账号只能在其授权范围内，对账号下的用户进行权限管理。对某个IAM用户而言，企业组织权限判定优先级高于CTIAM。

本文介绍HTTPS异常如何定位问题。 问题现象 若HTTP访问正常，HTTPS访问异常，出现无法打开页面、提示证书不可信、接口调用失败等现象。 排查步骤 1.未在网站接入时开启HTTPS功能 网站要支持HTTPS访问，需要在接入安全与加速服务时，域名管理配置请求协议开启HTTPS，并上传对应的HTTPS证书。域名接入后也可以通过边缘安全加速平台控制台“接入管理 > 域名接入> 基础配置”页面开启HTTPS协议。 2.在安全与加速控制台配置的证书过期，或证书与域名不匹配 如有启用HTTPS，则检查配置证书是否过期，或证书不匹配、证书错误。如为上述情况，则替换为新证书、正确证书即可。具体操作为：在【域名管理】【域名列表】选择对应域名，在【HTTPS配置】中，【点击上传】，上传新证书后，选择新证书备注名，单击【提交保存】即可。 3.证书链不完整，HTTPS中间证书配置错误 中间证书是根证书颁发机构CA对中间证书颁发机构的公钥进行数字签名得到的证书。其作用是通过中间证书的私钥来签署最终用户的SSL证书，通过中间根对另一个中间根进行签名，然后CA使用它来对证书进行签名。主流浏览器如Firefox或者Chrome对未安装中间证书的网站可能会作出此链接不受信任的提示，或者安装了安全证书的网站，用手机访问时还是会出现不安全的提示，这些情况都很可能是中间证书链不完整导致的。在WAF控制台上传证书时在证书公钥（PEM格式）输入框输入域名证书拼接中间证书即可，具体拼接格式如下： BEGIN CERTIFICATE 域名证书 END CERTIFICATE BEGIN CERTIFICATE 中间证书 END CERTIFICATE

托管检测与响应服务（原生版）为客户提供安全托管、安全护航、应急响应、安全评估、流量分析等服务内容。 托管检测与响应服务（原生版）是一种为客户提供远程交付安全运营能力的服务，该服务通过汇聚云上安全数据，快速检测、分析、发现、响应威胁，云端专家724小时全天候值守，以帮助用户处置突发安全事件，同时，结合安全评估、应急响应等其他可选服务，为用户构建一体化安全防护运营能力。 基础版 为中小型客户提供远程交付的基础安全运营能力，通过汇聚云上安全数据，724小时监测分析云防火墙、EDR等安全产品告警日志和安全事件，监控用户资产安全状况，安全事件及时告知客户并可联动安全产品处置。创新提供产品售后服务专属管家，58值守响应产品售后问题。 如需流量威胁检测，建议增购全流量分析服务。 企业版 基于丰富的公有云运营经验积累，面向公有云租户提供持续的安全监测和全面的保护服务，有效发挥云原生安全能力。依托安全运营工具对租户的云上资产包括：用户主机、Web系统、域名等产生的安全告警事件进行实时监测分析，通过接入云上安全设备日志和告警，进行综合分析研判，协助用户对检测到的各项安全隐患包括且不限于漏洞利用、弱密码、Webshell写入、异常登录、木马回连等安全风险和异常行为进行处置，并通过企业微信、钉钉等方式告知用户。

本节为您介绍在创建并配置好内网域名后，如何进行生效检测。 已经添加内网域名并关联到VPC，且在设置内网域名解析记录后，您可以按照本文提供的方法来验证设置是否生效。 假设，您的私有域名 example.com关联上了华东1地区的VPCnewDNS。 同时，私有域名example.com设置了如下解析记录。 操作步骤 您可以登录华南 1对应VPC内的ECS，使用host命令进行验证。验证结果如下图所示。 可以看到在VPC内的ECS上，example.com均可以解析到已定义的私有地址。

