配置场景 本文配置以您的WAF在华为云为例，为您介绍开通CDN+WAF联动部署。如果您的WAF在其它云服务，请参考本文完成配置。 场景1：已购买WAF并添加防护域名，配置CDN+WAF联动 如果您已经将域名接入WAF防御，要配置CDN+WAF联动，您需要先将WAF域名基本信息中的“是否已使用代理”修改为“是”，WAF才能够针对真实源IP进行安全策略防御；然后在CDN侧添加加速域名，将WAF的CNAME作为CDN的源站，CDN才能将流量转发给WAF，实现加速和Web攻击防御联动。 使用限制： CDN的加速域名仅支持默认端口，以非标端口的方式接入WAF的防护域名将无法接入CDN。 如果您在WAF侧为防护域名配置了HTTPS证书，请同步在CDN侧完成证书配置，否则会导致域名无法访问。 操作步骤 根据修改WAF防护域名基本信息指导修改防护域名的代理设置。 是否已使用代理：是 复制WAF的CNAME。 在CDN侧添加加速域名（即WAF的防护域名） 登录华为云控制台，在控制台首页左上角选择“服务列表>CDN与智能边缘 > CDN”，进入CDN控制台。 在左侧导航栏选择“域名管理”，进入域名管理页面。 在域名管理界面，单击“添加域名”，在弹出的对话框中配置域名参数。 源站类型：源站域名，在下方输入WAF的CNAME域名。 单击“确定”完成域名的添加，CDN会为加速域名生成专属CNAME。 如果您的WAF是独享模式，需要使用“源站IP”接入CDN，“源站”文本框中请输入为弹性负载均衡绑定弹性公网IP。 如果您的WAF是ELB模式，需要使用“源站IP”接入CDN，“源站”文本框中请输入WAF实例绑定ELB的弹性公网IP。 （可选）添加加速域名后，为保证顺利切换不影响业务，建议先做测试再切换DNS解析，请参考本地测试加速域名。 在DNS域名服务商处修改解析记录，配置CDN提供的CNAME，详情请参见配置CNAME。 验证CNAME是否生效。 打开Windows操作系统中的cmd程序，输入如下指令： nslookup -qt=cname 加速域名 如果回显CNAME，则表示CNAME配置已经生效，如下图： 如果您暂未使用CDN和WAF，也建议您按照场景1的方式先接入WAF，再配置联动。 场景2：加速域名已经接入CDN加速，配置CDN+WAF联动 如果您的域名已经接入CDN加速，现在需要配置CDN+WAF联动，您需要先在WAF添加防护域名，“是否已使用代理”选项选择“是”，WAF才能够针对真实源IP进行安全防御；然后将CDN侧加速域名的源站修改WAF的CNAME，CDN才能将流量转发给WAF，实现加速和Web攻击防御联动。 使用限制： 如果您在CDN侧为加速域名配置了HTTPS证书，请同步在WAF侧完成证书配置，否则会导致域名无法访问。 操作步骤 将网站信息（源站服务器的IP、端口等信息）添加到WAF。配置要点如下。 非标准端口：去勾选。 是否已使用代理：是。 配置完成后，WAF会为该域名生成一个专属的CNAME。 建议您在配置好WAF后先验证业务是否正常，再修改CDN源站。 将CDN加速域名的源站地址修改为WAF的CNAME域名。 登录华为云控制台，在控制台首页中选择“CDN与智能边缘 > CDN”，进入CDN控制台。 在左侧菜单栏中，选择“域名管理”。 在域名列表中，单击需要修改的域名或域名所在行的“设置”，进入域名配置页面。 选择“基本配置”页签。 在源站配置模块，单击“编辑”，系统弹出“修改源站信息”对话框。 类型：源站域名。 源站：填写WAF生成的CNAME域名。 回源端口：默认端口。 如果您的WAF是独享模式，需要使用“源站IP”接入CDN，“源站”文本框中请输入为弹性负载均衡绑定弹性公网IP。 如果您的WAF是ELB模式，需要使用“源站IP”接入CDN，“源站”文本框中请输入WAF实例绑定ELB的弹性公网IP。 完成以上配置后，流量经过CDN转发到WAF，达到加速和Web攻击防护的目的。

修订记录 发布日期 修改说明 2022-10-25 第五十七次正式发布。 修改如下章节： 独享引擎实例升级最佳实践 2022-09-30 第五十六次正式发布。 增加“独享WAF+7层ELB”联动，实现防护任意非标端口。 2022-09-06 第五十五次正式发布。 修改如下章节： “CDN+WAF”联动，提升网站防护能力和访问速度 “DDoS高防+WAF”联动，提升网站全面防护能力 2022-08-11 第五十四次正式发布。 增加以下最佳实践： 通过业务Cookie和HWWAFSESID联合配置限制恶意抢购、下载等的最佳实践 2022-07-26 第五十三次正式发布。 修改“WAF+HSS”联动，提升网页防篡改能力章节。 2022-07-06 第五十二次正式发布。 全局计数功能上线，修改如下章节： CC攻击防御最佳实践 “CDN+WAF”联动，提升网站防护能力和访问速度 “DDoS高防+WAF”联动，提升网站全面防护能力 2022-07-04 第五十一次正式发布。 全局白名单功能上线，修改如下章节： 通过误报处理提升Web基础防护效果 使用Postman工具模拟业务验证全局白名单（原误报屏蔽）规则 2022-06-06 第五十次正式发布。 修改如下章节： 获取客户端真实IP “DDoS高防+WAF”联动，提升网站全面防护能力 2022-05-23 第四十九次正式发布。 增加“WAF+HSS”联动，提升网页防篡改能力。 修改获取客户端真实IP章节。 2022-05-17 第四十八次正式发布。 修改“DDoS高防+WAF”联动，提升网站全面防护能力章节。 2022-05-05 第四十七次正式发布。 修改获取客户端真实IP，增加了约束条件。 2022-04-19 第四十六次正式发布。 增加如下两个最佳实践： 通过LTS实时分析Spring core RCE漏洞的拦截情况 通过LTS配置WAF规则的拦截告警 2022-04-01 第四十五次正式发布。 增加Java Spring框架远程代码执行高危漏洞最佳实践。 2022-03-29 第四十四次正式发布。 准备阶段，增加了相关说明。 2022-02-11 第四十三次正式发布。 获取客户端真实IP，增加了Apache服务器为2.4及以上版本如何获取源站IP的方法。 2021-12-22 第四十二次正式发布。 新增通过LTS快速查询分析WAF访问日志。 2021-12-02 第四十一次正式发布。 新增使用Postman工具模拟业务验证全局白名单（原误报屏蔽）规则。 通过配置TLS最低版本和加密套件提升客户端访问域名的通道安全，优化内容描述。 2021-10-21 第四十次正式发布。 “CDN+WAF”联动，提升网站防护能力和访问速度，优化内容描述。 2021-10-12 第三十九次正式发布。 通过配置TLS最低版本和加密套件提升客户端访问域名的通道安全，优化内容描述。 2021-09-22 第三十八次正式发布。 新增独享引擎实例升级最佳实践。 2021-08-19 第三十七次正式发布。 “CDN+WAF”联动，提升网站防护能力和访问速度，更新界面截图。 2021-07-29 第三十六次正式发布。 “CDN+WAF”联动，提升网站防护能力和访问速度、“DDoS高防+WAF”联动，提升网站全面防护能力，补充接入成功生效条件。 2021-07-20 第三十五次正式发布。 修改管理控制台入口。 2021-06-25 第三十四次正式发布。 单独使用WAF配置指导，优化内容描述。 2021-06-08 第三十三次正式发布。 “CDN+WAF”联动，提升网站防护能力和访问速度，优化前提条件描述。 “DDoS高防+WAF”联动，提升网站全面防护能力，优化前提条件描述。 2021-05-20 第三十二次正式发布。 “DDoS高防+WAF”联动，提升网站全面防护能力，补充独享模式和ELB模式配置策略。 2021-05-14 第三十一次正式发布。 “CDN+WAF”联动，提升网站防护能力和访问速度，补充独享模式和ELB模式配置策略。 2021-04-08 第三十次正式发布。 单独使用WAF配置指导，优化内容描述。 2021-03-19 第二十九次正式发布。 通过配置TLS最低版本和加密套件提升客户端访问域名的通道安全，优化内容描述。 2020-11-27 第二十八次正式发布。 通过配置ECS/ELB访问控制策略保护源站安全，优化内容描述。 通过误报处理提升Web基础防护效果，优化内容描述。 获取客户端真实IP，优化内容描述。 2020-11-20 第二十七次正式发布。 通过配置TLS最低版本和加密套件提升客户端访问域名的通道安全，优化内容描述。 通过配置反爬虫防护策略阻止爬虫攻击，优化内容描述。 2020-08-17 第二十六次正式发布。 获取客户端真实IP，优化内容描述。 2020-05-14 第二十五次正式发布。 通过配置TLS最低版本和加密套件提升客户端访问域名的通道安全，优化内容描述。 2020-04-16 第二十四次正式发布。 优化内容描述。 2020-04-02 第二十三次正式发布。 更新界面截图。 2020-02-27 第二十二次正式发布。 通过误报处理提升Web基础防护效果，更新界面截图并优化内容描述。 2020-02-14 第二十一次正式发布。 新增Apache Dubbo反序列化漏洞。 2020-01-03 第二十次正式发布。 获取客户端真实IP，修改标题。 2019-12-19 第十九次正式发布。 通过误报处理提升Web基础防护效果，增加IIS服务器获取访问者真实IP的方法。 “CDN+WAF”联动，提升网站防护能力和访问速度，优化内容描述。 2019-12-16 第十八次正式发布。 操作入口连环图更新。 2019-12-05 第十七次正式发布。 获取客户端真实IP，优化内容描述。 2019-10-21 第十六次正式发布。 通过配置TLS最低版本和加密套件提升客户端访问域名的通道安全，优化内容描述。 CC攻击防御最佳实践，优化内容描述。 通过误报处理提升Web基础防护效果，优化内容描述。 “DDoS高防+WAF”联动，提升网站全面防护能力，优化内容描述。 “CDN+WAF”联动，提升网站防护能力和访问速度，优化内容描述。 2019-09-06 第十五次正式发布。 新增开源组件Fastjson拒绝服务漏洞。 2019-09-04 第十四次正式发布。 单独使用WAF配置指导，优化内容描述。 2019-08-30 第十三次正式发布。 “CDN+WAF”联动，提升网站防护能力和访问速度，优化内容描述。 2019-08-27 第十二次正式发布。 通过配置反爬虫防护策略阻止爬虫攻击，优化内容描述。 2019-08-01 第十一次正式发布。 新增“CDN+WAF”联动，提升网站防护能力和访问速度。 2019-07-12 第十次正式发布。 新增开源组件Fastjson远程代码执行漏洞。 2019-06-21 第九次正式发布。 新增获取客户端真实IP。 2019-06-04 第八次正式发布。 新增通过误报处理提升Web基础防护效果。 新增WAF接入配置最佳实践。 2019-05-16 第七次正式发布。 新增通过配置ECS/ELB访问控制策略保护源站安全。 新增Web基础防护功能最佳实践。 2019-05-05 第六次正式发布。 通过配置TLS最低版本和加密套件提升客户端访问域名的通道安全，优化内容描述。 2019-04-28 第五次正式发布。 新增通过配置TLS最低版本和加密套件提升客户端访问域名的通道安全。 2019-04-23 第四次正式发布。 新增Oracle WebLogic wls9-async反序列化远程命令执行漏洞（CNVD-C-2019-48814）。 CC攻击防御最佳实践，优化内容描述。 通过配置反爬虫防护策略阻止爬虫攻击，优化内容描述。 2018-11-08 第三次正式发布。 短描述和关键字的设置。 2018-10-15 第二次正式发布。 根据界面变化更新了截图和描述。 2018-05-11 第一次正式发布。

CDN+WAF如何配置？ CDN+WAF配置后，流量被CDN加速后转发到WAF，WAF再将流量转到源站，在提升用户访问网站的响应速度与网站的可用性的同时，实现网站流量检测和攻击拦截。 云模式 先将域名解析到CDN，再修改CDN源站信息，将源站域名修改为WAF的“CNAME”，同时，为了防止其他用户提前将您的域名配置到Web应用防火墙上，从而对您的域名防护造成干扰，建议您到DNS服务商处添加一条WAF的子域名和TXT记录。 独享模式 先将域名解析到CDN，再修改CDN源站信息，将源站IP修改为WAF独享引擎实例配置弹性负载均衡绑定的弹性公网IP。 ELB模式 先将域名解析到CDN，再修改CDN源站信息，将源站IP修改为ELB模式实例所绑定ELB的弹性公网IP。 有关同时部署CDN和WAF的详细介绍，请参见“CDN+WAF”联动提升网站防护能力和访问速度。

下线策略配置 登录华为云控制台，在控制台首页中选择“CDN与智能边缘 > CDN”，进入CDN控制台的“域名管理”页面。 单击域名管理页面右上角“域名下线策略”，进入域名下线策略配置页面。 选择您需要的“下线策略”。 华为云CDN域名下线策略支持“解析回源”和“停用域名”两种，您可以根据自己实际情况自定义选择域名在触发CDN下线机制后的策略。具体策略说明如下表所示。 策略 说明 解析回源 域名被下线时，您的域名会解析回主源站，最终域名状态调整为“停用”，停止CDN加速服务。解析回源后域名配置信息仍会保留，待您的域名恢复正常后，CDN会重新将域名解析回CDN节点并提供加速服务。 说明： 加速域名被执行下线策略30天后，华为云CDN将不再提供“解析回源”服务，您的加速域名将无法被访问。 解析回源将把您的源站域名或IP暴露给用户，如果您不希望暴露源站域名或者IP，请选择“停用域名”。 解析回源后业务是否能正常提供服务，依赖于您的源站。 停用域名 域名被下线时，CDN会下线您的加速域名，最终域名状态调整为“停用”，停止CDN加速服务。域名停用后将无法正常访问，但域名配置信息仍会保留，待您的域名恢复正常后，CDN会为您重新启用加速域名。 CDN默认下线策略为“解析回源”。 CDN下线策略是全局策略，您帐号下所有的加速域名在下线时均会遵循您设置的下线策略。 单击“确认”，完成配置。

使用咨询 如何开通CDN服务？ 如何接入CDN加速？ 如何通过项目来管控分配CDN的使用权限？ 如何对IAM子帐号开放CDN部分权限？ 如何获取通过CDN服务的终端用户的IP地址？ CDN域名加速范围对源站服务器位置、备案是否有要求？ CDN加速范围仅选择中国大陆或中国大陆境外，未加速区域的用户访问时会怎样？ CDN是否支持部分地区加速，部分地区不加速？ CDN流量和带宽的进制换算规则是什么？ CDN是对网站所在的服务器加速，还是对域名加速？ CDN支持添加泛域名作为加速域名吗？ 中国大陆、中国大陆境外、全球服务范围的CDN加速之间有什么区别？ 国外IP地址访问加速域名时，会通过哪个节点加速？ 服务器在中国大陆境外，网站访问人群在中国大陆，该如何选择加速范围？ 业务集中在一个城市，是否有必要使用CDN？ 华为云CDN如何判断用户所属地区？ 从其它服务商迁移CDN到华为云要怎么做？CDN如何切流？ 使用华为云CDN，是否必须在华为云备案？ 同一个加速域名是否可以加速多个源站域名？ 配置CDN后能否加速文件上传速度？ 能否实现国内用户直接访问源站服务器，而国外用户接入CDN加速？ 源站端口使用的自定义端口而非80端口，能否使用CDN？ 源站在国内或者国外，可以直接使用全球加速吗？ 源站为其他云服务厂商（非华为云）的对象存储桶，如何在CDN接入源站？ 源站域名可以和加速域名一致吗？ 加速域名是否支持对指定线路的访问用户进行CDN加速？ 加速域名备案过期了有什么影响？ 加速域名和源站域名有什么区别？ 接入CDN的加速域名和源站域名需要备案吗？ 同一个加速域名下面有不同类型的内容（网站、视频点播、文件下载），能使用CDN进行加速吗？ CDN可以和直播加速共用域名吗？

操作步骤 本文以加速域名www.example.com为例，为您展示配置过程。 在CDN控制台添加加速域名 登录华为云控制台，选择“所有服务 > CDN与智能边缘 > CDN”，进入CDN管理控制台。 单击左侧“域名管理”，进入域名管理页面。 在域名管理页面单击“添加域名”。 在“添加域名”弹框中配置域名及CDN加速等信息。 加速域名：www.example.com。 业务类型：实际业务结合应用场景选择合适的业务类型。 服务范围：根据您的业务需要选择服务范围。 源站类型：选择“源站域名”，输入云速建站站点的CNAME。 如果您使用多终端独立企业版站点，源站类型可以选择“源站IP”，绑定站点的独立IP。 单击确定，完成域名添加。 配置CNAME 添加加速域名后，CDN会自动生成一条CNAME域名。加速域名在CDN服务中获得的CNAME域名不能直接访问，必须在加速域名的域名服务商处配置CNAME记录，将加速域名指向CNAME域名，访问加速域名的请求才能转发到CDN节点上，达到加速效果。配置解析请参见配置CNAME。 验证CNAME配置是否生效。 打开Windows操作系统中的cmd程序，输入如下指令： nslookup -qt=cname 加速域名 如果回显CDN分配的CNAME域名，则表示CNAME配置已经生效。

功能咨询 什么是全站加速？ CDN支持哪些业务类型？ CDN支持中国大陆境外或全球加速吗？ CDN支持DNS，HTTPDNS，IP302这三种调度方式吗？ CDN支持哪些协议？ CDN点播加速支持HLS和RTMP协议吗？ CDN能否区分用户使用电脑端还是手机端访问？ CDN是否支持目录加速？ CDN API支持哪些SDK版本？ CDN支持IPv6吗？ CDN是否支持对动态内容进行加速？ CDN支持针对网站单个页面加速吗？ CDN是否支持二进制文件加速？ CDN支持二级域名加速么？ CDN是否支持全站加速？ CDN是否可以对网站的Post请求进行加速？ CDN是否支持直播加速？ CDN有速度限制吗？ CDN能否加速本地访问购物网站的速度从而抢购商品？ CDN支持哪些源站类型？ CDN是否可以配置流量或带宽封顶？ 华为云CDN目前有多少带宽储备？ 华为云CDN有多少节点？ 华为云CDN支持跨域访问吗？ 华为云CDN是否支持自定义错误页面？ 华为云CDN是否支持对中文域名的加速？ 华为云CDN是否支持HTTP3.0？ 华为云CDN是否支持对内容进行加密后再分发给用户？ 华为云CDN支持内网加速吗？ 华为云CDN的SSL协议支持哪些版本号？ 华为云CDN可以提供所有的节点IP地址和回源IP地址吗？ 是否支持CDN域名配置从现有帐号迁移至华为云另一个帐号？ 加速静态和动态资源的原理是否一样？ 如何停止CDN业务 CDN上传文件有没有大小限制？ CDN是否支持频次控制？ CDN支持实时监控功能吗？ CDN是否支持绑定HOST等固定IP访问的方式来提供服务？

防护原理 当用户访问使用CDN服务的网站时，本地DNS服务器通过CNAME方式将最终域名请求重定向到CDN服务。CDN通过一组预先定义好的策略（如内容类型、地理区域、网络负载状况等），将当时能够最快响应用户的CDN节点IP地址提供给用户，使用户可以以最快的速度获得网站内容。 CDN支持的对象：域名，华为云、非华为云或云下的Web业务 Web应用防火墙通过对HTTP(S)请求进行检测，识别并阻断SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等攻击，保护Web服务安全稳定。 WAF支持云模式、独享模式和ELB模式三种部署模式，各部署模式支持防护的对象说明如下： 云模式：域名，华为云、非华为云或云下的Web业务 独享模式/ELB模式：域名或IP，华为云上的Web业务 CDN+WAF可以对华为云、非华为云或云下的域名进行联动防护，同时提升网站的响应速度和网站防护能力，配置原理图如图1所示。 图1 使用代理配置原理图 CDN+WAF配置后，流量被CDN加速后转发到WAF，WAF再将流量转到源站，在提升用户访问网站的响应速度与网站的可用性的同时，实现网站流量检测和攻击拦截。 相关配置说明如下： 云模式 先将域名解析到CDN，再修改CDN源站信息，将源站域名修改为WAF的“CNAME”，同时，为了防止其他用户提前将您的域名配置到Web应用防火墙上，从而对您的域名防护造成干扰，建议您到DNS服务商处添加一条WAF的子域名和TXT记录。 独享模式 先将域名解析到CDN，再修改CDN源站信息，将源站IP修改为WAF独享引擎实例配置弹性负载均衡绑定的弹性公网IP。 ELB模式 先将域名解析到CDN，再修改CDN源站信息，将源站IP修改为ELB模式实例所绑定ELB的弹性公网IP。

配置步骤 在CDN控制台添加加速域名 登录华为云控制台，选择“所有服务 > CDN与智能边缘 > CDN”，进入CDN管理控制台。 单击左侧“域名管理”，进入域名管理页面。 在域名管理页面单击“添加域名”。 在“添加域名”弹框中配置域名及CDN加速等信息，参考添加CDN加速域名。 加速域名：此处以download.game-apk1.com为例。 服务范围：根据您的业务需要选择服务范围。 业务类型：实际业务结合应用场景选择合适的业务类型。 源站类型：选择源站IP或源站域名。 单击确定，完成域名添加。 配置过程大概需要5-10分钟，当“状态”为“已开启”时，表示域名添加成功 添加加速域名后，为保证顺利切换不影响业务，建议先做测试再切换DNS解析，测试流程请参考本地测试加速域名。 配置CNAME 添加加速域名后，CDN会自动生成一条CNAME域名。加速域名在CDN服务中获得的CNAME域名不能直接访问，必须在加速域名的域名服务商处配置CNAME记录，将加速域名指向CNAME域名，访问加速域名的请求才能转发到CDN节点上，达到加速效果。本实践中自动生成的CNAME域名为“download.game-apk1.com.c.cdnhwc1.com”。不同DNS服务商的CNAME配置方式不同，此处以华为云云解析服务为例。其他DNS服务商的CNAME配置方法可参考配置CNAME域名解析。 登录华为云控制台，在控制台首页选择“网络 > 云解析服务DNS”，进入云解析服务页面。 在左侧菜单栏中，选择“域名解析 > 公网解析”，进入公网域名列表页面。 在待添加记录集的域名所在行，单击“域名”列的域名名称。本实践中对应的域名为“game-apk1.com.”。 单击“game-apk1.com”，进入域名解析页面，然后单击右上角“添加记录集”，进入“添加记录集”弹出框。 根据界面提示填写参数配置，下表中未提到的参数可保持默认值。 参数 说明 示例 主机记录 主机记录指域名前缀。 本示例填写：download 类型 记录集的类型，此处为CNAME类型。 CNAME-将域名指向另外一个域名 别名 用于是否将此记录集关联至云服务资源实例。 否 线路类型 用于DNS服务器在解析域名时，根据访问者的来源，返回对应的服务器IP地址。 添加解析线路类型时，切记先添加默认线路类型，以保证网站可访问。 全网默认 TTL(秒) TTL指解析记录在本地DNS服务器的有效缓存时间。如果您的服务地址经常更换，建议TTL值设置相对小些，反之，建议设置相对大些。 默认为“5分钟”，即300s。 值 需指向的域名。 如果没有开启CDN加速，该值为ECS访问域名；如果开启CDN加速后，该值为CDN分配的CNAME域名。 download.game-apk1.com.c.cdnhwc1.com 单击“确定”，完成添加。 验证CNAME配置是否生效。 打开Windows操作系统中的cmd程序，输入如下指令： nslookup -qt=cname 加速域名 本实践中加速域名为“download.game-apk1.com”。如果回显CDN分配的CNAME域名，则表示CNAME配置已经生效。

CDN支持添加泛域名作为加速域名吗？ CDN支持添加泛域名作为加速域名。“泛域名”是指利用通配符“*”来做次级域名，以实现所有的次级域名均指向同一IP地址。如您在CDN添加泛域名*.test.com作为加速域名，并将*.test.com解析至CDN生成的CNAME域名后，那么您所有*.test.com的次级域名（如a.test.com）都将默认支持CDN加速。泛域名（*.test.com）的三级域名（如b.a.test.com）则不会被CDN加速。 泛域名添加规则如下： A帐号添加泛域名后，其他帐号不能再添加该泛域名的一级域名下所有次级域名。 泛域名不允许嵌套，如已添加*.a.b.com泛域名，不允许再添加 *.c.a.b.com和*.b.com。 泛域名的所有次级域名的加速都会产生费用，泛域名有多个次级域名时，CDN统计时将泛域名的产生的流量做汇总， 不提供单个次级域名的计费数据。 目前CDN控制台已支持自助配置泛域名加速，请您前往CDN控制台>域名管理>添加域名完成自助配置。

CDN支持添加泛域名作为加速域名吗？ CDN支持添加泛域名作为加速域名。“泛域名”是指利用通配符“*”来做次级域名，以实现所有的次级域名均指向同一IP地址。如您在CDN添加泛域名*.test.com作为加速域名，并将*.test.com解析至CDN生成的CNAME域名后，那么您所有*.test.com的次级域名（如a.test.com）都将默认支持CDN加速。泛域名（*.test.com）的三级域名（如b.a.test.com）则不会被CDN加速。 泛域名添加规则如下： A帐号添加泛域名后，其他帐号不能再添加该泛域名的一级域名下所有次级域名。 泛域名不允许嵌套，如已添加*.a.b.com泛域名，不允许再添加 *.c.a.b.com和*.b.com。 泛域名的所有次级域名的加速都会产生费用，泛域名有多个次级域名时，CDN统计时将泛域名的产生的流量做汇总， 不提供单个次级域名的计费数据。

控制台功能 华为云CDN功能丰富，本章通过表格的形式为您展示各项功能。 如果您想。。。 您可以参考。。。 管理已经添加的加速域名 启用/停用加速域名，移除加速域名，复制配置 处理因违规而下线的加速域名 重新审核加速域名，域名下线策略 修改加速域名的基本信息 修改源站信息，变更服务范围，IPv6配置 对回源配置进行一系列修改 回源HOST，Range回源，回源跟随，OBS私有桶回源，回源请求头，改写回源URL，回源超时时间 使用HTTPS协议更安全的进行CDN加速 HTTPS证书配置，OCSP Stapling配置，强制跳转配置，HTTP/2配置，TLS版本配置 更合理的配置CDN缓存规则，降低回源率 缓存配置，URL参数，缓存遵循源站，智能压缩，状态码缓存时间 对访问者身份进行识别和过滤 防盗链配置，IP黑白名单配置，URL鉴权，UA黑白名单 域名高级配置 HTTP Header配置，自定义错误页面 让CDN节点及时获取源站最新资源和缓解源站压力 缓存刷新，缓存预热 通过控制台查询并监控CDN用量数据的统计分析 统计分析 通过分析日志，快速定位和发现问题 日志管理，审计 验证指定IP地址是否为华为云CDN节点的IP动作 节点IP归属查询 进行CDN和OBS的联合配置 CDN加速OBS桶文件 创建企业项目管理CDN 创建并授权CDN企业项目

网站接入流程说明 购买WAF云模式后，您可以参照图3所示的配置流程，快速使用WAF。 图3 网站接入WAF的操作流程图-云模式 表1 域名接入WAF操作流程说明 操作步骤 说明 步骤一：添加防护域名（云模式） 配置域名、协议、源站等相关信息。 步骤二：放行WAF回源IP 如果您的源站服务器安装了其他安全软件或防火墙，建议您配置只允许来自WAF的访问请求访问您的源站，这样既可保证访问不受影响，又能防止源站IP暴露后被黑客直接攻击。 步骤三：本地验证 添加域名后，为了确保WAF转发正常，建议您先通过本地验证确保一切配置正常，然后再修改DNS解析。 步骤四：域名接入配置 域名在接入WAF前未使用代理 到该域名的DNS服务商处，配置防护域名的别名解析。 域名在接入WAF前使用代理（DDoS高防、CDN等） 将使用的代理类服务（DDoS高防、CDN等）的回源地址修改为的目标域名的“CNAME”值。 域名接入WAF后，WAF作为一个反向代理存在于客户端和服务器之间，服务器的真实IP被隐藏起来，Web访问者只能看到WAF的IP地址。

