本文介绍泛域名的概念以及泛域名配置相关操作与注意事项。 天翼云全站加速支持泛域名接入。本文将介绍泛域名的概念以及泛域名配置相关操作与注意事项。 什么是泛域名加速？ 泛域名加速是指通过配置泛域名规则，实现在一个加速域名下，进行多个子域名的加速。这样可以统一管理多个子域名的加速行为，一次性实现网站多个子域名加速，提高访问速度和用户体验。 假如您在天翼云客户控制台上配置了一个泛域名 .ctyun.cn，那么该泛域名包含的二级子域名，例如assets.ctyun.cn与images.ctyun.cn等，都将实现全站加速。 使用泛域名有哪些注意事项？ 泛域名加速仅支持通配符同级别的子域名加速，不支持多级子域名加速。例如， .ctyun.cn的二级子域名assets.ctyun.cn可通过全站加速，而三级子域名sub.assets.ctyun.cn则无法通过全站提供加速。 添加泛域名的格式为 .ctyun.cn，不支持.ctyun.cn的格式。 在提交刷新预取任务时，必须提交泛域名下面的具体域名的URL。 统计分析数据查询时，所有归属泛域名的子域名都统计到泛域名下，即把泛域名当成一个域名来处理。 如何新增泛域名？ 首先，登录客户控制台，详情请见：进入客户控制台。 其次，添加加速域名，详情请见：添加加速域名。

本文简述如何查询指定IP是否为天翼云IP。 功能介绍 天翼云边缘安全加速平台—边缘接入服务提供一种IP地址检测工具，您可以使用该工具检测某IP地址是否为天翼云节点IP，同时获取IP所属城市、运营商、机房地址、节点层级等信息。 应用场景 场景一：配置边缘接入服务后，可通过该工具验证客户端的请求是否成功到达天翼云节点IP。如果不是天翼云节点IP，则代表配置未生效；如果是，则可以继续验证请求是否正常。 场景二：当您的网站访问异常时，可通过该工具查询用户访问的IP是否为天翼云节点IP，来排查网站访问异常的原因。如果IP地址是天翼云IP，您可以继续排查问题原因或者反馈给我们处理。如果IP地址不是天翼云IP，则要查看CNAME是否配置正确，DNS解析是否正常等。 使用方法 您可以通过控制台自助输入IP地址，点击【验证】按钮进行查询。 控制台自助查询IP归属 1. 登录边缘安全加速平台控制台，选择【边缘接入】控制台。 2. 进入【工具管理】【IP归属查询】页面，输入查询的地址，支持一次查询多个ip。 3. 输入查询后将显示该地址是否为天翼云节点以及对应归属地。

版本 计费项 计费说明 基础版 无 免费体验，不计费。 专业版 资产配额 按购买的资产配额数计费，包括主机资产配额数和网站资产配额数。 专业版 按包周期购买计费 提供包月和包年的购买模式。 专业版 按需购买计费 即开即停，按小时结算。

本文将为您介绍创建子账号的操作流程。 为满足企业集中化财务管理需求，系统支持企业主账号在组织架构下创建子账号，创建完成后新账号与企业主账号自动建立主子账号关联关系。企业主账号可通过企业中心实现对子账号账务、发票等财务信息的集中查看与管理，助力提升企业财务管理的统筹效率。 约束与限制 1. 仅企业主账号可进入企业中心做账号创建。 2. 主账号已完成企业实名认证，认证信息是普通企业，不能是个体工商户。 3. 主账号状态正常，不能处于冻结、欠费等异常状态。 4. 被创建的账号未被其它企业主账号关联成为企业子账号。 5. 天翼云云公司、云省分线下渠道客户，默认不能自行创建子账号，需联系客户经理申请变更后再创建；天翼云云公司、云省分线上渠道客户，不受此限制，可自行创建。 6. 电信省公司线上、线下渠道客户，不支持使用企业中心创建子账号。 7. 代理商客户不能创建子账号。 8. 创建的企业子账号将继承企业主账号实名认证信息，法人信息，以及部分基础信息（如账号类型、客户类型等）。 9. 主账号创建子账号受一证五号的限制，若超出限制，线上渠道客户可联系客服人员或电销经理申请解除限制，线下渠道客户可联系客户经理申请解除限制。 创建财务独立子账号 什么是财务独立：指独立子账号具备自主处理自身财务事务的核心权限，同时主账号可按需进行辅助管理，具体包含以下要点： 1. 子账号核心权限：独立子账号可自行对本账号产生的费用完成独立结算，也可自主开具发票； 2. 主账号管理权限：主账号可根据管理需求，执行查看独立子账号账单、代其开具发票、为其拨款等操作。 操作步骤： 1. 进入“组织管理”页面。 2. 选中需要创建子账号的组织，点击“创建账号”。 3. 填写账号信息： 1. 设置基础信息：账号显示名、邮箱地址等。 说明 1. 子账号密码设置的规则为：826个字符；包含大小写字母、数字及符号3种；不能包含与账号名相关的信息；不能使用连续3个及以上键位排序字符，如123, Qwe；不能使用常用的具有特殊含义的字符串。 2. 账号显示名为账号在企业中心的显示名称，创建时的账号显示名默认为账号的登录名，子账号登录后可自行修改登录名，修改后不影响账号显示名。 2. 设置财务模式：选择“财务独立”，为财务独立设置权限，权限说明： 权限点 权限说明 允许主账号查看子账号的财务信息（余额/消费/成本/订单/账单等） 主账号可在企业中心财务管理模块查看子账号的消费信息、订单信息、账单信息等。 为子账号开具发票的主体主账号 主账号可替子账号开票，子账号不允许自己开票（仅针对天翼云云公司、云省分线上渠道客户，天翼云云公司、云省分线下渠道客户联系客户经理开具发票） 为子账号开具发票的主体子账号 主账号不可替子账号开票，子账号自己开票（仅针对天翼云云公司、云省分线上渠道客户，天翼云云公司、云省分线下渠道客户联系客户经理开具发票） 为子账号开具发票的主体主账号&子账号 主账号和子账号都可开子账号的发票（仅针对天翼云云公司、云省分线上渠道客户，天翼云云公司、云省分线下渠道客户联系客户经理开具发票） 允许子账号继承主账号的商务折扣（账号折扣） 主账号账号折扣可被子账号使用（仅针对天翼云云公司、云省分线下渠道客户，且子账号无账号折扣的情况） 允许主账号管理子账号的云资源 主账号可在企业中心资源管理查看子账号的云资源清单、在企业中心云SSO管理及账号的云资源 4. 点击“确认”完成创建： 1. 天翼云云公司、云省分线上渠道客户，创建完成后，子账号可基于账密信息进行登录使用。 2. 天翼云云公司、云省分线下渠道客户，创建完成后，需等天翼云客户经理完成合同绑定后，子账号可基于账密信息登录使用。