本节指导您快速上手漏洞扫描服务。 漏洞扫描服务（Vulnerability Scan Service，简称VSS）是针对网站和主机进行漏洞扫描的一种安全检测服务，目前提供通用漏洞检测和漏洞生命周期管理服务。 用户新建任务后，即可人工触发扫描任务，检测出网站的漏洞并给出漏洞修复建议。 购买漏洞扫描服务 注意 购买漏洞扫描服务时，系统将自动调用数据加密服务的接口，为漏洞扫描服务创建一个默认密钥。若账户余额不足100元，系统将无法创建默认密钥，从而导致漏洞扫描服务开通失败。 1. 登录管理控制台。 2. 在左侧导航树中，单击，选择“安全 > 漏洞扫描（专业版）”，进入漏洞扫描服务页面。 3. 单击“升级规格”，进入购买页面，选择计费模式、服务版本、购买时长和扫描包数量。 后面操作以“企业版”为例进行介绍。 说明 漏洞扫描服务提供基础版、专业版、高级版和企业版扫描服务，基础版可免费使用，但是功能和规格受限，专业版、高级版和企业版需付费。 新增域名 1. 在左侧导航树中，选择“资产列表”，在域名列表的左上角，单击“新增域名”。 2. 域名信息配置，填写域名名称和“域名/IP地址”。 3. 单击“确认”，进入域名认证页面。 4. 选择“免认证”，单击“完成认证”。 5. （可选）根据实际情况完成网站设置。 如果网站中某些网页需要登录才能访问，请您进行登录设置，以便VSS能够为您发现更多安全问题。

参数 说明 任务信息 任务名称 输入自定义的任务名称。 说明 命名规则：必须为大小写字母、数字、横线或下划线，长度在432个字符之间；自定义的任务名称不能与您已存在的任务名称重复。 选择源端 源端 选择源端数据的服务提供方。 说明 目前支持的源端： 支持阿里云（OSS）、华为云（OBS）、腾讯云（COS）迁移至ZOS。 支持天翼云对象存储（ZOS）、天翼云（OOS）迁移至ZOS。 支持AWS（S3）和其他遵循标准S3协议的对象存储服务迁移至ZOS。 选择源端 EndPoint Endpoint支持输入IP地址或域名。 若使用非默认端口，请输入端口号，格式为IP:Port。 说明 若源端为阿里云OSS，您可在OSS的bucket“ 概览访问端口外网访问 ”找到 Endpoint（地域节点）信息 。 若源端为华为云OBS，您可在OBS的bucket“ 概览域名信息 ”中找到对应的 Endpoint（终端节点）信息 。 若源端为腾讯云COS，您可在COS的bucket“ 概览基本信息所属地域 ”中找到 所属地域 信息，例如：apbeijing、apshanghai。 若源端为天翼云OOS，您可在OOS的bucket“ 属性区域属性Endpoint ”中找到 Endpoint 信息。 若源端为天翼云ZOS，您可在对象存储ZOS的bucket“ 概览域名信息 ”中找到 终端节点（Endpoint） 信息。 注意 腾讯云COS的Endpoint较为特殊，仅需填写region即可，例如：apbeijing、apshanghai。 选择源端 Access Key 输入您源端的Access Key。 选择源端 Secret Key 输入您源端的Secret Key。 选择源端 存储桶 输入您源端的对象存储桶名称。 选择源端 迁移方式 选择源端数据的迁移方式，支持：指定存储桶、指定文件夹、指定前缀。 说明 指定存储桶 ：选择“指定存储桶”时，将会迁移存储桶内的全部对象。 指定文件夹 ：选择“指定文件夹”时，将会迁移选中文件夹下的所有对象。仅支持单个文件夹。 指定前缀 ：选择“指定前缀”时，将会迁移桶中所有以该前缀开头的对象。仅支持单个前缀。