基本概念 静态资源 每次访问得到的都是相同的文件，例如：图片、视频、网站中的文件（html、css、js）、软件安装包、apk文件、压缩包文件等。 动态资源 每次访问得到的都是不同的文件，例如：网站中的文件（asp、jsp、php、perl、cgi）、API接口、数据库交互请求等。 加速域名 加速域名是用户提供的需要使用CDN加速服务的域名，域名是便于记忆和沟通的一组服务器的地址，应用于网站，电子邮件，FTP等。 CNAME记录 CNAME记录是指域名解析中的别名记录（Canonical Name），允许将多个域名映射到同一个域名。 例如： 您有一台服务器存放了一些文件，可以通过file.example.com访问该资源，但是希望通过另一个域名data.example.com也能访问。 那么您可以在DNS解析服务商处新增一条CNAME记录，将data.example.com指向file.example.com。 添加CNAME记录后，所有访问data.example.com的请求就会指向file.example.com，获得相同内容。 CNAME域名 用户在管理控制台添加加速域名后，系统会为加速域名分配一个对应的“CNAME域名”（域名形式为：*.*.c.cdnhwc1.com）。用户需要在域名服务商处，配置一条CNAME记录，将加速域名指向“CNAME域名”，记录生效后，域名解析的工作就正式转向CDN服务，该域名所有的请求都将转向CDN节点，达到加速效果。 源站 源站指用户的业务服务器，即被加速分发数据的来源。 DNS TCP/IP网络中的功能实体，通过该服务器，用户只通过域名就可以访问对应的服务器。在TCP/IP网络中域名与IP地址一一对应，域名便于记忆，但网络中的服务器间只能通过IP地址相互识别，域名和IP地址之间的转换称为域名解析，域名解析需要通过专门的域名解析服务器来完成，DNS就是进行域名解析的服务器。 例如：您访问xxx.abc.com会通过DNS转换成xxx.xxx.1.1（IP地址）。您可以使用华为云解析，也可以使用其他的DNS服务商。 边缘节点 边缘节点也称CDN节点、Cache节点等，指距离最终用户接入具有较少的中间环节的网络节点，对最终接入用户有较好的响应能力和连接速度。 回源 CDN节点未缓存资源或者缓存资源已到期时，节点会回源站获取资源，返回给客户端。 例如：您访问某个URL，如果解析到CDN节点未缓存该资源，则您的访问请求会直接到源站获取资源，并根据URL请求返回。 回源HOST 源站决定了回源时，请求到源站的IP地址。回源HOST决定回源请求访问到该IP地址的哪个站点。 例1：源站为域名时，源站为www.xxx.com，回源HOST为www.abc.com，实际回源的是www.xxx.com解析到的IP站点www.abc.com。 例2：源站为IP地址时，源站为192.168.1.1，回源HOST为www.abc.com，实际回源的是192.168.1.1对应主机上的站点www.abc.com。 SSL/TLS SSL（Secure Sockets Layer，安全通讯协议），是一个构架于TCP之上的安全套接层，是为网络通信提供安全及数据完整性的一种安全协议。标准化之后的SSL名称为TLS（Transport Layer Security，传输层安全协议）。 URL参数 根据业务需要判断是否启用该项配置，对用户请求URL中“?”之后的参数进行过滤，提高缓存命中率。

错误码 当您调用API时，如果遇到“APIGW”开头的错误码，请参见API网关错误码进行处理。 状态码 错误码 错误信息 描述 处理措施 200 CDN.0005 The upper limit is exceeded. 超出最大限制。 请按配额合理规划操作，或提工单申请扩大配额。 200 CDN.0016 This service type is not supported. 不支持的业务类型。 请输入正确的业务类型。 200 CDN.0101 The acceleration domain name already exists. 加速域名已经添加。 请提交工单处理。 200 CDN.0102 The domain name has not been filed or the filing has expired. 加速域名审核失败。 请在工信部为加速域名备案。 200 CDN.0103 Information about the origin server format is incorrect. 源站审核失败。 请在工信部为源站域备案。 200 CDN.0104 The number of acceleration domain names has reached the upper limit. 加速域名已达到上限。 请提交工单申请扩大域名配额。 200 CDN.0105 The acceleration domain name does not exist. 加速域名不存在。 请确认操作域名是否正确，如确认正确请提交工单处理。 200 CDN.0106 This operation is not supported by the domain name in the current state. 当前域名状态无法操作。 请检查域名是否被封禁、锁定或域名状态是否支持当前操作（如：未在启用状态下的域名不可执行停用操作）。 200 CDN.0107 The retrieval host failed the audit. 回源host审核失败。 请在工信部为回源host域名备案。 200 CDN.0108 The URL domain name is not the acceleration domain name of the current tenant. 域名不属于当前租户。 请确认操作域名是否正确，如确认正确请提交工单处理。 200 CDN.0109 The domain name of the origin server must be different from the acceleration domain name. 源站域名不能与加速域名相同。 源站域名不能与加速域名相同，需要调整加速域名。 200 CDN.0110 The number of URLs to be preheated or refreshed exceeds the upper limit. URL数超出预热刷新限制。 请提交工单申请扩大刷新预热配额。 200 CDN.0114 The billing mode has not been configured. CDN服务未开通。 请前往CDN服务界面选择计费模式并开通CDN服务。 200 CDN.0115 Acceleration domain names are prohibited. 域名已被封禁。 请提交工单申请解封。 200 CDN.0116 Acceleration domain names are locked. 域名已被锁定。 请提交工单申请取消锁定。 200 CDN.0117 If the retrieval host is set to an origin server domain name, the origin server cannot be an IP address. 源站域名为回源HOST，源站不能为IP地址形式。 请修改源站接入形式。 200 CDN.0120 The domain name has been added by another user. 域名已被其他用户添加。 请提交工单处理。 200 CDN.0121 The IP address must not be an internal network IP address. 输入的IP不能是内网IP。 IP不能是内网IP地址，请检查填写的IP地址类型。 200 CDN.0126 Only domain names that are disabled or fail to be configured, audited, or synchronized can be deleted. 仅停用，配置失败，审核失败，同步失败的域名才可进行删除操作。 请检查域名状态是否为停用、配置失败、审核失败或同步失败，其他状态无法删除。 200 CDN.0127 The domain name format is incorrect. 域名格式错误。 请填写正确格式的域名。 200 CDN.0128 The service type is incorrect. 业务类型错误。 请根据接口文档填写正确的业务类型。 200 CDN.0129 The origin type is incorrect. 源站类型错误。 请根据接口文档填写正确的源站类型。 200 CDN.0130 The number of origin server IP addresses exceeds the upper limit. 源站IP个数超出限制。 请检查输入的IP是否超出数量限制。 200 CDN.0131 The number of origin server domain names exceeds the upper limit. 源站域名个数超出限制。 请检查输入的源站域名个数是否超出数量限制。 200 CDN.0132 The retrieval host type is incorrect. 回源Host类型错误 请根据接口文档填写正确的回源host类型 200 CDN.0133 The retrieval host is incorrect. 回源host错误。 请根据接口文档填写正确格式的回源host。 200 CDN.0134 The weight of cache rules must be an integer from 1 to 100. 缓存规则的权重应为1到100之间的整数。 请输入1-100的整数。 200 CDN.0135 The cache rule type is incorrect. 缓存规则类型错误。 请根据接口文档查看CDN支持的缓存规则类型。 200 CDN.0136 The time range must fall within 0 to 365 days. 时间范围必须在0到365天内。 请输入0-365天。 200 CDN.0137 The cache rule format is invalid. 缓存过期规则设置格式不合法。 请根据接口文档查看CDN支持的缓存规则格式。 200 CDN.0138 The anti-leeching URL type is incorrect. 防盗链类型错误。 请根据接口文档填写CDN支持的防盗链类型。 200 CDN.0139 The number of anti-leeching domain names must range from 1 to 100. 防盗链域名数量必须在1~100之间。 请输入1-100个防盗链域名。 200 CDN.0141 The domain name is not filed with the Ministry of Industry and Information Technology of the People's Republic of China. 域名未备案。 加速域名未备案。 200 CDN.0142 Https not support yet. 不支持https协议。 / 200 CDN.0143 The ownership of the domain name is not verified. 泛域名所有权未验证。 请检查创建的泛域名是否与已有域名冲突或提交工单联系运维处理。 200 CDN.0145 Only domain names in the Enabled state and that are not banned or locked in the background support this operation. 只有处于已开启状态的域名才可执行此操作。 请检查域名是否处于启用状态。 200 CDN.0147 The origin is an OBS domain name. Retrieval host cannot be modified. OBS桶做为源站，不能修改回源host。 / 200 CDN.0148 The origin is an OBS domain name. Standby origin cannot be configured. OBS桶做源站，不能添加备源站。 / 200 CDN.0156 ****, source is illegal. 源站无效 更换有效源站。 200 CDN.0163 The domain has special config. Please contact CDN operators to change. 域名有特殊配置。 请联系CDN管理员修改。 200 CDN.0201 Domain name error. 域名错误。 加速域名无效或不存在，请刷新页面检查域名是否在域名列表中，如果仍有问题，请提交工单处理。 200 CDN.0202 Statistical time error. 统计时间错误。 请按接口文档检查统计开始时间、结束时间是否正确，如查询范围超限、开始时间大于结束时间、时间为负数等。 200 CDN.0203 Sampling interval error. 采样间隔错误。 请检查采样间隔是否与时间跨度匹配。 200 CDN.0401 Certificates are deleted mistakenly. 证书删除错误。 请提交工单处理。 200 CDN.0402 The certificate or private key cannot be left blank. 证书或私钥不能为空。 请检查是否输入了证书或私钥。 200 CDN.0403 The certificate must be in the PEM format. 证书格式需要为pem。 请检查证书格式是否为PEM格式。 200 CDN.0404 The private key format must be in the PEM format.. 私钥格式需要为pem。 请检查私钥格式是否为PEM格式。 200 CDN.0405 The certificate and private key do not match. 证书与私钥不匹配。 请检查证书是否与私钥配对。 200 CDN.0406 The certificate and domain name do not match. 证书与域名不匹配。 请检查证书是否与加速域名配对。 200 CDN.0407 Certificate error. 证书错误。 请提交工单处理。 200 CDN.0408 The certificate has expired. 证书已过期。 请更新证书链中的证书。 200 CDN.0409 The certificate will expire in less than 24 hours. 证书剩余有效期不足24小时。 请更新证书链中的证书。 200 CDN.0410 The certificate chain cannot be supplemented. 证书链无法补齐。 请补齐证书链。 200 CDN.0411 The certificate status is incorrect. 证书状态不正确。 请提交工单处理。 200 CDN.0412 The length of the certificate or private key content exceeds the upper limit. 证书或私钥内容长度超出限制。 请查看CDN资料查看证书支持长度。 200 CDN.0413 The certificate not yet valid. 证书还未生效。 请提交工单处理。 200 CDN.0414 Invalid private key format of the certificate. Only RSA format is supported. 证书私钥错误。 请提交工单处理。 400 CDN.0001 Parameter error. 参数格式错误（格式错误或者缺失参数）。 请根据接口文档核对并纠正错误参数。 401 CDN.0002 Unauthenticated user. 用户未鉴权。 请携带正确的鉴权信息。 403 CDN.0004 Insufficient permission. 用户权限不足。 请检查是否拥有操作权限。如没有，请获取相应操作权限；如有，请提交工单处理。 403 CDN.0020 The user is not authorized to the enterprise project. 对应用户无该企业项目授权。 请先获取企业项目授权。 403 CDN.0021 The user does not have operation permissions because the fine-grained authentication is not passed. 对应用户细粒度鉴权不通过，无操作权限。 请先获取细粒度鉴权。 404 CDN.0003 The object does not exist. 对象不存在。 请确定操作的对象存在。 500 CDN.0000 System error. 系统内部错误。 请提交工单处理。

约束条件 添加域名时“是否已使用代理”配置错误将导致无法成功获取Web访问者请求的真实IP地址。 为了保证WAF的安全策略能够针对真实源IP生效，成功获取Web访问者请求的真实IP地址，如果WAF前使用了CDN、云加速等七层代理的产品，“是否已使用代理”务必选择“是”，其他情况，“是否已使用代理”选择“否”。 常规情况下，X-Forwarded-For字段中，第一个IP就是客户端真实IP，当IPV6地址长度超过X-Forwarded-For字段长度限制时，将读取不到IP地址；另外，nat64下，ELB是IPv4的监听器，也读不到ipv6地址。

排查访问异常是CDN节点问题还是源站问题 检查其他网站能否访问，比如“https://www.huaweicloud.com/”，确保客户端网络没有问题。 检查源站是否正常 CDN支持源站为域名或者IP，请根据您的设置选择合适的测试方式。 如果CDN的源站不支持直接访问，例如：源站为OBS桶域名或WAF的CNAME域名，请使用b方法排查。 源站为域名：以加速域名为“www.a.com”，源站域名为“www.source.com”，不能访问的URL为“http://www.a.com/a.html”为例。 用源站域名替换URL中的加速域名，即“http://www.a.com/a.html”替换为“http://www.source.com/a.html”。 在浏览器中打开替换后的URL，每次测试前请清除浏览器缓存。 如果不能访问，则代表源站异常，请检查您的源站。 如果可以访问，则代表源站正常。 源站为IP：以加速域名为“www.example.com”，源站IP为“49.4.3.125”，操作系统为windows为例。 在C:\Windows\System32\drivers\etc\hosts文件中添加加速域名www.example.com和IP地址49.4.3.125的绑定关系。如下图所示。 在浏览器中打开不能访问的URL，每次测试前请清除浏览器缓存。 如果不能访问，则代表源站异常，请检查您的源站。 如果可以访问，则代表源站正常。 检查CDN节点是否故障 在客户端浏览器Chrome上输入无法访问的URL，按F12，选择“Network”>“headers”>“Remote Address”，获得节点IP。 在C:\Windows\System32\drivers\etc\hosts文件中添加加速域名和IP地址的绑定关系。 ping加速域名，如果ping不通，说明CDN节点异常，请联系华为工程师协助处理。 如果能ping通，说明CDN节点正常。

约束条件 接入Web应用防火墙的网站已使用公网ELB（Elastic Load Balance）代理用作负载均衡。 为了保证WAF的安全策略能够针对真实源IP生效，成功获取Web访问者请求的真实IP地址，如果WAF前没有使用CDN、云加速等七层代理服务器，且ELB使用的是四层负载均衡（NAT等方式），“是否已使用代理”务必选择“否”，其他情况，“是否已使用代理”选择“是”。 请确保防护域名经过ICP备案，未备案域名将无法正常使用WAF。

操作步骤 在OBS管理控制台左侧导航栏选择“桶列表”。 在桶列表单击待操作的桶，进入“概览”页面。 在左侧导航栏选择“域名管理”，进入“域名管理”界面。 单击“绑定用户域名”，在用户域名中输入需要绑定的自定义域名，如图1所示。 域名后缀目前支持的范围为2~6个英文大小写字母。 图1 绑定用户域名 （可选）配置CDN加速。 开启CDN加速后，可配置网站加速、文件下载加速和点播加速。详细应用场景请参见应用场景。通过CDN实现OBS文件下载加速的详细配置方法请参见最佳实践。 CDN加速需收费，具体请参见CDN价格说明。同时OBS提供更加优惠的回源流量包，可以减少CDN加速场景下获取数据时产生的流量费用。 CDN加速非实时生效，绑定域名后请刷新域名管理列表查看状态。只有当CNAME域名状态为“已开启”时，才表示CDN加速生效。 如果开启了自动刷新缓存，在CNAME域名状态变为“已开启”后，还需要等待最长约5分钟，自动刷新缓存配置才生效。 单击“确定”。 在域名解析服务器上配置CNAME记录，将用户自定义域名（例如example.com）映射成桶域名。若您配置了CDN加速，CNAME通过域名管理界面“CNAME域名”列获取。 不同DNS服务商的CNAME配置方式不同，此处以华为云云解析服务为例。其他DNS服务商的CNAME配置方法可参考配置CNAME域名解析。 若您使用的是DNS服务商为华为云，您可通过如下步骤配置CNAME记录。 登录华为云控制台，在控制台首页选择“网络 > 云解析服务 DNS”，进入云解析服务页面。 在左侧菜单栏中，选择“公网域名”，进入域名列表页面。 在待添加记录集的域名所在行，单击“域名”列的域名名称。 单击“添加记录集”，进入“添加记录集”页面。 根据界面提示填写参数配置，参数信息如表1所示。下表中未提到的参数可保持默认值。 表1 参数说明 参数 参数说明 取值样例 主机记录 主机记录指域名前缀。 www 类型 记录集的类型，此处为CNAME类型。 CNAME-将域名指向另外一个域名 别名 用于是否将此记录集关联至云服务资源实例。 否 线路类型 用于DNS服务器在解析域名时，根据访问者的来源，返回对应的服务器IP地址。 添加解析线路类型时，切记先添加默认线路类型，以保证网站可访问。 全网默认 TTL(秒) 记录集的有效缓存时间，以秒为单位。 默认为“5分钟”，即300s。 值 需指向的域名。 若没有开启CDN加速，该值为桶访问域名； 若开启CDN加速后，该值为CDN分配的CNAME域名。 单击“确定”，完成添加。 验证CNAME配置是否生效。 打开Windows操作系统中的cmd程序，输入如下指令： nslookup -qt=cname 桶绑定的自定义域名 没有开启CDN加速：如果回显OBS桶域名，则表示CNAME配置已经生效。 开启CDN加速：如果回显CDN分配的CNAME域名，则表示CNAME配置已经生效。

CDN受到恶意攻击会计费吗？ 遭受攻击消耗的流量或带宽会按CDN的计费规则计费。 当域名遭受攻击影响到CDN其他用户或者CDN自身安全时，CDN封禁加速域名，最终域名状态调整为“停用”，停止CDN加速服务。域名停用后将无法正常访问，但域名配置信息仍会保留，待攻击停止后可联系客服申请解除封禁。 应对办法 建议您给域名配置访问控制功能（包括Referer防盗链、IP黑白名单和URL鉴权），以避免产生不必要的流量带宽消耗。详细设置请参见访问控制。 建议您开通费用预警功能，当账户可用额度低于一定金额时，系统会发送短信提醒。 CDN为您提供安全加速功能，更加全面的防护您的网站，您可以联系客户经理申请开通该功能。 您可以开通实时监控服务，通过对接CES（云监控服务）实现实时查看帐号下加速域名的基础数据（流量、带宽、状态码等）、设置告警等功能。此功能目前暂未开通控制台自助配置，如需使用，请联系您的客户经理提交需求，由技术人员评估是否满足开通条件。 为了确保统计数据的完整性和账单的准确性，CDN产品账单生成时间会存在延时，因此实际计费时间晚于对应的CDN资源消耗时间，无法通过账单来实时反馈资源消费情况，这是由于CDN产品自身的分布式节点特性导致，也是业界通用的处理方法。

操作步骤 登录华为云控制台，在控制台首页中选择“CDN与智能边缘 > CDN”，进入CDN控制台。 在左侧菜单栏中，选择“域名管理”。 在域名列表中，单击需要修改的域名或域名所在行的“设置”，进入域名配置页面。 选择“基本配置”页签。 在源站配置模块，单击“编辑”，系统弹出“修改源站信息”对话框。 根据您的实际业务需求修改主源站参数，如图1所示。参数说明如表1所示。 图1 修改源站信息 表1 源站参数 参数 说明 源站IP 最多支持输入15个IP地址，以“;”进行分隔。 源站域名 只能输入一个源站域名。 OBS桶域名 需要您已购买华为云OBS桶作为源站。 说明： 如果您将OBS私有桶域名设置为源站，您还需开启OBS私有桶回源，否则会导致CDN回源失败。具体开启方法请参见OBS私有桶回源。 如果您使用自定义OBS私有桶作为源站，您需要为私有桶配置桶策略，配置详见自定义OBS私有桶策略配置。 回源端口 CDN支持自定义端口回源。 当您选择OBS桶作为源站时，不支持自定义端口。 回源HOST 修改回源HOST信息，详见回源HOST。 使用OBS桶作为CDN加速域名的源站，OBS将收取CDN回源的流量费用。详细信息请参见CDN加速OBS计费规则。 配置完成大约需要5到10分钟。 （可选）在备源站添加框单击“添加备源站”。 （可选）根据您的实际业务需求新增或修改备源站参数，备源站新增/修改方法及参数要求与主源站一致。 单击“确定”，完成源站配置。 主备源站配置完成后，您可以手动一键切换主备源站。

返回404状态码 访问CDN加速后的资源，返回404状态码，请按照以下步骤排查： 测试源站的URL访问是否404，排查是否是源站异常，测试步骤详见排查访问异常是CDN节点问题还是源站问题。 如果源站访问正常，请登录CDN控制台，在域名基本配置中检查回源HOST是否正确，详见回源HOST。 源站与回源HOST的区别如下所示： 源站：源站决定了用户回源时访问的地址，即源站服务器IP。 回源HOST：回源HOST决定了回源时访问到该IP地址上的具体站点。 示例：源站IP为x.x.x.x，加速域名www.example.com，源站中部署了多个站点：www.a.com、www.b.com。 如果您想要CDN回源到本服务器，您需要在CDN侧将源站配置为：x.x.x.x。 CDN默认回源HOST为加速域名www.example.com。如果您需要访问到的站点为www.a.com，您就需要将回源HOST配置为www.a.com；如果您需要访问到的站点为www.b.com，您就需要将回源HOST配置为www.b.com。 如果您的源站是OBS桶，则回源HOST必须是OBS桶域名。 如果您的源站为第三方对象存储桶，您需要将回源HOST修改为您的对象存储桶域名。 检查源站配置是否正确，登录CDN控制台，在域名基本配置中检查源站的配置是否为该域名的源站服务器，若不是，请修改成对应的服务器IP或域名。

故障相关 域名未在华为云上接入过CDN，系统提示该域名已添加 配置HTTPS安全加速后，为什么访问加速域名不成功？ 经过CDN加速后的URL无法访问 IAM子帐号调用CDN API报权限不足 配置HTTPS安全加速任务一直处于配置中状态 刷新URL成功，但访问到的还是旧资源 从CDN获取到的数据是旧的，没有更新缓存 接入CDN后，部分资源下载失败，浏览器提示跨域异常 使用OBS私有桶做源站，创建授权委托失败 源站访问正常，但是CDN加速后页面显示不正确 修改源站IP地址后，访问网页无法正常显示 访问失败，报Access-Control-Allow-Origin错误 添加CDN加速后，百度蜘蛛为什么抓取失败？ 为什么OBS桶接入CDN后，访问域名会列出所有文件列表？ 为什么CDN配置好以后，视频播放卡顿？ 为什么CDN被禁用了？ 为什么域名配置HTTPS后页面一直提示301？ 为什么配置CDN加速后，ping加速域名出现超时？ 源站支持跨域请求，但是通过CDN加速后为什么跨域请求失败？ 配置CDN加速后，回源获取的资源不正确 配置CDN后，为什么首次访问很慢？ 配置了CDN加速，为什么中国大陆境外无法访问？ 使用CDN加速OBS桶文件后访问变成强制下载

WAF访问日志access_log字段说明 字段 类型 字段说明 描述 requestid string 随机ID标识 与攻击日志的“req_id” 字段末尾8个字符一致。 time string 访问请求的时间 日志内容记录的GMT时间。 eng_ip string WAF引擎IP - hostid string 访问请求的域名标识 防护域名ID(upstream_id)。 tenantid string 防护域名的租户ID 一个华为云帐号对应一个租户ID。 projectid string 防护域名的项目ID 用户在对应区域下的项目ID。 remote_ip string 请求的客户端IP 请求的客户端IP。 须知： 如果在WAF前部署了7层代理，本字段表示最靠近WAF的代理节点的IP地址。此时，真实访问者IP参考“x-forwarded-for”，“x_real_ip”字段。 x-forwarded-for string 当WAF前部署代理时，代理节点IP链 代理节点IP链，为1个或多个IP组成的字符串。 最左边为最原始客户端的IP地址，代理服务器每成功收到一个请求，就将请求来源IP地址添加到右边。 x_real_ip string 当WAF前部署代理时，真实的客户端IP 代理节点识别到的真实客户端IP。 cdn_src_ip string 当WAF前部署CDN时CDN识别到的客户端IP 当WAF前部署CDN时，此字段记录的为CDN节点识别到的真实客户端IP。 须知： 部分CDN厂商可能使用其他字段，WAF仅记录最常见的字段。 scheme string 请求协议类型 请求所使用的协议有： http https response_code string 请求响应码 源站返回给WAF的响应状态码。 method string 请求方法 请求行中的请求类型。通常为“GET”或“POST”。 http_host string 请求的服务器域名 浏览器的地址栏中输入的地址，域名或IP地址。 url string 请求URL URL链接中的路径（不包含域名）。 request_length string 请求的长度 包括请求地址、HTTP请求头和请求体的字节数。 bytes_send string 发送给客户端的总字节数 WAF返回给客户端的总字节数。 body_bytes_sent string 发送给客户端的响应体字节数 WAF返回给客户端的响应体字节数 upstream_addr string 选择的后端服务器地址 请求所对应的源站IP。例如，WAF回源到ECS，则返回源站ECS的IP。 request_time string 请求处理时间 从读取客户端的第一个字节开始计时。 upstream_response_time string 后端服务器响应时间 后端服务器响应WAF请求的时间。 upstream_status string 后端服务器的响应码 后端服务器返回给WAF的响应状态码。 upstream_connect_time string 后端服务器连接用时 源站与后端服务建立连接的时间。如果后端服务使用了加密协议，该参数包括握手的时间。 upstream_header_time string 后端服务器接收到第一个响应头字节的用时 - bind_ip string WAF引擎回源IP WAF引擎所使用的回源IP。 group_id string 对接LTS服务的日志组ID WAF对接云日志服务日志组ID。 access_stream_id string 日志流ID 与“group_id”相关，是日志组下用户的access_stream的ID。 engine_id string WAF引擎标识 WAF引擎的唯一标识。 time_iso8601 string 日志的ISO 8601格式时间 - sni string 通过SNI请求的域名 - tls_version string 建立SSL连接的协议版本 请求所使用的TLS协议版本。 ssl_curves string 客户端支持的曲线列表 - ssl_session_reused string SSL会话是否被重用。 表示SSL会话是否被重用。 r：是 .：否 process_time string 引擎的检测用时 -

域名配置 CDN是否支持配置带端口的加速域名？ CDN加速域名可以用子域名吗？ CDN加速域名的CNAME是否可以直接访问？ CDN添加安全证书后，源站还需要配置证书吗？ CDN支持HTTPS的哪些版本？ 审核未通过的域名还可以再修改吗？ 如何验证CDN是否生效？ 如何配置CDN多个域名指向同一网站？ 多个加速域名是否可以使用同一源站IP地址？ 不在中国大陆的域名，添加中国大陆服务范围的CDN加速是否需要备案？ 一级域名已在中国大陆备案，二级域名解析在中国大陆境外，是否支持将二级域名接入CDN？ 域名未备案，是否可以使用CDN？ 使用OBS桶作为源站接入CDN加速，OBS域名能否作为加速域名？ 网站服务在国内如何设置加速网站域名？ 接入CDN的域名能否根据QPS（每秒请求数）进行限流？ 华为云CDN是否支持加速经过VPN跳转的资源？ 使用华为云CDN加速，域名解析是否必须在华为云？ 同一个CDN加速域名能否同时支持国内和海外？ 已经停用域名，更换域名解析，为什么访问加速域名还是会到CDN节点？ 如果加速域名是泛域名，如何配置证书？ 是否支持修改CDN加速的业务类型？ HTTPS证书配置提交时提示“证书链不齐全”，如何进行证书链补齐？ HTTPS证书配置提交时提示“证书格式不对”，如何进行PEM证书格式转换？ HTTPS配置是否支持添加自签名证书？ 域名开启HTTPS后，是否支持HTTP强制跳转HTTPS？ 开启HTTPS强制跳转后，为什么在浏览器内访问正常，但是通过api请求HTTP会导致post请求丢失参数？ 配置HTTPS后还可以使用HTTP访问吗？

