本文介绍SSL证书管理。 SSL证书管理功能是：通过加密存储用户的证书，方便用户管理和使用SSL证书。用户能看到证书的过期时间、证书的通用域名和证书的其它域名等信息，方便用户及时了解证书使用的范围和证书是否将要过期。用户在购买负载均衡实例添加监听器的时候可以快速地使用创建好的证书，方便用户快速使用。 上传SSL证书 1. 登录ECX控制台。 2. 单击左侧导航栏的【边缘网络>弹性负载均衡>SSL证书】，点击右上角【+添加自有证书】。 3. 输入证书备注名，然后分别点击上传或输入证书内容和私钥文件；上传证书时，证书的格式要求是：证书包含证书的公钥和签名等信息，证书扩展名为”.crt”或” .cer”，证书内容格式以“BEGIN CERTIFICATE”作为开头，以“END CERTIFICATE”作为结尾；私钥的格式要求是：为对应证书的私钥，私钥扩展名为”.key”或”.pem”，私钥内容格式以“BEGIN RSA PRIVATE KEY”作为开头，以“END RSA PRIVATE KEY” 作为结尾。 4. 填写相关证书密钥后，单击【提交】，SSL证书创建完成，可以在SSL证书列表查看已创建的SSL证书。 查看SSL证书列表 1. 登录ECX控制台。 2. 单击左侧导航栏的【边缘网络>弹性负载均衡>SSL证书】。 3. 在SSL证书列表可以查看已创建的SSL证书。 查看SSL证书详情 1. 登录ECX控制台。 2. 单击左侧导航栏的【边缘网络>弹性负载均衡>SSL证书】。 3. 在SSL证书列表中单击证书备注名，可进入证书详细页查看基本信息。

本文介绍什么是忽略参数缓存以及如何配置。 什么是忽略参数缓存？ 忽略参数缓存，即对带“?”的URL，去除“?”及之后的字符串进行回源请求及缓存，全站加速默认忽略参数缓存。该配置主要用于用户请求的URL带有随机字符串的情况：当不同的URL，“?”前相同、“?”后字符串不同，但指向内容一致时，即可选择配置忽略参数缓存。当不同的URL，“?”前相同、“?”后字符串不同，且指向内容不同时，需要配置不忽略参数缓存，避免缓存错误。 怎么配置忽略参数缓存？ 1. 登录客户控制台。 2. 在域名列表页面，点击【编辑】目标域名。 3. 单击【缓存配置】。 4. 单击【增加规则】。 5. 选择类型，如后缀名、目录、首页、全部文件、全路径文件，并配置相应的内容。 6. 选择缓存规则，默认为强制缓存。 7. 选择过期时间单位，如秒、分钟、小时、天，再填写对应的过期时间。 8. 缓存参数默认忽略参数，如需要带参数缓存，请选择不忽略参数。 9. 填写【权重】。权重即优先级，支持自定义，数字越大则越优先生效。如果同个URL满足不同的缓存规则设置，例如该URL既属于某个文件后缀，又属于某个目录下，此时具体遵循哪条缓存规则，取决于二者的权重设置，最终按权重数字大的生效。 配置界面

本文主要为您介绍如何开启防敏感信息泄露防护，以及如何配置防敏感信息泄露规则。 网站域名接入Web应用防火墙后，您可以选择开启防敏感信息泄露功能，并配置防敏感信息泄露规则，可对网页中的敏感信息或指定的HTTP响应码页面进行过滤或拦截。 前提条件 已开通Web应用防火墙（原生版）实例。 已完成网站域名接入。 使用限制 基础版和标准版不支持防敏感信息泄露功能，请升级到更高版本使用。 操作步骤 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“防护配置 > 对象防护配置”，进入防护配置页面。 5. 在“防护配置”页面上方的“防护对象选择”下拉框，切换到要设置的域名。 6. 在“安全防护”页签定位到“防敏感信息泄露”模块，可以选择开启/关闭防护。 7. 点击防护规则右侧的“前去配置”，进入防敏感信息泄露规则页面。 8. 单击“新建防护规则”，在弹出的对话框中，配置防敏感信息泄露规则。 参数说明如下： 配置项 说明 规则名称 设置规则的名称。 规则名称用于标识当前防护规则，建议您使用有明确含义的名称。 匹配条件 选择需要在响应信息中检测的敏感信息类型，包括敏感信息、响应码、关键字。 敏感信息：用户的个人身份信息，包括身份证号、电话号码、电子邮箱等。 响应码：指定的HTTP响应码，比如401、402、403等。 关键字：自定义需要检测关键字。 匹配内容 根据所选匹配条件，对应不同的内容。 敏感信息：包括身份证号、电话号码、电子邮箱等。 响应码：选择特定的HTTP请求状态码。 关键字：需要手动输入匹配的关键字。 防护路径 需要防护的URL的路径。 执行动作 选择在响应信息中检测到敏感信息后系统执行的动作。 观察：仅通过日志记录匹配到的页面和内容，不进行拦截。 信息脱敏全部屏蔽：对匹配到的内容，将被全部进行脱敏展示。 信息脱敏自定义范围：选择该项，还需要配置“显示”或“屏蔽”具体的范围。 拦截：拦截匹配到的页面和内容，并向发起请求的客户端返回拦截响应页面。 规则描述 可选项。设置规则的描述信息。 9. 单击“确定”，规则创建成功，成功后规则默认启用。您可以在规则列表中查看该规则。

字段 说明 推流域名 在直播控制台添加的推流域名。 AppName 发布点，即直播的应用名，是指直播流媒体文件的存放路径。默认为“live”，可根据实际需要自定义。AppName支持大小写字母、数字、下划线和中划线。 StreamName 流名，通常与域名和发布点一起唯一标识一路流。StreamName支持大小写字母、数字、下划线和中划线。