本文主要介绍应用场景 性能测试具备强大的分布式压测能力，应用十分广泛，适合互联网、数字化营销平台、车联网、金融等各行业。 电商抢购测试 电商抢购已成为当前互联网应用的普遍需求，有并发用户高、突发请求大、失败用户反复重试等特征，如何保证在高负载运行情况下网站的可用性已经成为运维保障的重点。 优势 真实场景模拟：秒级百万并发能力，瞬间发起大量并发压力，可在一个测试模型里面模拟全网站高负载。 专业测试报告：提供按时延响应区间的统计，客观反映用户体验。 失败用户重试：多种表达式的自定义结果比对，未正常进入网站的可以重试。 电商抢购测试 游戏高峰测试 游戏行业业务波峰波谷明显，具备弹性伸缩的能力，一方面需要验证弹性伸缩是否可以正常工作，另一方面需要验证在流量突发高峰场景下，时延等关键KPI是否达标。 优势 多场景组合模拟：通过多事务组合、事务元素多样性、报文自定义功能模拟真实场景。 波峰波谷模拟：针对每个单事务根据时间段定义压测曲线，模拟波峰波谷。 KPI度量：通过自定义响应超时时间，验证高峰场景游戏KPI满足度。 游戏高峰测试

本节介绍如何使用内容安全检测服务。 Web应用防火墙提供内容安全检测服务，基于丰富的违规样例库和内容审核专家经验，通过机器审核加人工审核结合的方式，帮助您准确检测出Web网站和新媒体平台上的关于涉黄、涉赌、涉毒、暴恐、涉政、惊悚、违禁广告等敏感违规内容，并提供文本内容纠错审校（错别字、生僻字、语法表述不当等有违准确性内容）。并提供专业检测报告助您自纠自查，降低内容违规风险。 使用须知 购买内容安全检测服务后，系统立即执行检测。 检测过程中，不支持修改检测域名、暂停任务、退费等操作。 确定网站检测配额。 “检测类型”选择“内容安全单次检测（按需）”时，下单后的7个工作日内出报告。 “检测类型”选择“文本安全监测（按月/按年）”时，下单后的检测周期（1个月）后的7个工作日内出报告。 10个工作日内检测完成。 步骤一：购买内容安全检测 购买内容安全检测，配置“检测类型”和“检测对象”，可对“检测对象”对应的文本类型进行安全检测。 支持批量购买内容安全检测，可一次输入一个或多个“检测对象”进行安全检测。购买步骤详见订购内容安全检测。 注意 检测任务创建后，一次性扣费，不支持修改和暂停任务，请您仔细核对检测信息。

本文介绍全站加速在传媒行业的最佳实践。 行业概况 随着融合媒体、媒体互动等多形态内容迅猛发展，不可避免面临用户体量大，分布广，实时性要求高，易突发等各种挑战。如何提高内容的加载速度，保障业务稳定性，提高用户体验成为首要难题。 天翼云全站加速产品，依托全球2300+分布式加速节点，基于云网融合优势，通过动静混合加速、智能路由、传输优化等多项技术，为传媒用户提供低时延、高流畅度、高稳定性的优质加速服务。 方案架构 天翼云全站加速旨在助力用户面对点播、互动、音频、图片等传媒全场景业务时，可通过动静混合加速实现一站式内容快速分发服务，让网站更快速，让访问更安全。可以在不做任何源站架构变动的情况下，快速开通全站加速服务。 需求场景 传媒文件上传 业务挑战：传媒场景下对于上传的及时性要求较高。如报社、广电的新闻素材、原创素材的上传、视频网站、自媒体视频内容、原创图片的上传，若出现上传缓慢、卡顿问题，均会大大影响新闻、资讯的实时性。 方案优势：天翼云全站加速，提供稳定、优质的上传加速服务，通过实时探测优质上传路径，保障传媒文件的极速上传。