CDN有什么安全防护能力（DDoS/CC/防盗链）？ 通过域名接入华为云CDN可以隐藏源站服务器IP地址，避免源站直接暴露给攻击者。 华为云CDN全网拥有2000+加速节点，可以有效缓解DDoS/CC攻击对源站造成的压力，避免源站由于攻击直接瘫痪。 如果攻击流量太大造成CDN加速节点不能正常服务时，会暂时封禁域名，最终域名状态调整为“停用”，停止CDN加速服务。域名停用后将无法正常访问，但域名配置信息仍会保留，待攻击停止后可联系客服申请解除封禁。 另外，CDN支持referer防盗链，IP黑白名单和URL鉴权，具体请参考：访问控制 。

配置步骤 在OBS控制台中开启CDN加速 OBS支持域名管理功能，在OBS上绑定用户域名即可实现使用自定义域名访问OBS，且可以直接在绑定过程中开启CDN加速，不用前往CDN控制台开启。 登录华为云控制台，选择“所有服务 > 存储 > 对象存储服务”，进入OBS管理控制台。 单击存放软件包的桶名称，此处以obs-doc-test为例，进入桶管理页面，如图所示。 左侧导航栏选择“域名管理”，单击“绑定用户域名”。如图所示。 在“绑定用户域名”弹框中配置域名及CDN加速等信息。 用户域名：输入游戏网站域名，此处以download.game-apk1.com为例。 CDN加速：开启CDN加速。 业务类型：实际业务结合应用场景选择合适的业务类型。 系统默认加速范围为“中国大陆”。 OBS自定义域名绑定暂时不支持HTTPS访问自定义域名，只支持HTTP访问自定义域名。 客户自定义域名绑定成功后，若想使用HTTPS进行访问，需同时使用CDN，通过CDN管理控制台进行HTTPS证书管理，即可使用HTTPS访问。 单击“确定”。 配置CNAME 在OBS绑定用户域名时开启CDN加速后，CDN会自动生成一条CNAME域名。加速域名在CDN服务中获得的CNAME域名不能直接访问，必须在加速域名的域名服务商处配置CNAME记录，将加速域名指向CNAME域名，访问加速域名的请求才能转发到CDN节点上，达到加速效果。本实践中自动生成的CNAME域名为“download.game-apk1.com.c.cdnhwc1.com”。不同DNS服务商的CNAME配置方式不同，此处以华为云云解析服务为例。其他DNS服务商的CNAME配置方法可参考配置CNAME域名解析。 登录华为云控制台，在控制台首页选择“网络 > 云解析服务DNS”，进入云解析服务页面。 在左侧菜单栏中，选择“公网域名”，进入公网域名列表页面。 在待添加记录集的域名所在行，单击“域名”列的域名名称。本实践中对应的域名为“game-apk1.com.”。 单击“game-apk1.com”，进入域名解析页面，然后单击右上角“添加记录集”，进入“添加记录集”弹出框。 根据界面提示填写参数配置，下表中未提到的参数可保持默认值 参数 说明 示例 主机记录 主机记录指域名前缀。 本示例填写：download 类型 记录集的类型，此处为CNAME类型。 CNAME-将域名指向另外一个域名 别名 用于是否将此记录集关联至云服务资源实例。 否 线路类型 用于DNS服务器在解析域名时，根据访问者的来源，返回对应的服务器IP地址。 添加解析线路类型时，切记先添加默认线路类型，以保证网站可访问。 全网默认 TTL(秒) TTL指解析记录在本地DNS服务器的有效缓存时间。如果您的服务地址经常更换，建议TTL值设置相对小些，反之，建议设置相对大些。 默认为“5分钟”，即300s。 值 需指向的域名。 如果没有开启CDN加速，该值为桶访问域名；如果开启CDN加速后，该值为CDN分配的CNAME域名。 download.game-apk1.com.c.cdnhwc1.com 单击“确定”，完成添加。 验证CNAME配置是否生效。 打开Windows操作系统中的cmd程序，输入如下指令： nslookup -qt=cname 桶绑定的自定义域名 本实践中桶绑定的自定义域名为“download.game-apk1.com”。如果回显CDN分配的CNAME域名，则表示CNAME配置已经生效。 开启OBS私有桶回源（公共读或公共读写的OBS桶跳过此步骤） 如果您的OBS桶是私有桶，您需要前往CDN控制台开启OBS私有桶回源，CDN才能从OBS中回源获取数据。具体请参见OBS私有桶回源配置。 如果您的OBS桶策略为公共读或公共读写，请不要开启OBS私有桶回源。 如果您的私有桶中有不希望被公开的资源，请将此部分资源移入其它私有桶中。 配置文件下载URL 将代码中需要加速下载的文件URL地址配置为：游戏网站域名+文件在OBS桶中的存储路径+文件名称。 以配置的游戏网站域名download.game-apk1.com以及存储在obs-doc-test桶中的game/3.2.1/文件夹下的android.apk文件为例，文件下载URL的配置如下： https://download.game-apk1.com/game/3.2.1/android.apk 验证业务 待游戏网站重新部署后，登录游戏网站，浏览网页图片、进行游戏下载。 如果图片可以成功显示、游戏可以成功下载，则表示加速配置成功。

CDN受到恶意攻击会无限扣费吗？ 遭受攻击消耗的流量或带宽会按CDN的计费规则计费，详见计费项。 当域名遭受攻击影响到CDN其他用户或者CDN自身安全时，CDN封禁加速域名，最终域名状态调整为“停用”，停止CDN加速服务。域名停用后将无法正常访问，但域名配置信息仍会保留，待攻击停止后可联系客服申请解除封禁。 应对办法 建议您给域名配置访问控制功能（包括Referer防盗链、IP黑白名单和URL鉴权），以避免产生不必要的流量带宽消耗。详细设置请参见访问控制。 建议您开通费用预警功能，当账户可用额度低于一定金额时，系统会发送短信提醒。 为了确保统计数据的完整性和账单的准确性，CDN产品账单生成时间会存在延时，因此实际计费时间晚于对应的CDN资源消耗时间，无法通过账单来实时反馈资源消费情况，这是由于CDN产品自身的分布式节点特性导致，也是业界通用的处理方法。

步骤三：配置CNAME 添加加速域名后，华为云CDN会为您分配相应的CNAME地址，您需要将加速域名指向CNAME地址，访问加速域名的请求才能转发到CDN节点，从而达到加速效果。 这里以您的域名在华为云解析为例，例子中的加速域名为download.game-apk1.com。 获取加速域名的CNAME地址。 进入“CDN控制台 > 域名管理”页面。 在“域名管理”页面，复制加速域名对应的CNAME地址download.game-apk1.com.c.cdnhwc1.com。 添加CNAME记录。 登录华为云控制台，在控制台首页中选择“网络 > 云解析服务DNS”，进入云解析控制台。 在左侧菜单栏中，选择“公网域名”，进入公网域名列表页面。 在待添加记录集的域名所在行，单击“域名”列的域名名称。本实践中对应的域名为“game-apk1.com.”。 单击“game-apk1.com”，进入域名解析页面，然后单击右上角“添加记录集”，进入“添加记录集”弹出框。如图所示。 根据界面提示填写参数配置，参数信息如表1所示。下表中未提到的参数可保持默认值。 表1 参数说明 参数 说明 示例 主机记录 主机记录指域名前缀。 本示例填写：download 类型 记录集的类型，此处为CNAME类型。 CNAME-将域名指向另外一个域名 别名 用于是否将此记录集关联至云服务资源实例。 否 线路类型 用于DNS服务器在解析域名时，根据访问者的来源，返回对应的服务器IP地址。 添加解析线路类型时，切记先添加默认线路类型，以保证网站可访问。 全网默认 TTL(秒) TTL指解析记录在本地DNS服务器的有效缓存时间。如果您的服务地址经常更换，建议TTL值设置相对小些，反之，建议设置相对大些。 默认为“5分钟”，即300s。 值 需指向的域名。 如果没有开启CDN加速，该值为桶访问域名；如果开启CDN加速后，该值为CDN分配的CNAME域名。 download.game-apk1.com.c.cdnhwc1.com 单击“确定”，完成添加。 验证CNAME配置是否正确。 打开Windows操作系统中的cmd程序，输入如下指令： nslookup -qt=cname 加速域名 如果回显CNAME，则表示CNAME配置已经生效，如下图：

配置步骤 在CDN控制台添加加速域名 登录华为云控制台，选择“所有服务 > CDN与智能边缘 > CDN”，进入CDN管理控制台。 单击左侧“域名管理”，进入域名管理页面。 在域名管理页面单击“添加域名”。 在“添加域名”弹框中配置域名及CDN加速等信息，如图所示。 加速域名：输入游戏网站域名，此处以download.game-apk1.com为例。 业务类型：实际业务结合应用场景选择合适的业务类型。 服务范围：根据您的业务需要选择服务范围。 源站类型：选择“OBS桶域名”，选择本帐号下的OBS桶域名或自定义OBS桶域名。 静态网站托管：如果OBS桶开启了静态网站托管，同步勾选。 如果您使用自定义OBS私有桶作为源站，您需要为私有桶配置桶策略，配置详见自定义OBS私有桶策略配置。 单击确定，完成域名添加。 配置CNAME 添加加速域名后，CDN会自动生成一条CNAME域名。加速域名在CDN服务中获得的CNAME域名不能直接访问，必须在加速域名的域名服务商处配置CNAME记录，将加速域名指向CNAME域名，访问加速域名的请求才能转发到CDN节点上，达到加速效果。本实践中自动生成的CNAME域名为“download.game-apk1.com.c.cdnhwc1.com”。不同DNS服务商的CNAME配置方式不同，此处以华为云云解析服务为例。其他DNS服务商的CNAME配置方法可参考配置CNAME域名解析。 登录华为云控制台，在控制台首页选择“网络 > 云解析服务DNS”，进入云解析服务页面。 在左侧菜单栏中，选择“公网域名”，进入公网域名列表页面。 在待添加记录集的域名所在行，单击“域名”列的域名名称。本实践中对应的域名为“game-apk1.com.”。 单击“game-apk1.com”，进入域名解析页面，然后单击右上角“添加记录集”，进入“添加记录集”弹出框。 根据界面提示填写参数配置，下表中未提到的参数可保持默认值。 参数 说明 示例 主机记录 主机记录指域名前缀。 本示例填写：download 类型 记录集的类型，此处为CNAME类型。 CNAME-将域名指向另外一个域名 别名 用于是否将此记录集关联至云服务资源实例。 否 线路类型 用于DNS服务器在解析域名时，根据访问者的来源，返回对应的服务器IP地址。 添加解析线路类型时，切记先添加默认线路类型，以保证网站可访问。 全网默认 TTL(秒) TTL指解析记录在本地DNS服务器的有效缓存时间。如果您的服务地址经常更换，建议TTL值设置相对小些，反之，建议设置相对大些。 默认为“5分钟”，即300s。 值 需指向的域名。 如果没有开启CDN加速，该值为桶访问域名；如果开启CDN加速后，该值为CDN分配的CNAME域名。 download.game-apk1.com.c.cdnhwc1.com 单击“确定”，完成添加。 验证CNAME配置是否生效。 打开Windows操作系统中的cmd程序，输入如下指令： nslookup -qt=cname 桶绑定的自定义域名 本实践中桶绑定的自定义域名为“download.game-apk1.com”。如果回显CDN分配的CNAME域名，则表示CNAME配置已经生效。 开启OBS私有桶回源（公共读或公共读写的OBS桶跳过此步骤） 如果您的OBS桶是私有桶，您需要前往CDN控制台开启OBS私有桶回源，CDN才能从OBS中回源获取数据。具体请参见OBS私有桶回源配置。 如果您的OBS桶策略为公共读或公共读写，请不要开启OBS私有桶回源。 如果您的私有桶中有不希望被公开的资源，请将此部分资源移入其它私有桶中。 配置文件下载URL 将代码中需要加速下载的文件URL地址配置为：游戏网站域名+文件在OBS桶中的存储路径+文件名称。 以配置的游戏网站域名download.game-apk1.com以及存储在obs-doc-test桶中的game/3.2.1/文件夹下的android.apk文件为例，文件下载URL的配置如下： https://download.game-apk1.com/game/3.2.1/android.apk 验证业务 待游戏网站重新部署后，登录游戏网站，浏览网页图片、进行游戏下载。 如果图片可以成功显示、游戏可以成功下载，则表示加速配置成功。

排查步骤 检查故障是源站的问题还是CDN节点的问题，请参照排查访问异常是CDN节点问题还是源站问题排查。 检查域名是否接入CDN加速 如果您刚在控制台添加加速域名，正在进行配置CNAME解析前的测试，请忽略本步骤，参照快速入门流程配置即可。 您需要检查域名是否解析到CDN，以Windows操作系统为例，打开cmd程序，输入如下指令： nslookup -qt=cname 加速域名 如果返回结果显示CNAME，则表示CNAME配置已经生效，如下图： 如果返回结果没有.c.cdnhwc1.com，说明域名未解析到华为云CDN。建议您先执行本地测试加速域名，测试成功后，在DNS域名提供商修改解析记录，配置CDN提供的CNAME，配置步骤请参见配置CNAME 。 如果您确认已正确配置CNAME记录，请检查同一解析线路下该域名的上一记录类型的TTL时间，TTL时间决定了解析记录在本地DNS服务器的缓存时间，您新添加的CNAME记录在上一记录类型的本地TTL缓存时间过期后才会正式生效。 如果域名解析无异常，请进行下一步排查。 排查CDN状态码和域名配置 如果您的域名经过CDN加速后返回4xx、5xx、301/302状态码，请参照以下情况处理： 域名经过CDN加速后返回4xx，请参照访问CDN加速资源后返回4XX状态码。 域名经过CDN加速后返回5xx，请参照访问CDN加速资源后返回5XX状态码。 域名经过CDN加速后返回301/302，请参照访问CDN加速资源后无限循环301/302状态码。 检查源站配置是否正确，登录CDN控制台，在域名基本配置中检查源站的配置是否为该域名的源站服务器，若不是，请修改成对应的服务器IP或域名。 检查账户余额 当您的账户欠费进入保留期后，系统将停用加速域名，您将无法使用CDN。您可以在费用中心查看账户的费用信息，并通过充值来核销欠款。 如果经过以上排查仍无法解决您的问题，请您联系客服或提交工单处理。并提供以下信息： 在客户端使用华为云CDN用户诊断系统，输入加速域名，单击检测，将结果截图。 无法访问的URL。 访问异常的时间。

操作步骤（新版） 登录管理控制台。 单击管理控制台左上角的，选择区域或项目。 单击页面左上方的，选择“安全与合规 > Web应用防火墙 WAF”。 在左侧导航树中，选择“网站设置”，进入“网站设置”页面。 在网站列表左上角，单击“添加防护网站”。 选择“独享模式”并单击“确定”。 配置“域名信息”，如图1所示。 “网站名称”：可选参数，自定义网站名称。 “防护对象”：防护的域名或IP，域名支持单域名和泛域名。 泛域名不支持下划线（_）。 如果各子域名对应的服务器IP地址相同：输入防护的泛域名。例如：子域名a.example.com，b.example.com和c.example.com对应的服务器IP地址相同，可以直接添加泛域名*.example.com。 如果各子域名对应的服务器IP地址不相同：请将子域名按“单域名”方式逐条添加。 “网站备注”：可选参数，网站的备注信息。 图1 配置域名信息 源站配置，如图2所示，参数说明如表2所示。 图2 源站配置 表2 基本信息参数说明 参数 参数说明 取值样例 防护对象端口 在下拉框中选择面要防护的端口。 配置80/443端口，在下拉框中选择“标准端口”。 Web应用防火墙支持的端口请参见WAF支持的端口 说明： 如果配置了除80/443以外的其他端口，访问网站时，需要在网址后面增加非标准端口进行访问，否则访问网站时会出现404错误。 81 服务器配置 网站服务器地址的配置。包括对外协议、源站协议、VPC、源站地址和源站端口。 对外协议：客户端请求访问服务器的协议类型。包括“HTTP”、“HTTPS”两种协议类型。 源站协议：Web应用防火墙转发客户端请求的协议类型。包括“HTTP”、“HTTPS”两种协议类型。 说明： 对外协议与源站协议的具体配置规则，请参见对外协议与源站协议配置规则。 WAF支持WebSocket/WebSockets协议，且默认为开启状态。 VPC：选择独享引擎实例所在的VPC。 源站地址：客户端（例如浏览器）访问的网站服务器的私网/内网IP地址或域名。 源站端口：WAF独享引擎转发客户端请求到服务器的业务端口。 对外协议：HTTP 源站协议：HTTP 源站地址：IPv4 XXX .XXX.1.1 源站端口：80 证书名称 “对外协议”设置为“HTTPS”时，需要选择证书。您可以选择已创建的证书或选择导入的新证书。导入新证书的操作请参见导入新证书。 成功导入的新证书，将添加到“证书管理”页面的证书列表中。有关证书管理的操作，请参见上传证书。 您也可以在CCM管理控制台购买证书并推送到WAF。有关CCM证书推送到WAF的详细操作，请参见推送证书到云产品。 须知： WAF当前仅支持PEM格式证书。如果证书为非PEM格式，请参考导入新证书将证书转换为PEM格式，再上传。 目前华为云SCM证书只能推送到“default”企业项目下。如果您使用其他企业项目，则不能选择使用SCM推送的SSL证书。 如果您的证书即将到期，为了不影响网站的使用，建议您在到期前重新使用新的证书，并在WAF中同步更新网站绑定的证书。 域名和证书需要一一对应，泛域名只能使用泛域名证书。如果您没有泛域名证书，只有单域名对应的证书，则只能在WAF中按照单域名的方式逐条添加域名进行防护。 -- 高级配置，如图3所示。 图3 高级配置 “代理”：为了保证WAF的安全策略能够针对真实源IP生效，成功获取Web访问者请求的真实IP地址，如果WAF前已使用如CDN、云加速等提供七层Web代理的产品，请务必选择“是”。另外，由于真实源IP字段中可能有多个IP，为确保WAF准确获取Web访问者请求的真实IP地址，建议添加防护网站的的IP标记流量标识（例如，CDN代理添加IP标记“CDN-Src-IP”）。有关添加IP标记的详细操作，请参见配置攻击惩罚的流量标识。 选择“策略配置”：默认为“系统自动生成策略”，您也可以选择已创建的防护策略或在域名接入后根据防护需求配置防护规则。 系统自动生成的策略说明如下： Web基础防护（“仅记录”模式、常规检测） 仅记录SQL注入、XSS跨站脚本、远程溢出攻击、文件包含、Bash漏洞攻击、远程命令执行、目录遍历、敏感文件访问、命令/代码注入等攻击行为。 网站反爬虫（“仅记录”模式、扫描器） 仅记录漏洞扫描、病毒扫描等Web扫描任务，如OpenVAS、Nmap的爬虫行为。 “仅记录”模式：发现攻击行为后WAF只记录攻击事件不阻断攻击。 单击“确认”，添加域名完成。 可根据界面提示，完成配置负载均衡、为弹性负载均衡绑定弹性公网IP和放行独享引擎回源IP的操作，建议单击“稍后”。后续参照步骤二：配置负载均衡、步骤三：为弹性负载均衡绑定弹性公网IP和步骤四：放行独享引擎回源IP完成相关操作。 图4 添加域名完成

配置CDN回源，并购买回源流量包，计费未走回源流量包 请检查购买的回源流量包和CDN回源源站桶是否在同一区域。 登录控制台。 在顶部导航栏单击“资源 > 我的套餐”，查看购买的资源包所在区域。 登录CDN控制台，在“域名管理”中查看CDN加速域名所配置的源站OBS桶域名，根据桶域名可以判断出回源源站桶所在的区域。 回源流量包所在区域应该与回源源站桶所在的区域一致，若不一致，请重新购买CDN回源流量包。 登录CDN控制台，查看CDN加速域名配置，查看源站类型是否为OBS桶域名。若设置为源站IP或者源站域名，计费不会走OBS回源流量包。

工作原理 当用户访问使用CDN服务的网站时，本地DNS服务器通过CNAME方式将最终域名请求重定向到CDN服务。CDN通过一组预先定义好的策略(如内容类型、地理区域、网络负载状况等)，将当时能够最快响应用户的CDN节点IP地址提供给用户，使用户可以以最快的速度获得网站内容。使用CDN后的HTTP请求处理流程如下。 HTTP请求流程说明： 用户在浏览器输入要访问的网站域名www.example.com，向本地DNS发起域名解析请求。 本地DNS检查缓存中是否有www.example.com的IP地址记录。如果有，则直接返回给终端用户；如果没有，则向网站授权DNS查询。 网站DNS服务器解析发现域名已经解析到了CNAME：www.example.com.c.cdnhwc1.com。 请求被指向CDN服务。 CDN对域名进行智能解析，将响应速度最快的CDN节点IP地址返回给本地DNS。 用户获取响应速度最快的CDN节点IP地址。 浏览器在得到最佳节点的IP地址以后，向CDN节点发出访问请求。 如果该IP地址对应的节点已缓存该资源，节点将数据直接返回给用户，如图中步骤7和8，请求结束。 如果该IP地址对应的节点未缓存该资源，节点回源请求资源。获取资源后，结合用户自定义配置的缓存策略，将资源缓存至节点，如图中的北京节点，并返回给用户，请求结束。配置缓存策略的操作方法，请参见缓存配置。

注意事项 域名添加后，CDN默认回源HOST为您的加速域名。如果加速域名不是您期望CDN在回源时访问的站点域名时，您需要自定义回源HOST来指明站点域名。 如果您的源站类型为IP地址或域名，您的回源HOST类型默认为加速域名。 如果使用华为云OBS桶作为源站时，默认使用OBS域名作为回源HOST，不可修改。 如果您以源站域名形式将华为云OBS桶或其他云厂商的对象存储桶接入CDN作为源站，请将回源HOST自定义为您的对象存储桶域名，否则会造成回源失败。

返回403状态码 访问CDN加速后的资源，返回403状态码，请您排查以下配置： 请确认您的源站能否正常访问，测试步骤详见排查访问异常是CDN节点问题还是源站问题。 请确认您的加速域名CNAME配置是否正确，请确认CNAME与加速域名匹配，如下图所示，配置CNAME的具体操作请参考：配置CNAME域名解析。 如果您设置了referer防盗链，请确认您的访问地址是否符合referer防盗链规则，访问请求到达CDN节点后，CDN节点会根据配置的referer黑白名单规则，对访问者的身份进行识别和过滤，符合规则的可以顺利访问到该内容。如果不符合规则，该访问请求将会被禁止，返回403禁止访问的错误信息。具体规则请参考防盗链配置。 如果您的源站为OBS桶，源站配置了referer防盗链白名单，且不允许为空，而CDN侧未配置referer防盗链白名单。如果原始请求不带referer防盗链规则，cdn回源时也不携带referer防盗链规则，将导致CDN无法回源而返回403状态码，请在OBS侧修改referer防盗链规则，配置方法请参考防盗链配置。 如果您的源站为OBS私有桶，且未在CDN侧开启私有桶回源，访问会返回403。请在CDN侧开启OBS私有桶回源，配置方法请参考OBS私有桶回源配置。 如果您设置了IP黑白名单，请确认您的IP黑白名单配置，如果您的访问地址在IP黑名单（或者没有在白名单）中，访问请求将会被禁止，返回403禁止访问的错误信息。具体规则请参考IP黑名单配置。 如果您设置了UA黑白名单，请确认您的UA黑白名单配置，如果您的访问地址在UA黑名单（或者没有在白名单）中，访问请求将会被禁止，返回403禁止访问的错误信息。具体规则请参考UA黑名单配置。 如果您设置了URL鉴权，请确认您的鉴权有效时间，如果终端用户访问URL的时间在鉴权有效时间范围以外，该访问请求会返回将会被禁止，返回403禁止访问的错误信息。具体规则请参考URL鉴权。

CDN有哪些默认的缓存配置？是否有效？ 在您使用CDN加速添加域名时，CDN会默认配置相应的缓存规则，详情如下： 1、业务类型选择的是网站加速、文件下载加速或点播加速，且源站类型为源站IP或源站域名的加速域名，会有两条默认缓存规则，如下图所示。 常规动态文件（如： .php .jsp .asp .aspx）默认缓存过期时间为0，对此类动态文件请求会直接回源，此默认规则允许修改和删除。 所有文件默认30天缓存过期时间，此默认规则允许修改，不允许删除。 2、如果您在添加域名里源站类型选择的是“OBS桶”，默认只有“所有文件”这一条缓存规则，允许修改，不允许删除。 以上缓存规则均有效，如果您要改变缓存过期时间，请前往CDN控制台>域名管理>缓存配置页面修改。 3、业务类型为全站加速时，默认有“所有文件”、缓存过期时间为“0”的缓存规则，允许修改和删除。