参数 是否必填 参数类型 说明 示例 下级对象 CreationDate 是 String Bucket的创建时间，格式为UTC时间。 20130731T10:56:21.000Z ExtranetEndpoint 是 String Bucket的外网域名。 osscnshanghai.ctyun.1com Name 是 String Bucket名称。 example Owner 是 Array of Objects 存放Bucket拥有者信息的容器。 Owner AccessControlList 是 Array of Objects Bucket读写权限（ACL）信息的容器。 AccessControlList

参数 是否必填 参数类型 说明 示例 下级对象 CreationDate 是 String Bucket的创建时间，格式为UTC时间 20130731T10:56:21.000Z ExtranetEndpoint 是 String Bucket的外网域名 osscnshanghai.ctyun.com Name 是 String Bucket名称 example Owner 是 Array of Objects 存放Bucket拥有者信息的容器 Owner AccessControlList 是 Array of Objects Bucket读写权限（ACL）信息的容器 AccessControlList

参数 是否必填 参数类型 说明 示例 下级对象 domain 是 String 域名必须属于当前用户且合法有效 aaa.ctyun.cn scriptname 是 String 为264位的小写字母、数字、下划线组合，以小写字母、数字开头结尾 luatest scriptcontent 是 String lua脚本内容，脚本内容不超过5M ctyun.resp.setoutput('Hello World hmy') ctyun.resp.exit(200)

参数 是否必填 参数类型 说明 示例 下级对象 domain 是 String 域名必须属于当前用户且合法有效 aaa.ctyun.cn scriptname 是 String 为264位的小写字母、数字、下划线组合，以小写字母、数字开头结尾 luatest scriptcontent 是 String lua脚本内容，脚本内容不超过5M ctyun.resp.setoutput('Hello World hmy') ctyun.resp.exit(200)

绑定AD 绑定AD功能支持管理员自主配置和管理企业的身份提提供方Active Directory(以下简称 AD)。 操作场景 身份管理可以打破身份孤岛，实现统一访问控制，允许企业成员使用一个账号畅游所有应用。 操作步骤 1. 进入“天翼AI云电脑（政企版）”管理控制台； 2. 展开“身份管理”菜单栏，选择“身份提供方”，点击“绑定AD”，进入“绑定AD”页面； 第一步：连接AD 在第一步中，您需要在绑定AD中填写以下信息： 显示名称： 说明：管理员查看AD配置及相关操作日志时显示。 AD 域名： 说明：您的 Active Directory 域的全称。 格式：符合 DNS 命名规范（例如：example.com）。 示例：corp.yourcompany.com 主域控制器 DNS： 说明：主域控制器（Primary Domain Controller）的 IP 地址或可解析的主机名。 示例：192.168.1.10 或 dc01.corp.yourcompany.com 备域控制器 DNS (可选)： 说明：备域控制器（Secondary Domain Controller）的 IP 地址或可解析的主机名。 示例：192.168.1.11 或 dc02.corp.yourcompany.com AD 认证账号： 说明：用于绑定和查询 AD 的管理员账号。此账号必须对整个 AD 目录至少拥有读取权限。 格式：支持以下格式： UPN 格式：username@domainname (例如：admin@corp.yourcompany.com) DN 格式：CNUsername, OUSomeOU, DCcorp, DCyourcompany, DCcom (例如：CNsvcbind, OUService Accounts, DCcorp, DCyourcompany, DCcom) 权限要求： 必须拥有对整个 AD 目录结构（所有域节点）的只读访问权限。 AD 认证密码： 说明：上述认证账号对应的密码。 安全提示：输入密码通常以掩码显示。 用户组织单元 (OU)： 说明： 指定需要同步或管理的 AD 用户账户所在的组织单元 (OU) 路径。此为必填项。 格式：使用 LDAP 可分辨名称 (Distinguished Name)。 示例：OUEmployees, DCcorp, DCyourcompany, DCcom 云电脑加入的 OU： 说明：指定云电脑在加入 AD 域时将被放置的组织单元 (OU) 路径。 格式：使用 LDAP 可分辨名称 (Distinguished Name)。 示例：OUCloud PCs, DCcorp, DCyourcompany, DCcom 必填条件：仅在需要对云电脑执行加域操作时，此项为必填项。 共享公网出口 IP： 地址： 182.42.7.245 作用： 此 IP 是天翼云电脑服务访问您本地 Active Directory 的源地址。 网络要求： 若您的本地网络防火墙或安全设备配置了 IP 白名单（允许列表），您必须将此 IP (182.42.7.245) 添加到白名单中。 防火墙端口要求： 目的： 允许云服务通过指定的协议端口与您的域控制器通信。 必需操作： 在您的防火墙白名单中，同时允许上述出口 IP (182.42.7.245) 访问您域控制器的以下端口： LDAP (明文/StartTLS)： 端口 389 (TCP) LDAPS (SSL/TLS 加密)： 端口 636 (TCP) 注意： 具体需要开放的端口取决于您选择的认证协议（见下文）。 目录访问协议： 可选协议： LDAP： 标准轻型目录访问协议。默认使用端口 389。 StartTLS 扩展： 它在已建立的 LDAP 连接 (389) 上协商 TLS 加密，显著提升通信安全性。启用需要在您的 AD 域控制器上配置并部署有效的 SSL/TLS 证书。 LDAPS： 基于 SSL/TLS 加密的 LDAP。强制使用端口 636。 提供全程加密通信。启用同样需要在 AD 域控制器上配置并部署有效的 SSL/TLS 证书。 域控制器服务器地址： 说明：提供您的 Active Directory 域控制器 (Domain Controller) 的可访问地址。 格式：IP地址:端口 或 完整域名(FQDN):端口 要求： 主域控制器地址： (必填) 备域控制器地址： (可选) 端口选择： 如果选择 LDAP (无 StartTLS)，端口填 389。 如果选择 LDAP + StartTLS 或 LDAPS，端口填 636。 关键说明： 服务器地址必须填写其公网可路由的 IP 地址或可被公网 DNS 解析的 FQDN。 示例 (使用公网IP)： 主：203.0.113.10:636 (假设使用 LDAPS) 备：203.0.113.11:636 示例 (使用FQDN)： 主：dc01.corp.example.com:636 备：dc02.corp.example.com:636 重要提示： 请勿使用内网地址 (如 127.0.0.1, 192.168.x.x, 10.x.x.x) 或仅在内网解析的域名。 云服务无法直接访问您的内网地址。 第二步：选择场景 在第二步中，选择希望和AD实现的场景能力。 登录未关联用户配置： 企业账号经过企业认证通过后，如果还没有同步用户，选择登录失败则返回失败； 选择自动创建用户则创建用户并登录成功 增量同步：从所选择的时间点开始进行同步 数据同步时间：从所选择的时间点开始进行同步 同步时间间隔：从同步时间开始，每隔 X 小时执行一次同步 委托认证高可用：开启后，如果域控服务器访问失败，可以使用本地密码较验 用户ObjectClass：如果您自定义了AD 中对象的 ObjectClass，可以在此处配置。例如将 ObjectClassuser 的对象视作AD 中的用户。 用户登录标识：可使用;对属性进行分割，此时为或关系 用户Filter过滤：可以使用LDAP语法对需要判断的用户进行过滤 第三步：字段映射 如果需要和AD用户或组织进行绑定，例如将AD用户的用户名作为天翼云电脑账户的账户名，则需要在第三步配置字段映射。如需使用映射标识能力，需手动设置为同步标识，如下图的用户名字段。 配置其它AD 用于管理虚拟桌面加入域的操作（即“加域”过程），限制最多配置两个企业AD。最多只能配置两个其它AD。 配置系统：Windows 系统 、银河麒麟、中标麒麟 其它配置项参考绑定AD