本文介绍热门分析。 功能说明 支持三个月内、最长时间跨度为一个月的热门数据统计，包括域名排行和TOP客户端IP统计。并支持数据下载导出，表格内容与页面一致。 操作指引 进入【统计分析】【热门分析】功能模块，即可查看域名排行和TOP客户端IP排行。 域名排行 域名排行可按照流量或连接数对域名的访问量进行排行。选择“流量优先”时按照流量大小排序，选择“连接数优先”时按照连接数排序，并支持表格导出。 TOP客户端IP TOP客户端IP可展示TOP客户端IP对应的流量、连接数。可选择域名、地区、流量优先或连接数优先进行查询。选择“流量优先”时按照流量大小排序，选择“连接数优先”时按照连接数排序，并支持表格导出。

本文为您介绍如何续订Web应用防火墙（原生版）实例。 为避免Web应用防火墙（原生版）实例到期后，防护服务自动停止，需要在实例到期前为实例手动续费，或设置到期自动续费。 到期说明 服务即将到期前，系统会以短信或邮件的形式提醒服务即将到期，并提醒用户续费。 服务到期后，如果没有按时续费，平台会冻结服务，但用户配置信息会提供15天的保留期。 说明 保留期内，平台会冻结WAF服务，用户配置的各类防护策略将不再生效，云WAF只转发流量。 保留期满，用户若仍未续费，平台会清除实例资源，用户所添加域名的所有配置将会被删除，同时云WAF将不再转发业务流量，若用户未及时将DNS指回服务器源站IP，网站业务流量将无法正常转发。 续订说明 服务支持手动续订，需要在服务到期前进入控制台操作。 在购买云WAF时，支持开启“自动续订”，开启自动续订后，在服务到期前，系统会自动按照默认的续费周期生成续费订单并进行续费，无须用户手动续费。 说明 若购买云WAF时勾选了“自动续订”，系统将会默认设置续费周期： 按月购买，自动续费周期默认为3个月。 按年购买，自动续费周期默认为1年。 如需要修改自动续费周期，可进入天翼云“费用中心 > 订单管理 > 续订管理”页面，在资源页面找到待修改自动续订的资源，单击操作列的“修改自动续订”，拖动“续订周期”可修改自动续订周期，当自动续订周期达1年或以上时，将可享受包年折扣。

本文介绍跨域资源共享功能及其配置说明。 功能介绍 HTTP响应头是HTTP响应消息头的组成部分之一，可携带特定响应参数并传递给客户端。配置自定义HTTP响应头后，当用户请求加速域名下的资源时，边缘安全加速平台—安全与加速服务返回的响应消息会携带您配置的响应头，从而实现特定功能。跨域资源共享（CrossOrigin Resource Sharing，简写为CORS）简称跨域访问，是HTML5提供的标准跨域解决方案，允许Web应用服务器进行跨域访问控制，实现跨域数据的安全传输。当客户的业务需要跨域共享或者访问资源时，客户可以通过自定义HTTP响应头来实现。 前提条件 您已经完成添加服务域名，如果您未添加，请参考添加服务域名。 注意 若源站与客户控制台同时配置CORS跨域头，则天翼云边缘安全加速平台—安全与加速服务的配置将覆盖源站CORS跨域头。 操作步骤 1.登录边缘安全加速控制台，进入【安全与加速工作台】【域名】【基础配置】，在域名列表中选中需要配置的域名。 2.进入域名配置详情页面后，选择【头部修改】【HTTP响应头】。 3.单击【编辑配置】按钮，单击【增加规则】，HTTP响应头部值配置：AccessControlAllowOrigin。 4.配置完成后，单击【保存】，单击【确定】提交。 参数名 说明 示例 头部值 跨域头部固定填写：AccessControlAllowOrigin。 AccessControlAllowOrigin 跨域验证 跨域验证开关默认关闭。 关闭：固定响应“AccessControlAllowOrigin”头部及其配置的取值。 开启：按照以下规则对用户请求进行跨域校验。 1.任意匹配：取值配置为“ ”，固定响应“AccessControlAllowOrigin:”。 2.泛匹配：取值配置为泛域名，校验请求头Origin值与配置的泛域名是否匹配，匹配则“AccessControlAllowOrigin”头部值响应Origin请求头值，匹配不上则不响应跨域头。 3.精确匹配：取值配置为单个或者多个精确域名，校验请求头Origin值与配置的精确域名是否匹配，匹配则“AccessControlAllowOrigin”头部值响应Origin请求头值，匹配不上则不响应跨域头。 开启 取值 1、响应头取值配置为“ ”，可匹配所有来源。 2、响应头取值配置非“ ”，必须包含协议头“http:// ”或者“ 3、响应头取值配置非“ ”，支持配置多个域名，多个值之间用英文逗号分隔。 4、响应头取值支持携带端口。

