接口描述：调用本接口获取日志的下载路径，返回的文件大小，MD5（客户按需开启），供核验日志文件完整性。 请求方式：get 请求路径：/log/getofflinedownloadaddress 使用说明： 单个用户一分钟限制调用10000次，并发不超过100 请求参数说明（json）： 参数 类型 是否必传 名称 描述 starttime int 是 开始时间戳 起始时间，时间戳(秒)。 endtime int 是 结束时间戳 结束时间，时间戳(秒)。 domain string 是 域名 返回参数说明： 参数 类型 是否必传 名称及描述 code int 是 状态码 message string 是 描述信息 domain string 是 域名 logs list 是 下载日志地址列表 logs[].timepoint string 是 日志文件包含的时间点，北京时间，格式为： YYYYMMDD HH:MM logs[].size int 是 日志文件大小，单位：B logs[].url string 是 日志文件下载路径 logs[].md5 string 是 日志文件md5值 示例： 请求路径： 示例1： 请求参数： { "domain": "ctyun.cn", "starttime": "1662413100", "endtime": "1662413700" } 返回结果： { "result": [ { "code": 100000, "message": "success", "domain": "ctyun.cn", "logs": [ { "size": 42923546, "url": " "md5": null, "timepoint": "20220906 05:25" }, { "size": 167460282, "url": " "md5": null, "timepoint": "20220906 05:25" } ] } ] } 错误码请参考：参数code和message含义

参数 类型 是否必传 名称 描述 values list 是 预热文件列表 单次最多50条。若域名有做防盗链配置，则相应的预取url需同样带有防盗链。

参数 类型 是否必传 名称 描述 tasktype int 是 刷新类型 1(url);2(目录dir);3(正则匹配re) values list 是 刷新参数值 刷新类型为url时单次最多1000条，类型为dir和re时单次最多50条。

参数 类型 是否必返回 名称及描述 attackKey string 否 攻击对应的具体值 attackNum number 否 攻击次数

参数 类型 是否必传 名称 描述 name string 是 证书备注名 name和id必填其中一个，若都填返回name查询结果 id int 否 证书id name和id必填其中一个，若都填返回name查询结果

接口描述：调用本接口查询绑定某证书的域名列表。 请求方式：get 请求路径：/cert/querycertbind 使用说明： 单个用户一分钟限制调用10000次，并发不超过100。 请求参数说明（json）： 参数 类型 是否必传 名称 描述 name string 是 证书备注名 返回参数说明： 参数 类型 名称及描述 code int 状态码 message string 描述信息 result list 绑定证书的域名列表 示例 请求路径： 请求文档 {     "name": "test" } 响应文档 {     "result": [         "ctyun.cn",         "ctyun.cn1"     ],     "code": 100000,     "message": "success" } 错误码请参考：API返回参数code和message含义

参数 类型 是否必传 名称 描述 name string 是 证书备注名 key string 是 证书私钥 仅支持PEM格式 certs string 是 证书公钥 仅支持PEM格式 email string 否 用户邮箱

参数名 类型 是否必填 名称 说明 startTime string 是 开始时间 支持最近30天的时间数据 endTime string 是 结束时间 支持最近30天的时间数据 pageSize string 否 查询每页的数量 不传默认30条；pageSize以及pageNumber的乘积不得超过2000 pageNumber string 否 查询的页数 不传默认第一页；pageSize以及pageNumber的乘积不得超过2000

名称 描述 ContentType 消息体的类型（格式）。推荐用户使用默认值application/json，有其他取值时会在具体接口中专门说明。 是 application/json .... .... .... ....

本文介绍调用API终端节点 cdnglobal.ctapi.ctyun.cn

code code含义 message示例 100000 正确返回 success 100001 认证失败 用户认证失败 100002 找不到指定路径的API 当前调用的api不存在:$ 100003 无请求指定API的权限 当前用户对api:${api}无权限 100012 底层错误 请求错误，（底层返回结果） 100013 系统错误 系统错误 100014 底层超时 请求底层超时 200001 资源没有权限 请求参数域名校验失败，当前用户对域名%s无权限 200002 参数校验失败 请求参数校验失败，参数为必填 200003 域名创建或者修改失败 域名状态为已停用，无法进行修改

本文介绍如何配置加速配置。 操作步骤 1.进入SCDN控制台 2.点击域名列表，可直接编辑加速配置，进入加速配置页面 3.可支持回源配置、HTTPS配置、缓存配置、访问控制，配置完成后统一点击提交保存 4.可通过工单列表进行查看配置进度