本文介绍如何配置证书。 客户控制台的【证书管理】模块，客户在证书管理模块可以上传证书，查看证书详情、更新证书、证书对应绑定的域名以及删除证书。 证书管理页 图 证书新增页

本文介绍增量修改域名信息接口 接口描述：调用本接口增量修改加速域名配置信息 请求方式：post 请求路径：/domain/updatedomain 使用说明： 修改域名之前，您需要先开通对应产品类型的服务，且保证资源包/按需服务有效； 该域名没有在途工单； 单个用户一分钟限制调用10000次，并发不超过100 请求参数说明（json）： 参数名 类型 是否必填 名称 说明 domain string 是 域名 productcode string 是 产品类型 “007”（安全加速） ipv6enable int 否 ipv6启用 1（启用）； 2（关闭），未传代表不修改 origin list 否 源站信息 未传代表不修改，有传代表整个数组全量修改 origin[].origin string 是 源站ip或域名 origin[].port int 是 源站端口 支持http自定义端口，http不支持下发443端口 origin[].weight int 是 权重 范围：1100 origin[].role string 是 源站角色 取值: master, slave origin[].protocol string 否 源站类型 默认http，目前不支持自定义配置https源站。 reqhost string 否 回源host 未传代表不修改 originhosttype int 否 主备源携带不同的回源host是否开启 0：关闭 1：开启，未传代表不修改 originhosthttp dict 否 http类型origin带不同的回源host origin:origin每条的http类型origin当key，不同的回源host当value存储,例如{ “www.ctyun.1cn”:“www.ctyun.2cn”, },其中key必须是存在的源站origin:origin，未传代表不修改 blackreferer dict 否 referer黑名单 未传代表不修改，有传代表整个dict全量修改 blackreferer.allowlist list 是 referer黑名单列表 blackreferer.allowempty string 是 是否允许为空 “on”（允许为空）；“off”（不允许为空） whitereferer dict 否 referer白名单 未传代表不修改，有传代表整个dict全量修改 whitereferer.allowlist list 是 referer白名单列表 whitereferer.allowempty string 是 是否允许为空 “on”（允许为空）；“off”（不允许为空） filetypettl list 否 文件过期时间设置 未传代表不修改，有传代表整个数组全量修改 filetypettl[].filetype string 是 缓存文件类型，多个以逗号隔开 0:文件后缀,例如jpg,png,css（以",“分割） 1:目录,例如/test,/a/b/c（不能以”/"结尾） 2: 首页,固定为/ 3: 全部文件,固定为/ 4: 全路径，例如/index.html,/test/.jpg filetypettl[].ttl int 是 缓存时间 单位秒 filetypettl[].cachetype int 是 缓存类型 1（不缓存）；2（优先遵循源站）；3（强制缓存） filetypettl[].cachewithargs int 是 是否带参数缓存 0（不带参数缓存）；1（带参数缓存） filetypettl[].mode int 否 模式 0（文件后缀）；1（目录）；2（首页）； 3（全部文件）；4（全路径）；5（正则），不传默认0 filetypettl[].priority int 否 优先级 不传默认10 ipblacklist string 否 ip黑名单 黑白名单只允许存在一个，若同时存在只处理黑名单,多个ip以逗号分隔,示例：1.1.1.1,2.2.2.2,::1，未传代表不修改 ipwhitelist string 否 ip白名单 黑白名单只允许存在一个，若同时存在只处理黑名单,多个ip以逗号分隔,示例：1.1.1.1,2.2.2.2,::1，未传代表不修改 reqheaders list 否 自定义回源请求头 未传代表不修改，有传代表整个数组全量修改 reqheaders[].key string 是 自定义回源请求头名称 reqheaders[].value string 否 自定义回源请求头值 value为""代表删除对应的请求头 respheaders list 否 自定义响应头 未传代表不修改，有传代表整个数组全量修改 respheaders[].key string 是 自定义响应头名称 respheaders[].value string 否 自定义请求头值 value为""代表删除对应的响应头 errorcode list 否 错误码缓存配置 未传代表不修改，有传代表整个数组全量修改 errorcode[].code list 是 错误状态码 多个用逗号间隔 errorcode[].ttl int 是 缓存时间 单位秒 sharedhost string 否 共享缓存域名 未传代表不修改 httpsstatus string 否 是否开启https 取值：on、off，取值为on时，certname为必传字段，未传代表不修改 certname string 否 证书备注名 证书备注名，如果证书存在，此备注名必须存在，未传代表不修改 