本文简述强制跳转的场景及配置方法。 功能介绍 强制跳转功能，可以将用户到边缘节点的请求方式重定向为HTTP或HTTPS请求。天翼云边缘安全加速平台安全与加速服务支持配置HTTP和HTTPS强制跳转，适用场景： 已经配置了HTTPS证书的加速域名，可配置强制跳转，通过301或302重定向方式，将客户端到边缘节点的HTTP请求强制跳转为HTTPS请求，HTTPS请求更安全。 对于安全性要求不高的业务应用，对应的加速域名可配置强制跳转，通过301或302重定向方式，将客户端到边缘节点的HTTPS请求强制跳转为HTTP请求。 注意事项 当HTTPS开关未启用时，强制跳转只支持从HTTPS301或302重定向为HTTP。只有当HTTPS开启且完成证书配置的情况下，才支持从HTTP301或302重定向为HTTPS。 配置说明 1.登录边缘安全加速平台控制台。 2.在域名基础配置页面，点击目标域名。 3.进入请求协议页面，单击“编辑配置”。 4.变更“强制跳转”，从停用改为启用。 5.选择目标跳转场景，如“HTTP>HTTPS”、“HTTPS>HTTP”。 6.选择合适的跳转方式，如302跳转或301跳转。 配置界面 新增域名，配置强制跳转： 域名添加完成后，编辑强制跳转：

本节介绍网络的用户指南:服务发现DNS概述。 创建集群时会自动安装CoreDNS插件，用来提供集群内部域名解析。在kubesystem命名空间下，可以查看到CoreDNS相关Pod： kubectl nkubesystem get po l k8sappkubedns NAME READY STATUS RESTARTS AGE coredns84f6584c855rmgq 1/1 Running 0 41h coredns84f6584c85rs4n6 1/1 Running 0 41h 作为集群内部DNS服务器，CoreDNS会将Service域名与Service的IP记录起来，Pod可以向CoreDNS查询Service域名获取对应IP地址。Pod访问的Service域名格式为..svc.，其中为Service名称，为命名空间名称，为集群内部域名，默认为cluster.local。若客户端和服务端在同一个命名空间下，可通过直接访问。建议在集群内部使用Service域名访问Pod，无需感知具体Service地址。 默认情况下，会将Coredns Service的地址作为域名解析服务地址写在Pod的/etc/resolv.conf kubectl nkubesystem get svc kubedns NAME TYPE CLUSTERIP EXTERNALIP PORT(S) AGE kubedns ClusterIP 10.96.0.10 53/UDP,53/TCP,9153/TCP 9d kubectl exec it nginxdemo748fb499d78f2t5 cat /etc/resolv.conf search default.svc.cluster.local svc.cluster.local cluster.local nameserver 10.96.0.10 options ndots:5 Pod内通过Service域名访问后端Pod的DNS解析过程，如下图所示：

本节介绍创建任务时为什么总是提示域名格式错误。 创建任务时，为了让漏洞扫描服务识别出网站使用的协议（http或https），需要在输入的时候填写此信息。 正确的域名格式为：“http(s)://域名或IP”。 例如：一个使用https协议，IP地址为10.10.10.1的网站，在创建任务时应输入的“目标网址”为“