实施步骤 （可选）购买CDN回源流量包 当回源获取数据时，CDN访问OBS会产生回源流量。OBS提供回源流量包，可以减少回源流量产生的流量费用。 登录华为云控制台，在控制台首页选择“存储 > 对象存储服务 OBS”，进入OBS管理控制台。 单击页面右上角的“购买资源包”。 根据实际业务需求配置以下参数。 区域：选择待配置CDN加速的桶所在区域。 资源包类型：选择“回源流量包”。 每月流量：根据每月实际流量使用情况选择合适的规格。 购买数量：输入购买回源流量包的数量。与每月流量结合，以组成不同规格的回源流量包。例如购买2个每月1TB的回源流量包，则实得流量为2TB。 购买时长：选择需要购买的回源流量包时长。 生效时间：根据实际情况选择“支付完成后立即生效”或“指定生效时间”。 单击“加入清单”。 在右侧资源包清单中确认资源包信息，单击“立即购买”。 配置CDN点播加速 OBS支持域名管理功能，在OBS上绑定用户域名即可实现使用自定义域名访问OBS，并可以直接在绑定过程中开启CDN加速，而不用前往CDN开启。 登录华为云控制台，在控制台首页选择“存储 > 对象存储服务 OBS”，进入OBS管理控制台。 单击存放软件包的桶名称，此处以“my-video”为例。 在左侧导航栏选择“域名管理”，单击“绑定用户域名”。 在“绑定用户域名”弹框中配置域名及CDN加速等信息，如图2所示。 用户域名：输入视频网站域名，此处以“click.my-video.com”为例。 CDN加速：开启CDN加速。 业务类型：选择“点播加速”。 图2 绑定用户域名 单击“确定”。 配置CNAME 在OBS绑定用户域名时开启CDN加速后，CDN会自动生成一条CNAME域名。通过在域名服务商处配置CNAME记录，将加速域名以CNAME方式指向CDN服务中对应的CNAME域名，域名解析生效后，该域名的所有请求都将转向CDN节点。本示例中自动生成的CNAME域名为“click.my-video.com.c.cdnhwc1.com”。 不同DNS服务商的CNAME配置方式不同，此处以华为云云解析服务为例。其他DNS服务商的CNAME配置方法可参考配置CNAME域名解析。 登录华为云控制台，在控制台首页选择“网络 > 云解析服务 DNS”，进入云解析服务页面。 在左侧菜单栏中，选择“公网解析”，进入公网域名列表页面。 在待添加记录集的域名所在行，单击“域名”列的域名名称。本实践中对应的域名为“my-video.com.”。 单击“添加记录集”，进入“添加记录集”页面。 根据界面提示填写参数配置，参数信息如表2所示。下表中未提到的参数可保持默认值。 表2 参数说明 参数 参数说明 取值样例 主机记录 主机记录指域名前缀。 click 类型 记录集的类型，此处为CNAME类型。 CNAME-将域名指向另外一个域名 别名 用于是否将此记录集关联至云服务资源实例。 否 线路类型 用于DNS服务器在解析域名时，根据访问者的来源，返回对应的服务器IP地址。 添加解析线路类型时，切记先添加默认线路类型，以保证网站可访问。 全网默认 TTL(秒) TTL指解析记录在本地DNS服务器的有效缓存时间。如果您的服务地址经常更换，建议TTL值设置相对小些，反之，建议设置相对大些。 默认为“5分钟”，即300s 值 需指向的域名。 若没有开启CDN加速，该值为桶访问域名；若开启CDN加速后，该值为CDN分配的CNAME域名。 click.my-video.com.c.cdnhwc1.com 单击“确定”，完成添加。 验证CNAME配置是否生效。 打开Windows操作系统中的cmd程序，输入如下指令： nslookup -qt=cname 桶绑定的自定义域名 本实践中桶绑定的自定义域名为“click.my-video.com”。如果回显CDN分配的CNAME域名，则表示CNAME配置已经生效。 开启私有桶回源 由于当前存储软件包的桶为私有桶，需要前往CDN开启私有桶回源，CDN才能从OBS中回源获取数据。 登录华为云控制台，在控制台首页选择“存储 > CDN”，进入CDN控制台。 在左侧菜单栏中，选择“域名管理”。 在域名列表中，单击需要修改的域名或域名所在行的“设置”，进入域名配置页面。本实践中对应的域名为“click.my-video.com”。 选择“回源配置”页签。 在私有桶回源配置模块，选择开启私有桶回源配置开关。 若您帐号下的此域名是初次配置OBS私有桶回源，您还需要先对CDN进行云资源委托授权，授权成功后CDN将有权限访问您帐号下的OBS私有桶。 （仅初次配置时需要）单击“立即授权”，弹出云资源委托授权对话框。 （仅初次配置时需要）单击“同意授权”，系统将为您在IAM委托中创建名为“CDNAccessPrivateOBS”的委托关系，允许CDN访问您的OBS私有桶。 请勿删除CDN针对OBS的委托关系，否则会导致CDN无法在回源时从OBS私有桶获取相应资源。 开启OBS私有桶回源开关。 配置点播URL 将代码中需要点播加速的文件URL地址配置为：视频网站域名+文件在OBS桶中的存储路径+文件名称。 以步骤2配置的视频网站域名click.my-video.com以及存储在my-video桶中的video/3.2.1/文件夹下的introduction.mp4文件为例，文件点播URL的配置如下： https://click.my-video.com/video/3.2.1/introduction.mp4 配置OBS高级桶策略，避免私有桶内对象被匿名用户列举 开启私有桶回源后，任何匿名用户访问桶的自定义域名（CDN加速域名），均可以成功列举桶根目录中的对象，导致对象列表暴露在公网。因此，如果不希望任何人都能列举桶内对象，还需要配置两条高级桶策略，仅允许指定用户列举桶内对象。 登录华为云控制台，在控制台首页选择“存储 > 对象存储服务 OBS”，进入OBS管理控制台。 单击存放软件包的桶名称（即开启了私有桶回源的OBS桶），本例中为“my-video”。 在左侧导航栏选择“访问权限控制 > 桶策略”。 单击“创建”，创建第一条桶策略。 在桶策略模板第一行，单击右侧的“自定义创建”。 配置如下参数。 本条策略的含义：除了指定的用户外，其他任何人都没有桶的列举权限（List*）。 表3 桶策略参数配置说明 参数 说明 策略配置方式 可视化视图 策略名称 自定义 策略内容 效果 拒绝 被授权用户 被授权用户：当前帐号 子用户：选择允许列举桶内对象的用户。可根据实际业务需要，选择与帐号同名的IAM用户或其他IAM用户 用户策略：排除以上用户 资源 资源范围：选择当前桶 资源策略：包含以上资源 动作 选择动作：List* 操作策略：包含以上动作 单击右下角的“配置确认”。 单击右下角的“创建”，完成第一条桶策略创建。 再次单击“创建”，创建第二条桶策略。 在桶策略模板第一行，单击右侧的“自定义创建”。 配置如下参数。 本条策略的含义：允许指定的用户拥有桶的列举权限（List*）。此处指定的用户需要和上一条策略保持一致。 Q：为什么还要配置第二条允许列举的桶策略？ A：由于在控制台普通模式下创建桶策略，被授权用户无法指定到当前帐号本身。所以在第一条桶策略中，被授权用户无论选择与帐号同名的IAM用户或其他IAM用户，实际都把当前帐号本身排除在外了。这些IAM用户之前有私有桶的列举权限，是因为帐号在IAM中进行了授权。但在第一条桶策略配置完成后，帐号本身不再有列举权限，导致无法给这些IAM用户授予列举权限，所以当前这些IAM用户的列举权限为默认Deny。基于显示Deny > Allow > 默认Deny的原则，还需要配置一条允许列举的桶策略，才能让这些IAM用户实现正常列举。 表4 桶策略参数配置说明 参数 说明 策略配置方式 可视化视图 策略名称 自定义 策略内容 效果 允许 被授权用户 被授权用户：当前帐号 子用户：选择允许列举桶内对象的用户。需要和第一条桶策略保持一致 用户策略：包含以上用户 资源 资源范围：选择当前桶 资源策略：包含以上资源 动作 选择动作：List* 操作策略：包含以上动作 单击右下角的“配置确认”。 单击右下角的“创建”，完成第二条桶策略创建。 登录CDN控制台，在“预热刷新 > 缓存刷新”中，刷新CDN缓存，使桶策略在CDN加速域名生效。 刷新缓存时选择“URL”类型，输入的URL为配置文件点播URL中添加的文件点播URL，本例中为： https://click.my-video.com/video/3.2.1/introduction.mp4 验证业务 待视频网站重新部署后，登录视频网站，点播视频文件。 如果视频可以成功点播，则表示加速配置成功。

背景信息 网站接入CDN加速后，源站服务器端从IP头部获取的用户访问IP不是客户端的真实IP。当您因为业务需要获取客户端真实IP时，可以通过配置网站服务器获取客户端的真实IP。 代理服务器（CDN、WAF等）在把用户的HTTP、WebSocket、WSS请求转到下一环节的服务器时，会在头部中加入一条“X-Forwarded-For”记录，用来记录用户的真实IP，其形式为“X-Forwarded-For：客户端的真实IP，代理服务器1-IP， 代理服务器2-IP，代理服务器3-IP，……”。 因此，您可以通过获取“X-Forwarded-For”对应的第一个IP来得到客户端的真实IP。

已经停用域名，更换域名解析，为什么访问加速域名还是会到CDN节点？ 存在以下两种可能： 运营商和用户本地存在DNS解析缓存，在缓存过期之前（TTL时间到期），依旧会解析到CDN节点。当缓存到期后，才会解析到新的DNS记录。 域名未停用之前有用户通过ping域名得到了CDN节点IP，然后进行了本地host绑定操作（此操作是指定解析，相当于绕开了正常的DNS解析）从而访问到了CDN节点。 解决办法： 本地缓存导致的需要等缓存过期后才会解析回源站，您需要耐心等待。 本地绑定CDN节点的用户需要解除绑定，才不会解析到CDN节点。

回源相关 CDN回源请求资源的场景有哪些？ CDN回源失败 CDN是否支持第三方私有桶的回源配置 CDN开启Range回源后怎么测试是否生效？ CDN加速域名受到攻击时会回源吗？ CDN配置备源站的优势有哪些？ CDN节点是否支持通过爬虫访问直接回源？ 回源HOST与源站有什么区别？ 当源站有多个IP时，回源机制是怎样的？ 配置CDN加速后，回源获取的资源不正确 如何查看CDN的回源记录？ 如果发送206请求100字节的内容，CDN回源时会下载全部文件吗？

如何停止CDN业务 停止CDN业务分为以下两种情况： 使用场景 操作方式 说明 暂时停止CDN加速服务 停用加速域名 如果您需要暂时停止某个域名的加速服务，您可以通过“停用域名”实现。域名停用后，配置保留，如果用户的Local DNS还有解析缓存或用户通过host强行解析到CDN节点上，CDN接收到请求后会拒绝提供服务，但是会产生相应的流量和请求数据。 永久停止CDN加速服务 移除加速域名 如果您需要彻底停止某个域名的加速服务，您可以通过“移除加速域名”实现。移除加速域名后，CDN节点上该域名的配置将全部删除，该域名不会在CDN侧产生任何费用。 在停用或移除加速域名前，建议您将DNS解析回源站，以免业务受损。

安全相关 CDN有什么安全防护能力（DDoS/CC/防盗链）？ CDN是否可以设置referer防盗链？ CDN是否支持屏蔽IP？ CDN如果被cc攻击是怎么处理的？ CDN防劫持吗？ CDN有防DDoS防御能力吗？ CDN、WAF和DDoS高防这三款产品，是否可以同时解析使用？ CDN是否可以在不中断业务的情况下更新证书？ 如果在OBS桶里面配置了Referer的黑白名单防盗链，CDN的访问会按照OBS桶的Referer规则生效吗？ 如果加速文件中存在病毒CDN会如何应对？ 华为云CDN是否支持双向认证证书配置？ 一个CDN加速域名是否支持配置多个证书？ 同时配置CDN和WAF后，流量还会通过WAF吗？ 如何同时部署CDN和WAF（Web应用防火墙） 怀疑CDN被恶意消耗流量，如何解决？

本地测试加速域名（可选） 添加加速域名后，为保证顺利切换不影响业务，建议先做测试再切换DNS解析。 ping添加域名生成的CNAME，得到ping的IP地址。 示例：添加的加速域名为www.example.com，生成的CNAME地址为www.example.com.c.cdnhwc1.com，ping www.example.com.c.cdnhwc1.com得到IP地址为10.0.0.0。 在本地电脑绑定hosts文件测试。 示例：如果您使用windows系统，在C:\Windows\System32\drivers\etc\hosts文件中添加加速域名www.example.com和IP地址10.0.0.0的绑定关系。如图1所示。 图1 测试加速域名 在本地访问加速域名测试业务，如果测试符合预期，说明配置正确。 测试成功后，在DNS域名提供商修改解析记录，配置CDN提供的CNAME。详情请参见配置CNAME。

网站业务梳理 建议您参照表1对业务情况进行全面梳理，了解当前业务状况和具体数据，为后续使用DDoS高防的防护功能提供指导依据。 表1 网站业务梳理 梳理项 说明 网站和业务信息 域名是否完成ICP备案 查询域名是否备案，域名如果没有备案无法接入DDoS高防。 网站/应用业务每天的流量峰值情况，包括Mbps、QPS 判断风险时间点，作为选择DDoS高防实例的业务带宽和业务QPS规格的依据。 业务的主要用户群体（例如，访问用户的主要来源地域） 方便业务接入后配置DDoS高防的海外/UDP流量封禁策略。 源站是否部署在非中国内地地域 源站部署在非中国内地地域时，建议购买DDoS高防（国际版）服务。 源站服务器的操作系统（Linux、Windows）和所使用的Web服务中间件（Apache、Nginx、IIS等） 判断源站是否存在访问控制策略，避免源站误拦截DDoS高防回源IP转发的流量。如果有，需要在源站上设置放行DDoS高防的回源IP。有关放行DDoS高防回源IP的详细操作，请参见放行高防回源IP段。 业务是否需要支持IPv6协议 如果您的业务需要支持IPv6协议，建议您使用DDoS原生高级防护。有关DDoS原生高级防护的详细介绍，请参见什么是DDoS原生高级防护？。 业务使用的协议类型 用于后续业务接入DDoS高防时配置网站信息，选择对应的协议。 业务端口 判断源站业务端口是否在DDoS高防的支持端口范围内。有关DDoS高防支持的业务端口说明，请参加DDoS高防支持哪些业务端口？。 请求头部（HTTP Header）是否带有自定义字段且服务端拥有相应的校验机制 判断DDoS高防是否会影响自定义字段导致服务端业务校验失败。如果有，请提交工单联系技术支持人员协助分析。 业务是否有获取并校验真实源IP机制 接入DDoS高防后，真实源IP会发生变化。请确认是否要在源站上调整获取真实源IP配置，避免影响业务。 如果需要请提前部署TOA模块或从x-forwarded-for获取真实源IP。 （针对HTTPS业务）服务端是否使用双向认证 DDoS高防暂不支持双向认证，需要变更认证方式。 （针对HTTPS业务）是否存在会话保持机制 如果您的业务有上传、登录等长会话需求，建议您使用基于七层的Cookie会话保持功能。 业务是否存在空连接 例如，服务器主动发送数据包防止会话中断，这类情况下接入DDoS高防后可能会对正常业务造成影响。 业务是否使用了CDN 如果业务使用了CDN，请确保业务支持以下两种方案： 动态资源引流到DDoS高防，静态资源引流到CDN 无法分离发生攻击时手动切换到DDoS高防 业务是否要求使用专线回源 DDoS高防不支持专线回源。 业务使用的域名个数及转发规则个数 有关DDoS高防规格的详细介绍，请参见功能规格。 业务及攻击情况 用户遭受的历史TOP攻击类型和流量大小 UDP带宽型攻击+数值 HTTP CC攻击+数值 TCP连接类攻击+数值 业务类型及业务特征（例如，游戏、棋牌、网站、App等业务） 便于在后续攻防过程中分析攻击特征。 业务流量（入方向） 帮助后续判断是否包含恶意流量。例如，日均访问流量为100 Mbps，则超过100 Mpbs时可能遭受攻击。 业务流量（出方向） 帮助后续判断是否遭受攻击，并且作为是否需要扩展业务带宽的参考依据。 单用户、单IP的入方向流量范围和连接情况 帮助后续判断是否可针对单个IP制定限速策略。 业务是否遭受过大流量攻击及攻击类型 根据历史遭受的攻击类型，设置针对性的DDoS防护策略。 业务遭受过最大的攻击流量峰值 根据攻击流量峰值判断DDoS高防功能规格的选择。 业务是否遭受过CC攻击（HTTP Flood） 通过分析历史攻击特征，配置预防性策略。 业务遭受过最大的CC攻击峰值QPS 通过分析历史攻击特征，配置预防性策略。 用户群体属性 例如，个人用户、网吧用户、通过代理访问的用户。用于判断是否存在单个出口IP集中并发访问导致误拦截的风险。 当前业务是否正在受DDoS攻击 如果业务正在遭受DDoS攻击，接入DDoS高防需要更换源站IP。

操作步骤（旧版） 登录管理控制台。 单击管理控制台左上角的，选择区域或项目。 单击页面左上方的，选择“安全与合规 > Web应用防火墙 WAF”。 在左侧导航树中，选择“网站设置”，进入“网站设置”页面。 在网站列表左上角，单击“添加防护网站”。 选择“云模式”后，在“防护域名”文本框中输入防护域名后，单击“确认”。 图6 添加防护域名 防护域名支持多级别单域名（例如，一级域名example.com，二级域名www.example.com等）和泛域名（例如，*.example.com）。 入门版不支持添加泛域名。 泛域名不支持下划线（_）。 泛域名添加说明如下： 如果各子域名对应的服务器IP地址相同：输入防护的泛域名。例如：子域名a.example.com，b.example.com和c.example.com对应的服务器IP地址相同，可以直接添加泛域名*.example.com。 如果各子域名对应的服务器IP地址不相同：请将子域名按“单域名”方式逐条添加。 如果您的域名托管在华为云云解析服务上，您可以直接单击“快速添加”，在弹出的“选择域名”对话框中选择待防护的域名，单击“确定”，托管的域名信息将自动添加到防护域名配置框中。 在“域名配置”页面配置域名基本信息，如图7所示，相关参数说明如表4所示。 图7 配置基本信息 表4 基本信息参数说明 参数 参数说明 取值样例 网站名称 网站的名称。 - 防护域名 可防护的域名，支持单域名和泛域名。 单域名：输入防护的单域名。 泛域名：输入防护的泛域名。泛域名不支持下划线（_）。 说明： 入门版不支持添加泛域名。 如果各子域名对应的服务器IP地址相同：输入防护的泛域名。例如：子域名a.example.com，b.example.com和c.example.com对应的服务器IP地址相同，可以直接添加泛域名*.example.com。 如果各子域名对应的服务器IP地址不相同：请将子域名按“单域名”方式逐条添加。 单域名：www.example.com 一级域名：example.com 泛域名：*.example.com 网站备注 可选参数，网站的备注信息。 - 端口 可选参数，仅当用户勾选“非标准端口”时需要配置。端口的配置示例如配置示例一：防护同一端口的不同源站IP的标准端口业务。 “对外协议”选择“HTTP”时，WAF默认防护“80”标准端口的业务；“对外协议”选择“HTTPS”时，WAF默认防护“443”标准端口的业务。 如需配置除“80”/“443”以外的端口，勾选“非标准端口”，在“端口”下拉列表中选择非标准端口。 Web应用防火墙支持的非标准端口请参见Web应用防火墙支持哪些非标准端口？。 说明： 如果配置了非标准端口，访问网站时，需要在网址后面增加非标准端口进行访问，否则访问网站时会出现404错误。 81 使用HTTP2协议 如果您的网站需要支持HTTP2协议的访问，则需要勾选该参数。 HTTP2协议仅适用于客户端到WAF之间的访问，且“对外协议”必须包含HTTPS才能支持使用。 - 网站备注 网站补充信息。 - 服务器配置 网站服务器地址的配置。包括对外协议、源站协议、源站地址和源站端口。 对外协议：客户端请求访问服务器的协议类型。包括“HTTP”、“HTTPS”两种协议类型。 源站协议：Web应用防火墙转发客户端请求的协议类型。包括“HTTP”、“HTTPS”两种协议类型。 说明： 对外协议与源站协议的具体配置规则，请参见对外协议与源站协议配置规则。 WAF支持WebSocket/WebSockets协议，且默认为开启状态。 源站地址：客户端访问的网站服务器的公网IP地址（一般对应该域名在DNS服务商处配置的A记录）或者域名（一般对应该域名在DNS服务商处配置的CNAME）。支持以下两种IP格式： IPv4，例如：XXX.XXX.1.1 IPv6，例如：1050:0:0:0:5:600:300c:326b 须知： 仅专业版（原企业版）和铂金版（原旗舰版）支持IPv6防护。 源站端口：WAF转发客户端请求到服务器的业务端口。 对外协议：HTTP 源站协议：HTTP 源站地址：IPv4 XXX .XXX.1.1 源站端口：80 证书名称 “对外协议”设置为“HTTPS”时，需要选择证书。您可以选择已创建的证书或选择导入的新证书。导入新证书的操作请参见导入新证书。 成功导入的新证书，将添加到“证书管理”页面的证书列表中。有关证书管理的操作，请参见上传证书。 您也可以在SCM管理控制台购买证书并推送到WAF。有关SCM证书推送到WAF的详细操作，请参见推送证书到云产品。 须知： WAF当前仅支持PEM格式证书。如果证书为非PEM格式，请参考表6将证书转换为PEM格式，再上传。 目前华为云SCM证书只能推送到“default”企业项目下。如果您使用其他企业项目，则不能选择使用SCM推送的SSL证书。 如果您的证书即将到期，为了不影响网站的使用，建议您在到期前重新使用新的证书，并在WAF中同步更新网站绑定的证书。 域名和证书需要一一对应，泛域名只能使用泛域名证书。如果您没有泛域名证书，只有单域名对应的证书，则只能在WAF中按照单域名的方式逐条添加域名进行防护。 -- IPv6防护 “源站地址”选择“IPv6”时，默认开启“IPv6防护”。 “源站地址”选择“IPv4”时，开启“IPv6防护”后，WAF将为域名分配IPv6的接入地址，即将IPv4源站转化成IPv6网站，将外部IPv6访问流量转化成对内的IPv4流量。具体的请参见WAF如何解析/访问IPv6源站？。 说明： 当源站存在IPv6地址，默认开启IPv6防护。WAF为了防止客户IPv6的业务中断，禁止关闭IPv6的开关，如果确定不需要IPv6防护，需要先修改服务器配置，在源站删除IPv6的配置，具体的操作方法请参见修改服务器配置信息。 开启 负载均衡算法 选择负载均衡算法： 源IP Hash：将某个IP的请求定向到同一个服务器。 加权轮询：所有请求将按权重轮流分配给源站服务器。 Session Hash：将某个Session标识的请求定向到同一个源站服务器，请确保在域名添加完毕后配置攻击惩罚的流量标识，否则Session Hash配置不生效。 更多信息请见修改负载均衡算法。 加权轮询 选择“是否已使用代理”。 为了保证WAF的安全策略能够针对真实源IP生效，成功获取Web访问者请求的真实IP地址，如果WAF前已使用如CDN、云加速等提供七层Web代理的产品，请务必选择“是”。另外，由于真实源IP字段中可能有多个IP，为确保WAF准确获取Web访问者请求的真实IP地址，建议添加防护网站的的IP标记流量标识（例如，CDN代理添加IP标记“CDN-Src-IP”）。有关添加IP标记的详细操作，请参见配置攻击惩罚的流量标识。 当在Web应用防火墙前使用代理时，不能切换为“Bypass”工作模式。如何切换工作模式请参考切换工作模式。 如果网站未使用任何代理，而“是否已使用代理”选择了“是”，该配置仅会使WAF在获取真实源IP时信任HTTP请求头中的“X-Forwarded-For”字段，不影响用户业务。 选择“策略配置”，默认为“系统自动生成策略”，您也可以选择自定义防护策略，系统自动生成的策略相关说明如表5所示。 入门版、标准版（原专业版）只能选择“系统自动生成策略”。 您也可以选择已创建的防护策略或在域名接入后根据防护需求配置防护规则。 表5 系统自动生成策略说明 版本 防护策略 策略说明 入门版、标准版（原专业版） Web基础防护（“仅记录”模式、常规检测） 仅记录SQL注入、XSS跨站脚本、远程溢出攻击、文件包含、Bash漏洞攻击、远程命令执行、目录遍历、敏感文件访问、命令/代码注入等攻击行为。 专业版（原企业版）、铂金版（原旗舰版） Web基础防护（“仅记录”模式、常规检测） 仅记录SQL注入、XSS跨站脚本、远程溢出攻击、文件包含、Bash漏洞攻击、远程命令执行、目录遍历、敏感文件访问、命令/代码注入等攻击行为。 网站反爬虫（“仅记录”模式、扫描器） 仅记录漏洞扫描、病毒扫描等Web扫描任务，如OpenVAS、Nmap的爬虫行为。 “仅记录”模式：发现攻击行为后WAF只记录攻击事件不阻断攻击。 单击“下一步”。 建议您单击“下一步”后单击“完成”，跳过本步骤。后续参照步骤三：本地验证、步骤四：域名接入配置完成域名接入。 CNAME值是根据域名生成的，对于同一个域名，其CNAME值是一致的。 单击“下一步”后单击“完成”，防护域名添加成功。 用户可在域名列表中查看已添加防护域名的“接入状态”和“工作模式”。 图8 域名配置完成 单击“配置策略”，您可以为防护网站配置防护策略。 单击“继续添加域名”，您可以继续添加防护网站。 关闭对话框，您可以在防护网站列表中查看已添加防护网站。 若用户的服务器在使用其他网络防火墙，请将其关闭或者将WAF的IP网段添加到网络防火墙的IP白名单中，否则，其他防火墙容易将WAF的IP当成恶意IP。具体的操作请参见如何放行WAF回源IP段？。 若用户的服务器上已安装个人版安全软件，建议将其更换为企业版安全软件，并将WAF的IP网段添加到该软件的IP白名单中。

配置示例 配置详情：加速域名为“www.example.com”，源站域名为“www.origin.com”，回源HOST配置为“www.example01.com”。 当用户访问“http://www.example.com/test.jpg”文件时，CDN节点没有缓存该资源，此时会解析到源站“www.origin.com”对应的服务器IP（假设IP为192.168.1.1），在服务器的站点“www.example01.com”路径下，找到“test.jpg”文件，返回给用户并缓存到CDN节点。

高额账单风险警示 当您的域名被恶意攻击、流量被恶意盗刷时，会产生突发高带宽或者大流量，进而产生高于日常消费金额的账单，本章为您介绍潜在风险和应对办法。 潜在风险 在攻击或恶意盗刷行为发生的时候，实际消耗了CDN的带宽资源，因此您需要自行承担攻击产生的流量带宽费用。 应对办法 建议您给域名配置访问控制功能（包括Referer防盗链、IP黑白名单、URL鉴权等），以避免产生不必要的流量带宽消耗。详细设置请参见访问控制。 CDN为您提供安全加速功能，更加全面的防护您的网站，您可以联系客户经理申请开通该功能。 建议您开通费用预警功能，当账户可用额度低于一定金额时，系统会发送短信提醒。 为了确保统计数据的完整性和账单的准确性，CDN产品账单生成时间会存在延时，详见基础服务计费。因此实际计费时间晚于对应的CDN资源消耗时间，无法通过账单来实时反馈资源消费情况，这是由于CDN产品自身的分布式节点特性导致，也是业界通用的处理方法。

加速域名配置的回源HOST与源站有什么区别？ 源站：源站决定了用户回源时访问的地址，即源站服务器IP。 回源HOST：回源HOST决定了回源时访问到该IP地址上的具体站点。 示例：用nginx服务器搭建源站，IP为x.x.x.x，域名为：www.test.com。源站中部署了多个server，如下所示。 server { listen 80; server_name www.a.com; location / { root html; } }server { listen 80; server_name www.b.com; location / { root html; } } 如果您想要CDN回源到本服务器，您需要在CDN侧将源站配置为：x.x.x.x或www.test.com，CDN回源请求到了源站后，如果您需要访问到的server name为www.a.com，您就需要将回源HOST配置为www.a.com；如果您需要访问到的server name为www.b.com，您就需要将回源HOST配置为www.b.com。

备案场景 本节介绍网站使用华为云CDN做内容分发加速，且网站域名解析至中国大陆节点服务器的网站备案场景。 如图1所示： ① 企业A在华为云CDN添加加速域名（www.picture.example.com），为网站中的图片进行加速处理。 ② 用户通过网站域名（www.example.com）访问企业A的网站。 ③ CDN判断响应速度最快的节点是CDN节点1，通过加速域名，将图片资源缓存至CDN节点1，实现快速访问。 如果加速域名（www.picture.example.com）的CDN加速范围包括中国大陆，该域名就必须在工信部备案才能接入CDN。 图1 网站使用华为云CDN加速

操作场景 域名管理的操作场景如下表所示。 表1 操作场景 管理项 场景说明 对应的API接口 启用/停用加速域名 启用：您可以启用处于“已停用”状态下的加速域名。 停用：您可以停用处于“已开启”或“配置失败”状态下的加速域名。 启用加速域名 停用加速域名 移除加速域名 您可以移除处于“已停用”或“审核不通过”状态下的加速域名。 说明： 加速域名移除后，系统将清除域名的相关配置。当再次使用CDN加速，需要重新添加域名，重新进行域名配置。 移除加速域名 复制配置 如果您需要复制某个加速域名的配置到其它加速域名，达到快速、批量配置域名的目的，您可以通过复制配置来实现。 - 重新审核加速域名 对于因域名备案过期而被禁用的加速域名，您在工信部恢复域名备案后，CDN支持通过控制台进行重新审核，重新审核通过后CDN会为您解禁域名。 - 域名下线策略 华为云CDN域名下线策略支持“解析回源”和“停用域名”两种，您可以根据自己实际情况自定义选择域名在触发CDN下线机制后的策略。 - 域名配额管理 为防止资源滥用，平台限定了各服务资源的配额，对用户的资源数量和容量做了限制。如果当前域名配额限制无法满足使用需要，您可以提交工单申请扩大配额。 -

CDN使用 快速了解CDN产品，帮您更好的使用CDN产品提供的功能。 参考文档 CDN使用 CDN基本概念 快速了解CDN的常用概念，帮助理解和使用CDN CDN成长地图 快速了解和使用CDN CDN API 快速了解通过调用API来实现对应的控制台操作 入门概述 快速了解如何接入CDN加速 域名管理 快速了解CDN的域名管理功能 域名配置 快速了解CDN的相关配置 缓存刷新和缓存预热 快速了解CDN的刷新预热功能