Linux弹性云主机处理方法 1. 登录弹性云主机。 2. 更新补丁，升级kernel内核。 说明 说明：升级kernel内核后，请务必执行reboot命令重启弹性云主机。 3. 验证是否升级成功。 检测Linux操作系统安全漏洞是否已修补完成 1. 在github网站搜索spectremeltdownchecker，获取spectremeltdownchecker.sh检测脚本。 2. 将步骤1获取的脚本上传至云主机。 3. 在云主机执行以下命令，并根据脚本提示判断Meltdown或Spectre漏洞是否已经修复。 chmod +x spectremeltdownchecker.sh sudo bash spectremeltdownchecker.sh 回显信息如图1所示。 图1 执行脚本后的回显信息 OK为已修复漏洞，KO为未修复，如图1所示代表CVE20175753、CVE20175715、CVE20175754漏洞均已修复。 打开或关闭Linux操作系统的安全漏洞补丁开关 CPU的预测执行是一种性能优化技术，因此修复Meltdown或Spectre漏洞后可能导致在特定工作负载下的性能下降。 如果您希望可以禁用部分或全部漏洞安全保护策略以避免漏洞修复带来的性能下降，那么可以参考以下操作启用或者禁用安全保护策略。 您可以根据如下具体情况配置系统来达到理想的安全策略： Meltdown漏洞 采取页表隔离pti（Page Table Isolation）来控制内核页表隔离功能，此功能适用于CVE20175754。 Spectre漏洞 采取间接分支限制预测ibrs（Indirect Branch Restricted Speculation）控制SPECCTRL模型特定寄存器（MSR）中的IBRS功能，结合retpoline，及间接分支预测障碍ibpb（Indirect Branch Prediction Barriers）控制PREDCMD模型特定寄存器（MSR）中的IBPB功能，此功能适用于CVE20175715。 说明 CVE20175753漏洞是通过内核补丁修复的，它无法禁用，并且它在Red Hat的性能测试中没有显示出任何可见的影响。 关闭Meltdown安全漏洞补丁 如果您认为Meltdown漏洞修复对系统的性能影响不可接受，或者您有更好的保护机制，可根据以下步骤操作： 1. 根据不同的操作系统修改内核参数： a. CentOS、EulerOS、Ubuntu、Fedora、Red Hat：添加内核参数nopti b. Debian、OpenSUSE：添加内核参数ptioff 2. 重启云主机。 关闭Spectre安全漏洞补丁 如果您认为Spectre漏洞修复对系统的性能影响不可接受，或者您有更好的保护机制，可根据以下步骤操作： 1. 根据不同的操作系统修改内核参数： a. CentOS、EulerOS、Fedora、Debian、Red Hat、OpenSUSE：添加内核参数spectrev2off b. Ubuntu：添加内核参数nospectrev2off 2. 重启云主机。 如果您使用的是第三方操作系统，可以前往对应官网查询更多信息。

前提条件 已获取管理控制台的登录帐号与密码。 已经配置好安全组。 弹性云服务器的“Agent状态”为“未安装”。 通过IE浏览器访问时需要将用到的网站加入受信任的站点。 安装Linux版本客户端（方式一） 步骤1、登录云服务备份管理控制台。 1. 登录管理控制台。 2. 单击管理控制台右上角的，选择区域和项目。 3. 选择“存储 > 云服务备份”。选择对应备份的页签。 步骤2、选择“安装Agent”页签，进入“安装Agent”页面。 步骤3、在方式一中，根据需要选择相应的Agent版本，并将步骤二的安装命令复制下来。 步骤4、前往“弹性云服务器”界面，选择目标服务器，单击“操作”列下的“远程登录”，登录该弹性云服务器。 步骤5、将步骤二的安装命令粘贴至该服务器，以root权限执行。若执行失败，请先使用命令yum install y bindutils进行dig模块安装；若使用该命令安装仍旧失败，再使用安装Linux版本客户端（方式二）进行安装。 步骤6、Linux系统客户端安装完成后，即表示Agent已在正常工作。后续请参考最佳实践中修改或编写自定义脚本，来实现MySQL或SAP HANA等数据库的一致性备份。 安装Linux版本客户端（方式二） 步骤1、登录云服务备份管理控制台。 1. 登录管理控制台。 2. 单击管理控制台右上角的，选择区域和项目。 3. 选择“存储 > 云服务备份”。选择对应备份的页签。 步骤2、选择“安装Agent”页签，进入“安装Agent”页面。 步骤3、在方式二中，单击“点击下载”。在弹出的“下载客户端”，根据目标弹性云服务器的操作系统类型，选择需要下载的版本，单击“确定”。 步骤4、将客户端下载至本地任意目录后，使用文件传输工具（例如：“Xftp”、“SecureFX”、“WinSCP”），将下载的客户端安装包上传到待安装客户端的弹性云服务器。 步骤5、上传完毕后，前往“弹性云服务器”界面，选择目标服务器，单击“操作”列下的“远程登录”，登录该弹性云服务器。 步骤6、执行tar zxvf命令，将客户端安装包解压至任意目录，执行以下命令，进入解压后目录中的bin目录。 cd bin 执行以下命令，运行安装脚本。 sh agentinstallebk.sh 系统提示客户端安装成功。 步骤7、若弹性云服务器中已经安装了MySQL或SAP HANA数据库，需要执行以下命令加密MySQL或HANA数据库登录密码。 /home/rdadmin/Agent/bin/agentcli encpwd 步骤8、使用上一个步骤中的加密密码替换/home/rdadmin/Agent/bin/thirdparty/ebkuser/目录下脚本里的数据库登录密码。 步骤9、Linux系统客户端安装完成后，即表示Agent已在正常工作。后续请参考最佳实践中修改或编写自定义脚本，来实现MySQL或SAP HANA等数据库的一致性备份。