本文简述替换过期证书的操作步骤。 功能介绍 如果您的证书临近过期，需要您在过期前替换证书，以避免影响域名的正常访问。 操作步骤 1. 请您参考：新增证书，上传新的证书。新证书一般会对应一个自定义的证书备注名。 2. 新证书上传完成后，在【域名列表】中找到需要关联证书的域名，单击【编辑】目标域名。 3. 勾选【请求协议】为HTTPS，这时才可进行HTTPS相关配置。 4. 点击右侧【HTTPS配置】，选定新证书对应的证书备注名（即新证书），单击【保存】，即可完成新证书与域名的关联。 说明 新旧证书替换，新证书配置下发到全站加速节点之前，客户端依旧采用旧证书进行访问，当节点配置变更生效后，客户端访问会平滑切换到新证书。 点击启用【请求协议】HTTPS后，才会弹出【HTTPS配置】相关配置框。 配置界面

本文将为您介绍创建子账号的操作流程。 为满足企业集中化财务管理需求，系统支持企业主账号在组织架构下创建子账号，创建完成后新账号与企业主账号自动建立主子账号关联关系。企业主账号可通过企业中心实现对子账号账务、发票等财务信息的集中查看与管理，助力提升企业财务管理的统筹效率。 约束与限制 1. 仅企业主账号可进入企业中心做账号创建。 2. 主账号已完成企业实名认证，认证信息是普通企业，不能是个体工商户。 3. 主账号状态正常，不能处于冻结、欠费等异常状态。 4. 被创建的账号未被其它企业主账号关联成为企业子账号。 5. 天翼云云公司、云省分线下渠道客户，默认不能自行创建子账号，需联系客户经理申请变更后再创建；天翼云云公司、云省分线上渠道客户，不受此限制，可自行创建。 6. 电信省公司线上、线下渠道客户，不支持使用企业中心创建子账号。 7. 代理商客户不能创建子账号。 8. 创建的企业子账号将继承企业主账号实名认证信息，法人信息，以及部分基础信息（如账号类型、客户类型等）。 9. 主账号创建子账号受一证五号的限制，若超出限制，线上渠道客户可联系客服人员或电销经理申请解除限制，线下渠道客户可联系客户经理申请解除限制。 创建财务独立子账号 什么是财务独立：指独立子账号具备自主处理自身财务事务的核心权限，同时主账号可按需进行辅助管理，具体包含以下要点： 1. 子账号核心权限：独立子账号可自行对本账号产生的费用完成独立结算，也可自主开具发票； 2. 主账号管理权限：主账号可根据管理需求，执行查看独立子账号账单、代其开具发票、为其拨款等操作。 操作步骤： 1. 进入“组织管理”页面。 2. 选中需要创建子账号的组织，点击“创建账号”。 3. 填写账号信息： 1. 设置基础信息：账号显示名、邮箱地址等。 说明 1. 子账号密码设置的规则为：826个字符；包含大小写字母、数字及符号3种；不能包含与账号名相关的信息；不能使用连续3个及以上键位排序字符，如123, Qwe；不能使用常用的具有特殊含义的字符串。 2. 账号显示名为账号在企业中心的显示名称，创建时的账号显示名默认为账号的登录名，子账号登录后可自行修改登录名，修改后不影响账号显示名。 2. 设置财务模式：选择“财务独立”，为财务独立设置权限，权限说明： 权限点 权限说明 允许主账号查看子账号的财务信息（余额/消费/成本/订单/账单等） 主账号可在企业中心财务管理模块查看子账号的消费信息、订单信息、账单信息等。 为子账号开具发票的主体主账号 主账号可替子账号开票，子账号不允许自己开票（仅针对天翼云云公司、云省分线上渠道客户，天翼云云公司、云省分线下渠道客户联系客户经理开具发票） 为子账号开具发票的主体子账号 主账号不可替子账号开票，子账号自己开票（仅针对天翼云云公司、云省分线上渠道客户，天翼云云公司、云省分线下渠道客户联系客户经理开具发票） 为子账号开具发票的主体主账号&子账号 主账号和子账号都可开子账号的发票（仅针对天翼云云公司、云省分线上渠道客户，天翼云云公司、云省分线下渠道客户联系客户经理开具发票） 允许子账号继承主账号的商务折扣（账号折扣） 主账号账号折扣可被子账号使用（仅针对天翼云云公司、云省分线下渠道客户，且子账号无账号折扣的情况） 允许主账号管理子账号的云资源 主账号可在企业中心资源管理查看子账号的云资源清单、在企业中心云SSO管理及账号的云资源 4. 点击“确认”完成创建： 1. 天翼云云公司、云省分线上渠道客户，创建完成后，子账号可基于账密信息进行登录使用。 2. 天翼云云公司、云省分线下渠道客户，创建完成后，需等天翼云客户经理完成合同绑定后，子账号可基于账密信息登录使用。