域名准入要求 接入CDN做加速的域名必须满足如表1的要求。 表1 域名准入基础要求 加速范围 域名准入基础要求 中国大陆 华为云帐号已完成实名认证。 域名已在工信部备案，且当前备案信息正常可用。 加速域名接入时需通过内容审核。 中国大陆境外 加速域名接入时需通过内容审核。 全球 华为云帐号已完成实名认证。 域名已在工信部备案，且当前备案信息正常可用。 加速域名接入时需通过内容审核。 中国大陆境外包括：中国香港、中国澳门、中国台湾、其他国家及地区。 CDN不支持接入违反相关法律法规的域名，包括但不限于： 涉黄、涉赌、涉毒、涉诈、侵权内容的网站 游戏私服类 盗版游戏 / 软件 / 盗版视频网站 P2P类金融网站 彩票类网站 违规医院和药品类网站 无法正常访问或内容不含有任何实质信息 如果您的加速域名含有以上违规的内容，您将自行承担相关风险。 如果发现涉黄、涉赌、涉毒、涉诈等违规行为，CDN将执行域名封禁策略（删除相关加速域名且不允许再次接入，与违规域名使用相同源站的加速域名同样执行域名封禁策略），帐号加速域名配额降为0。 域名是否需要备案与域名提供商地域、网站服务器所处地域无关，与您加速域名的CDN加速服务范围有关。只要您的加速服务范围为中国大陆或全球，该域名就必须在工信部备案后才能接入CDN。 加速域名对域名服务商没有要求。 根域名和普通域名需要分别在控制台添加加速域名。

开通CDN 在使用CDN加速前，您需要开通CDN服务，开通流程及需要注意的事项如下： 开通服务的条件 注册华为云帐号并完成实名认证。 购买流量包或充值开通： 购买流量包：您可以购买流量包开通CDN服务，也可单击这里获取免费流量包。 充值：您也可以通过账户充值（不低于1000元）开通CDN服务。 源站、域名接入CDN前提 源站：需要确保您的业务在上云前正常运行。 加速域名：CDN不支持接入违反相关法律法规的域名，如有违规，您将自行承担相关风险。如果发现有违规行为将封禁加速域名，因违规而封禁的加速域名将永久不能解禁，详见域名准入要求。 域名备案说明 加速域名是否需要备案与您选择的加速范围有关： 如果您选择全球，则需要到工信部备案。 如果您仅选择中国大陆，则需要到工信部备案。 如果您仅选择中国大陆境外，则无需到工信部备案。 说明： 不要求在华为云备案。

域名是否需要备案 以表1为例，介绍网站域名、加速域名是否需要备案。 表1 网站域名和加速域名备案一览 域名 应用场景 示例 是否需要备案 网站域名 该域名解析至中国大陆节点服务器，用于访问网站使用。 www.example.com 是。 需要在工信部备案。 加速域名 通过在CDN添加加速域名，将源站资源缓存至响应速度最快的CDN节点，实现快速访问。 www.test.com 加速服务范围是“中国大陆”或“全球”：是 加速服务范围是“中国大陆境外”：否 加速域名是否需要备案与域名提供商、网站服务器所处地域无关，与CDN加速服务范围有关。只要您的加速服务范围包括中国大陆，该域名就必须在工信部备案才能接入CDN。 www.***.example.com 否。 由于一级域名example.com已经在工信部备案，因此使用子域名的加速域名不再需要备案。建议将加速域名设置为网站域名的子域名。

云速建站支持CDN、WAF吗？ 云速建站不支持WAF。云速建站独立企业版支持CDN，设置CDN的方法请参见配置站点加速。 添加CDN加速域名 登录云速建站控制台，在待加速站点所在行，选择“更多 > CDN配置”。 图1 开启CDN 在弹出的“CDN配置”对话框中，单击“添加域名”。 图2 CDN配置 输入待加速的域名，单击“创建”。 图3 添加加速域名 配置CDN需要3 ~ 5分钟，请耐心等待，当“状态”变为“已开启”时，说明加速域名添加成功。 图4 加速域名配置成功 配置域名解析 是否使用华为云DNS进行域名解析？ 是，执行2.b~2.d。 否，执行2.e~2.f。 在“CDN配置”对话框中，单击“配置DNS”。 云速建站后台配置DNS时，执行2个操作：在华为云DNS配置CNAME解析记录、在管理后台绑定加速域名。 图5 配置DNS 在域名解析界面查看DNS是否配置成功。 在云速建站控制台左侧导航栏，单击“域名解析”，进入DNS控制台。 在“公网解析”界面，单击加速域名的一级域名，进入“解析记录”界面。 图6 公网解析 查看是否已存在加速域名的解析记录。 图7 解析记录 在管理后台查看加速域名是否已绑定。 在云速建站控制台，单击“后台管理”，进入管理后台界面。 图8 后台管理 单击“绑定域名”，在弹出的对话框中，查看加速域名是否已经绑定。 确认加速域名已绑定后，执行2.g。 在“CDN配置”对话框中，记录“CDN CNAME”值，并且在第三方域名解析平台为加速域名添加CNAME解析记录。 图9 CDN CNAME 在云速建站控制台，单击“后台管理”，进入管理后台界面。单击“绑定域名”，在弹出的对话框中，输入加速域名，单击“确定”。 图10 绑定域名 查看开启CDN前后，网站资源的变化。 在谷歌浏览器中通过域名打开网站，按F12，查看资源分布。开启CDN前，如图11所示，网站资源存储在不同资源节点中。开启CDN后，如图12所示，网站资源存储在同一个资源节点中。 图11 未开启CDN 图12 已开启CDN

URI PUT /v1.0/cdn/domains/{domain_id}/ip-acl 表1 路径参数 参数 是否必选 参数类型 描述 domain_id 是 String 需要设置IP黑白名单的域名id。获取方法请参见查询加速域名。 表2 Query参数 参数 是否必选 参数类型 描述 enterprise_project_id 否 String 当用户开启企业项目功能时，该参数生效，表示修改当前企业项目下加速域名的配置，"all"代表所有项目。注意：当使用子账号调用接口时，该参数必传。

常见故障概览 为您列举了部分常见故障场景，您可以单击链接查看更加详细的排查步骤。 故障现象 说明 为什么购买了流量包，还会扣除余额？ 可能的原因： 您的计费方式还不是按流量计费。 域名的业务类型为全站加速。 购买流量包的区域不对。 使用量超出了流量包的流量包规格。 接入CDN后，网站显示的内容不正确、下载的文件不正确、播放的视频不正确 可能的原因： 缓存规则设置有误。 本地缓存问题。 资源更新后节点未刷新。 多个源站文件不一致。 访问资源被劫持。 配置后无加速效果或加载慢 可能的原因： 域名未接入CDN加速。 未命中CDN缓存。 存在跨运营商和跨省访问。 缓存规则设置不合理。 加速资源未预热。 客户端网络问题。 流量命中率偏低 可能的原因： 源站问题（设置不缓存，动态资源占比高，网站访问量低，源站故障）。 CDN问题（缓存规则设置不合理，频繁执行缓存刷新）。 CDN资源未及时刷新 如果您的源站更新内容后，CDN节点缓存未实时更新，请您参考下面步骤排查： 修改缓存规则后，需要CDN节点刷新缓存操作来立即生效。 源站资源更新后，需要CDN节点刷新缓存操作来立即生效。 如果您在CDN节点刷新缓存失败，请提交工单进行处理。 开启中国大陆加速，中国大陆境外无法访问或开启中国大陆境外加速，中国大陆无法访问 出现这种问题，一般是您访问了非加速范围的地区，受跨境网络影响，可能无法保证您的访问效果，甚至无法访问，建议您考虑开启全球加速（开启全球加速需要先完成域名工信部备案）。 预热失败 可能的原因： 大批量集中预热。 检查缓存过期时间。 源站不允许缓存。 源站是否可以正常访问。 访问CDN返回5xx状态码 可能的原因： 源站业务故障。 CDN域名配置异常。 源站拦截。 CDN节点异常。 访问CDN返回4xx状态码 404排查思路：源站资源缺失、CDN域名配置异常。 403排查思路：域名未接入CDN加速、源站故障、CDN域名设置了拦截。 动态资源被缓存导致访问问题，如：登录失败，验证码失败，显示其他用户信息 可能的原因：缓存了动态资源。 源站是OBS桶，配置CDN加速后，加速域名访问是下载，不是在线展示 CDN控制台的“域名管理”-高级配置-添加“Content-Disposition”响应头，取值为“inline”。 ssl证书未到到期时间，配置到CDN控制台证书上显示证书已过期 证书过期时间的取值依据是您的证书链中，各级证书的过期时间中的最早过期时间。 需要您检查证书文件各级证书链过期时间，一般证书链是由服务器证书、中间证书和CA根证书，您可能是本身的服务器证书没有过期，但是中间证书证书过期了，这时您需要替换这部分证书，您可以联系您证书的签发机构给您补全，补全之后CDN控制台重新配置证书。 在CDN鉴权后访问被403拒绝 请您检查提供的原始链接是否含空格、中文，浏览器实际请求时是转译后的地址，即需要您对转义后的URL地址进行鉴权。 OBS桶接入CDN后，访问域名会列出所有文件列表？ 这种情况可能有如下原因，请您先参考链接排查，如果还无法解决，请您提交工单处理： 源站是OBS公有桶，未在OBS桶开启静态网站托管。 源站是OBS私有桶，不需要展示OBS桶内列表文件，需要您提交工单配置。

创建和配置域名托管 为了方便对您的自定义域名和静态网站统一管理，实现业务全面云化，您可以直接在华为云提供的云解析服务（Domain Name Service，DNS）上托管您的自定义域名。托管完成后，后续域名解析的管理都可以在云解析服务上进行，包括：管理记录集、管理反向解析、设置域名泛解析等等。 您也可以直接在域名注册商域名解析中，根据是否开启CDN加速来添加一条别名记录。 若绑定自定义域名时开启了CDN加速，则添加的别名记录需指向CDN提供的加速域名。例如：域名“www.example.com”开启CDN加速后的加速域名为“www.example.com.c.cdnhwc1.com”，则需要在域名注册商添加一条值为“www.example.com CNAME www.example.com.c.cdnhwc1.com”的记录。 若绑定自定义域名时未开启CDN加速，则添加的别名记录需指向桶的访问域名。例如：桶“example”所处区域“华北-北京一”，则需要在域名注册商添加一条值为“www.example.com CNAME example.obs.cn-north-1.myhuaweicloud.com”的记录。 使用云解析服务创建和配置域名托管的操作步骤如下： 创建公网域名。 在云解析服务中创建公网域名，使用准备工作中注册的根域名“example.com”作为创建公网域名。详细的创建方法请参见配置网站解析章节中的“添加域名”部分内容。 添加别名记录。 在云解析服务中为托管域名子域名“www.example.com”添加记录集，配置该子域名别名指向OBS的静态网站托管域名。在添加别名记录时参数配置如下： 主机记录：输入“www”。 类型：选择“CNAME – 将域名指向另外一个域名”。 线路类型：选择“全网默认”。 TTL(秒)：保持默认。 值：需指向的域名。若绑定自定义域名时没有开启CDN加速，此处填写OBS的桶的静态网站托管域名；若开启了CDN加速，此处填写CDN提供的加速域名（即CNAME）。 详细的创建方法请参见增加CNAME类型记录集。 在域名注册商处修改域名解析服务器地址。 在域名注册商处，将该根域名对应的NS记录中域名解析服务器地址修改为云解析服务（DNS）服务器的地址，具体地址为云解析服务中该公网域名记录集中NS记录的值字段内容信息。 详细的更改域名解析服务器地址的方法请参见配置网站解析章节中的“更改域名的DNS服务器”部分。 更改后的域名解析服务器地址将于48小时内生效，具体生效时间请以域名注册商处的说明为准。

资源与成本规划 本节介绍最佳实践中资源规划情况，包含以下内容： 表1 资源和成本规划内容说明 维度 说明 资源规划 必选 OBS：存放图片、软件包等静态资源的桶，存储类别为“标准存储”，桶策略为“私有”。 CDN：提供点播加速。 DNS：通过在域名服务商处配置CNAME记录，将加速域名以CNAME方式指向CDN服务中对应的CNAME域名，域名解析生效后，该域名的所有请求都将转向CDN节点。 网站域名：根据中国《互联网管理条例》的要求，此域名必须在工信部已备案并在有效期内才可以使用CDN加速。 成本规划 必选 OBS费用：详见OBS计费说明。 CDN费用：详见CDN计费说明。 可选 回源流量包：当回源获取数据时，CDN访问OBS会产生回源流量。OBS提供回源流量包，可以减少回源流量产生的流量费用。 须知： 本文提供的成本预估费用仅供参考，资源的实际费用以华为云管理控制台显示为准。

停止CDN加速 当您无需使用CDN加速时，请参考以下步骤停止CDN加速。 登录云速建站控制台，在待停止CDN加速的站点所在行，选择“更多 > CDN配置”。 图13 停止CDN 在弹出的“CDN配置”对话框中，单击“删除”。 图14 删除加速域名 在弹出的“删除CDN”对话框中，单击“确定”。 图15 删除CDN 停止CDN加速大约需要5 ~ 10分钟，请耐心等待。CDN加速停止后，“CDN配置”对话框的域名配置记录将被删除。 图16 停止CDN加速 在云速建站控制台左侧导航栏，单击“CDN加速”，进入CDN控制台，确认加速域名已被删除。 图17 CDN控制台 停止CDN加速后，域名解析记录不会被删除，需要您自行删除。 如果您使用华为云DNS进行域名解析，请参考6~9，删除解析记录。 如果您使用第三方DNS进行域名解析，请参考第三方操作说明，删除解析记录。 在云速建站控制台左侧导航栏，单击“域名解析”，进入DNS控制台。 单击加速域名的一级域名，进入“解析记录”界面。 图18 DNS控制台 在待删除的解析记录后，单击“删除”。 图19 删除解析记录 在弹出的“删除记录集”对话框中，单击“是”，完成解析记录的删除。 图20 删除记录集

创建和配置域名托管 为了方便对您的自定义域名和静态网站统一管理，实现业务全面云化，您可以直接在华为云提供的云解析服务（Domain Name Service，DNS）上托管您的自定义域名。托管完成后，后续域名解析的管理都可以在云解析服务上进行，包括：管理记录集、管理反向解析、设置域名泛解析等等。 您也可以直接在域名注册商域名解析中，根据是否开启CDN加速来添加一条别名记录。 若绑定自定义域名时开启了CDN加速，则添加的别名记录需指向CDN提供的加速域名。例如：域名“www.example.com”开启CDN加速后的加速域名为“www.example.com.c.cdnhwc1.com”，则需要在域名注册商添加一条值为“www.example.com CNAME www.example.com.c.cdnhwc1.com”的记录。 若绑定自定义域名时未开启CDN加速，则添加的别名记录需指向桶的访问域名。例如：桶“example”所处区域“华北-北京一”，则需要在域名注册商添加一条值为“www.example.com CNAME example.obs.cn-north-1.myhuaweicloud.com”的记录。 使用云解析服务创建和配置域名托管的操作步骤如下： 创建公网域名。 在云解析服务中创建公网域名，使用准备工作中注册的根域名“example.com”作为创建公网域名。详细的创建方法请参见配置网站解析（第三方注册域名）章节中的“添加域名”部分内容。 添加别名记录。 在云解析服务中为托管域名子域名“www.example.com”添加记录集，配置该子域名别名指向OBS的静态网站托管域名。在添加别名记录时参数配置如下： 主机记录：输入“www”。 类型：选择“CNAME – 将域名指向另外一个域名”。 线路类型：选择“全网默认”。 TTL(秒)：保持默认。 值：需指向的域名。若绑定自定义域名时没有开启CDN加速，此处填写OBS的桶的静态网站托管域名；若开启了CDN加速，此处填写CDN提供的加速域名（即CNAME）。 详细的创建方法请参见增加CNAME类型记录集。 在域名注册商处修改域名解析服务器地址。 在域名注册商处，将该根域名对应的NS记录中域名解析服务器地址修改为云解析服务（DNS）服务器的地址，具体地址为云解析服务中该公网域名记录集中NS记录的值字段内容信息。 详细的更改域名解析服务器地址的方法请参见配置网站解析（第三方注册域名）章节中的“更改域名的DNS服务器”部分。 更改后的域名解析服务器地址将于48小时内生效，具体生效时间请以域名注册商处的说明为准。

背景信息 通常情况下，网站访问并不是简单地从用户的浏览器直达服务器，中间可能部署有CDN、WAF、高防等代理服务器（架构为“用户 > CDN/WAF/高防等代理服务 > 源站服务器”）。以WAF为例，部署示意图如图1所示。 图1 部署WAF原理图 当网站没有接入到WAF前，DNS直接解析到源站的IP，用户直接访问服务器。 当网站接入WAF后，需要把DNS解析到WAF的CNAME，这样流量才会先经过WAF，WAF再将流量转到源站，实现网站流量检测和攻击拦截。 在这种情况下，访问请求到达源站服务器之前可能经过了多层安全代理转发或加速代理转发，服务器如何获取发起请求的真实客户端IP呢？ 一个透明的代理服务器在把用户的HTTP请求转到下一环节的服务器时，会在HTTP的头部中加入一条“X-Forwarded-For”记录，用来记录用户的真实IP，其形式为“X-Forwarded-For：客户端的真实IP，代理服务器1-IP， 代理服务器2-IP，代理服务器3-IP，……”。 因此，您可以通过获取“X-Forwarded-For”对应的第一个IP来得到客户端的真实IP。

停用加速域名 对处于“已开启”或“配置失败”状态的域名，您可以对其进行“停用”操作。停用后，CDN将不再为域名提供加速服务，但域名的配置不会改变，如果想恢复CDN加速服务请重新启用CDN。 为保证网页正常访问，停用CDN前请在您的DNS服务商处将域名解析配置为非华为云CDN分配的CNAME记录。 CDN平台会自动停用超过180天没有任何访问流量的域名。 单域名停用 进入CDN控制台的“域名管理”页面，在需要停用的加速域名行单击“更多”，选择“停用”。 确认需要停用的域名信息，单击“确定”完成域名停用操作。 批量停用加速域名 进入CDN控制台的“域名管理”页面，勾选需要停用的加速域名，单击域名列表上方“停用”。 进入CDN控制台的“域名管理”页面，在需要停用的加速域名行单击“更多”，选择“停用”（也可以勾选您需要停用的多个加速域名，选择域名上方“停用”按钮）。 确认需要停用的域名信息，单击“确定”完成域名停用操作。

解决思路 OBS默认域名强制下载后，推荐用户使用自有域名实现在线预览。 OBS为您提供以下几种方案： 方案一：使用OBS自定义域名访问（不开启CDN加速） 方案二：使用OBS自定义域名+CDN方式访问 方案三：CDN私有桶回源方式访问 方案四：通过分享对象生成的临时URL地址访问 若您已经为桶配置了自定义域名并使用CDN加速，但仍然强制下载，请参考CDN加速场景下访问OBS桶内对象变成强制下载处理。

绑定自定义域名 单击桶名称进入“概览”页面，在左侧导航栏选择“域名管理”。 单击“绑定用户域名”，在“用户域名”输入“www.example.com”，如图1所示。 图1 绑定用户域名 （可选）配置CDN加速。 使能CDN加速后，根据托管的静态网站类型选择网站加速、文件下载加速或点播加速。CDN加速需收费，具体请参见CDN价格说明。 单击“确定”，完成自定义域名绑定到桶域名。 （可选）如果开启了CDN加速，需要按照以下步骤配置CDN源站信息。 在已绑定的自定义域名操作列，单击“管理CDN加速”。 在打开的CDN控制台页面，单击域名，进入域名基本配置页面。 在“源站配置”区域单击“编辑”按钮，在弹出的“修改源站信息”弹框中，勾选“静态网站托管”。 单击“确定”。 在“高级配置”中添加“Content-Disposition”响应头，取值为“inline”。

CDN域名加速范围对源站服务器位置、备案是否有要求？ CDN加速范围与源站服务器位置 CDN域名的加速范围对源站服务器所在位置没有特殊要求。 CDN加速范围与备案关系 域名是否需要备案与域名提供商地域、网站服务器所处地域无关，与您加速域名的CDN加速服务范围有关。只要您的加速服务范围包含中国大陆（中国大陆，全球），该域名必须在工信部备案才能接入CDN。 如果CDN加速服务范围仅为中国大陆境外，则该域名不需要在工信部备案。

购买了回源流量包是否还需要购买公网流出流量包？ 回源流量包用于抵扣使用OBS作为华为云CDN加速域名源站时，CDN向源站OBS获取文件产生的回源流量费用。 公网流出流量包用于抵扣通过互联网从OBS下载数据到本地所产生的公网流出流量费用。 不同场景产生的流量类型如下： 用户在控制台执行对象下载和其他查询类操作（列举对象、获取桶或对象的元数据等），或者在公网使用工具、SDK不经过CDN直接下载对象都会产生公网流出流量。 直接访问OBS桶的访问域名，会产生公网流出流量。 访问CDN加速域名，CDN上源站类型配置“源站域名”，如果未命中CDN缓存，会产生OBS公网流出流量和CDN流量。 访问CDN加速域名，CDN上源站类型配置“OBS桶域名”，如果未命中CDN缓存，在购买了回源流量包的情况下会产生OBS回源流量和CDN流量。 因此购买了回源流量包之后，可根据实际使用场景判断，如果确认会执行较多产生公网流出流量的操作，建议购买公网流出流量包。反之可以不购买，在执行少量上述操作时进行按需计费。

购买了回源流量包是否还需要购买公网流出流量包？ 回源流量包用于抵扣使用OBS作为华为云CDN加速域名源站时，CDN向源站OBS获取文件产生的回源流量费用。 公网流出流量包用于抵扣通过互联网从OBS下载数据到本地所产生的公网流出流量费用。 不同场景产生的流量类型如下： 用户在控制台执行对象下载和其他查询类操作（列举对象、获取桶或对象的元数据等），或者在公网使用工具、SDK不经过CDN直接下载对象都会产生公网流出流量。 直接访问OBS桶的访问域名，会产生公网流出流量。 访问CDN加速域名，CDN上源站类型配置“源站域名”，如果未命中CDN缓存，会产生OBS公网流出流量和CDN流量。 访问CDN加速域名，CDN上源站类型配置“OBS桶域名”，如果未命中CDN缓存，在购买了回源流量包的情况下会产生OBS回源流量和CDN流量。 因此购买了回源流量包之后，可根据实际使用场景判断，如果确认会执行较多产生公网流出流量的操作，建议购买公网流出流量包。反之可以不购买，在执行少量上述操作时进行按需计费。

绑定自定义域名 单击桶名称进入“概览”页面，在左侧导航栏选择“域名管理”。 单击“绑定用户域名”，在“用户域名”输入“www.example.com”，如图1所示。 图1 绑定用户域名 （可选）配置CDN加速。 使能CDN加速后，根据托管的静态网站类型选择网站加速、文件下载加速或点播加速。CDN加速需收费，具体请参见CDN价格说明。 单击“确定”，完成自定义域名绑定到桶域名。 （可选）如果开启了CDN加速，需要按照以下步骤配置CDN源站信息。 在已绑定的自定义域名操作列，单击“管理CDN加速”。 在打开的CDN控制台页面，单击域名，进入域名基本配置页面。 在“源站配置”区域单击“编辑”按钮，在弹出的“修改源站信息”弹框中，勾选“静态网站托管”。 单击“确定”。 在“高级配置”中添加“Content-Disposition”响应头，取值为“inline”。

CDN如果被cc攻击是怎么处理的？ CC攻击是攻击者借助代理服务器生成指向受害主机的合法请求，实现DDoS和伪装攻击。攻击者通过控制某些主机不停地发送大量数据包给对方服务器，造成服务器资源耗尽，直至宕机崩溃。 当域名受攻击，CDN节点会承受攻击流量，不会造成源站被攻击瘫痪。如果攻击流量太大造成节点不能正常服务，CDN会封禁加速域名，最终域名状态调整为“停用”，停止CDN加速服务。域名停用后将无法正常访问，但域名配置信息仍会保留，待攻击停止后可联系客服申请解除封禁。 由于攻击时CDN节点产生流量，此部分流量CDN会收取费用。 当您的加速域名突发大流量时（新功能发布），可能会被认为是攻击，请提前联系技术人员，以免业务受损。

步骤二：配置域名解析 是否使用华为云DNS进行域名解析？ 是，执行2~4。 否，执行5~6。 在“CDN配置”对话框中，单击“配置DNS”。 云速建站后台配置DNS时，执行2个操作：在华为云DNS配置CNAME解析记录、在管理后台绑定加速域名。 图5 配置DNS 在域名解析界面查看DNS是否配置成功。 在云速建站控制台左侧导航栏，单击“域名解析”，进入DNS控制台。 在“公网解析”界面，单击加速域名的一级域名，进入“解析记录”界面。 图6 公网解析 查看是否已存在加速域名的解析记录。 图7 解析记录 在管理后台查看加速域名是否已绑定。 在云速建站控制台，单击“后台管理”，进入管理后台界面。 图8 后台管理 单击“绑定域名”，在弹出的对话框中，查看加速域名是否已经绑定。 确认加速域名已绑定后，执行7。 在“CDN配置”对话框中，记录“CDN CNAME”值，并且在第三方域名解析平台为加速域名添加CNAME解析记录。 图9 CDN CNAME 在云速建站控制台，单击“后台管理”，进入管理后台界面。单击“绑定域名”，在弹出的对话框中，输入加速域名，单击“确定”。 图10 绑定域名 查看开启CDN前后，网站资源的变化。 在谷歌浏览器中通过域名打开网站，按F12，查看资源分布。开启CDN前，如图11所示，网站资源存储在不同资源节点中。开启CDN后，如图12所示，网站资源存储在同一个资源节点中。 图11 未开启CDN 图12 已开启CDN

前提条件 域名或IP已接入CDN，且已完成如表1所示配置操作。 表1 WAF各模式配置说明 部署模式 配置说明 云模式 已购买WAF云模式。 已将域名信息（源站服务器的IP、端口等信息）添加到WAF云模式。 说明： 当源站存在IPv6地址，默认开启IPv6防护。WAF为了防止客户IPv6的业务中断，禁止关闭IPv6的开关，如果确定不需要IPv6防护，需要先修改服务器配置，在源站删除IPv6的配置，具体的操作方法请参见修改服务器配置信息。 在域名的DNS服务商处有添加域名的权限。 （可选）放行WAF回源段IP。源站服务器上已启用非华为云安全软件（如安全狗、云锁）时，您需要在这些软件上设置放行WAF回源段IP，防止由WAF转发到源站的正常业务流量被拦截。具体请参考通过配置ECS/ELB访问控制策略保护源站安全。 须知： 为了保证WAF的安全策略能够针对真实源IP生效，请确保域名“是否已使用代理”已配置为“是”，详细操作请参见查看基本信息。 独享模式 已购买WAF独享模式。 已将域名信息（源站服务器的IP、端口等信息）添加到WAF独享模式。 已为WAF独享模式实例配置负载均衡。 已为弹性负载均衡绑定弹性公网IP。 放行独享引擎回源IP。 ELB模式 已购买WAF云模式。 已将域名信息添加到ELB模式。

计费方式 计费项 计费方式 描述 参考文档 基础服务计费 流量计费 按照每小时实际使用的流量进行计费。 流量计费 峰值带宽计费 按照每日峰值带宽进行计费，系统每5分钟统计1个峰值带宽，每日得到288个值，取其中的最大值作为计费带宽。 峰值带宽计费 月结95峰值带宽计费 在一个自然月内，将每个有效日的所有峰值带宽的统计点进行排序，去掉数值最高的5%的统计点，取剩下的数值最高统计点为计费点，再根据合同约定的单价计费。 月结95峰值带宽计费 日峰值月平均计费 在一个自然月内，对所有有效日的最大峰值带宽求和取平均，获得当月的计费带宽，再根据合同约定的单价计费。 日峰值月平均计费 预付费流量包 购买相应加速区域的流量包进行抵扣。优先扣除流量包里的流量，超出部分采用按流量计费方式结算。 预付费流量包 增值服务计费 全站加速请求数 全站加速的动态请求数和静态请求数计费。 增值服务计费 服务概览和统计分析页面展示的是加速域名日志中记录的流量数据，是应用层日志统计出的流量，但是实际产生的网络流量由于TCP/IP包头消耗和TCP重传消耗要比应用层统计到的流量高出7%~15%。因此按照业界标准，应用于账单的计费数据会在控制台监控数据的基础上上浮10%。 CDN计费方式是全局性的，同一账号下所有加速域名均使用同一种计费方式。 CDN流量包分中国大陆、中国大陆境外区域，各区域单独计费，不能相互抵扣。