本节主要介绍TaurusDB数据库连接数满的排查思路 数据库连接数表示应用程序可以同时连接到数据库的数量，与您的应用程序或者网站能够支持的最大用户数没有关系。 数据库连接数过多，可能会导致业务侧无法正常连接，也会导致实例全量备份和增量备份失败，影响业务的正常使用。 排查思路 1. 请及时排查业务侧连接是否有效，优化实例连接，释放不必要的连接。 2. 规格偏小，请对数据库进行规格扩容。 3. 云监控服务目前可以监控数据库cpu、内存、磁盘、连接数等指标，并且设置告警策略，出现告警时可以提前识别风险。具体请参考《云监控服务用户指南》。 解决方法 1. 通过内网连接数据库实例。用内网连接，不会出现因为带宽等原因的拥塞。 具体请参见：通过公网连接TaurusDB实例 2. 通过控制台设置参数innodbadaptivehashindexoff ， 关闭自适应hash索引，减少锁等待。 参数修改具体请参见编辑参数模板。 3. 优化慢查询。

本文介绍HSTS功能和配置方法。 功能介绍 HSTS（HTTP Strict Transport Security，HTTP 严格传输安全），是一种网站用来声明他们只能使用安全连接（HTTPS）访问的方法。网站可通过声明HSTS，来强制客户端（如浏览器）只能使用HTTPS与服务器连接，拒绝所有的HTTP连接并阻止用户接受不安全的SSL证书，降低第一次访问请求被拦截的风险。例如： 当您的域名在CDN加速产品中配置HTTPS功能和HTTP强制跳转HTTPS的功能时，若用户在浏览器中输入HTTP协议的URL进行访问，CDN节点会将该HTTP请求强制跳转到HTTPS协议，此时： 若未启用HSTS功能，且用户是首次以HTTP协议访问CDN节点，HTTP请求可能会被拦截或者篡改，存在安全隐患。 若启用HSTS功能，CDN节点会响应一个强制HSTS的头（例如：StrictTransportSecurity：maxagexxxx;includeSubDomains）给客户端，告诉客户端只能使用HTTPS协议访问CDN节点，此后浏览器将直接使用HTTPS协议访问CDN节点，不再需要HTTP协议强制跳转HTTPS协议。 注意事项 配置HSTS功能前，请确保已成功配置HTTPS证书，操作方法详情请见：新增证书。 在HSTS生效前，可参考：强制跳转功能，使用户首次以HTTP协议访问时，能够强制跳转到HTTPS协议发起访问。 配置说明 1. 登录CDN控制台。 2. 单击左侧导航栏【域名管理】【域名列表】。 3. 在【域名列表】页面，找到目标域名，单击【操作】列的【编辑】。 4. 单击右侧【请求协议】。 5. 在【请求协议】模块，勾选【HTTPS】。 6. 单击右侧【HTTPS配置】。 7. 选择域名对应的证书。如果已经在证书管理上传证书，可直接选择对应域名证书。如果还未上传证书，可单击【点击上传】，添加自有证书。添加完毕后，再选择对应证书。 8. 在【HSTS】模块，开启功能并根据需求填写配置。 9. 单击【保存】，完成配置。 参数 说明 过期时间 即StrictTransportSecurity响应头中maxage的值，单位为s；如过期时间为2592000s，则代表一个月内，访问该网站均需要使用HTTPS协议。 包含子域名 即StrictTransportSecurity响应头中是否需要包括includeSubDomains；如包括，则代表服务端告知客户端访问该域名及其子域名均需要使用HTTPS协议。

内容合规检测应用场景 当网站被发现有不合规言论时，会给企业造成品牌和经济上的多重损失。 精确识别 同步更新时政热点和舆情事件的样本数据，准确定位各种涉黄、涉暴涉恐、涉政等敏感内容。 智能高效 对文本、图片内容进行上下文语义分析，智能识别复杂变种文本。

功能介绍 敏感词防护功能支持对网站返回的内容进行脱敏展示，过滤内容包括敏感信息（如身份证、手机号、银行卡、邮箱等）。您可以根据实际需要设置敏感词防护规则，满足数据安全保护和等保合规需求。 注意 防护敏感信息泄露功能目前只支持识别中华人民共和国境内（中国香港特别行政区、中国澳门特别行政区、中国台湾暂不支持）的身份证号、手机号、银行卡号、邮箱。 前提条件 已经订购边缘安全加速平台安全与加速服务，若未订购，请参见服务开通。 在控制台新增域名，请参见添加服务域名。 开通套餐为基础版及以上版本，支持防护敏感信息泄露相关功能。 背景信息 个人敏感信息是指一旦泄露、非法提供或滥用可能危害人身和财产安全，极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。根据《GBT 352732017信息安全技术个人信息安全规范》解读：个人敏感信息包括：身份证号码，个人生物识别信息，银行账号，通信记录和内容，财产信息，征信信息，行踪轨迹，住宿信息，健康信息，交易信息，14岁以下（含）儿童的个人信息等。防护敏感信息泄露功能对网站的敏感内容脱敏处理，避免重要数据泄露带来的风险。 说明 默认脱敏显示您的联系方式等敏感信息，点击明文显示时，请您注意保护数据安全！