httpsbasic dict 否 https基础配置 未传代表不修改，有传代表整个dict全量修改 httpsbasic.httpsforce string 否 https强制跳转 “on”（跳转）；“off”（不跳转） httpsbasic.httpforce string 否 http强制跳转 “on”（跳转）；“off”（不跳转） httpsbasic.forcestatus string 否 强制跳转状态码 不传默认302 httpsbasic.originprotocol string 是 https回源协议 取值: http:用http协议回源 https:用https协议回源,followrequest:跟随访问协议进行回源 basicconf dict 否 http配置基础信息 未传代表不修改，有传代表整个dict全量修改 basicconf.usehttp2 int 否 是否开启http2 取值0：不开启，1：开启 默认0 basicconf.follow302 int 否 是否拉取跳转后文件 0: 否 1:是 limitspeeduri list 否 基于url参数限速 未传代表不修改，有传代表整个数组全量修改 limitspeeduri[].id string 是 limitspeeduri列表内唯一 可以考虑使用时间戳拼上列表索引，比如时间戳为11657615509083，拼上序列化0，则id为：116576155090830 limitspeeduri[].args string 是 uri参数名 limitspeeduri[].unit string 是 单位 可选值b/s，Kb/s，Mb/s limitspeeduri[].timeseg string 否 时段 正则表达式，比如：(08:[25][09] limitspeeduri[].weight int 否 优先级 默认值10，取值范围[1,) limitspeeduricondition dict 否 limitspeeduri的condition配置 { “{key}”:[ { “mode”:类型, “content”:“配置内容，多个以逗号间隔” } ] } mode类型为int，取值: 默认0, 0:文件后缀 1:目录 2: 首页 3: 全部文件 4: 全路径, key为limitspeeduri中的id 限制： 一个key对应的数组大小只能是1，因为配置平台实际只支持配置一条 content必填，长度大于0，不能为空字符串或者空白字符串 使用数组除了保持和已有其他功能使用一致性，也方便将来扩展 limitspeedconst list 否 基于固定值限速 未传代表不修改，有传代表整个数组全量修改 limitspeedconst[].id string 是 limitspeedconst列表内唯一 可以考虑使用时间戳拼上列表索引，比如时间戳为11657615509083，拼上序列化0，则id为：116576155090830 limitspeedconst[].unit string 是 单位 可选值b/s，Kb/s，Mb/s limitspeedconst[].rate int 是 限速值 取值范围[0,) limitspeedconst[].timeseg string 否 时段 正则表达式，比如：(08:[25][09] limitspeedconst[].weight int 否 优先级 默认值10，取值范围[1,) limitspeedconstcondition dict 否 limitspeedconst的condition配置 { “{key}”:[ { “mode”:类型, “content”:“配置内容，多个以逗号间隔” } ] } mode类型为int，取值: 默认0, 0:文件后缀 1:目录 2: 首页 3: 全部文件 4: 全路径, key为limitspeedconst中的id 限制： 一个key对应的数组大小只能是1，因为配置平台实际只支持配置一条 content必填，长度大于0，不能为空字符串或者空白字符串 使用数组除了保持和已有其他功能使用一致性，也方便将来扩展 返回参数说明： 参数 类型 是否必传 名称及描述 code int 是 状态码，成功100000 message string 是 描述信息，成功返回success，其他返回异常信息描述

本文介绍视频拖拉的支持方式和配置建议。 功能介绍 视频点播网站或应用，通常都会提供视频拖拉能力，用户可以随意拖动播放器进度条到想要的位置。使用加速后，您可以通过配置视频拖拉功能，支持用户的视频拖拉请求。 用户在点播网站对视频进行拖动时，会向服务器端发起形如： 格式的请求，此时节点如开启了视频拖拉功能，则会返回离第5s最近的关键帧开始，到视频文件末尾的音视频数据文件。 适用场景 需支持flv或mp4视频拖拉功能的视频点播网站。 注意事项 源站视频必须带有meta信息以及关键帧，如无，则视频拖拉功能无效，返回原始文件。 如视频拖拉请求携带的起始参数越界，例如start参数对应的字节位置超过文件大小，默认返回4xx状态码。 如视频拖拉请求携带的结尾参数越界，mp4时间拖拉和flv时间拖拉默认返回从起始参数开始到文件结尾位置的内容，flv按字节拖拉默认返回416。 支持mp4文件moov头在尾部的视频拖拉。 在开启视频拖拉之前，请确认源站支持range请求，且能返回206状态码和对应range范围内的文件。 说明 视频拖拉功能需要开启静态加速能力才能使用。 使用说明 1. 登录边缘安全加速控制台，进入【安全与加速工作台】【CDN加速配置】，在域名列表中选中需要配置的域名。 2. 单击【编辑配置】。 3. 选择mp4拖拉或flv拖拉进行相关配置