默认用户组 描述 supergroup admin用户的主组，在关闭Kerberos认证的集群中没有额外的权限。 checksecldap 用于内部测试主LDAP是否工作正常。用户组随机存在，每次测试时创建，测试完成后自动删除。系统内部组，仅限组件间内部使用。 Managertenant 租户系统用户组。系统内部组，仅限组件间内部使用，且仅在已启用Kerberos认证的集群中使用。 Systemadministrator MRS集群系统管理员组。系统内部组，仅限组件间内部使用，且仅在已启用Kerberos认证的集群中使用。 Managerviewer MRS Manager系统查看员组。系统内部组，仅限组件间内部使用，且仅在已启用Kerberos认证的集群中使用。 Manageroperator MRS Manager系统操作员组。系统内部组，仅限组件间内部使用，且仅在已启用Kerberos认证的集群中使用。 Managerauditor MRS Manager系统审计员组。系统内部组，仅限组件间内部使用，且仅在已启用Kerberos认证的集群中使用。 Manageradministrator MRS Manager系统管理员组。系统内部组，仅限组件间内部使用，且仅在已启用Kerberos认证的集群中使用。 compcommon MRS集群系统内部组，用于访问集群公共资源。所有系统用户和系统运行用户默认加入此用户组。 default1000 为租户创建的用户组。系统内部组，仅限组件间内部使用。 launcherjob MRS系统内部组，用于使用V2接口提交作业。

配置集群LDAP信任的IP地址 12.登录FusionInsight Manager。 13.选择“集群 > 待操作集群的名称 > 服务 > LdapServer > 实例”，查看LDAP服务对应的节点。 14.切换到“配置”，查看集群LDAP端口号，即“LDAPSERVERPORT”参数值。默认为“21780”。 15.以root用户通过LDAP服务的IP地址登录LDAP节点。 16.执行以下命令，查看iptables过滤列表中INPUT策略。 iptables L 例如未配置任何规则时，INPUT策略显示如下： Chain INPUT (policy ACCEPT) target prot opt source destination 17.执行以下命令，将集群使用的所有IP地址配置为受信任的IP。每个IP需要添加一次。 iptables A INPUT s 受信任IP地址 p tcp dport 端口号 j ACCEPT 例如，将10.0.0.1配置为受信任的IP，可以访问端口21780，执行： iptables A INPUT s 10.0.0.1 p tcp dport 21780 j ACCEPT 18.执行以下命令，将全部IP地址配置为不受信任的IP。已配置为信任IP不受此规则影响。 iptables A INPUT p tcp dport 端口号 j DROP 例如，配置全部IP不能访问端口21780，执行： iptables A INPUT p tcp dport 21780 j DROP 19.执行以下命令，查看iptables过滤列表中修改后INPUT策略。 iptables L 例如配置一个受信任IP后，INPUT策略显示如下： Chain INPUT (policy ACCEPT) target prot opt source destination ACCEPT tcp 10.0.0.1 anywhere tcp dpt:21780 DROP tcp anywhere anywhere tcp dpt:21780 20.执行以下命令，查看iptables过滤列表中存在的规则及相对应的编号。 iptables L n linenumber Chain INPUT (policy ACCEPT) num target prot opt source destination 1 DROP tcp 0.0.0.0/0 0.0.0.0/0 tcp dpt:21780 21.根据实际需求，可执行以下命令，删除iptables过滤列表中的规则。 iptables D INPUT 待删除的编号 例如，删除编号为1的规则，执行： iptables D INPUT 1 22.以root用户通过另一个LDAP服务的IP地址登录LDAP节点，并重复16到21。