参数 类型 说明 origin string 转推目标ip或域名，支持ipv4、ipv6和域名 port string 转推目标端口，不填默认1935 host string 转推使用的请求头host

名称 类型 填写要求 默认值 有效值 描述 whitelist array[string] 与blacklist二选一 白名单域名列表。域名开头可以用 作为通配符。 blacklist array[string] 与whitelist二选一 黑名单域名列表。域名开头可以用 作为通配符。 message string 可选 "Your referer host is not allowed" 字符数[1,1024] 当未允许访问时返回的信息。 bypassmissing boolean 可选 false 当设置为 true 时，如果Referer请求头不存在或格式有误时，将绕过检查。

对应安全能力的模板管理 以“Web应用防火墙”为例，在Web应用防火墙的模板管理页面，支持对当前模板的Web应用防火墙能力进行管理。 模板范围：当前模板需要包括的安全能力范围。 详情设置：对模板里的每个安全能力卡片进行配置，配置完成后，点击保存。 批量域名配置 当模板所需的安全能力都配置完成，回到“策略模板”，点击操作栏的“批量域名配置”，进行域名的配置下发。 选择生效域名：即选择模板的对象，选择模板配置需要下放的域名范围。 配置生效范围：即选择模板的配置，可以选择模板里的全部或者部分配置，支持覆盖和追加两种动作。

批量导入 云堡垒机不支持批量创建主机资源，但可以通过主机“导入”的方式批量导入主机资源，包括通过Excel文件导入资源和通过云平台导入资源。 “从文件导入”的Excel文件需配置内容，包括名称、IP地址/域名、协议类型、端口、系统类型、所属部门、标签、主机描述、主机账户、登录方式、特权账户、密码等。 “从文件导入”方式的Excel文件，需严格按照表格配置要求填写主机信息，且上传的Excel文件可打开，不能加密。否则会导入资源失败。 通过Excel批量导入方式，配置“自动登录”，录入主机资源信息，可避免生成“Empty”账户。 批量导出 云堡垒机还支持批量导出主机资源信息。验证用户后，一键导出全量已纳管的主机资源信息，可在导出的文件中查看主机资源账户最新的配置信息，以及设置改密策略修改后的账户密码。 导出的Excel文件内容包括资源名称、资源地址、资源协议、资源端口、系统类型、部门、资源标签、资源描述、账户名称、登录方式、特权账户、密码明文等。 导入云主机的访问密钥AK/SK是什么？如何获取？ 访问密钥即AK/SK（Access Key ID/Secret Access Key），是用户通过开发工具访问云资源时的身份凭证。系统通过AK识别访问用户的身份，通过SK进行签名验证，通过加密签名验证可以确保请求的机密性、完整性和请求者身份的正确性。 若用户选择导入到云平台时，可在“我的凭证”中管理自己的访问密钥。获取方法如下： 登录管理控制台，在右上角用户帐号名内，单击“我的凭证 > 管理访问密钥”，进入访问密钥管理页面。 用户若选择导入到其他云平台，可单击“如何获取”，跳转到相应云平台，根据指导说明获取访问密钥AK/SK。