日志字段 说明 alarmname 告警名称 alarmlevel 告警等级 1：轻微 2：低级 3：中级 4：高级 5：严重 alertsource 告警来源 mergeway 归并方式 alerttype 告警类型 alerttypesub 告警小类 attackstage 攻击链阶段 protocol 协议 alertcount 告警次数 ruleid 告警规则ID reliability 可信度。取值范围0100，数字越大，代表可信度越高。 successtag 攻击是否成功 1：是 0：否 2：未知 srcip 源IP srcport 源端口 dstip 目的IP dstport 目的端口 signature 特征码 cveid CVEID filename 文件名 filepath 文件路径 filemd5 文件MD5 url URL cookie Cookie username 登录用户名 processname 进程名称 mailfrom 发件人地址 mailto 收件人地址 srczone 源域 dstzone 目的域 statustag 告警的状态 0：待处理 1：已指派 2：已确认 3：已处理 4：已清除 5：已忽略 rectification 整改建议 indexname 索引名称 occurtime 发生时间 updatetime 更新时间 description 规则描述 eventtypecount 事件类型数量 eventcount 事件次数 vulid 漏洞ID componentId 组件ID usergroup 用户组 domain 域名 classdga dga域名 attackresult 攻击结果 iswhite 是否白名单 attacktype 攻击类型 payload payload attackmaintype 攻击主类型

本文介绍websocket回源超时时间配置。 功能介绍 websocket回源超时时间包括回源连接超时时间、回源发送超时时间、回源响应超时时间： 回源连接超时时间：指回源节点与源站服务器建立连接的超时时间。 回源发送超时时间：指回源节点与源站服务器建连成功后，向源站服务器发送请求的超时时间。 回源响应超时时间：指回源节点与源站服务器建连成功后，等待源站服务器返回完整响应的超时时间。 websocket回源超时时间设置的长短要综合考虑网络链路情况、源站处理能力、连接问题等诸多因素。如您将回源响应超时时间设置的过长，可能会出现在源站处理能力达到上限，无法正常响应的情况下，失败的请求仍然长时间占用连接数，导致正常请求无法访问。 注意事项 1.仅域名类型为“全站加速websocket加速”的域名，才可以配置websocket回源连接超时时间、回源发送超时时间和回源响应超时时间。 2.未配置websocket回源连接超时时间时，websocket回源连接超时时间使用回源配置模块配置的回源连接超时时间，如果回源配置模块的回源连接超时时间也没配置，全站加速平台默认5秒超时。 3.未配置websocket回源发送超时时间时，websocket回源发送超时时间使用回源配置模块配置的回源请求超时时间，如果回源配置模块的回源请求时时间也没配置，全站加速平台默认15秒超时。 4.未配置websocket回源响应超时时间时，websocket回源响应超时时间使用回源配置模块配置的回源响应超时时间，如果回源配置模块的回源请求时时间也没配置，全站加速平台默认15秒超时。

本文介绍回源超时时间功能及其配置说明。 功能介绍 回源超时时间包括回源连接超时时间跟回源请求超时时间： 回源连接超时时间指回源节点与源站服务器建立连接的超时时间。 回源请求超时时间指回源节点与源站服务器建连成功后，向源站服务器发送请求的超时时间。 回源HTTP超时时间设置的长短要综合考虑网络链路情况、源站处理能力、连接问题等诸多因素。如您将回源响应超时时间设置的过长，可能会出现在源站处理能力达到上限，无法正常响应的情况下，失败的请求仍然长时间占用连接数，导致正常请求无法访问。建议您合理配置回源请求超时时间，以保证请求均能正常回源。 配置说明 1.登录边缘安全加速平台控制台。 2.进入安全与加速工作台域名基础配置页面，点击目标域名。 3.进入基础配置页面，单击“编辑配置”。 4.点击开启“回源超时时间设置”即可进行回源相关超时时间配置。 参数 说明 回源连接超时时间 指回源节点与源站服务器建立连接的超时时间。如果回源节点在指定的超时时间内未能与源站服务器建立连接，则会触发节点重试，重试失败后将与源站终止连接并返回502。默认回源连接超时时间为5s，最大值为300s。 回源请求超时时间 指回源节点与源站服务器建连成功后，向源站服务器发送请求的超时时间。如果在指定的超时时间内未接收到源站服务器响应的首包，则会触发节点重试，重试失败后将与源站终止连接并返回502。默认回源请求超时时间为15s。

套餐内赠送的DDoS防护次数扣除说明 套餐中赠送的防护次数，一次防护的时间范围为一个自然日。 攻击次数扣除时间为每天晚上24点。 假设您订购了AOne边缘安全加速平台高级版套餐（未订购DDoS防护带宽扩展服务），则套餐内赠送2次攻击防护，攻击峰值需小于40Gbps。 情况一（攻击发生在一个自然日）：若用户套餐内的防护次数还有剩余，某日上午8：0010：00产生了攻击峰值为30Gbps的攻击事件，下午14：0015：00又产生了攻击峰值为20Gbps的攻击事件，则当晚24点将扣除1次防护次数。 情况二（攻击发生在多个自然日）：若用户套餐内的防护次数还有剩余，某日下午15：00到次日凌晨3：00产生了攻击峰值为30Gbps的攻击事件，则当晚24点将扣除1次防护次数，次日晚24点将扣除1次防护次数。 情况三（攻击峰值超过防护峰值）：若用户套餐内的防护次数还有剩余，某日上午8：00开始产生攻击事件，攻击持续到8：10攻击峰值达到45Gbps，超出套餐内的防护峰值，那么系统将触发客户名下所有域名回源2小时，2小时后自动解封。当日不会扣除防护次数。 情况四（防护次数耗尽）：若用户套餐内的无剩余防护次数，某日上午8：00开始产生攻击事件，那么系统将触发客户名下所有域名回源2小时，2小时后自动解封。