源站校验 为避免您的源站配置错误，导致业务不通，需要对首次在CDN添加的源站进行校验，提供“文件校验”、“DNS解析校验”两种校验方式。 如果您的源站类型为IP地址，仅支持“文件校验”方式。 如果您的源站类型为域名，同时支持“文件校验”和“DNS解析校验”。 以下情况暂不支持DNS解析校验： WAF作为CDN源站。 OBS桶或第三方存储桶以“源站域名”的形式接入CDN加速。 当源站类型为域名时，第一次校验成功后，再次添加该域名或者是该域名的子域名作为源站时，不需要再次验证。 示例：您已经添加了b.a.com作为源站，校验通过。您后续再添加**.a.com、***.a.com等任意a.com的子域名作为源站，都无需再验证。 如果您开通了企业项目，则不需要校验源站。 OBS桶域名作为源站时不需要校验源站。 文件校验 您需要在源站根目录存放指定文件。 文件名：origin_check.txt（文件大小不超过1MB）。 文件内容：您的账号ID，请参见获取账号ID。 操作步骤： 单击“origin_check.txt”，下载文件。 上传文件至源站根目录。 如果您的源站IP地址为192.168.1.1，则需要上传文件到源站根目录，访问路径：http(s)://192.168.1.1/origin_check.txt。 如果您的源站域名为www.origin.com，则需要上传文件到源站根目录，访问路径：http(s)://www.origin.com/origin_check.txt。 单击“点击校验”，进行源站校验。 DNS解析校验 如果您采用DNS解析校验，您需要前往源站域名服务商处添加“账号ID.源站根域名”的CNAME解析记录。以您的源站域名服务商为华为云为例来为您详细介绍校验流程。 需要校验的源站域名为：source.origin.com 账号ID为：0a0b0**********************272e0。 操作步骤： 进入华为云控制台，在“服务列表”中选择“网络 > 云解析服务DNS”。 选择“域名解析 > 公网解析”，单击右上角“创建公网域名”。 在域名处填写“origin.com”，单击“确定”。 单击域名“origin.com”，在域名详情页面右上方单击“添加记录集”。 主机记录：账号ID。 类型：CNAME-将域名指向另一个域名。 值：账号ID.o.cdnhwc1.com。 单击“确定”完成记录集添加。 返回域名添加界面，单击“点击校验”完成源站校验。 万网、DNSPod、新网、godaddy等其它服务商配置类似，请参考以上示例完成校验。

Web应用防火墙-成长地图 | 华为云 Web应用防火墙 Web应用防火墙（Web Application Firewall， WAF），通过对HTTP(S)请求进行检测，识别并阻断SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等攻击，保护Web服务安全稳定。 产品介绍 图说WAF 立即使用 成长地图 由浅入深，带您玩转WAF 01 了解 了解华为云Web应用防火墙的功能特性和应用场景，有助于您更准确地匹配实际业务，更快速地完成域名接入，让您的业务高效上云。 产品介绍 什么是WAF 功能特性 产品优势 应用场景 03 入门 购买WAF后，您可以将您的网站业务接入WAF即开启WAF防护，并根据您的业务场景配置适用的防护策略。 开启WAF防护 开启WAF防护 配置防护规则 配置CC攻击防护策略 配置精准访问防护策略 05 实践 基于业务场景及客户需求的最佳实践，助您快速使用WAF防护您的网站。 防护Web业务 单独使用WAF的配置指导 同时部署DDoS高防和WAF的配置指导 同时部署CDN和WAF的配置指导 Web基础防护功能最佳实践 误报屏蔽最佳实践 TLS协议最佳实践 源站保护最佳实践 获取访问者真实IP 02 购买 针对不同的应用场景，您可以灵活选择WAF的服务版本、域名扩展包、带宽扩展包。 服务规格 服务版本 域名扩展包 带宽扩展包 购买方式 如何收费 如何续费 快速购买 购买Web应用防火墙 升级服务版本 04 使用 根据业务发展需要，您可以随时变更规格、添加防护域名、修改服务器配置、变更防护规则。除此之外，您还可以实时查看防护日志，分析防护事件数据，以便及时调整防护策略，更好的防护您的网站业务。 常用操作 添加防护域名 开启告警通知 修改服务器信息 更新证书 处理误报事件 下载防护事件数据 配置规则 配置Web基础防护规则 配置CC攻击防护规则 配置黑白名单规则 配置误报屏蔽规则 策略管理 添加防护策略 批量添加防护规则 添加策略适用的防护域名 常见问题 了解更多常见问题、案例和解决方案 热门案例 如何排查404/502/504问题？ 如何接入WAF？ Web应用防火墙如何配置CC防护规则? 如何配置对外协议与源站协议？ 如何在启用Web应用防火墙后获取访问者真实IP？ 如何在本地测试Web应用防火墙？ 未配置子域名和TXT记录的影响？ Web应用防火墙如何对误报进行处理？ Web应用防火墙支持哪些非标准端口？ 如何放行WAF回源IP段？ 更多 域名接入 如何接入WAF？ 如何在添加防护域名中配置防护域名？ 后端服务器配置多个IP时的注意事项？ 如何配置对外协议与源站协议？ 如何更新证书？ 如何切换工作模式？ 如何开启告警通知？ 更多 防护配置 如何配置Web基础防护规则？ 如何配置CC攻击防护规则？ 如何配置精准访问防护规则？ 如何配置黑白名单规则？ 如何配置网页防篡改规则？ 如何配置误报屏蔽规则？ 更多 产品咨询 如何购买Web应用防火墙？ 如何升级WAF的服务版本？ 新旧CNAME的区别？ Web应用防火墙支持哪些版本和功能规格？ 如何查看网站请求和攻击情况？ Web应用防火墙支持哪些防护策略？ Web应用防火墙防护网站后主机的上传请求限制？ Web应用防火墙服务到期后还能防护域名吗？ 更多 故障排查 如何放行WAF回源IP段？ 如何排查404/502/504错误？ 如何在启用Web应用防火墙后获取访问者真实IP？ 如何解决重定向次数过多？ 如何解决HTTPS请求在部分手机访问异常？ 如何解决证书链不完整？ 更多 技术专题 技术、观点、课程专题呈现 详谈WAF与静态统计分析 介绍虚拟补丁利用静态应用程序过滤WAF上的HTTP请求 一键防护WebLogic漏洞 介绍WAF如何防护WebLogic反序列化漏洞 跟唐老师学习云网络 唐老师将自己对网络的理解分享给大家 智能客服 您好！我是有问必答知识渊博的的智能问答机器人，有问题欢迎随时求助哦！ 社区求助 华为云社区是华为云用户的聚集地。这里有来自Web应用防火墙的技术牛人，为您解决技术难题。

修订记录 发布日期 修订记录 2022-09-06 第十四次正式发布。 本次更新说明如下： 增加“CDN加速匀速建站CloudSite” 2022-08-10 第十三次正式发布。 本次更新说明如下： 增加“CDN加速OBS常见问题”章节。 2022-08-01 第十二次正式发布。 本次更新说明如下： 更新“CDN日志转存到OBS”章节，修改“创建委托”步骤。 2022-05-24 第十一次正式发布。 本次更新说明如下： 更新“CDN日志转存到OBS”章节，新增“创建自定义策略”。 2022-03-10 第十次正式发布。 本次更新说明如下： 新增“自定义OBS私有桶策略配置”章节 2021-12-28 第九次正式发布。 本次更新说明如下： 更新“如何提高缓存命中率”章节。 2021-09-08 第八次正式发布。 本次更新说明如下： 更新“CDN日志转存到OBS”代码示例。 2021-06-18 第七次正式发布。 本次更新说明如下： 新增“获取客户端真实IP” 2021-04-28 第六次正式发布。 本次更新说明如下： 新增“CDN日志转存到OBS” 2021-04-21 第五次正式发布。 本次更新说明如下： 新增“如何提高缓存命中率” 2021-04-02 第四次正式发布。 本次更新说明如下： 新增“CDN加速ECS资源” 2021-03-19 第三次正式发布。 本次更新说明如下： 更新“CDN加速OBS桶文件” 新增“如何设置缓存过期时间” 2020-04-15 第二次正式发布。 本次更新说明如下： 更新操作步骤 优化相关描述 2019-06-27 第一次正式发布。

修订记录 发布日期 修订记录 2022-02-09 第十七次正式发布 本次更新说明如下： 开通CDN服务流程更新。 2021-05-14 第十六次正式发布 本次更新说明如下： 在“添加加速域名”章节增加“源站校验功能”。 2021-04-06 第十五次正式发布 本次更新说明如下： 控制台支持开通“全站加速”功能。 2020-11-10 第十四次正式发布 本次更新说明如下： 支持中国香港、新加坡、曼谷的OBS桶以“OBS桶域名”的形式接入CDN。 2020-09-25 第十三次正式发布 本次更新说明如下： 优化文档结构。 添加“常见问题”章节。 添加“配置CNAME域名解析”章节。 2020-06-11 第十二次正式发布 本次更新说明如下： 在“步骤三：添加CDN加速域名”章节中下线“源站校验”内容。 优化文档相关描述。 2020-04-10 第十一次正式发布。 本次更新说明如下： 在“步骤三：添加CDN加速域名”中新增个人用户首次添加加速域名验证。 优化文档相关描述。 2020-01-02 第十次正式发布。 本次更新说明如下： 优化文档结构。 在“步骤三：添加CDN加速域名”中新增源站校验方式。 优化文档相关描述。 2019-10-28 第九次正式发布。 本次更新说明如下： “接入CDN”章节中新增“本地测试加速域名的业务”步骤。 优化文档相关描述。 2019-09-24 第八次正式发布。 本次更新说明如下： 新增“入门概述”章节。 优化文档相关描述。 2019-06-26 第七次正式发布。 本次更新说明如下： 将“接入CDN服务”拆分为“接入CDN（按量计费方式）”和“接入CDN（流量包方式）”。 优化文档相关描述。 2019-05-08 第六次正式发布。 本次更新说明如下： 合并“开通CDN”、“添加CDN加速域名”、“配置CNAME”到“快速接入CDN服务”章节。 变更验证CNAME是否生效的方法。 移动“配置CNAME（非华为云DNS）”到“用户指南”的“更多资源”中。 2019-03-14 第五次正式发布。 本次更新说明如下： 优化文档大纲结构。 2019-02-28 第四次正式发布。 本次更新说明如下： 优化文档细节内容。 2018-12-28 第三次正式发布。 本次更新说明如下： 优化第3章节“添加CDN加速域名”内容。 2018-08-30 第二次正式发布。 本次更新说明如下： 更新第3章节“添加CDN加速域名”内容，增加OBS桶作为源站的配置说明。 更新第3章节“添加CDN加速域名”内容，增加企业项目的相关配置说明。 2018-06-15 第一次正式发布。

快速添加域名解析 快速添加CNAME类型解析记录（适用于云速邮箱、CDN、WAF） 为域名（例如example.com）和子域名（例如www.example.com）添加CNAME类型记录集。 在DNS列表页，选择待解析的域名，点击操作列的“管理解析 > 快速添加解析”。 选择“网站解析 > 域名”。 填写在云速建站控制台获取的CNAME解析值。 单击“确定”完成记录集的添加。 快速添加A类型解析记录 为域名（例如example.com）和子域名（例如www.example.com）添加A类型记录集。 在DNS列表页，选择待解析的域名，点击操作列的“管理解析 > 快速添加解析”。 选择“网站解析 > IP”。 输入搭建网站的云服务器的IPv4地址。 单击“确定”完成记录集的添加。 快速添加邮箱解析 为域名（例如example.com）和子域名（例如www.example.com）添加邮箱解析记录集。默认为您添加邮箱的MX、CNAME、TXT类型的记录集。 在DNS列表页，选择待解析的域名，点击操作列的“管理解析 > 快速添加解析”。 选择“邮箱解析 ”。 选择邮箱类型。 单击“确定”完成记录集的添加。

方案三：CDN私有桶回源方式访问 方案优劣势及约束限制说明 该方案不需要将桶设置为公共读，可用私有桶实现。 该方案不需要配置OBS自定义域名，仅需在CDN配置加速域名。按照工信部要求，您的桶如果在以下区域，使用的加速域名需要提前完成ICP备案。 包括：华北-北京一、华北-北京四、华北-乌兰察布一、华东-上海一、华东-上海二、华南-广州、西南-贵阳一 该方案支持HTTPS访问。如果需要使用HTTPS，需要将证书导入CDN。详情请参见HTTPS证书配置。 配置步骤 在CDN控制台将准备好的自有域名添加为加速域名。 添加方法请参见添加CDN加速域名。其中“源站类型”选择“OBS桶域名”，并在源站中选择对应的OBS桶域名。 若OBS桶开启了静态网站托管功能，需要勾选“静态网站托管”选项。 开启私有桶回源功能。 开启方法请参见OBS私有桶回源。 在DNS上进行CNAME配置。 配置方法请参见绑定自定义域名中的CNAME配置步骤。其中，CNAME配置为CDN分配的CNAME域名。 验证对象是否可以在线预览。 如仍不能在线预览，请检查对象元数据ContentType值是否是浏览器支持的在线展示类型。 例如对象是一个mp4格式的视频文件，则设置ContentType为“video/mp4”；对象是一个jpg格式的图片文件，则设置ContentType为“image/jpeg”。OBS支持的ContentType类型请参见对象元数据Content-Type介绍。 您可以通过管理控制台、API和SDK来设置对象元数据ContentType。 表3 修改对象元数据 工具 参考 管理控制台 配置对象元数据 API 修改对象元数据 SDK SDK参考的设置对象属性

如何同时部署CDN和WAF（Web应用防火墙） 您需要先将域名解析到CDN，再将CDN加速域名的源站修改为WAF的“CNAME”，这样流量才会被CDN转发到WAF，WAF再将流量转到源站，实现网站流量检测和攻击拦截。配置完成后，流量会先经过CDN，再转发至WAF，实现联动防御。 同时，为了防止其他用户提前将您的域名配置到Web应用防火墙上，从而对您的域名防护造成干扰，建议您到DNS服务商处添加一条WAF的子域名和TXT记录。 配置详情请参考同时部署CDN和WAF的配置指导。

下线流程 配置下线策略后，域名下线流程如下表所示。 场景 下线流程 账户欠费 华为云账户欠费后，您的华为云资源（如CDN域名资源），将进入保留期。具体保留期规则请参见保留期 账户欠费后，CDN会根据您设置的下线策略下线您的加速域名。 CDN会根据您设置的下线策略下线您的加速域名： 下线策略为“解析回源”场景 CDN将您的域名解析回您的主源站。 解析回源成功后，停用您的加速域名。 域名状态调整为“停用”，停止域名加速服务。 下线策略为“停用域名”场景 CDN停用您的加速域名。 域名状态调整为“停用”，停止域名加速服务。

必须配置 使用CDN加速，您必须进行以下配置： 添加加速域名 您需要将加速域名添加至CDN控制台，并配置业务类型、加速范围、源站，首次接入CDN的源站需要做源站校验。 如果您使用对象存储桶作为源站，请注意： 第三方存储桶必须以源站域名的形式接入，且不支持第三方私有桶。 华为云OBS桶支持区域：中国大陆、中国香港、新加坡、曼谷，其它地区OBS桶的接入方式同第三方存储桶，如果您使用的是私有桶，并且含有保密内容，请不要将该私有桶设置为源站。 常见问题及解决方法： 如果您在添加域名时提示“无法校验通过”，请提交工单解决。 如果您添加的域名显示一直在配置中，请您耐心等待，数据同步到CDN节点大约需要5-10分钟。 配置CNAME 将加速域名指向CNAME域名，访问加速域名的请求才能转发到CDN节点上，达到加速效果。 说明： 为了保证您的业务顺利切换至CDN，建议您在配置CNAME之前先进行“本地测试加速域名”。

域名操作 权限 授权项 对应API接口 IAM项目 企业项目 查询加速域名 cdn:configuration:queryDomains GET /v1.0/cdn/domains √ √ 创建加速域名 cdn:configuration:createDomains POST /v1.0/cdn/domains √ √ 停用加速域名 cdn:configuration:disableDomains PUT /v1.0/cdn/domains/{domainId}/disable √ √ 删除加速域名 cdn:configuration:deleteDomains DELETE /v1.0/cdn/domains/{domainId} √ √ 启用加速域名 cdn:configuration:enableDomains PUT /v1.0/cdn/domains/{domainId}/enable √ √

必须配置 使用CDN加速，您必须进行以下配置： 添加加速域名 您需要将加速域名添加至CDN控制台，并配置业务类型、加速范围、源站，首次接入CDN的源站需要做源站校验。 如果您使用对象存储桶作为源站，请注意： 第三方存储桶必须以源站域名的形式接入，且不支持第三方私有桶。 华为云OBS桶支持区域：中国大陆、中国香港、新加坡、曼谷，其它地区OBS桶的接入方式同第三方存储桶，如果您使用的是私有桶，并且含有保密内容，请不要将该私有桶设置为源站。 常见问题及解决方法： 如果您在添加域名时提示“无法校验通过”，请提交工单解决。 如果您添加的域名显示一直在配置中，请您耐心等待，数据同步到CDN节点大约需要5-10分钟。 配置CNAME 将加速域名指向CNAME域名，访问加速域名的请求才能转发到CDN节点上，达到加速效果。 说明： 为了保证您的业务顺利切换至CDN，建议您在配置CNAME之前先进行“本地测试加速域名”。

操作步骤 登录华为云控制台，在控制台首页中选择“CDN与智能边缘> CDN”，进入CDN控制台。 在左侧菜单栏中，选择“域名管理”。 在域名列表中，单击需要修改的域名或域名所在行的“设置”，进入域名配置页面。 选择“访问控制”页签。 在IP黑白名单配置模块，单击“编辑”，系统弹出“配置IP黑白名单”对话框，如下图所示。 单击“状态”开关按钮，开启该配置项。 选择配置的类型，输入规则。 参数 说明 类型 IP黑名单：用户端IP匹配黑名单中的IP或IP段时 ，访问CDN节点时将直接返回403状态码。 IP白名单：用户端IP未匹配白名单中的IP或IP段时 ，访问CDN节点时将直接返回403状态码。 说明： IP黑名单与IP白名单二选一，不可同时配置。 如果用户端运营商为小运营商（非中国电信、中国移动、中国联通、中国铁通），请添加内网IP段。 规则 支持配置IP地址和IP&掩码格式的网段，最多支持配置150个，一行一个。 网段表示形式仅支持IP/8，IP/16，IP/24，IP/32四种形式。 网段“IP/掩码”中的IP必须是该网段IP区间首个主机IP地址。 多个完全重复的IP/IP段将合并为一个。 不支持通配符，例如，输入192.168.0.* 。 支持IPv6，IPv6不支持网段形式。 单击“确定”，完成IP黑白名单配置。

如何同时部署CDN和WAF（Web应用防火墙） 先将域名解析到CDN，再将CDN加速域名的源站修改为WAF的“CNAME”，这样流量才会被CDN转发到WAF，WAF再将流量转到源站，实现网站流量检测和攻击拦截。配置完成后，流量会先经过CDN，再转发至WAF，实现联动防御。 同时，为了防止其他用户提前将您的域名配置到Web应用防火墙上，从而对您的域名防护造成干扰，建议您到DNS服务商处添加一条WAF的子域名和TXT记录。 配置详情请参考同时部署CDN和WAF的配置指导。

必须配置 使用CDN加速，您必须进行以下配置： 配置项 说明 添加加速域名 您需要将加速域名添加至CDN控制台，并配置业务类型、加速范围、源站，首次接入CDN的源站需要做源站校验。 如果您使用对象存储桶作为源站，请注意： 第三方存储桶必须以源站域名的形式接入，且不支持第三方私有桶。 华为云OBS桶支持区域：中国大陆、中国香港、新加坡、曼谷，其它地区OBS桶的接入方式同第三方存储桶，如果您使用的是私有桶，并且含有保密内容，请不要将该私有桶设置为源站。 常见问题及解决方法： 如果您在添加域名时提示“无法校验通过”，请提交工单解决。 如果您添加的域名显示一直在配置中，请您耐心等待，数据同步到CDN节点大约需要5-10分钟。 配置CNAME 将加速域名指向CNAME域名，访问加速域名的请求才能转发到CDN节点上，达到加速效果。 说明： 为了保证您的业务顺利切换至CDN，建议您在配置CNAME之前先进行“本地测试加速域名”。

操作步骤 登录华为云控制台，在控制台首页中选择“CDN与智能边缘 > CDN”，进入CDN控制台。 在左侧菜单栏中，选择“域名管理”。 在域名列表中，单击需要修改的域名或域名所在行的“设置”，进入域名配置页面。 选择“访问控制”页签。 在防盗链配置模块，单击“编辑”，系统弹出“配置防盗链”对话框，如下图所示。 单击“状态”开关按钮，开启该配置项。 选择“类型”，根据业务需要配置referer相关参数，具体参数说明参见下表。 参数 说明 输入规则 空referer 空referer指HTTP请求头中referer字段内容为空，或者一个HTTP请求中根本不包含referer字段。设置黑白名单时，当勾选了此项，那么此类访问请求将遵循黑白名单的过滤规则。 / referer白名单 当请求的referer内容匹配白名单中的设置时，用户可以访问到请求的内容。否则，CDN返回403禁止访问的错误信息。 当勾选了“包含空referer”后，如果用户发起了此类空referer的访问请求，用户可以访问到请求的内容。 支持输入域名或IP地址，域名、IP地址可混合输入，以“;”进行分割。 支持添加泛域名。 支持添加带端口的域名，端口最大值为65535。 输入的域名、IP地址总数不能超过400个。 示例：www.example.com:443;*.test.com;192.168.0.0 referer黑名单 当请求的referer内容匹配黑名单中的设置时，用户不能访问请求的内容，CDN节点返回403禁止访问的错误信息。否则，用户可以访问到请求的内容 当勾选了“包含空referer”后，如果用户发起了此类空referer的访问请求，用户不能访问请求的内容，CDN节点返回403禁止访问的错误信息。 支持输入域名或IP地址，域名、IP地址可混合输入，以“;”进行分割。 支持添加泛域名。 支持添加带端口的域名，端口最大值为65535。 输入的域名、IP地址总数不能超过400个。 示例：www.example.com:443;*.test.com;192.168.0.0 在“规则”文本框处，输入要禁止或允许访问的域名。 单击“确定”，完成防盗链配置。

必须配置 使用CDN加速，您必须进行以下配置： 添加加速域名 您需要将加速域名添加至CDN控制台，并配置业务类型、加速范围、源站，首次接入CDN的源站需要做源站校验。 如果您使用对象存储桶作为源站，请注意： 第三方存储桶必须以源站域名的形式接入，且不支持第三方私有桶。 华为云OBS桶支持区域：中国大陆、中国香港、新加坡、曼谷，其它地区OBS桶的接入方式同第三方存储桶，如果您使用的是私有桶，并且含有保密内容，请不要将该私有桶设置为源站。 常见问题及解决方法： 如果您在添加域名时提示“无法校验通过”，请提交工单解决。 如果您添加的域名显示一直在配置中，请您耐心等待，数据同步到CDN节点大约需要5-10分钟。 配置CNAME 将加速域名指向CNAME域名，访问加速域名的请求才能转发到CDN节点上，达到加速效果。 说明： 为了保证您的业务顺利切换至CDN，建议您在配置CNAME之前先进行“本地测试加速域名”。

购买计费 CDN在哪些环节收费，如何收费？ CDN受到恶意攻击会计费吗？ CDN流量包使用完后如何计费？ CDN流量包与加速范围和源站位置有关系吗？ CDN流量包中对HTTP和HTTPS访问的计费是一样的吗？ CDN流量包支持退订吗？ CDN流量包有效期是多久，可以续费吗？ CDN流量包支持关联到指定域名吗？ CDN闲时流量包和全时流量包可以同时使用吗？ CDN的全时流量包和闲时流量包有什么区别？ CDN是否可以看到单个加速域名的计费情况？ CDN和OBS能共用流量包吗？ CDN是否会对HTTP/HTTPS请求数计费？ CDN全站加速请求数量是如何统计的？ CDN从OBS拉取的流量是什么流量？ 如何购买CDN流量包 如何对已购买的流量包进行续费？ 如何设置流量包剩余使用量预警？ 如何设置余额预警阈值？ 如何核对每月的CDN月结95带宽峰值计费情况？ 购买了中国大陆境外CDN流量包能否转到中国大陆境内使用？ 购买CDN流量包后，什么时候生效？ 购买中国大陆CDN流量包时需要考虑使用的区域吗？ 多个加速域名是否可以共享同一个流量包？ 为什么流量包中的流量使用量与统计分析中的流量显示存在差别？ 为什么购买了流量包，还会扣除余额？ 如果我购买的CDN流量包是中国大陆境外流量包，没有购买中国大陆流量包，那么中国大陆有用户访问我的域名，使用的是哪里的流量？ 点播加速和文件下载加速收费一样吗？ 什么是保留期？ 配置全球加速后中国大陆和中国大陆境外所消耗的流量、带宽是否分开计费？ 因欠费导致CDN服务不可用的情况排查 使用OBS桶作为源站且已购买OBS回源流量包，但CDN产生的回源流量未从OBS回源流量包中扣除

功能特性 华为云视频直播提供了直播推流、直播播放、直播转码、直播录制等功能，广泛地用于在线教育、互动文娱等场景。具体如表1所示。 表1 功能特性 类别 特性名称 特性说明 直播推流 推流协议 支持RTMP协议推流，也支持纯音频或纯视频推流。 推流形式 支持常见的第三方软件例如OBS/XSplit/FMLE等。 上行加速 支持直播内容上行推流加速、用户接入点/设备调度(DNS/HTTP DNS)、访问鉴权、弹性伸缩。 直播播放 播放协议 支持RTMP、HTTP-FLV和HLS三种播放协议。 播放形式 支持常见的第三方播流软件如VLC等。 下行加速 提供直播内容下行分发加速、用户接入点/设备调度(DNS/HTTP DNS)、访问鉴权、弹性伸缩。 直播流处理 录制 支持将直播流录制存储到对象存储服务（OBS），直播流录制格式为HLS、FLV和MP4，支持将存储在OBS的录制文件托管到VOD，并在VOD中对录制文件进行处理。 转码 支持对直播流进行多规格转码，支持H.264和H.265标准转码和高清低码转码。 截图 支持对直播流进行截图存储到OBS桶中，截图文件暂只支持JPG格式。 延时 支持修改播放延时。 拉流回源 支持将自有源站中的直播内容拉取到华为云直播中心进行加速分发。 直播管理 管理方式 支持通过视频直播控制台进行图形化管理，也支持调用API进行直播管理。 直播控制台 概览 支持查看直播的今日下行流量、下行带宽峰值等数据。 支持变更直播的CDN计费模式。 直播管理 支持查看在线流和禁推流信息。 支持查看录制文件。 域名管理 支持新增、删除、停用、启用直播推流域名和播放域名。 支持推流域名和播放域名关联或取消关联。 推流域名支持配置转码、录制、截图和开停播通知等，支持推流鉴权。 播放域名支持配置拉流回源、HTTPS证书和延时等，支持Key防盗链、Referer防盗链和IP黑名单。 统计分析 支持查看直播服务的下行带宽、下行流量、在线观看人数、上行带宽、推流路数、转码用量、录制用量、截图用量、状态码等统计信息。 流监控 支持查看单个直播流的历史推流列表、推流帧率和码率详情。 大屏监控 支持对所有直播资源的用量及分布情况进行实时监控。 日志管理 支持查看播放域名被网络用户访问的详细日志，可下载最近90天的日志文件。 云资源授权 支持将OBS桶授权给直播服务，允许直播服务将视频截图存储在对应的桶中。 支持将OBS桶授权给点播服务，允许直播服务将录制视频存储在对应的桶中，同时托管给点播服务。 工具库 支持使用防盗地址生成工具快速生成推流域名和播放域名的鉴权URL。 直播安全 URL鉴权 支持自定义鉴权Key，用于校验直播推流和播放请求的URL的合法性。 Referer防盗链 支持对播放请求的Referer进行识别和过滤。 IP黑白名单 支持对播放请求者的IP进行识别和过滤。 HTTPS安全加速 支持使用播放域名的证书配置HTTPS，并将其部署到CDN节点，从而实现HTTPS安全加速。 直播API 域名管理 支持通过API创建、删除、修改和查询直播域名。 支持为已创建的播放域名和推流域名建立或删除域名映射关系。 直播转码 支持通过API查询、修改、创建和删除直播转码模板。 流管理 支持通过API查询和修改禁推属性，查询直播加速数据等。 日志管理 支持通过API获取直播播放日志。 录制管理 支持通过API创建、查询、删除直播录制模板，实现直播流录制到OBS桶中，并托管给点播服务，供用户预览和回看。 录制回调管理 支持通过API创建、删除、修改、查询直播录制状态回调消息。 支持通过API查询录制回调配置列表信息。 数据统计分析 支持通过API查询播放流量、带宽数据，查询指定时间范围内的播放带宽峰值、流量汇总数据等。 流监控 支持通过API查询单个直播流的推流帧率和码率数据。