本章节主要介绍权限模型。 基于角色的权限控制 FusionInsight通过采用RBAC（rolebased access control，基于角色的权限控制）方式对大数据系统进行权限管理，将系统中各组件零散的权限管理功能集中呈现和管理，对普通用户屏蔽掉了内部的权限管理细节，对管理员简化了权限管理的操作方法，提升权限管理的易用性和用户体验。 FusionInsight权限模型由“用户－用户组－角色－权限”四类对象构成。 权限模型 权限 由组件侧定义，允许访问组件某个资源的能力。不同组件针对自己的资源，有不同的权限。 例如： −HDFS针对文件资源权限，有读、写、执行等权限。 −HBase针对表资源权限，有创建、读、写等权限。 角色 组件权限的一个集合，一个角色可以包含多个组件的多个权限，不同的角色也可以拥有同一个组件的同一个资源的权限。 用户组 用户的集合，当用户组关联某个或者多个角色后，该用户组内的用户就将拥有这些角色所定义的组件权限。 不同用户组可以关联同一个角色，一个用户组也可以不关联任何角色，该用户组原则上将不具有任何组件资源的权限。 说明 部分组件针对特定的默认用户组，系统默认赋予了部分权限。 用户 系统的访问者，每个用户的权限由该用户关联的用户组和角色所对应的权限构成，用户需要加入用户组或者关联角色来获得对应的权限。 基于策略的权限控制 Ranger组件通过PBAC（policybased access control，基于策略的权限控制）方式进行权限管理，可对HDFS、Hive、HBase等组件进行更加细粒度的数据访问控制。 说明 组件同时只支持一种权限控制机制，当组件启用Ranger权限控制策略后，通过FusionInsight Manager创建的角色中关于该组件的权限将失效（HDFS与Yarn的组件ACL规则仍将生效），用户需通过Ranger管理界面添加策略进行资源的赋权。 Ranger的权限模型由多条权限策略组成，权限策略主要由以下几方面组成： 资源 组件所提供的可由用户访问的对象，例如HDFS的文件或文件夹、Yarn中的队列、Hive中的数据库/表/列等。 用户 系统的访问者，每个用户的权限由该用户关联的策略来获得。LDAP中的用户、用户组、角色信息会周期性的同步至Ranger。 权限 策略中针对资源可配置各种访问条件，例如文件的读写，具体可以配置允许条件、拒绝条件以及例外条件等。

本章主要介绍翼MapReduce的帐户维护建议功能。 建议系统管理员对帐户例行检查，检查的内容包括： 操作系统、FusionInsight Manager以及各组件的帐户是否有必要，临时帐户是否已删除。 各类帐户的权限是否合理。不同的管理员拥有不同的权限。 对各类帐户的登录、操作记录进行检查和审计。

本章节主要介绍权限机制。 FusionInsight采用LDAP存储用户和用户组的数据；角色的定义信息保存在关系数据库中，角色和权限的对应关系则保存在组件侧。 FusionInsight使用Kerberos进行统一认证。 用户权限校验流程大致如下： 1. 客户端（用户终端或FusionInsight组件服务）调用FusionInsight认证接口。 2. FusionInsight使用登录用户名和密码，到Kerberos进行认证。 3. 如果认证成功，客户端会发起访问服务端（FusionInsight组件服务）的请求。 4. 服务端会根据登录的用户，找到其属于的用户组和角色。 5. 服务端获得用户组拥有的所有权限和角色拥有的所有权限的并集。 6. 服务端判断客户端是否有权限访问其请求的资源。 示例场景（RBAC ）： HDFS中有三个文件fileA、fileB、fileC。 定义角色roleA对fileA有读和写权限，角色roleB对fileB有读权限。 定义groupA属于roleA；groupB属于roleB。 定义userA属于groupA和roleB，userB属于GroupB。 当userA登录成功并访问HDFS时： 1. HDFS获得useA属于的所有角色（roleB）。 2. HDFS同时还会获得userA属于的所有用户组所属于的角色（roleA）。 3. 此时，userA拥有roleA和roleB对应权限的并集。 4. 因此对于fileA，则userA有读写权限；对fileB，有读权限；对于fileC，无任何权限。 同理userB登录后： 1. userB只拥有roleB对应的权限。 2. 对于fileA，则userB无权限；对fileB，有读权限；对于fileC，无任何权限。

本文主要介绍忘记账号名该如何找回。 当用户忘记账号名时，可通过账号登录页面点击“忘记账号”进行账号名找回。 操作流程 1、进入天翼云官网，在账号登录页面点击右下角的“忘记账号”。 2、选择找回方式，根据提示操作，完成账号名找回。 方式一：通过个人信息找回 （1）填写天翼云账号个人实名认证信息：姓名、身份证号。 （2）进行人脸识别，验证身份。 （3）通过后页面显示该身份证下认证的账号信息。 方式二：通过企业信息找回 （1）填写天翼云账号企业认证信息：企业名称、信用代码/组织机构代码，及申诉原因。 （2）输入法人姓名、法人身份证号。 （3）进行法人的人脸识别，验证身份。 （4）通过后页面显示该企业证件下认证的账号信息。 说明 仅针对完成实名认证的账号，才支持找回账号名。