本文介绍上传加速的应用场景及配置说明等。 什么是上传加速？ 随着自媒体时代的到来，用户上传图片、大文件、短视频的需求日益增长，传统CDN主要针对的是源站向客户端分发内容的加速，而用户上传的内容，往往都是纯动态内容，无法通过缓存的方式进行加速。 天翼云边缘安全加速平台提供了一种上传加速服务，针对用户上行传输数据全程加速。使用本方案后，用户请求自动被调度到最近的节点，节点接收到用户上传的数据后，通过如下技术将用户上传的内容快速上传到源站： 根据您的用户分布，天翼云全站加速产品可在全球各地选择最优的边缘节点供用户接入。 用户上传内容到边缘节点后，全站加速平台通过智能选路选出最优回源路径，快速地将用户上传的内容传输到源站或者云端。 应用场景 上传加速主要应用场景包括：图片上传、音视频上传、新闻素材和稿件上传等场景。 配置说明 1.登录边缘安全加速控制台，进入【安全与加速工作台】【CDN加速配置】，在域名列表中选中需要配置的域名。 2.单击【编辑配置】，找到【上传加速】配置模块。 配置参数说明： 参数名 配置值 说明 上传加速 开启/关闭 开启后将提供上传加速能力 注意 开放试用，开启后上传大小默认限制为: 300M ，建议叠加动态加速配置可使上传加速效果更佳。 配置界面：

计费规则 流量包：可抵扣全站加速域名的下行流量和websocket加速域名产生的非websocket流量。 静态https请求包：开启https加速的业务，可抵扣静态https请求数。 动态请求包：可抵扣全站加速的动态请求数。 付费方式：预付费。 计费周期：按日结算并从资源包中扣除消耗资源。 有效期：1年。 使用须知 使用条件： 您可按需购买任意资源包。 "日带宽峰值"计费客户如需使用对应的流量包，需将计费方式变更为流量计费。详情请见：变更计费方式。 可叠加购买：购买多个相同类型相同区域的资源包，抵扣顺序依据资源包的到期时间先后排序，有效期不叠加计算。 有效期：自购买成功后一年内有效；“任一资源包用尽”或“有效期结束”，将自动转对应区域的按量计费。 续订：为保障业务稳定，请于“资源包用尽”或“有效期结束”前，及时购买资源包。 不支持结转：资源包到期后，未用完的资源自动清零，不支持结转至其他资源包。 不支持抵扣：不支持跨计费区域互相抵扣流量包。 支持资源包的退订。详情请见：退款说明。 全球（不含中国内地）划分说明： 北美：美国、加拿大等 欧洲：德国、法国、荷兰、英国等 亚太1区：除中国台湾、印尼、印度、韩国、澳大利亚、新西兰外的亚太国家/地区 亚太2区：中国台湾、印尼、印度 亚太3区：韩国、澳大利亚、新西兰 中东/非洲：阿联酋、南非、尼日利亚、埃及等国家/地区 南美：墨西哥、巴西等

本文主要介绍如何添加监听器。 操作场景 负载均衡监听器通过指定的协议和端口进行流量转发。同时监听器将根据健康检查的配置自动检查其后端主机的运行状况。如果发现某台主机运行不正常，则会停止向该主机发送流量，并重新将流量发送至正常运行的主机。 创建监听器 1. 选择“服务列表 > 网络 > 弹性负载均衡”。 2. 在“负载均衡器”界面，单击需要添加监听器的负载均衡名称“elb01”。 3. 切换到“监听器”页签，单击“添加监听器”。 4. 配置监听器，单击“下一步”。 名称：监听器名称，示例为“listenerHTTP”。 前端协议/端口：负载分发的协议和端口，示例为“HTTP/80”。 5. 配置后端主机组和开启健康检查，单击“完成”。 创建后端主机组 1. 名称：后端主机组名称，示例为“servergroupELB”。 2. 分配策略类型：负载均衡采用的算法，示例为“加权轮询算法”。 修改健康检查配置 1. 协议：前端协议为TCP、HTTP或者HTTPS时，健康检查支持TCP和HTTP协议，设置后不可修改，示例为“HTTP”。 2. 域名：健康检查的请求域名。示例为“www.example.com”。 3. 端口：健康检查端口号，示例为“80”。 4. 未配置健康检查端口时，默认使用后端主机端口进行健康检查。配置后，使用配置的健康检查端口进行健康检查。 5. 在新添加的监听器下，单击后端主机组页签的“添加”。 6. 勾选需要添加的主机，设置业务端口，单击“完成”。 主机勾选“ECS01”和“ECS02”。 业务端口：业务所使用的端口，示例为“80”。

本文主要介绍零信任网络服务。 服务整体介绍 天翼云边缘安全加速平台零信任网络产品依托中国电信强大网络资源和天翼云全球分布式边缘节点，融合先进云原生技术，为企业提供集零信任远程办公、终端管理、办公组网、全球加速于一体的综合性解决方案，满足企业数字化转型中对网络性能、安全保障和业务灵活性的需求，助力企业实现高效安全的数字化运营。​凭借天翼云国内超 2000+个节点（覆盖多运营商及主要省市）、海外 800 多个节点（遍布全球主要国家和地区）的资源优势，运用智能选路、传输优化等技术，满足不同协议网络加速需求，提升网络访问速度和用户体验。同时，通过全面安全升级和功能联动，一站式解决企业网络安全问题。 服务架构 天翼云AOne零信任网络服务主要具备远程办公、终端管理、办公组网、全球加速四大能力模块，功能模块相互关联、深度协作，从身份认证、设备管控到网络传输优化，全方位为企业提供一体化产品解决方案，这种协同不仅提升了企业网络的安全性、稳定性和性能，还为企业在复杂多变的网络环境中提供了全面、高效的保障，满足企业数字化转型和全球化发展的多样化需求。