本文介绍HTTPS的概念以及全站加速如何配置HTTPS。 什么是HTTPS? HTTPS（全称：Hyper Text Transfer Protocol over Secure Socket Layer），是以安全为目标的HTTP通道，简单讲是HTTP的安全版。HTTPS相当于在HTTP下加入SSL层，HTTPS的安全基础是SSL，因此加密的详细内容就需要SSL。它是一个URI scheme（抽象标识符体系），句法类同HTTP体系。用于安全的HTTPS数据传输。 HTTPS也叫安全的超文本传输协议，默认使用TCP端口443，他的数据会用PKI中的公钥进行加密，这样抓包工具捕获到的数据包也没有办法看到包中的内容，安全性大大提高，要解密数据的话就要用到PKI中的私钥。所以一些安全性比较高的网站如：网上银行，电子商务网站都需要用HTTPS访问。 全站加速是否支持HTTPS配置？ 天翼云全站加速目前已经全面支持HTTPS配置。详见：HTTPS配置。在天翼云客户控制台开启HTTPS协议，将实现客户端和天翼云全站加速节点之间请求的HTTPS加密。如果需要实现全链路HTTPS加密，还需要配置全站加速节点以HTTPS协议回源到源站服务器（源站服务器需要支持HTTPS协议）。 通过客户控制台在全站加速节点上提前准备好SSL证书的公钥和私钥。证书上传路径，详见：新增证书。

修改证书 1. 登录公共算力服务控制台。 2. 点击左侧导航栏【网络>弹性负载均衡>证书管理】，在证书管理页面，选择对应的证书进入证书修改页面。 3. 在弹出的证书修改页面，依据负载均衡证书修改说明，填写相关参数并点击“确定”，完成证书修改。 参数说明： 参数 说明 名称 证书名称，只能由数字、字母、、组成,以字母开通,且长度为264字符。 证书类型 不可更改 签名证书 （1）支持粘贴证书到内容框，或点击上传证书内容。证书包含证书的公钥和签名等信息，证书扩展名为".pem"或".crt"，您可直接输入证书内容或上传证书文件。 （2）证书格式以“BEGIN CERTIFICATE”开头， 以“END CERTIFICATE”结尾。 （3）通过中级CA机构颁发的证书，证书文件包含多份证书，需服务器证书与中间证书一起上传，格式如下： BEGIN CERTIFICATE 网站证书 END CERTIFICATE BEGIN CERTIFICATE CA 中间证书机构 END CERTIFICATE BEGIN CERTIFICATE CA 根证书机构 END CERTIFICATE 签名私钥 （1）证书格式以 “BEGIN CERTIFICATE”开头， 以“END CERTIFICATE”结尾。 （2）通过中级CA机构颁发的证书，证书文件包含多份证书，需服务器证书与中间证书一起上传，格式如下： BEGIN CERTIFICATE 网站证书 END CERTIFICATE BEGIN CERTIFICATE CA 中间证书机构 END CERTIFICATE BEGIN CERTIFICATE CA 根证书机构 END CERTIFICATE 描述 填写证书相关描述，可选。

本节介绍Web基础防护类常见问题。 如何将Web基础防护的仅记录模式切换为拦截模式？ 执行以下操作完成Web基础防护的防护模式切换： 步骤1 登录管理控制台。 步骤2 单击管理控制台右上角，选择区域或项目。 步骤3 单击页面左上方的，选择“安全 >Web应用防火墙（独享版）”。 步骤4 在左侧导航树中，选择“网站设置”，进入“网站设置”页面。 步骤5 在目标域名所在行的“防护策略”栏中，单击“配置防护策略”，进入“防护策略”页面。 步骤6 在“Web基础防护”配置框中，选择“拦截”模式。 Web基础防护支持设置哪几种防护等级？ Web基础防护设置了三种防护等级：“宽松”、“中等”、“严格”，默认为“中等”。防护等级相关说明如表所示。 防护等级 说明 宽松 防护粒度较粗，只拦截攻击特征比较明显的请求。 当误报情况较多的场景下，建议选择“宽松”模式。 中等 默认为“中等”防护模式，满足大多数场景下的Web防护需求。 严格 防护粒度最精细，可以拦截具有复杂的绕过特征的攻击请求，例如jolokia网络攻击、探测CGI漏洞、探测Druid SQL注入攻击。 建议您等待业务运行一段时间后，根据防护效果配置误报屏蔽规则，再开启“严格”模式，使WAF能有效防护更多攻击。

本文介绍CDN加速域名配置HTTPS中间证书的方法。 背景说明 中间证书是根证书颁发机构CA对中间证书颁发机构的公钥进行数字签名得到的证书。其作用是通过中间证书的私钥来签署最终用户的SSL证书，通过中间根对另一个中间根进行签名，然后CA使用它来对证书进行签名。如果CA直接从其根源颁发服务器证书，在这一过程中出现任何错误或者要求撤销每个使用root签名的证书，那么这个证书将立即不受信任。因此，为了避免这种风险发生，CA机构一般会引用中间证书。 主流浏览器如Firefox或者Chrome对未安装中间证书的网站可能会作出此链接不受信任的提示，或者安装了安全证书的网站，用手机访问时还是会出现不安全的提示，其实这都是中间证书链不完整导致的。 配置说明 1. 天翼云CDN控制台支持pem的证书格式。 2. 在【域名管理】【域名列表】选中对应域名，单击编辑进入配置界面，单击右侧【请求协议】，在【请求协议】模块，勾选【HTTPS】。单击右侧【HTTPS配置】，在【证书】模块，单击【点击上传】，输入证书备注名，在【证书公钥（PEM）格式】输入域名证书拼接中间证书即可，具体拼接格式如下： BEGIN CERTIFICATE 域名证书 END CERTIFICATE BEGIN CERTIFICATE 中间证书 END CERTIFICATE 示例：