全部回复 您可以右键点击邮件后，单击全部回复，便于与多个参与者的邮件链进行沟通，保持讨论的连贯性和完整性。 导出 您可以右键点击邮件后，单击“将消息导出为”，将邮件消息导出为指定的格式或类型，如EML、HTML、PDF、纯文本、CSV、mbox等，方便用户在不同平台或应用中使用邮件内容，支持自定义导出路径和文件名。 钓鱼检测说明 1.检测正常情况如下： 2.若邮件检测为钓鱼邮件将移至“钓鱼邮件系统”文件夹，检测情况如下： 3.若检测结果存在误报，用户可先对邮件重新标记，再根据实际需求自主将邮件移入或移出"钓鱼邮件系统"文件夹。 4.若出现高并发场景，AI引擎检测邮件可能需要一定时间，请耐心等待。

本文介绍终端管理控制台上的日志分析功能。 背景说明 终端管理提供日志分析和查询功能，企业可根据日志记录情况对员工终端情况进行统计、审计等操作，满足企业终端管理常态化运营需求。 功能说明 终端管理控制台提供以下日志服务，详见下面： 功能 描述 终端登录日志 终端登录日志将记录并展示每一次终端登录的信息。 平台操作日志 提供并展示180天内全部的平台操作审计日志。

本文介绍边缘网页渲染场景下的产品价值。 业务特点 在电商大促场景或热门演唱会/大会电子票务场景，用户区域分散、访问瞬时爆发、千人千面的个性化内容网页响应，需要大批量的实时动态运算渲染。 基于AOne边缘函数的解决方案，在边缘进行短时缓存和个性化网页渲染，分散请求压力，提高响应速度，提升用户体验。 客户痛点 客户端网页渲染：客户端压力大，请求多延时不可控。 服务端网页渲染：中心服务器压力大、白屏长、成本高。 产品价值 将服务器级渲染下沉至边缘节点，边缘阶段分布式计算，压力小，结果可缓存复用。

参数 说明 状态码 例如：404，请按可支持的状态码范围进行提交。 URL 例如：

配置项 配置值 默认值 配置说明 多路传输开关 开/关 关 控制是否开启多路传输功能 多路径条数 1~5 3 配置多路传输的具体路径数

本文介绍边缘接入服务IP应用加速全网带宽控制功能。 功能介绍 天翼云边缘接入服务IP应用加速全网带宽控制功能可通过设置单个域名或多个域名的总带宽值来控制带宽总用量，避免因带宽突发带来更多的带宽费用。 带宽控制功能支持全网边缘总带宽限制，支持分时段控制，您可以根据自身带宽需求选择对应的限制策略。带宽超出设置值后，可选择对请求进行限速或者拒绝操作。 适用场景 存在带宽突发场景，希望突发情况下应用加速带宽费用可以进行有效控制。 对带宽成本有严格把控，同时又不希望影响客户感知情况下可选择适用带宽控制功能，超过设置带宽后，对用户设置合理限速。 注意事项 可以针对多个域名合并进行总带宽控制，但是一个域名同时只能配置在一个控制任务中。 不支持对泛域名配置带宽控制功能。 由于域名带宽的监控数据存在一定延迟（大约10分钟），实际带宽达到阈值大约10分钟后生效。 配置说明 如需开启带宽控制功能，您需要提供以下信息： 参数 说明 限制带宽值 提供需要限制的总带宽大小。 限速时段 可选择全天生效或者固定时段生效。 限制策略 带宽超过限速值后处理方式，可选择限速/拒绝。 限制策略配置 限制策略选择限速，则提供对应的限制值。 限制策略选择拒绝，默认拒绝响应SESSIONDENIED状态码。 如您需要配置边缘接入服务IP应用加速全网带宽控制功能，请提交工单申请。

本文介绍如何分析实时日志。 Web应用攻击日志 网站风险日志 远程零信任防护日志

本文主要描述AOne零信任网络全面升级事项。 【公告内容】 尊敬的AOne 零信任网络客户，您好： 衷心感谢您长期以来对AOne零信任网络产品的信任与支持！ 为给您提供更稳定、高效的零信任网络服务体验，我们已完成零信任网络架构的全面迭代优化。新架构在智能选路探测、系统运行稳定性等核心能力上实现显著跃升 ，目前办公组网、全球加速及各类业务敏感场景均已顺利迁移至新架构，经实际验证运行状态稳定可靠，充分满足高要求业务场景的使用需求。 为使全体客户均能享受新架构能力，我们将对余量的旧架构客户逐步升级，相关事宜通知如下： 【升级时间】 本次升级将于2026 年 1 月 15 日至 2026 年 9 月 30 日期间按照客户粒度分批次逐步推进。 为最大限度降低对您业务的影响，具备条件的升级任务将统一安排在凌晨低峰时段执行。 【升级前提】 1、本次架构升级依赖连接器版本升级为1.31.0及以上，建议采用最新版本的连接器，低版本连接器可根据【公告】关于 AOne 零信任连接器 1.21 及以前版本升级的重要公告进行相关操作升级。 2、本次架构需要连接器的网络出方向进行更新放通新的端口，其中出方向流量指连接器需对外进行连通，并不会产生公网端口暴露。 不同客户的端口存在差异，客户可查看连接器的安装命令查看所需放行端口