HTTP触发器为函数提供了基于HTTP协议的访问方式，主要适用于web服务、API暴露等场景，同时也提供了丰富的配置以满足各种访问形式。 使用限制 根据相关规章制度，HTTP触发器的域名需要您提供，需要提前创建自定义域名，详情请查看配置自定义域名。 函数计算会基于您提供的自定义域名创建子域名作为函数访问端点URL，因此也需要您给子域名配置CNAME记录。 一个函数的一个版本或别名下，只能创建一个HTTP触发器。 通过内网URL访问函数时，需要提前创建VPCE，服务选择函数计算，操作详情请查看配置终端节点。 操作步骤 1. 登录函数计算控制台，点击目标函数，进入函数详情。 2. 选择详情下顶部的配置选项卡。 3. 在配置 选项卡中，选择左边的触发器选项卡。 4. 点击创建触发器 ，在弹出的右抽屉中选择HTTP触发器，配置参数解释如下表。 参数 操作 示例 触发器类型 选择HTTP触发器。 HTTP触发器 名称 填写自定义的触发器名称。 xxx 版本或别名 默认值为LATEST，支持选择任意函数版本或函数别名。 LATEST 请求方法 触发器支持的HTTP请求方法选择，可多选，不填则默认支持全部方法。 禁用公网访问URL 触发器是否启用公网访问的URL。 内网 选择已创建的自定义域名，并确保该域名已经配置CNAME记录，记录值每个地域的内外网不同，具体留意页面提示。适用于内网环境访问，需要提前创建VPCE。 公网 选择已创建的自定义域名，并确保该域名已经配置CNAME记录，记录值每个地域的内外网不同，具体留意页面提示。适用于公网环境访问。 认证方式 无需认证：请求没有认证限制，任何人都能访问。 JWT认证：请求启用JWT认证，访问时需要带上JWT TOKEN，函数网关会自动校验请求的合法性。

本文简述天翼云应用加速全网带宽控制功能及配置方式。 功能介绍 天翼云应用加速全网带宽控制功能可通过设置单个域名或多个域名的总带宽值来控制带宽总用量，避免因带宽突发带来更多的带宽费用。 带宽控制功能支持全网边缘总带宽限制，支持分时段控制，您可以根据自身带宽需求选择对应的限制策略。带宽超出设置值后，可选择对请求进行限速或者拒绝操作。 适用场景 1.存在带宽突发场景，希望突发情况下应用加速带宽费用可以进行有效控制。 2.对带宽成本有严格把控，同时又不希望影响客户感知情况下可选择使用带宽控制功能，超过设置带宽后，对用户设置合理限速。 注意 1.可以针对多个域名合并进行总带宽控制，但是一个域名同时只能配置在一个控制任务中。 2.不支持对泛域名配置带宽控制功能。 3.由于域名带宽的监控数据存在一定延迟（大约10分钟），实际带宽达到阈值大约10分钟后生效。 配置说明 如需开启带宽控制功能，您需要提供以下信息： 参数 说明 限制带宽值 提供需要限制的总带宽大小。 限速时段 可选择全天生效或者固定时段生效。 限制策略 带宽超过限速值后处理方式，可选择限速/拒绝。 限制策略配置 限制策略选择限速，则提供对应的限制值。 限制策略选择拒绝，默认拒绝响应SESSIONDENIED状态码。 如您需要配置应用加速全网带宽控制功能，请提交工单申请。