本节介绍漏洞扫描服务是否可以免费使用。 漏洞扫描服务提供了基础版、专业版、高级版和企业版四种服务版本。其中，基础版配额内的服务免费，部分功能按需计费；专业版、高级版和企业版需要收费。 基础版配额内提供的网站漏洞扫描服务（域名个数：5个，扫描次数：每日5次）是免费的。

可以通过控制台和调用API使用Bucket： 控制台使用Bucket，详见存储桶管理。包括创建存储桶、存储桶列表、删除存储桶、查看/修改存储桶属性、区域属性、安全策略、网站、日志、生命周期、跨域设置、合规保留、清单配置。 调用API使用Bucket，可以详见关于Bucket的操作。

海量文件服务OceanFS广泛应用于多种场景,本文带您更快了解经典应用场景。 场景一：高性能计算 场景说明 在仿真实验、工业设计CAD/CAE、生物科学、图像处理、科学研究、气象预报等涉及高性能计算解决大型计算问题的行业，海量文件系统为其计算能力、存储效率、网络带宽及时延提供重要保障。 场景痛点 海量数据、计算密集、实时分析、操作频繁，需要超高性能文件系统支撑。 产品优势 低成本：单文件系统容量弹性扩容，按需付费，最大可扩容至PB级。 高性能：单文件系统支持5万IOPS，访问时延低至10ms左右。 场景二：内容管理和Web应用 场景说明 高性能网站需要将服务组成集群，将代码文件、配置文件或图片等业务数据放在NAS存储上共享访问，通过多级Cache等技术，在海量小文件场景下，提供高并发、低时延的存储需求。 场景痛点 业务操作连续性高，加载缓慢将影响处理效率。 大量访问时，加载缓慢、卡顿。 产品优势 超高性能：单文件系统能最多存储40亿个文件，访问时延低至10ms。 超高并发：能处理突发的高峰流量，有效解决网站动态数据加载慢和业务卡顿问题。 场景三：媒体处理 场景说明 媒体处理业务中需要对音视频素材进行存储，并且需要多人协作处理素材，海量文件服务作为共享文件存储支持可用于视频制作与编辑时的素材存储管理及高效协作。

本文将向您介绍如何查询您的网站业务统计分析报表。 功能介绍 可以通过安全报表，可以查询Web安全、CC安全两个维度的攻击数、攻击趋势、威胁类型分布、攻击IP TOP 10、TOP攻击URL等报表，并且支持导出报表。 前提条件 已开通Web应用防火墙（边缘云版） 已新增域名并成功接入WAF，具体操作请见WAF接入 新增域名后，边缘云WAF将会自动为域名开启域名防护规则功能，一旦识别到攻击行为，将产生攻击日志，并将攻击数据统计在安全报表中 查看安全报表 1. 登录Web应用防火墙（边缘云版）控制台，在左侧导航栏中选择【统计分析】模块 2. 根据您的站点业务数据查看需求，选择业务分析报表或者热门分析报表页面 业务分析报表说明 业务分析模块可为客户提供带宽流量、请求数、状态码等指标。 通过筛选项进行组合查询带宽流量、请求数、状态码等指标。筛选项包括域名、运营商、地区、时间。 带宽流量。界面中展示的是您所选范围、域名、运营商、地区、时间范围内的带宽和流量统计图表，可通过切换“带宽”和“流量”的按钮查看带宽和流量图，同时会给出查询时间范围内每日总流量、带宽峰值、峰值时间点。 请求数。界面中展示的是您所选范围、域名、运营商、地区、时间范围内的请求数和QPS统计图表，可通过切换“请求数”和“QPS”的按钮查看请求数和QPS图，请求数图表中包括了总请求数、动态http请求数、动态https请求数、静态http请求数、静态https请求数。 天粒度数据统计说明： 没有开启WAF防护：防护请求数0，总请求数静态http请求数+静态https请求数+动态请求数+动态https请求数。 开启WAF防护：动态请求数0，总请求数静态http请求数+静态https请求数+防护请求数。 状态码。界面中展示的是您所选域名、运营商、地区、时间范围内的状态码统计图表，可通过切换“所有状态码”、“2XX”、“3XX”、“4XX”、“5XX”的按钮查看不同状态码的图表，并显示查询时间范围内的总状态码量，同时展示状态码占比表和状态码占比饼图。

本文介绍启用CDN后同名文件如何进行更新。 使用天翼云CDN加速后，如果需要对同名文件进行更新，可以参照以下方法进行操作： 1. 建议源站内容不使用同名更新文件。将更新后的文件重命名为一个新的文件名，确保与原文件名称不同。例如，videov1.0.mp4、videov2.0.mp4；之后在您的网站代码或应用程序中更新链接或引用，将指向原文件的URL更改为指向更新后的文件的URL。这样，访问您的网站或应用程序时将获取到最新的文件。 2. 如果必须使用同名更新文件，可以从控制台或API接口提交刷新请求。 3. 使用CDN刷新功能后，访问的资源如没有更新，可能的原因及解决方案如下： 使用CDN刷新虽然清除了CDN缓存，但是受到浏览器缓存的影响，导致访问到旧的资源。此时可尝试清理浏览器缓存，然后刷新页面，查看资源是否更新。 源站的资源没有更新，本身就是旧的资源。可将域名直接绑定源站（通过修改本地host的方式），直接访问源站，检查源站的资源是否更新。如果资源没有更新，请更新源站的资源，再在CDN加速控制台提交刷新任务。 刷新任务没有执行完毕。可检查刷新预取任务是否执行完毕，如果没有执行完毕，建议等任务执行成功后再进行测试。