注意事项 当开通天翼云边缘安全加速平台—安全与加速服务加速全球或全球（不含中国内地）服务时，支持开通高性能网络增值服务。 高性能网络服务开通后不会直接生效，需要针对域名配置开启高性能网络服务才会生效。具体请参考高性能网络中配置说明。 因高性能网络为非必须的精品增值服务，涉及计费，如无需使用，请及时退订服务。

Key Value(说明) ContentType application/json ctyuneoprequestid 用户请求id，通过uuid生成，形如33dfa732b27b464fb15a21ed6845afd5 EopAuthorization 由天翼云官网accessKey和securityKey经签名后生成，签名逻辑详见后续说明 eopdate 请求时间，形如yyyymmddTHHMMSSZ，例如20211221T163014Z host 终端节点域名 appkey 控制台我的应用中每个应用具有的AppKey信息，鉴权时需要加入header

参数 类型 是否必传 名称及描述 code int 是 状态码 message string 是 描述信息 result dict 否 返回结果 result.domains list<string> 否 域名列表 result.top95bandwidth dict 否 95峰值数据 result.top95bandwidth.timestamp int 否 95峰值时间戳，单位秒 result.top95bandwidth.bandwidth float 否 95峰值带宽，单位： bps result.topbandwidth dict 否 峰值数据 result.topbandwidth.timestamp int 否 峰值时间戳，单位秒 result.topbandwidth.bandwidth float 否 峰值带宽，单位： bps

策略名称 策略描述 类别 授权范围 ctwaf admin Web应用防火墙（原生版）管理员，拥有全部操作权限。 系统策略 全局级 ctwaf monitor Web应用防火墙（原生版）运营人员，不具备具域名接入、产品信息页面功能权限，具备其他页面功能权限。 系统策略 全局级 ctwaf viewer Web应用防火墙（原生版）分析人员，只具备查看权限，不支持订单相关操作。 系统策略 全局级

本节介绍如何配置白名单规则对指定请求进行放行。 网站域名接入Web应用防火墙后，您可以选择开启白名单功能，并配置白名单规则。 可用于放行具有指定特征的请求，使请求不经过全部或特定防护模块（Web基础防护、BOT防护）的检测。 也可用于处理误报事件，对于误报的事件可进行规则级别的加白，将单次拦截放通。 前提条件 已开通Web应用防火墙（原生版）实例。 已完成网站域名接入。 使用限制 基础版不支持白名单功能，请升级到更高版本使用。 操作步骤 1. 登录天翼云控制中心。 2. 单击页面顶部的区域选择框，选择区域。 3. 在产品服务列表页，选择“安全 > Web应用防火墙（原生版）”。 4. 在左侧导航栏，选择“防护配置 > 对象防护配置”，进入防护配置页面。 5. 在“防护配置”页面上方的“防护对象选择”下拉框，切换到要设置的域名。 6. 在“安全防护”页签定位到“防护白名单”模块，可以选择开启/关闭防护。 7. 点击防护规则右侧的“前去配置”，进入防护白名单页面。 8. 单击“新建白名单”，在弹出的对话框中，配置白名单规则。 参数说明如下： 配置项 说明 规则名称 设置规则的名称。 规则名称用于标识当前防护规则，建议您使用有明确含义的名称。 规则描述 可选项。设置规则的描述信息。 匹配条件 设置白名单请求需要匹配的条件（即特征）。单击“新增条件”，可以设置最多30个条件。存在多个条件时，多个条件必须同时满足才算命中。 关于匹配条件的配置描述，请参见匹配条件字段说明。 过期时间 规则配置后，规则状态开启即生效。可通过设置过期时间，为该规则定义生效时间段。 过期时间可选： 永久生效 限定日期：自定义设置失效日期 生效范围 设置白名单生效范围，表示触发匹配条件的请求不受所选规则的检测，可选项： 全部规则：规则防护引擎包含的全部规则。选择该项，表示触发匹配条件的请求不受任何防护模块的检测，将被直接放行到源站服务器。 特定模块：只忽略检测指定的防护模块，支持BOT防护和Web基础防护。在模块右侧的下拉框，选择不检测的规则类型。 特定规则ID：只忽略检测指定的规则，在模块右侧的下拉框，选择不检测的规则ID。 9. 单击“确定”，规则创建成功，成功后规则默认启用。您可以在规则列表中查看该规则。

参数 是否必填 参数类型 说明 示例 下级对象 sourceType 否 String 迁移源类型，默认为S3，①S3：AWS及S3适配；②OSS：阿里云OSS；③COS：腾讯云COS；④OBS：华为云OBS；⑤OOS：天翼云OOS；⑥ZOS：天翼云对象存储ZOS S3 sourceEndpoint 是 String 迁移资源池地址，支持输入IP或域名，以 sourceBucket 是 String 迁移源桶，输入限制不超过1024字符 bucketkpblz sourceAccessKey 是 String 迁移源资源池ak，输入限制不超过1024字符 7Hj9Kp2QXXXm5Nv3RfX sourceSecretKey 是 String 迁移源资源池sk，输入限制不超过1024字符 bL8yT4wXXXG6dS1xE9P sourceBucketType 否 String 源资源池迁移模，默认为Bucket。①Bucket：整桶迁移；②Folder：文件夹迁移；③Files：文件迁移；④Prefix：前缀迁移 Bucket migrateFolder 否 Array of Strings 指定源资源池迁移的文件夹列表，仅当sourceBucketType为Folder时有效，当前仅支持指定单个文件夹，单个文件夹名输入限制不超过1024字符 ["folder1"] migrateFiles 否 Array of Strings 指定源资源池迁移的文件名列表，仅当sourceBucketType为Files时有效，当前指定文件上限为100个，单个对象名输入限制不超过1024字符 ["files1","files2"] migratePrefix 否 Array of Strings 指定源资源池迁移的前缀列表，仅当sourceBucketType为Prefix时有效，当前只支持指定单个前缀，单个前缀名输入限制不超过1024字符 ["prefix1"]