URI GET /v1.0/cdn/domains/{domain_id}/ip-acl 表1 路径参数 参数 是否必选 参数类型 描述 domain_id 是 String 需要查询IP黑白名单的域名id。获取方法请参见查询加速域名。 表2 Query参数 参数 是否必选 参数类型 描述 enterprise_project_id 否 String 当用户开启企业项目功能时，该参数生效，表示查询资源所属项目，"all"表示所有项目。注意：当使用子账号调用接口时，该参数必传。

None 企业建站流程 1、建站前准备 2、网站设计 3、安全与解析 4、资质办理 1、准备工作 在网站设计前，您需注册域名、开通网站和网站备案。华为云为您提供域名注册（Domains）、云速建站（Cloudsite）和网站备案（ICP）服务，方便用户使用域名可以直接访问网站；根据工信部要求，使用大陆节点服务器提供互联网信息服务的用户，都需进行备案。因此，购买大陆站点云速建站，也需进行备案。 注册华为云帐号 您可以在华为云官网注册帐号并进行实名认证，获取新用户专属套餐福利。 立即注册 帐号实名认证 立即注册 实名认证 如何进行帐号注册 个人帐号如何完成实名认证 企业帐号如何完成实名认证 注册域名 华为云为您提供域名的注册、购买、实名认证以及管理功能。 立即注册 域名实名认证 如何购买域名 个人用户域名实名认证 企业用户域名实名认证 开通站点 华为云为您提供云速建站服务，包含中国大陆站点和香港站点，您可根据需求购买站点，开通网站。根据工信部要求，购买中国大陆站点需要进行备案，香港站点无需备案。 立即开通 什么是云速建站 如何开通网站 多终端独立版站点 多终端自适应版站点 网站备案 华为云为您提供免费备案服务，根据工信部要求，使用大陆节点服务器提供互联网信息服务的用户，需要在服务器提供商处提交备案申请。 立即备案 备案前需要准备什么 如何快速完成备案 公安备案 经营性备案 1、准备工作 在创建网站的过程中，华为云为您提供云速建站（Cloudsite）、内容分发网络（CDN）和对象存储服务（OBS），助力您快速搭建网站，提高用户访问网站的响应速度与网站的可用性，解决网站上传文件限制大小问题。 只需三步，快速开启您的OBS之旅。 网站编辑 华为云为您提供多终端独立版和多终端自适应版建站产品，无需代码，自由拖拽，快速生成中小企业网站及网店、微信网店等。 立即编辑 定制网站 免费体验 立即注册 实名认证 多终端独立版站点编辑 多终端自适应版站点编辑 配置CDN加速（可选） 华为云为您提供快速、稳定、安全、可靠的全球内容分发加速服务，支持网站、图片、音视频等多业务内容分发。 立即配置 免费试用 什么是CDN加速 云速建站如何配置站点加速 配置OBS上传文件（可选） 华为云为您提供稳定、安全、高效、易用的对象存储服务，使用时无需考虑容量限制，并且提供多种存储类型供选择，满足客户各类业务场景诉求。 立即购买 1对1服务 什么是对象存储服务 云速建站配置OBS上传文件 1、准备工作 网站设计完成后，我们可设置对外展示网站。华为云为您提供云解析服务（DNS）、SSL证书管理（CCM）和WEB应用防火墙（WAF），支持一键解析，确保网站的安全访问和运行，避免网站被黑客恶意攻击和入侵。 云解析服务 华为云为您提供免费高可用、高扩展的权威DNS服务和DNS管理服务，帮助您将域名或应用资源转换成用于计算机连接的IP地址，从而将最终用户路由到相应的应用资源上。 立即使用 1对1咨询 立即注册 实名认证 什么是云解析服务 多终端独立版域名配置与解析 多终端自适应版域名配置与解析 SSL证书管理（可选） 华为云为您提供一站式证书的全生命周期管理服务，实现网站的可信身份认证与安全数据传输。 立即设置 1对1咨询 什么是云证书管理服务 多终端独立版添加SSL证书 多终端自适应版添加SSL证书 WEB应用防火墙（可选） 华为云Web应用防火墙WAF对网站业务流量进行多维度检测和防护，结合深度机器学习智能识别恶意请求特征和防御未知威胁，避免网站被黑客恶意攻击和入侵。 立即使用 什么是Web应用防火墙 如何开启WAF 1、准备工作 华为云帮助您快捷高效办理增值电信业务许可证，包括ICP、EDI、ISP、SP、IDC、CDN等，并提供以上经营许可证的申请、变更、年报、续期、注销等业务解决方案。无证擅自提供服务属于违规经营，会面临相关主管部门依法给予罚款 、责令关闭网站等行政处罚。 只需三步，快速开启您的OBS之旅。 ICP经营许可证（可选） 企业凡经营有偿信息发布网站，则需办理 ICP 经营许可证，内容包括但不限于：在线销售、在线支付、广告招商、会员收费、企业合作、项目投标等。 服务咨询 了解详情 立即注册 实名认证 如何购买ICP经营许可证 EDI 在线数据处理与交易处理业务许可证（可选） 企业通过公用通信网或互联网，为用户提供在线数据处理和交易处理的业务，则需办理EDI许可证，内容包括但不限于：经营类电子商务、电商平台、网络/电子设备数据处理、电子数据交换等。 服务咨询 了解详情 如何购买EDI许可证 相关视频 快速通过OBS控制台上传下载文件 快速通过OBS Browser上传下载文件 OBS API快速入门

响应参数 状态码： 200 表3 响应Body参数 参数 参数类型 描述 total Integer 总条数。 domains Array of Domains objects 域名信息 表4 Domains 参数 参数类型 描述 id String 加速域名ID。 domain_name String 加速域名。 business_type String 域名业务类型，若为web，则表示类型为网站加速；若为download，则表示业务类型为文件下载加速；若为video，则表示业务类型为点播加速；若为wholeSite，则表示类型为全站加速。 user_domain_id String 域名所属用户的domain_id。 domain_status String 加速域名状态。取值意义： - online表示“已开启” - offline表示“已停用” - configuring表示“配置中” - configure_failed表示“配置失败” - checking表示“审核中” - check_failed表示“审核未通过” - deleting表示“删除中” cname String 加速域名对应的CNAME。 sources Array of Sources objects 源站域名或源站IP，源站为IP类型时，仅支持IPv4，如需传入多个源站IP，以多个源站对象传入，除IP其他参数请保持一致，主源站最多支持15个源站IP对象，备源站最多支持15个源站IP对象；源站为域名类型时仅支持1个源站对象。不支持IP源站和域名源站混用。 domain_origin_host DomainOriginHost object 域名回源设置信息 https_status Integer 是否开启HTTPS加速。 create_time Long 域名创建时间，相对于UTC 1970-01-01到当前时间相隔的毫秒数。 modify_time Long 域名修改时间，相对于UTC 1970-01-01到当前时间相隔的毫秒数。 disabled Integer 封禁状态（0代表未禁用；1代表禁用）。 locked Integer 锁定状态（0代表未锁定；1代表锁定）。 auto_refresh_preheat Integer 自动刷新预热（0代表关闭；1代表打开） service_area String 华为云CDN提供的加速服务范围，包含：mainland_china中国大陆、outside_mainland_china中国大陆境外、global全球。 range_status String Range回源状态。 follow_status String 回源跟随状态。 origin_status String 是否暂停源站回源。 banned_reason String 域名禁用原因 locked_reason String 域名锁定原因 enterprise_project_id String 当用户开启企业项目功能时，该参数生效，表示查询资源所属项目，不传表示查询默认项目。注意：当使用子账号调用接口时，该参数必传。 表5 Sources 参数 参数类型 描述 domain_id String 加速域名id。 ip_or_domain String 源站IP（非内网IP）或者域名。 origin_type String 源站类型取值：ipaddr、 domain、obs_bucket，分别表示：源站IP、源站域名、OBS桶访问域名。 active_standby Integer 主备状态（1代表主站；0代表备站）,主源站必须存在，备源站可选，OBS桶不能有备源站。 enable_obs_web_hosting Integer 是否开启Obs静态网站托管(0表示关闭,1表示则为开启)，源站类型为obs_bucket时传递。 表6 DomainOriginHost 参数 参数类型 描述 domain_id String 域名ID。获取方法请参见查询加速域名。 origin_host_type String 回源host的类型。 customize_domain String 自定义回源host域名。

修订记录 发布日期 修订记录 2022-09-27 第五十次正式发布 本次更新说明如下： “缓存刷新”支持对目录中有变化的资源刷新。 2022-08-25 第四十九次正式发布 本次更新说明如下： “智能压缩”功能迁移到“高级配置”目录下。 2022-08-18 第四十八次正式发布 本次更新说明如下： 新增Linux版本的“日志下载工具”。 2022-08-05 第四十七次正式发布 本次更新说明如下： 控制台支持配置“远程鉴权”功能。 2022-04-26 第四十六次正式发布 本次更新说明如下： 支持配置国密证书。 2022-04-26 第四十五次正式发布 本次更新说明如下： 上线“IPv6开关”、“回源超时时间”、“TLS版本配置”、“状态码缓存时间”、“自定义错误页面”功能。 2022-03-24 第四十四次正式发布 本次更新说明如下： 上线“变更服务范围”功能。 缓存规则支持配置60条。 2022-03-22 第四十三次正式发布 本次更新说明如下： 日志管理章节更新“日志下载工具”。 控制台支持配置OCSP Stapling。 2022-03-10 第四十二次正式发布 本次更新说明如下： “强制跳转”、“HTTP/2”、“回源协议”的配置从“HTTPS配置”剥离。 当源站为OBS桶域名时，支持配置备源站。 支持跨账号添加“OBS桶域名”作为CDN的源站。 2022-03-04 第四十一次正式发布 本次更新说明如下： 回源HOST配置从原“回源配置”调整到“修改源站信息”。 2022-01-06 第四十次正式发布 本次更新说明如下： 控制台支持配置Brotli压缩。 2021-12-06 第三十九次正式发布 本次更新说明如下： URL鉴权功能支持选择加密算法。 2021-11-25 第三十八次正式发布 本次更新说明如下： 复制配置功能支持选取配置项。 2021-11-11 第三十七次正式发布 本次更新说明如下： 新增改写回源URL配置功能。 2021-10-26 第三十六次正式发布 本次更新说明如下： IP黑白名单支持IPv6格式。 缓存规则配置增加推荐配置。 防盗链配置支持带端口。 2021-10-11 第三十五次正式发布 本次更新说明如下： 控制台新增自助配置“UA黑白名单”。 控制台支持导出域名基本配置。 2021-09-28 第三十四次正式发布 本次更新说明如下： 新增统计文档“全站使用量统计”。 控制台统计功能调整。 2021-08-31 第三十四次正式发布 本次更新说明如下： 部分配置增加示例：“回源请求头”、“缓存规则”、“回源HOST”、“IP黑白名单”。 2021-05-27 第三十三次正式发布 本次更新说明如下： 控制台新增自助配置“URL”鉴权功能。 2021-04-01 第三十二次正式发布 本次更新说明如下： HTTPS证书配置新增“强制跳转HTTP”功能。 2021-03-09 第三十一次正式发布 本次更新说明如下： 新增“复制配置”。 2021-02-02 第三十次正式发布 本次更新说明如下： 新增“回源请求头” 回源配置章节增加“概述” 缓存配置章节增加“概述” 2020-10-09 第二十九次正式发布 本次更新说明如下： 修改“缓存刷新和缓存预热”章节目录，优化章节内容。 2020-06-11 第二十八次正式发布 本次更新说明如下： 在“修改源站信息”章节中下线“源站校验”章节。 优化文档相关描述。 2020-04-10 第二十七次正式发布 本次更新说明如下： 新增“域名证书管理”章节。 优化文档相关描述。 2020-01-02 第二十六次正式发布 本次更新说明如下： 在“修改源站信息”章节中新增源站校验方式。 优化文档相关描述。 2019-10-28 第二十五次正式发布 本次更新说明如下： 在“域名管理”章节下新增“功能概述”章节。 在相关章节后新增与该章节相关的FAQ链接。 优化文档相关描述。 2019-06-21 第二十四次正式发布 本次更新说明如下： 新增“HTTPS证书格式转换”章节。 新增“启用/停用加速域名”、“移除加速域名”、“重新审核加速域名”章节。 优化文档相关描述。 2019-05-31 第二十三次正式发布 本次更新说明如下： 新增“权限管理”章节。 优化文档相关描述。 2019-05-08 第二十二次正式发布 本次更新说明如下： 合并“启用/停用CDN”、“移除加速域名”、“重新审核加速域名”到“域名操作”章节。 移动“HTTPS证书要求”、“HTTP/2介绍”至“HTTPS配置”章节。 移动“配置CNAME”中非华为云DNS配置方法到“更多资源”。 优化文档中有关操作步骤的内容，将配置说明融入操作步骤。 优化文档描述，描述中增加超链接引导。 2019-04-23 第二十一次正式发布 本次更新说明如下： 移动“故障处理”章节至常见问题中。 优化文档相关细节描述。 2019-03-29 第二十次正式发布。 本次更新说明如下： 新增“域名下线策略”章节。 2019-02-28 第十九次正式发布。 本次更新说明如下： 优化文档细节内容。 2019-02-14 第十八次正式发布。 本次更新说明如下： 新增“域名配额管理”章节。 新增“刷新预热配额管理”章节。 2019-01-28 第十七次正式发布。 本次更新说明如下： 优化文档相关细节描述。 新增相关故障处理方法。 2018-12-28 第十六次正式发布。 本次更新说明如下： 优化配置回源HOST章节内容。 新增相关故障处理方法。 2018-11-30 第十五次正式发布。 本次更新说明如下： 文档大纲结构优化调整。 文档相关细节优化。 新增“域名准入要求”章节。 新增“约束与限制”章节。 2018-10-30 第十四次正式发布。 本次更新说明如下： 新增概览页新版相关说明。 2018-09-29 第十三次正式发布。 本次更新说明如下： 优化“审计”章节内容。 2018-08-30 第十二次正式发布。 本次更新说明如下： 新增第2章“企业项目”。 新增3.2.4章“配置HTTP header”。 更新3.2.2章“配置防盗链”内容，增加“规则”输入文本框支持泛域名添加说明。 更新3.3.1章“配置缓存策略”内容，增加CDN支持全路径缓存规则说明。 更新3.8.2章“配置回源参数”内容，增加私有桶回源的相关说明。 2018-07-30 第十一次正式发布。 本次更新说明如下： 更新2.8.2章“配置回源参数”内容，增加302回源跟随的相关说明。 2018-07-05 第十次正式发布。 本次更新说明如下： 原文档第1章节、第2章节“开通CDN”、“入门”合并独立发布为“快速入门”手册。 更新2.2.1章“配置HTTPS安全加速”内容，增加华为云托管证书的操作说明。 新增2.2.3章节“配置IP黑名单”。 更新2.7章“日志管理”内容，增加日志合并下载的相关说明。 更新2.8.2章“配置回源参数”内容，增加Range回源的相关说明。 新增2.9章节“流量包管理”。 2018-05-15 第九次正式发布。 本次更新说明如下： 新增4.6章“诊断工具”。 2018-03-30 第八次正式发布。 本次更新说明如下： 原版本第1章“简介”从用户指南拆分，发布为独立手册《CDN产品简介》。 更新2.2章“配置CNAME”内容。 更新3.5.2章“统计分析”内容，增加相关服务范围的查询说明及操作步骤。 新增3.5.2.1章“统计说明”。 新增3.5.2.7章“状态码统计”。 新增4.2、4.3、4.4、4.5章的相关问题处理内容。 2018-02-28 第七次正式发布。 本次更新说明如下： 更新4.3.1章“配置缓存策略”内容，删除“忽略cache-control”相关说明及操作步骤。 更新4.6章“日志管理”内容，增加相关Range字段说明及日志名称说明。 2018-01-03 第六次正式发布。 本次更新说明如下： 新增4.5.2.4章“热点统计”。 新增4.5.2.5章“行为统计”。 新增4.2.1章“配置HTTPS安全加速”内容，增加HTTP/2相关的解释说明。 新增7.2章“HTTP/2介绍”。 2017-12-05 第五次正式发布。 本次更新说明如下： 合并调整4.1章“加速域名”、4.2章“基本配置”为4.7章“域名管理”。 新增4.1章“配置说明”。 新增4.2.1章“配置HTTPS安全加速”内容，增加“回源方式”与“强制跳转”的相关解释说明。 新增4.6章“日志管理”内容，增加“日志说明”和“日志格式”。 2017-11-15 第四次正式发布。 本次更新说明如下： 新增4.6.2.1章“使用量统计” 新增4.6.2.2章“访问情况统计”。 新增4.6.2.3章“源站统计”。 2017-09-28 第三次正式发布。 本次更新说明如下： 修改1.7章“定价”，与CDN计费相关的内容请参见购买指南。 删除2.2章“申请公测”。 新增2.2章“开通CDN”。 修改4.6.1章“CDN运行概况”，增加购买流量包信息。 2017-09-15 第二次正式发布。 本次更新说明如下： 新增4.6章“资源监控”。 新增4.7章“日志管理”。 2017-07-29 第一次正式发布。

响应参数 状态码： 200 表4 响应Body参数 参数 参数类型 描述 domain DomainsWithPort object 域名信息 表5 DomainsWithPort 参数 参数类型 描述 id String 加速域名ID。 domain_name String 加速域名。 business_type String 域名业务类型，若为web，则表示类型为网站加速；若为download，则表示业务类型为文件下载加速；若为video，则表示业务类型为点播加速；若为wholeSite，则表示类型为全站加速。 user_domain_id String 域名所属用户的domain_id。 domain_status String 加速域名状态。取值意义： - online表示“已开启” - offline表示“已停用” - configuring表示“配置中” - configure_failed表示“配置失败” - checking表示“审核中” - check_failed表示“审核未通过” - deleting表示“删除中” cname String 加速域名对应的CNAME。 sources Array of SourceWithPort objects 源站域名或源站IP，源站为IP类型时，仅支持IPv4，如需传入多个源站IP，以多个源站对象传入，除IP其他参数请保持一致，主源站最多支持15个源站IP对象，备源站最多支持15个源站IP对象；源站为域名类型时仅支持1个源站对象。不支持IP源站和域名源站混用。 domain_origin_host DomainOriginHost object 域名回源设置信息 https_status Integer 是否开启HTTPS加速。 create_time Long 域名创建时间，相对于UTC 1970-01-01到当前时间相隔的毫秒数。 modify_time Long 域名修改时间，相对于UTC 1970-01-01到当前时间相隔的毫秒数。 disabled Integer 封禁状态（0代表未禁用；1代表禁用）。 locked Integer 锁定状态（0代表未锁定；1代表锁定）。 auto_refresh_preheat Integer 自动刷新预热（0代表关闭；1代表打开） service_area String 华为云CDN提供的加速服务范围，包含：mainland_china中国大陆、outside_mainland_china中国大陆境外、global全球。 range_status String Range回源状态。 follow_status String 回源跟随状态。 origin_status String 是否暂停源站回源。 banned_reason String 域名禁用原因 locked_reason String 域名锁定原因 enterprise_project_id String 当用户开启企业项目功能时，该参数生效，表示查询资源所属项目，不传表示查询默认项目。注意：当使用子账号调用接口时，该参数必传。 表6 SourceWithPort 参数 参数类型 描述 domain_id String 加速域名id。 ip_or_domain String 源站IP（非内网IP）或者域名。 origin_type String 源站类型（"ipaddr"： "IP源站"；"domain"： "域名源站"；"obs_bucket"： "OBS Bucket源站"） active_standby Integer 主备状态（1代表主站；0代表备站）；主源站必须存在，备源站可选。 enable_obs_web_hosting Integer 是否开启Obs静态网站托管(0表示关闭,1表示则为开启)，源站类型为obs_bucket时传递。 http_port Integer HTTP端口，默认80 https_port Integer HTTPS端口，默认443 表7 DomainOriginHost 参数 参数类型 描述 domain_id String 域名ID。获取方法请参见查询加速域名。 origin_host_type String 回源host的类型。 customize_domain String 自定义回源host域名。

响应参数 状态码： 200 表4 响应Body参数 参数 参数类型 描述 domain DomainsWithPort object 域名信息 表5 DomainsWithPort 参数 参数类型 描述 id String 加速域名ID。 domain_name String 加速域名。 business_type String 域名业务类型，若为web，则表示类型为网站加速；若为download，则表示业务类型为文件下载加速；若为video，则表示业务类型为点播加速；若为wholeSite，则表示类型为全站加速。 user_domain_id String 域名所属用户的domain_id。 domain_status String 加速域名状态。取值意义： - online表示“已开启” - offline表示“已停用” - configuring表示“配置中” - configure_failed表示“配置失败” - checking表示“审核中” - check_failed表示“审核未通过” - deleting表示“删除中” cname String 加速域名对应的CNAME。 sources Array of SourceWithPort objects 源站域名或源站IP，源站为IP类型时，仅支持IPv4，如需传入多个源站IP，以多个源站对象传入，除IP其他参数请保持一致，主源站最多支持15个源站IP对象，备源站最多支持15个源站IP对象；源站为域名类型时仅支持1个源站对象。不支持IP源站和域名源站混用。 domain_origin_host DomainOriginHost object 域名回源设置信息 https_status Integer 是否开启HTTPS加速。 create_time Long 域名创建时间，相对于UTC 1970-01-01到当前时间相隔的毫秒数。 modify_time Long 域名修改时间，相对于UTC 1970-01-01到当前时间相隔的毫秒数。 disabled Integer 封禁状态（0代表未禁用；1代表禁用）。 locked Integer 锁定状态（0代表未锁定；1代表锁定）。 auto_refresh_preheat Integer 自动刷新预热（0代表关闭；1代表打开） service_area String 华为云CDN提供的加速服务范围，包含：mainland_china中国大陆、outside_mainland_china中国大陆境外、global全球。 range_status String Range回源状态。 follow_status String 回源跟随状态。 origin_status String 是否暂停源站回源。 banned_reason String 域名禁用原因 locked_reason String 域名锁定原因 enterprise_project_id String 当用户开启企业项目功能时，该参数生效，表示查询资源所属项目，不传表示查询默认项目。注意：当使用子账号调用接口时，该参数必传。 表6 SourceWithPort 参数 参数类型 描述 domain_id String 加速域名id。 ip_or_domain String 源站IP（非内网IP）或者域名。 origin_type String 源站类型（"ipaddr"： "IP源站"；"domain"： "域名源站"；"obs_bucket"： "OBS Bucket源站"） active_standby Integer 主备状态（1代表主站；0代表备站）；主源站必须存在，备源站可选。 enable_obs_web_hosting Integer 是否开启Obs静态网站托管(0表示关闭,1表示则为开启)，源站类型为obs_bucket时传递。 http_port Integer HTTP端口，默认80 https_port Integer HTTPS端口，默认443 表7 DomainOriginHost 参数 参数类型 描述 domain_id String 域名ID。获取方法请参见查询加速域名。 origin_host_type String 回源host的类型。 customize_domain String 自定义回源host域名。

响应参数 状态码： 200 表4 响应Body参数 参数 参数类型 描述 domain DomainsWithPort object 域名信息 表5 DomainsWithPort 参数 参数类型 描述 id String 加速域名ID。 domain_name String 加速域名。 business_type String 域名业务类型，若为web，则表示类型为网站加速；若为download，则表示业务类型为文件下载加速；若为video，则表示业务类型为点播加速；若为wholeSite，则表示类型为全站加速。 user_domain_id String 域名所属用户的domain_id。 domain_status String 加速域名状态。取值意义： - online表示“已开启” - offline表示“已停用” - configuring表示“配置中” - configure_failed表示“配置失败” - checking表示“审核中” - check_failed表示“审核未通过” - deleting表示“删除中” cname String 加速域名对应的CNAME。 sources Array of SourceWithPort objects 源站域名或源站IP，源站为IP类型时，仅支持IPv4，如需传入多个源站IP，以多个源站对象传入，除IP其他参数请保持一致，主源站最多支持15个源站IP对象，备源站最多支持15个源站IP对象；源站为域名类型时仅支持1个源站对象。不支持IP源站和域名源站混用。 domain_origin_host DomainOriginHost object 域名回源设置信息 https_status Integer 是否开启HTTPS加速。 create_time Long 域名创建时间，相对于UTC 1970-01-01到当前时间相隔的毫秒数。 modify_time Long 域名修改时间，相对于UTC 1970-01-01到当前时间相隔的毫秒数。 disabled Integer 封禁状态（0代表未禁用；1代表禁用）。 locked Integer 锁定状态（0代表未锁定；1代表锁定）。 auto_refresh_preheat Integer 自动刷新预热（0代表关闭；1代表打开） service_area String 华为云CDN提供的加速服务范围，包含：mainland_china中国大陆、outside_mainland_china中国大陆境外、global全球。 range_status String Range回源状态。 follow_status String 回源跟随状态。 origin_status String 是否暂停源站回源。 banned_reason String 域名禁用原因 locked_reason String 域名锁定原因 enterprise_project_id String 当用户开启企业项目功能时，该参数生效，表示查询资源所属项目，不传表示查询默认项目。注意：当使用子账号调用接口时，该参数必传。 表6 SourceWithPort 参数 参数类型 描述 domain_id String 加速域名id。 ip_or_domain String 源站IP（非内网IP）或者域名。 origin_type String 源站类型（"ipaddr"： "IP源站"；"domain"： "域名源站"；"obs_bucket"： "OBS Bucket源站"） active_standby Integer 主备状态（1代表主站；0代表备站）；主源站必须存在，备源站可选。 enable_obs_web_hosting Integer 是否开启Obs静态网站托管(0表示关闭,1表示则为开启)，源站类型为obs_bucket时传递。 http_port Integer HTTP端口，默认80 https_port Integer HTTPS端口，默认443 表7 DomainOriginHost 参数 参数类型 描述 domain_id String 域名ID。获取方法请参见查询加速域名。 origin_host_type String 回源host的类型。 customize_domain String 自定义回源host域名。