本节为您介绍迁移前的准备工作,包括账号注册认证、账户余额确认、迁移网络打通等。 使用或注册天翼云账号，并完成实名认证。 1. 打开天翼云门户网站，单击“免费注册”。 2. 在注册页面，请填写“邮箱地址”、“登录密码”、“手机号码”，并点击“同意协议并提交” 按钮，如1分钟内手机未收到验证码，请再次点击“免费获取短信验证码”按钮； 3. 注册成功后，可到邮箱激活您的账号，即可体验天翼云。 如需实名认证，请参考会员服务实名认证。 帐号余额不少于100元，避免迁移过程中欠费，导致迁移失败。主机迁移服务本身免费，但迁移过程中会创建按量付费资源并产生少量费用。具体请参见计费说明。 用户开通并使用CMSSMS服务。 1. 使用您的天翼云账号完成登录。 2. 在云迁移产品主页，单击“立即开通”按钮进入控制中心。 3. 在控制台选择您目标机资源所在区域，此处示例我们选择的是福州3。 确认迁移源是否满足操作系统要求。 需对CMSSMS迁移服务支持迁移的迁移源操作系统做确认，具体请见兼容性列表。 迁移网络打通。 迁移源机需要能访问到平台地址( 迁移源 源机需要正常访问公网，访问CMSSMS控制台，注意安全组出方向放通情况，建议出方向安全组不限制； 若使用专线或VPN，需提前购买和配置正确的专线或VPN。 目标机 系统需要开放TCP的8000端口、8001端口。 目标机需要提前购买和配置正确的EIP； 说明 目标机安全组放通8000、8001端口，其中8000端口建议指定为迁移源IP，避免端口脏数据注入，导致迁移失败，安全组开放端口与操作系统保持一致。

本节介绍了如何使用PyGreSQL连接云数据库GaussDB 数据库。 PyGreSQL是一款开源的PostgreSQL的Python驱动接口。它支持许多数据库原生功能，是主流的PostgreSQL的Python客户端驱动之一。目前仅分布式支持该驱动接口。 软件环境要求 云数据库GaussDB 已经安装完成。 安装了PyGreSQL的Python环境。 GaussDB并不提供，也不维护PyGreSQL的源码及发布包，如有使用问题，请参考PyGreSQL的官方网站。 云数据库GaussDB 推荐使用Python3.5.3及PyGreSQL5.0.3。 数据库的连接及PyGreSQL的具体使用方式，请参见PyGreSQL的官方网站。

项目 说明 部署方式 独享引擎 使用场景 业务服务器部署在云上。 大型企业网站，具备较大的业务规模且基于业务特性具有定制化的安全需求。 防护对象 域名 IP 优势 部署灵活 独享引擎实例资源由用户独享 可以满足大规模流量攻击场景防护需求 独享引擎实例部署在VPC内，网络链路时延低

参数说明 参数 说明 过期时间 即StrictTransportSecurity响应头中maxage的值，单位为s；如过期时间为2592000s，则代表一个月内，访问该网站均需要使用HTTPS协议。 包含子域名 即StrictTransportSecurity响应头中是否需要包括includeSubDomains；如包括，则代表服务端告知客户端访问该域名及其子域名均需要使用HTTPS协议。

消息类型 消息介绍 产品信息 产品的创建、开通及资源到期提醒等产品相关信息通知 账户资金 充值、订单支付、提现等资金相关信息通知 活动消息 各类线上活动通知 服务消息 新产品上线或商业化通知 重要通知 网站重要公告、通知、声明等信息通知 其他 非以上消息类型通知

如何使用CTIAM创建子账号进行分权管理。 场景说明 有些客户在开通天翼云云点播产品后，出于分工管理或者多部门共用的需要，希望可以开通多个子用户共同使用云点播。其中的角色分工可能包含管理员、各项目的运营方等。其中各角色的主要职能如下： 管理员：拥有全局管理权利。 运营方：负责配置转码工作流，上传媒资内容，并获取播放链接地址发布在点播网站上。但运营方只能操作自己存储桶的文件，配置自己的专属工作流，不能修改其他运营方的转码配置。 多人开发如果使用同样的权限和账号密码，很容易造成误删、误操作的动作影响整体的业务安全。同时多人分享账号密码也容易造成密码泄露。因此需要有一套主子账号机制，给每个角色分配不同的权限，以实现各自职能并保障安全。 前提条件 已经在天翼云完成实名注册认证，获得了天翼云账号。 已经开通天翼云云点播产品。 当前配置人员具备主账号权限。 总体实施步骤 总体实施步骤一共分为三步： 1. 创建资源。 2. 创建子用户。 3. 为子用户赋予相对应的权限。 创建资源 1. 首先，具备主账号权限的管理员（以下简称“管理员”）需要首先登录云点播控制台。新建一个点播实例。 创建子用户 1. 打开统一身份认证服务，使用您在天翼云官网注册的登录凭证作为主账号进行登录。如下图所示： 2. 在进入CTIAM控制台后，在左侧的导航页内找到【用户】页。点击【创建用户】可创建一个新的子用户。如下图所示： 说明 CTIAM创建的子用户同时可能拥有多个产品的操作权限。因此，您可以为每个子用户配置多个天翼云产品的管理权限，而无需按照为每个产品的单独设置一个子用户。 3. 在创建用户的页面，您可根据界面提示设置子用户的名称、联系方式等。需要注意的是：（1）如您需要后续授权该子用户使用云点播控制台，则应将【控制台访问】的选项选中。（2）子用户可使用手机号码、邮箱（如有）作为登录凭证，请确保这两项凭证在当前天翼云租户下的唯一性。（3）云点播尚未对接CTIAM的用户组能力，建议在创建新的子用户时，暂不要将该子用户纳入用户组，以免造成后续不可预知的问题。相关要点如下图所示： 4. 至此，您已在CTIAM下创建了一个新的子用户。但该子用户尚未具备云点播产品的任何权限，因此无法登录和使用云点播任何能力。您还需对该子用户赋予云点播相关权限，详情可查看本文【子用户授权】章节。 5. 关于创建子用户的更多详细操作可以查看教程创建IAM用户。