本文介绍如何开通CDN加速,包括账户实名认证、不同计费模式的开通步骤。 基本条件 开通天翼云CDN加速业务，需要先注册天翼云账户并确保完成实名认证。 1. 注册并登录：天翼云官网。相关账号注册说明，详情请见：注册天翼云账号。 2. 未实名认证的用户请按提示完成实名认证后才能开通CDN加速业务。相关实名认证说明，详情请见：实名认证。 计费模式 CDN加速支持按量计费（后付费）和资源包（预付费）两种方式，当前资源包支持下行流量包和静态HTTPS请求包。 开通步骤 按量计费产品购买流程 1. 购买CDN加速按量计费产品之前请确保您的账户余额大于等于100元。 2. 进入CDN加速产品详情页快速了解产品，单击【立即开通】。 3. 在购买页面选择适合的计费方式、加速区域，勾选“我已阅读，理解并接受《天翼云CDN服务协议》”，确认无误后单击【立即购买】。其中，【CDN内容审核】默认为开启状态，如无需开通可单击关闭。【边缘函数】和【高性能网络】默认为关闭状态，如需开通可单击开启。 注意 CDN加速业务一旦开通成功，有效期到期前无需且不支持重复开通。 该开通页面不支持单独开通加速区域为“全球（不含中国内地）”的CDN加速业务。即仅支持单独开通加速区域为中国内地的CDN加速业务，或同时开通加速区域为中国内地和全球（不含中国内地）的CDN加速业务。 CDN内容审核目前仅支持中国内地开通使用，全球（不含中国内地）暂不支持。 开通CDN加速业务时，您只需选择“流量”或“日带宽峰值”任一计费方式，静态HTTPS请求数和静态QUIC请求数为默认计费项。 CDN加速产品的所有增值服务均不支持单独开通，需与CDN加速按量计费的基础服务组合开通。如CDN加速按量计费的基础服务停用，则HTTPS和QUIC功能、CDN内容审核、边缘函数、高性能网络同步停用。 4. CDN加速业务开通后，页面会显示【提交成功】，单击【跳转到CDN控制台】，即可进入CDN控制台接入需要加速的域名，详情请见：添加加速域名。

参数 描述 ELB ID ELB的ID，单击ELB ID可以查看ELB详情 入口地址（ip） ELB的ip地址，即网关入口的访问地址，您可以根据实际需求添加域名 HTTP端口 HTTP端口 HTTPS端口 HTTPS端口 类型 公网或私网 关联状态 网关实例与ELB的关联状态，当关联状态为绑定成功时可以正常访问 关联时间 网关实例与ELB关联的时间 操作 您可以单击解绑ELB进行解绑操作

参数 类型 是否必传 名称及描述 code int 是 状态码 message string 是 描述信息 result dict 否 返回结果 result.domains list< string> 否 域名列表 result.top95bandwidth dict 否 95峰值数据 result.top95bandwidth.timestamp int 否 95峰值时间戳，单位秒 result.top95bandwidth.bandwidth float 否 95峰值带宽，单位： bps result.topbandwidth dict 否 峰值数据 result.topbandwidth.timestamp int 否 峰值时间戳，单位秒 result.topbandwidth.bandwidth float 否 峰值带宽，单位： bps

Key Value(说明) ContentType application/json ctyuneoprequestid 用户请求id，通过uuid生成，形如33dfa732b27b464fb15a21ed6845afd5 EopAuthorization 由天翼云官网accessKey和securityKey经签名后生成，签名逻辑详见后续说明 eopdate 请求时间，形如yyyymmddTHHMMSSZ，例如20211221T163014Z host 终端节点域名 appkey 控制台我的应用中每个应用具有的AppKey信息，鉴权时需要加入header

配置VPCE步骤 1.访问对应资源池的VPCE界面，切换到对应资源池，选择服务：cn.ctyun.cnxxx.lts。 注意：如果已存在VPCE的记录指向 cn.ctyun.cnxxx.lts 则代表之前已经开通过，无需再次开通。 2.根据自己实例所在VPC和子网信息，选择“VPC”和“子网”。 3.高级配置中选择开启“私网域名”。 4.勾选“同意协议”，并点击“确认下单”。 5.等待创建成功即可。

注意事项 订购流量包之前需要先开通按量流量计费，流量包的优先级高于按量流量，即只要存在服务中的流量包，则优先抵扣流量包用量，超出流量包抵扣额度的用量，会自动转按量流量计费，即会产生后付费账单。转按量流量计费后，重新订购流量包，则恢复优先抵扣流量包用量。若希望一直采用流量包的计费模式，需及时根据所需服务、业务量，购买适合业务额度的流量包。 若您是通过天翼云官网购买的CDN加速按量计费产品，有效期为100年，到期前无需续订，只要保证账户余额充足即可。若您的按量计费因欠费被冻结期间，未用尽或到期的流量包可继续正常使用，直至流量包用尽或到期，按量计费仍因账户欠费未恢复服务，则域名关停。 购买流量包前，如已订购相关产品的按量套餐，需确保按量套餐的计费方式为【流量】，如果计费方式为【日带宽峰值】，已购的流量包会被冻结，域名如果有在使用加速服务，则实际是按日带宽峰值计费的方式扣款，并没有使用到流量包的用量。直至按量计费方式切回至【流量】并生效后，流量包方可继续使用。 如有采购大额流量包的诉求，可通过提交工单或拨打4008109889热线电话联系客服进行咨询，申请优惠券。优惠券仅适用于流量包套餐，每一个订购单仅可使用一张优惠券，按量计费套餐不可使用。