本文介绍终端管理设置概述。 背景说明 为提供更好的使用体验和差异化配置，AOne零信任支持多维度的设置栏目，包括客户端设置、企业服务等。AOne终端管理还支持授权管理。 设置项说明 客户端设置 支持客户端防卸载、防退出能力，适用于企业强管控合规要求可配置客户端自保护策略。 配置详情见客户端自保护。 企业服务 可设置企业使用AOne零信任的企业标识，管理企业使用零信任服务状态，配置详情见企业服务。AOne终端管理还支持配置审核模式。

本文介绍域名管理中的场景教学内容。 域名管理页面顶部支持场景教学模块，针对网站不同业务需求进行场景介绍以及控制台配置指引，您可以按需查看。 场景教学默认隐藏，您可以点击右上角【打开说明】展开该模块。 说明 场景教学仅供参考，您可以根据实际业务需求评估是否采用。

本文介绍如何使用边缘函数部署时间戳防盗链。 通过时间戳进行请求防盗链。 示例代码 javascript / 示例url: / addEventListener('fetch', event > { event.respondWith(handleRequest(event.request)) }) async function handleRequest(request){ //401表示鉴权不通过 let statuscode 401 let result 'TimeStamp verification failed!' try { if(verifyTimeStamp(request.url) true){ statuscode 200 result "TimeStamp verification succeeded!" // 返回请求内容 } } catch (error) { result error } return new Response(result, { "status": statuscode }) } function verifyTimeStamp(url){ //"url": " let currentTime new Date().getTime() let myURL new URL(url) let searchParams new URLSearchParams(myURL.search) let timeStamp parseInt(searchParams.get('time')) let token searchParams.get('token') // 校验时间戳：如果时间戳距离当前时间没有过期，则进行 token 检查 if (currentTime timeStamp < 60000) { // 校验token return tokenCheck(token) } return false } function tokenCheck(token){ // 此处可替换为自定义的复杂加解密算法 return token "abcabc" } 示例预览 访问请求传入未过期时间、鉴权token，鉴权通过。 相关参考 运行时API：addEventListener 运行时API：FetchEvent 运行时API：Web Standards 运行时API：Fetch 运行时API：Response

本文介绍如何通过Referer进行请求防盗链。 通过Referer进行请求防盗链。 示例代码 javascript function verifyReferer(referer) { let regex /ctyun/; return regex.test(referer); } async function verifyHeaderParameters(request) { //401表示鉴权不通过 let statuscode 401 let result 'Referer verification failed!' try { if(verifyReferer(request.headers.get("referer")) true){ statuscode 200 result "Referer verification succeeded!" } } catch (error) { result error } return new Response(result, { "status": statuscode }); } addEventListener('fetch', event > { event.respondWith(verifyHeaderParameters(event.request)) }) 示例预览 访问请求传入鉴权referer，鉴权通过。 相关参考 运行时API：addEventListener 运行时API：FetchEvent 运行时API：Web Standards 运行时API：Fetch 运行时API：Response

本文介绍如何通过边缘函数返回JSON内容。 直接响应边缘函数代码中的JSON内容。 示例代码 javascript async function handler(event) { const data { hello: "BosonFaaS" } const json JSON.stringify(data, null, 2) return new Response(json, { headers: { "contenttype": "application/json;charsetUTF8" } }) } addEventListener('fetch', (event) > { event.respondWith(handler(event)); }); 示例预览 在浏览器地址栏中输入匹配到HTTP路由的URL，即可预览示例效果。 相关参考 运行时API：addEventListener 运行时API：Response 运行时API：FetchEvent

本文介绍如何使用边缘函数更改在请求中发送或在响应中返回的标头。 更改在请求中发送或在响应中返回的标头。 示例代码 javascript addEventListener('fetch', event > { event.respondWith(handleRequest(event.request)) }) async function handleRequest(request) { const response await fetch(request) // 添加新的头 response.headers.append("XHello", "hello from ctyun") // 修改旧的头 response.headers.set("Etag" ,"4kf36KRuEB") return response } 示例预览 相关HTTP头被修改。 相关参考 运行时API：addEventListener 运行时API：FetchEvent 运行时API：Web Standards 运行时API：Fetch 运行时API：Response