本文将向您介绍如何通过边缘安全加速平台安全与加速服务提供的Bot防护策略功能设置白名单。 功能介绍 若您希望请求针对Bot防护策略加白，可以配置Bot防护策略白名单。 背景信息 您的域名接入边缘安全加速平台安全与加速服务后，配置防护策略将默认作用于所有符合策略的请求，若您希望某类请求不经过某个防护策略，可以分别配置对应的白名单功能。 若您希望请求针对任意防护策略加白，可以配置网站白名单，配置详情可见设置网站白名单。 若防护规则集中的某条规则出现误报情况，可以配置规则白名单，配置详情可见设置Web规则白名单。 若您希望请求针对Bot防护策略加白，可以配置Bot策略白名单，配置详情可见下文。 前提条件 已经订购边缘安全加速平台安全与加速服务，若未订购，请参见服务开通。 在控制台新增域名，请参见添加服务域名。 购买Bot防护扩展服务，支持设置Bot防护策略白名单功能。 操作步骤 1. 登录边缘安全加速平台控制台。 2. 在左侧导航栏中选择【安全能力】【Bot防护】，选择您要配置的域名，进入基础配置【Bot策略白名单】详细设置页。

本文简述如何通过诊断工具查询指定IP是否为天翼云CDN节点IP以及对应归属地。 功能介绍 天翼云全站加速服务提供IP归属查询工具，您可以使用该工具检测某IP地址是否为天翼云CDN节点IP，同时获取IP归属地。 应用场景 场景一：配置全站加速服务后，可通过该工具验证客户端的请求是否成功到达天翼云CDN节点IP。如果不是天翼云CDN节点IP，则代表配置未生效；如果是，则可以继续验证请求是否正常。 场景二：当您的网站访问异常时，可通过该工具查询用户访问的IP是否为天翼云CDN节点IP，来排查网站访问异常的原因。如果IP地址是天翼云CDN节点IP，您可以继续排查问题原因或者反馈给我们处理。如果IP地址不是天翼云CDN节点IP，则要查看CNAME是否配置正确，DNS解析是否正常等。 诊断工具说明 1. 登录客户控制台。 2. 单击左侧导航栏【诊断工具】，进入【IP归属查询】页面，输入查询的地址。 3. 输入查询后将显示该地址是否为天翼云CDN节点以及对应归属地。 说明 查询IP为天翼云CDN节点IP，验证结果显示为CDN节点，显示IP归属地。 查询IP不为天翼云CDN节点IP，验证结果显示为不是CDN节点，IP归属地未知。

前提条件 服务器的“Agent状态”为“在线”、“防护状态”为“开启”、“版本”为“企业版”或者“旗舰版”。 检测项目 软件信息、Linux软件漏洞、Windows系统漏洞、WebCMS漏洞、网站后门检测、口令风险和配置风险。 检测时长 检测单个检测项目（例如：口令风险）的检测时长为30分钟内。 一键手动检测，检测多个检测项目时，各个检测项目并行检测，检测时长为30分钟内。 一键手动检测 一键执行手动检测能同时检测主机中的软件信息、漏洞、网站后门、关键配置信息、较弱的口令复杂度策略、使用弱口令的用户账号 。检测完成后，可在企业主机安全服务控制台查看各项风险统计或指定查看单个服务器的安全详情。 1、登录管理控制台。 2、在页面左上角选择“区域”，单击，选择“安全 > 企业主机安全”，进入企业主机安全页面。 3、在“主机管理”页面的右上角，单击“手动检测”，执行手动检测，如图所示。 一键执行手动检测 3、在弹出的“手动检测”对话框中，选择所需检测的主机，单击“确定”，完成一键手动检测的操作。 在安全控制台“企业主机安全”菜单或主机列表“操作”列的“查看详情”中查看各项手动检测结果并对检测结果执行相应的操作。

本文介绍域名管理中的场景教学内容。 域名管理页面顶部支持场景教学模块，针对网站不同业务需求进行场景介绍以及控制台配置指引，您可以按需查看。 场景教学默认隐藏，您可以点击右上角【打开说明】展开该模块。 说明 场景教学仅供参考，您可以根据实际业务需求评估是否采用。