接口描述：调用本接口查询域名在指定时间段被，被攻击域名的WAF攻击IP、被攻击URL、攻击来源、攻击类型分布情况 请求方式：post 请求路径：/ddos/attackinfo/queryattackinfo 使用说明： 修改域名之前，您需要先开通对应产品类型的服务，且服务有效； 支持查询最近30天数据 单个用户一分钟限制调用10000次，并发不超过100 支持查询CC攻击类型的数据 请求参数说明： 参数名 类型 是否必填 名称 说明 domain string 是 域名 单次调用仅支持一个域名查询 protectionModule string 是 查询的类型 值为CC type string 是 查询维度 取值为： 1、IP：攻击IP 2、AREA：攻击来源 3、URL：被攻击的URL startTime string 是 开始时间 格式为：YYYYMMDDThh: mm:ssZ 支持最近30天的数据 endTime string 是 结束时间 格式为：YYYYMMDDThh: mm:ssZ 支持最近30天的数据 pageSize string 否 查询每页的数量 不传默认30，pageSize以及pageNumber的乘积不得超过2000 pageNumber string 否 查询的页数 不传默认30，pageSize以及pageNumber的乘积不得超过2000 返回参数说明： 参数 类型 是否必传 名称及描述 code string 是 状态码，成功100000 message string 是 描述信息，成功返回success，其他返回异常信息描述 data attackInfoData 否 查询结果以及域名对应状态 1）attackInfoData参数 参数 类型 是否必返回 名称及描述 total int 是 攻击对应的类型的总数 attackDataList List 否 具体攻击类型

参数名 类型 是否必填 名称 说明 productcode string 是 产品类型 支持产品类型： “001”（静态加速） “003”（下载加速） “004”（视频点播加速） “008”（CDN加速） domain string 是 域名 支持单个域名

本文介绍如何下载全站加速访问日志。 日志下载说明 全站加速支持日志下载，支持客户下载加速域名的访问日志，同时支持批量下载。 日志记录了域名请求的详细信息，是用户进行业务分析的重要参考。 日志下载方式 您可以登录客户控制台，筛选对应域名和时间后，查询日志，自助下载。 详情参见：日志下载。

支持，可以根据需要，按照下列方式中的一种进行设置： 域名访问方式（BucketName在域名前）： 例如：设置BucketName为examplebucket域名访问方式： URL路径访问方式（BucketName在URL中）： 例如设置BucketName为examplebucket的URL路径访问方式：

本文介绍如何使用服务发现DNS。 DNS使得Serverless集群支持应用的服务发现，为集群内的工作负载提供域名解析服务方案。本文将介绍Kubernetes集群中 DNS 域名解析的原理以及Serverless集群中的域名服务方案CoreDNS。 注意事项 对于已经部署的Serverless集群，如果后续安装了coredns插件，这将只对新部署的工作负载生效。那些在启动DNS服务发现之前创建的工作负载不会自动更新它们的DNS配置。 Kubernetes集群中DNS域名解析原理 Kubernetes 集群中的DNS主要作用包括： 1. 为Kubernetes集群内的Pod和Service提供解析域名的能力。 2. 将Service名称解析为ClusterIP。 3. 将外部名称解析为Service的EXTERNALIP。 在创建Serverless集群中的工作负载时，默认生成的 /etc/resolv.conf 文件包含特定配置。这个文件定义了DNS服务器的地址、搜索域以及其他一些配置参数。 Python search定义了一个或多个域名搜索列表，当进行DNS查询时，这些域名会按顺序添加到仅具有部分域名的查询中 search kubesystem.svc.cluster.local svc.cluster.local cluster.local nameserver用于解析域名的DNS服务器的IP地址 nameserver 10.96.0.10 options设置一系列的解析选项 options ndots:5 CoreDNS方案 CoreDNS是Kubernetes集群中的DNS服务器，是解析Kubernetes集群内部和外部域名的核心组件，能够实现域名解析和服务发现功能。CoreDNS具备强大的插件集，支持自定义DNS解析、自定义hosts映射、CNAME、Rewrite等功能。 CoreDNS为Kubernetes集群的DNS提供一个可插拔的插件框架，并同时支持DNSoverTLS和DNSoverHTTPS，具有插件编写简单、配置灵活、易于扩展等特点。 除此之外，CoreDNS还内置了多种DNS解析插件，能够支持对Kubernetes内部服务和外部域名进行解析，例如支持Kubernetes的服务发现机制，监听Kubernetes的API服务器上的Service和Endpoint变更事件，自动更新DNS解析信息。同时，在Kubernetes集群中，CoreDNS还能够支持多种插件，例如DNS重定向、地址过滤、负载均衡等，能够为用户提供更加全面、灵活、高效的DNS服务。