响应参数 状态码： 200 表4 响应Body参数 参数 参数类型 描述 domain DomainsWithPort object 域名信息 表5 DomainsWithPort 参数 参数类型 描述 id String 加速域名ID。 domain_name String 加速域名。 business_type String 域名业务类型，若为web，则表示类型为网站加速；若为download，则表示业务类型为文件下载加速；若为video，则表示业务类型为点播加速；若为wholeSite，则表示类型为全站加速。 user_domain_id String 域名所属用户的domain_id。 domain_status String 加速域名状态。取值意义： - online表示“已开启” - offline表示“已停用” - configuring表示“配置中” - configure_failed表示“配置失败” - checking表示“审核中” - check_failed表示“审核未通过” - deleting表示“删除中” cname String 加速域名对应的CNAME。 sources Array of SourceWithPort objects 源站域名或源站IP，源站为IP类型时，仅支持IPv4，如需传入多个源站IP，以多个源站对象传入，除IP其他参数请保持一致，主源站最多支持15个源站IP对象，备源站最多支持15个源站IP对象；源站为域名类型时仅支持1个源站对象。不支持IP源站和域名源站混用。 domain_origin_host DomainOriginHost object 域名回源设置信息 https_status Integer 是否开启HTTPS加速。 create_time Long 域名创建时间，相对于UTC 1970-01-01到当前时间相隔的毫秒数。 modify_time Long 域名修改时间，相对于UTC 1970-01-01到当前时间相隔的毫秒数。 disabled Integer 封禁状态（0代表未禁用；1代表禁用）。 locked Integer 锁定状态（0代表未锁定；1代表锁定）。 auto_refresh_preheat Integer 自动刷新预热（0代表关闭；1代表打开） service_area String 华为云CDN提供的加速服务范围，包含：mainland_china中国大陆、outside_mainland_china中国大陆境外、global全球。 range_status String Range回源状态。 follow_status String 回源跟随状态。 origin_status String 是否暂停源站回源。 banned_reason String 域名禁用原因 locked_reason String 域名锁定原因 enterprise_project_id String 当用户开启企业项目功能时，该参数生效，表示查询资源所属项目，不传表示查询默认项目。注意：当使用子账号调用接口时，该参数必传。 表6 SourceWithPort 参数 参数类型 描述 domain_id String 加速域名id。 ip_or_domain String 源站IP（非内网IP）或者域名。 origin_type String 源站类型（"ipaddr"： "IP源站"；"domain"： "域名源站"；"obs_bucket"： "OBS Bucket源站"） active_standby Integer 主备状态（1代表主站；0代表备站）；主源站必须存在，备源站可选。 enable_obs_web_hosting Integer 是否开启Obs静态网站托管(0表示关闭,1表示则为开启)，源站类型为obs_bucket时传递。 http_port Integer HTTP端口，默认80 https_port Integer HTTPS端口，默认443 表7 DomainOriginHost 参数 参数类型 描述 domain_id String 域名ID。获取方法请参见查询加速域名。 origin_host_type String 回源host的类型。 customize_domain String 自定义回源host域名。

配置CDN加速后，回源获取的资源不正确 可能是由于您的回源host配置不对导致回源获取资源失败，回源HOST是CDN节点在回源过程中，在源站访问的站点域名，即HTTP请求头中的HOST信息。配置回源HOST后，CDN在回源过程中会根据HOST信息去对应站点获取资源。具体回源HOST配置信息请参见回源HOST配置。 域名添加后，CDN默认回源HOST为您的加速域名。如果加速域名不是您期望CDN在回源时访问的站点域名时，您需要自定义回源HOST来指明站点域名。 如果使用华为云OBS桶作为源站时，默认使用OBS域名作为回源HOST，不可修改。 如果您以源站域名形式将华为云OBS桶或其他云厂商的对象存储桶接入CDN作为源站，请将回源HOST自定义为您的对象存储桶域名，否则会造成回源失败。

None 搭建企业官网流程 1、建站前准备 2、网站设计 3、安全与解析 4、资质办理 1、准备工作 在网站设计前，您需注册域名、开通网站和网站备案。华为云为您提供域名注册（Domains）、云速建站（Cloudsite）和网站备案（ICP）服务，方便用户使用域名可以直接访问网站；根据工信部要求，使用大陆节点服务器提供互联网信息服务的用户，都需进行备案。因此，购买大陆站点云速建站，也需进行备案。 注册华为云帐号 您可以在华为云官网注册帐号并进行实名认证，获取新用户专属套餐福利。 立即注册 帐号实名认证 立即注册 实名认证 如何进行帐号注册 个人帐号如何完成实名认证 企业帐号如何完成实名认证 注册域名 华为云为您提供域名的注册、购买、实名认证以及管理功能。 立即注册 域名实名认证 如何购买域名 个人用户域名实名认证 企业用户域名实名认证 开通站点 华为云为您提供云速建站服务，包含中国大陆站点和香港站点，您可根据需求购买站点，开通网站。根据工信部要求，购买中国大陆站点需要进行备案，香港站点无需备案。 立即开通 什么是云速建站 如何开通网站 多终端独立版站点 多终端自适应版站点 网站备案 华为云为您提供免费备案服务，根据工信部要求，使用大陆节点服务器提供互联网信息服务的用户，需要在服务器提供商处提交备案申请。 立即备案 备案前需要准备什么 如何快速完成备案 公安备案 经营性备案 1、准备工作 在创建网站的过程中，华为云为您提供云速建站（Cloudsite）、内容分发网络（CDN）和对象存储服务（OBS），助力您快速搭建网站，提高用户访问网站的响应速度与网站的可用性，解决网站上传文件限制大小问题。 只需三步，快速开启您的OBS之旅。 网站编辑 华为云为您提供多终端独立版和多终端自适应板建站产品，无需代码，自由拖拽，快速生成中小企业网站及网店、微信网店等。 立即编辑 定制网站 免费体验 立即注册 实名认证 多终端独立版站点编辑 多终端自适应版站点编辑 配置CDN加速（可选） 华为云为您提供快速、稳定、安全、可靠的全球内容分发加速服务，支持网站、图片、音视频等多业务内容分发。 立即配置 免费试用 什么是CDN加速 云速建站如何配置站点加速 配置OBS上传文件（可选） 华为云为您提供稳定、安全、高效、易用的对象存储服务，使用时无需考虑容量限制，并且提供多种存储类型供选择，满足客户各类业务场景诉求。 立即购买 1对1服务 什么是对象存储服务 云速建站配置OBS上传文件 1、准备工作 网站设计完成后，我们可设置对外展示网站。华为云为您提供云解析服务（DNS）、SSL证书管理（CCM）和WEB应用防火墙（WAF），支持一键解析，确保网站的安全访问和运行，避免网站被黑客恶意攻击和入侵。 云解析服务 华为云为您提供免费高可用、高扩展的权威DNS服务和DNS管理服务，帮助您将域名或应用资源转换成用于计算机连接的IP地址，从而将最终用户路由到相应的应用资源上。 立即使用 1对1咨询 立即注册 实名认证 什么是云解析服务 多终端独立版域名配置与解析 多终端自适应版域名配置与解析 SSL证书管理（可选） 华为云为您提供一站式证书的全生命周期管理服务，实现网站的可信身份认证与安全数据传输。 立即设置 1对1咨询 什么是云证书管理服务 多终端独立版添加SSL证书 多终端自适应版添加SSL证书 WEB应用防火墙（可选） 华为云Web应用防火墙WAF对网站业务流量进行多维度检测和防护，结合深度机器学习智能识别恶意请求特征和防御未知威胁，避免网站被黑客恶意攻击和入侵。 立即使用 什么是Web应用防火墙 如何开启WAF 1、准备工作 华为云帮助您快捷高效办理增值电信业务许可证，包括ICP、EDI、ISP、SP、IDC、CDN等，并提供以上经营许可证的申请、变更、年报、续期、注销等业务解决方案。无证擅自提供服务属于违规经营，会面临相关主管部门依法给予罚款 、责令关闭网站等行政处罚。 只需三步，快速开启您的OBS之旅。 ICP经营许可证（可选） 企业凡经营有偿信息发布网站，则需办理 ICP 经营许可证，内容包括但不限于：在线销售、在线支付、广告招商、会员收费、企业合作、项目投标等。 服务咨询 了解详情 立即注册 实名认证 如何购买ICP经营许可证 EDI 在线数据处理与交易处理业务许可证（可选） 企业通过公用通信网或互联网，为用户提供在线数据处理和交易处理的业务，则需办理EDI许可证，内容包括但不限于：经营类电子商务、电商平台、网络/电子设备数据处理、电子数据交换等。 服务咨询 了解详情 如何购买EDI许可证 相关视频 快速通过OBS控制台上传下载文件 快速通过OBS Browser上传下载文件 OBS API快速入门

CDN权限问题排查 如果您在使用CDN的过程中，报权限不足或者权限错误，请您按照以下步骤排查： 如果您使用的是IAM子帐号，报权限不足，请您前往CDN权限管理查看各权限的作用并参考创建用户并授权使用CDN为您的IAM子帐号分配相应的权限。 CDN常用权限请见下表： 策略名称 描述 策略类别 CDN Administrator 操作权限：对CDN的所有执行权限。 作用范围：全局级服务。 系统角色 CDN DomainReadOnlyAccess 操作权限：对CDN加速域名信息的只读权限。 作用范围：全局级服务。 系统策略 CDN StatisticsReadOnlyAccess 操作权限：对CDN统计信息的只读权限。 作用范围：全局级服务。 系统策略 CDN LogsReadOnlyAccess 操作权限：对CDN日志的只读权限。 作用范围：全局级服务。 系统策略 CDN DomainConfiguration 操作权限：对CDN加速域名的配置权限。 作用范围：全局级服务。 系统策略 CDN RefreshAndPreheatAccess 操作权限：CDN刷新预热权限。 作用范围：全局级服务。 系统策略 CDN FullAccess 操作权限：对CDN的所有执行权限。 作用范围：全局级服务 系统策略 CDN ReadOnlyAccess 操作权限：对CDN的所有只读权限。 作用范围：全局级服务 系统策略 不能单独配置CDN DomainConfiguration和CDN RefreshAndPreheatAccess权限，如果想配置这两个权限，请同时配置CDN DomainReadOnlyAccess权限，否则会造成所有域名不可见导致无法进行域名配置和刷新预热配置。 请查看您的帐号是否欠费，如果您的账户欠费进入宽限期，您将无法更改域名配置；如果欠费到了保留期，系统会停用您的加速域名，此时您的CDN业务将停止；如果欠费过了保留期，CDN会释放资源，您的域名将被删除。

名词解释 内容分发网络（Content Delivery Network，CDN）：是将源站内容分发至靠近用户的加速节点，使用户可以就近获得所需的内容，解决Internet网络拥挤的状况，提高用户访问的响应速度和成功率，从而提升您业务的使用体验。 域名注册（Domains）：是用户付费获取Internet上某一域名一段时间使用权的过程。华为云域名注册服务与新网合作，提供域名的注册、购买、实名认证以及管理功能。通过华为云注册的域名其注册商为新网，由华为云提供域名管理服务。 全站加速(Whole Site Acceleration)是一种融合了动态和静态加速的网站加速解决方案。用户请求资源时，静态内容从边缘节点就近获取，动态内容通过动态加速技术智能选择最佳路由回源获取。CDN全站加速能有效提升动态页面的加载速度，避开网络拥堵路由，提高访问成功率，实现网站整体加速与实时优化。

推荐配置 如果您需要提高缓存命中率、优化加速效果、配置安全策略，您可以参考下表进行配置。 配置项 需要确认或准备的 配置说明 配置回源Host 回源HOST域名 回源HOST默认是您的加速域名。 当您需要自定义回源HOST指明资源所在的站点域名时，需要配置回源HOST。 第三方对象存储桶（或OBS桶）以源站域名的形式接入CDN时，需要将回源HOST修改为桶域名，否则会造成回源失败。 配置缓存规则 确认源站缓存策略。 确认CDN侧是否开启了“缓存遵循源站”。 检查源站资源cache-control配置，如果设置为不缓存（no-cache、private、no-store），同时在CDN侧开启了“缓存遵循源站”功能，则CDN节点无法缓存，用户每次访问这个资源都需要回源，无法达到加速的目的。 确认资源类型（动态/静态） 合理配置不同资源的缓存过期时间和优先级，能有效提升缓存命中率，降低回源率，减轻源站压力。 全站加速默认所有文件内容缓存0天，需要单独配置静态资源缓存，提升静态资源缓存优先级。 优先级取值为1~100之间的整数，数值越大优先级越高。 如果您修改或新增了缓存规则，请刷新对应资源的缓存。 建议对png、jpg、gif等静态资源文件缓存30天。 更多缓存规则配置建议请参考如何设置缓存过期时间。 优化加速效果 智能压缩： 确认需要配置的压缩类型，Gzip或Brotli。 准备测试URL。 如果您想要压缩您网站的静态资源，缩小传输文件的大小，提升传输效率，减少带宽消耗，您需要开启智能压缩。智能压缩包含Gzip压缩和Brotli压缩，Brotli压缩的性能比Gzip压缩提升约15%~25%。 开启智能压缩功能时，CDN会自动压缩静态文件（.js、.html、.css、.xml、.json、.shtml、.htm，且大小为256Byte-2MB的文件进行压缩）。 部分域名可能无法在前台开启，请您提交工单处理。 URL参数： 确认不同的URL参数是否对应不同资源。 根据业务形态确认是否配置忽略URL参数。 如果您需要CDN节点在缓存资源忽略或保留“?”之后参数，提高缓存命中率，提升分发效率，您需要开启URL参数。 URL参数变化，资源不变，可以配置忽略参数。 URL参数变化，资源变化，不可配置忽略参数。 配置安全防护（可选） HTTPS证书： 准备好域名对应的证书。 请确保您的证书链完整，证书顺序：证书C-证书B-证书A-根证书，否则会报“证书链不全”。 请确保您的证书没有空格、空行等异常，否则会报“参数错误”。 仅支持“pem”格式的证书。 URL鉴权： 确认采取哪种鉴权方式。 确认域名、key、时间格式、有效时间、鉴权参数名、未拼接之前的测试URL。 CDN分发的内容默认为公开资源，URL鉴权功能主要用于保护用户站点资源，防止资源被用户恶意下载盗用。 配置鉴权后，如果用户请求的URL没有携带鉴权参数，认为请求非法，返回HTTP 403错误。 如果您的域名有特殊配置，暂不支持控制台自助配置URL鉴权，请您提交工单解决。 CDN联动WAF 准备好WAF的CNAME。 华为云CDN联动WAF配置，实现加速的同时防护Web攻击，为您提供更加安全的加速体验。 您需要把WAF的CNAME配置为CDN源站。

云模式排查思路和处理建议 防护网站的“部署模式”为“云模式”时，请参考图2和表1进行排查处理。 图2 云模式排查思路 表1 接入WAF失败问题处理 可能原因 处理建议 原因一：域名“接入状态”未刷新 在防护网站“接入状态”栏，单击刷新状态。 原因二：访问流量未达到WAF统计要求 须知： 防护网站接入WAF后，当WAF统计防护网站在5分钟内有20次请求时，将认定该防护网站已接入WAF。 在1分钟内多次访问防护网站。 在防护网站“接入状态”栏，单击刷新状态。 原因三：域名参数配置错误 须知： WAF支持防护以下类型域名： 一级域名，例如，example.com 单域名/二级域名等子域名，例如，www.example.com 泛域名，例如，*.example.com example.com与www.example.com是不同的域名，请确认“防护域名”配置正确。 请参照以下步骤确保域名参数配置正确。 在Windows操作系统中，选择“开始 > 运行”，在弹出框中输入“cmd”，按“Enter”，进入命令提示符窗口。 运行ping 域名在WAF对应的CNAME值（例如ping e59e684e2278043ae98a5423aef8ee329.vip.huaweicloudwaf.com），获取WAF的回源IP。 用文本编辑器打开hosts文件，hosts文件一般位于“C:\Windows\System32\drivers\etc\”路径下。 在hosts文件添加记录：防护域名 域名对应的WAF回源IP。 修改hosts文件后保存，在命令提示符窗口中运行ping 防护域名（例如ping www.example.com）。 如果回显信息中的IP地址为2中的WAF回源IP地址，说明域名参数配置正确。 详细操作请参见本地验证。 如果域名参数配置错误，删除该域名后重新添加防护网站。 原因四：未配置域名解析或代理回源地址 确认接入WAF的网站是否使用高防、CDN、云加速等代理。 是：确保网站的“是否已使用代理”已配置为“是”。 将CDN等代理回源地址修改为WAF的“CNAME”。 （可选）在DNS服务商处添加一条WAF的“子域名”和“TXT记录”。 否：到该域名的DNS服务商处，配置防护域名的别名解析。 详细操作请参见域名接入WAF。 原因五：域名解析或代理回源地址配置错误 请参照以下步骤验证域名的CNAME是否配置成功。 在Windows操作系统中，选择“开始 > 运行”，在弹出框中输入“cmd”，按“Enter”，进入命令提示符窗口。 执行nslookup命令，查询CNAME。 如果回显信息的域名在WAF上的CNAME，则表示配置成功。 以域名www.example.com为例。 nslookup www.example.com 如果CNAME配置失败，请参见域名接入WAF重新修改DNS解析或回源地址。

None 开启WAF防护 Web应用防火墙（Web Application Firewall， WAF），通过对HTTP(S)请求进行检测，识别并阻断SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等攻击，保护Web服务安全稳定。 WAF支持云模式、独享模式和ELB模式三种部署模式。本指南以云模式为例，引导您快速开启Web应用防火墙防护，开启防护后，可防护常见的Web安全问题。 Step1 购买Web应用防火墙 步骤 ① 登录华为云控制台。在控制台页面中选择“安全与合规 > Web应用防火墙”。 ② 首次使用WAF，单击“立即购买WAF”，进入购买页面，选择云模式后，选择服务版本、扩展包，以及购买时长。 说明 ① 云模式提供了入门版、标准版（原专业版）、专业版（原企业版）和铂金版（原旗舰版）四种服务版本，参见服务版本说明了解详情。 ② 勾选“自动续费”后，当服务期满时，系统会自动按照购买周期进行续费。 了解详细步骤 1 选择Web应用防火墙 2 立即购买 单击图片可查看原图 Step2 添加防护域名 步骤 ① 在左侧导航树中选择“网站设置”，在域名列表的左上角，单击“添加防护网站”，选择“云模式”并单击“确认”。 ② 防护域名：支持单域名(www.domain.com)和泛域名(*.domain.com)。 ③ 源站配置：分别完成“防护域名端口”、“对外协议”、“源站协议”、“源站地址”、“源站端口”的配置。 ④ 高级配置：根据业务需要，配置“IPv6防护”、“负载均衡算法”、“代理”、“HTTP2协议”以及“策略配置”。 说明 ① 系统默认防护“80”和“443”端口，如需配置除“80”和“443”以外的端口，勾选“非标准端口”，在“端口”下拉列表中选择非标准端口。 ② “对外协议”选择“HTTPS”时，需要选择证书或者导入新证书，证书转换请参见导入新证书。 ③ 如果WAF前已使用如CDN、云加速等提供七层Web代理的产品，为了保障WAF的安全策略能够针对真实源IP生效，“代理”请务必选择“是”。 了解详细步骤 1 添加防护域名 2 配置防护域名 3 源站配置 4 高级配置 单击图片可查看原图 Step3 域名接入 步骤 ① （未使用代理）按界面提示，到该域名的DNS服务商处，将其解析指向新的CNAME值。 ② （使用了代理）按界面提示，将代理类服务（高防DDOS、CDN服务等）的回源地址修改为WAF的CNAME地址。为了防止其他用户提前将您的域名配置到Web应用防火墙上，从而对您的域名防护造成干扰，建议您到DNS服务商处添加“子域名”，并为它配置“TXT记录”，具体的配置方法请参见未配置子域名和TXT记录的影响？。 说明 ① 默认情况下，服务每隔一小时就会自动检测每个防护域名的接入状态。如果您确认已完成域名接入，“接入状态”为“已接入”，表示域名接入成功。 ② WAF防护默认状态为“仅记录”模式，按照Step4开启WAF“拦截”模式。 了解详细步骤 1 未使用代理的配置 2 使用了代理的配置 单击图片可查看原图 Step4 开启WAF防护 步骤 ① 在目标域名所在行的“防护策略”栏中，单击“已开启N项防护”。 ② 在“Web基础防护”配置框中，选择“拦截”模式。 说明 开启Web基础防护的“拦截”模式后，发现攻击行为后立即阻断并记录。 了解详细步骤 1 单击配置防护策略 2 开启拦截模式 单击图片可查看原图 相关操作指导 视频小图标 Created with Sketch. 开启WAF防护

步骤二：添加加速域名 登录华为云控制台，在控制台首页中选择“CDN与智能边缘 > CDN”，进入CDN管理控制台。 在左侧导航栏单击“域名管理”，进入域名管理页面。 在“域名管理”页面单击“添加域名”，配置加速域名，业务类型，服务范围，源站类型。 每个配置项的具体说明，请参见添加加速域名。 单击“确定”，完成域名添加。 完成加速域名的添加后，为保证顺利切换不影响业务，建议您做本地测试加速域名后再进行配置CNAME操作。

推荐配置 如果您需要提高缓存命中率、优化加速效果、配置安全策略，您可以参考下表进行配置。 配置项 需要确认或准备的 配置说明 配置回源Host 回源HOST域名 回源HOST默认是您的加速域名。 当您需要自定义回源HOST指明资源所在的站点域名时，需要配置回源HOST。 第三方对象存储桶（或OBS桶）以源站域名的形式接入CDN时，需要将回源HOST修改为桶域名，否则会造成回源失败。 配置缓存规则 确认源站缓存策略。 确认CDN侧是否开启了“缓存遵循源站”。 检查源站资源cache-control配置，如果设置为不缓存（no-cache、private、no-store），同时在CDN侧开启了“缓存遵循源站”功能，则CDN节点无法缓存，用户每次访问这个资源都需要回源，无法达到加速的目的。 确认资源类型（动态/静态） 合理配置不同资源的缓存过期时间和优先级，能有效提升缓存命中率，降低回源率，减轻源站压力。 注意事项： 注意设置缓存优先级，优先级取值为1~100之间的整数，数值越大优先级越高。 如果您修改或新增了缓存规则，请刷新对应资源的缓存。 请将动态资源的缓存过期时间设置为“0”，即不缓存，否则将导致访问异常。 建议配置： 对php、aspx、asp、jsp、do等动态文件不缓存。 对7z、apk、 wdf、cab、dhp、exe、flv、gz、ipa、iso、mpk、MPQ、pbcv、pxl、qnp、r00、rar、xy、xy2、zip、CAB等文件缓存30天。 更多缓存规则配置建议请参考如何设置缓存过期时间。 优化加速效果 Range回源： 确认源站是否支持Range。 如果您的资源内容较大，希望CDN回源时只返回指定范围的内容，以便缩短大文件的分发时间，提升回源效率，减少回源消耗，您需要设置Range回源。 文件下载加速默认开启Range回源。 智能压缩： 确认需要配置的压缩类型，Gzip或Brotli。 准备测试URL。 如果您想要压缩您网站的静态资源，缩小传输文件的大小，提升传输效率，减少带宽消耗，您需要开启智能压缩。智能压缩包含Gzip压缩和Brotli压缩，Brotli压缩的性能比Gzip压缩提升约15%~25%。 开启智能压缩功能时，CDN会自动压缩静态文件（.js、.html、.css、.xml、.json、.shtml、.htm，且大小为256Byte-2MB的文件进行压缩）。 部分域名可能无法在前台开启，请您提交工单处理。 URL参数： 确认不同的URL参数是否对应不同资源。 根据业务形态确认是否配置忽略URL参数。 如果您需要CDN节点在缓存资源忽略或保留“?”之后参数，提高缓存命中率，提升分发效率，您需要开启URL参数。 URL参数变化，资源不变，可以配置忽略参数。 URL参数变化，资源变化，不可配置忽略参数。 配置安全防护（可选） HTTPS证书： 准备好域名对应的证书。 请确保您的证书链完整，证书顺序：证书C-证书B-证书A-根证书，否则会报“证书链不全”。 请确保您的证书没有空格、空行等异常，否则会报“参数错误”。 仅支持“pem”格式的证书。 URL鉴权： 确认采取哪种鉴权方式。 确认域名、key、时间格式、有效时间、鉴权参数名、未拼接之前的测试URL。 CDN分发的内容默认为公开资源，URL鉴权功能主要用于保护用户站点资源，防止资源被用户恶意下载盗用。 配置鉴权后，如果用户请求的URL没有携带鉴权参数，认为请求非法，返回HTTP 403错误。 如果您的域名有特殊配置，暂不支持控制台自助配置URL鉴权，请您提交工单解决。 CDN联动WAF： 准备好WAF的CNAME。 华为云CDN联动WAF配置，实现加速的同时防护Web攻击，为您提供更加安全的加速体验。 您需要把WAF的CNAME配置为CDN源站。

创建OBS客户端 OBS客户端（OBSClient）是访问OBS服务的iOS客户端，它为调用者提供一系列与OBS服务进行交互的接口，用于管理、操作桶（Bucket）和对象（Object）等OBS服务上的资源。使用OBS iOS SDK向OBS发起请求，您需要初始化一个OBSClient实例，并根据需要修改OBSServiceConfiguration的默认配置项。 永久访问密钥（AK/SK）创建OBS客户端代码如下: NSString *endPoint = @"your-endpoint";NSString *SK = @"*** Provide your Secret Key ***";NSString *AK = @"*** Provide your Access Key ***";// 初始化身份验证OBSStaticCredentialProvider *credentialProvider = [[OBSStaticCredentialProvider alloc] initWithAccessKey:AK secretKey:SK];// 初始化服务配置OBSServiceConfiguration *conf = [[OBSServiceConfiguration alloc] initWithURLString:endPoint credentialProvider:credentialProvider];// 初始化clientOBSClient *client = [[OBSClient alloc] initWithConfiguration:conf]; 临时访问密钥（AK/SK和SecurityToken）创建OBS客户端代码如下： NSString *endPoint = @"your-endpoint";NSString *SK = @"*** Provide your Secret Key ***";NSString *AK = @"*** Provide your Access Key ***";// 初始化身份验证OBSStaticCredentialProvider *credentialProvider = [[OBSStaticCredentialProvider alloc] initWithAccessKey:AK secretKey:SK];// securityTokencredentialProvider.securityToken = @"*** Provide your Security Token ***";// 初始化服务配置OBSServiceConfiguration *conf = [[OBSServiceConfiguration alloc] initWithURLString:endPoint credentialProvider:credentialProvider];// 初始化clientOBSClient *client = [[OBSClient alloc] initWithConfiguration:conf]; 当前，对于断点续传任务，当有多个上传任务需并发执行时，需要对每个上传任务初始化一个单独的客户端对请求进行处理。 以自定义域名访问方式创建OBS客户端代码如下： NSString *endPoint = @"your-custom-domain";NSString *SK = @"*** Provide your Secret Key ***";NSString *AK = @"*** Provide your Access Key ***";// 初始化身份验证OBSStaticCredentialProvider *credentialProvider = [[OBSStaticCredentialProvider alloc] initWithAccessKey:AK secretKey:SK];// 初始化服务配置OBSServiceConfiguration *conf = [[OBSServiceConfiguration alloc] initWithURLString:endPoint credentialProvider:credentialProvider];// 设定以自定义域名访问OBS服务conf.defaultDomainMode = OBSDomainModeCustom;// 初始化clientOBSClient *client = [[OBSClient alloc] initWithConfiguration:conf]; 通过设置OBSServiceConfiguration.defaultDomainMode参数为OBSDomainModeCustom可以指定以自定义域名方式访问OBS服务，此时endPoint参数应设置为指定的自定义域名。当以自定义域名访问OBS桶时，需要先将该自定义域名同对应OBS桶访问域名进行绑定，相关配置请参见自定义域名绑定简介，自定义域名绑定配置 。 需要注意的是，当在自定义域名上配置了CDN加速服务，即自定义域名为CDN服务的加速域名时，需要额外对CDN服务进行配置，以保证可以正常采用自定义域名访问OBS服务。以华为云CDN服务为例，相关配置如下所示： 登录华为云CDN服务，从CDN服务左侧列表中选择域名管理项，在该项中可以查看到所有配置的CDN服务域名信息。 配置源站。点击要使用的自定义域名项，进入域名配置界面，编辑源站配置，选择主源站类型为源站域名类型，对应源站为要访问的OBS桶域名。 配置回源HOST。回源HOST必须指定为加速域名即访问OBS服务时访问的自定义域名，否则可能会出现回源鉴权失败的问题。

访问CDN加速资源后返回5XX状态码 测试源站的URL访问是否可以复现5xx错误，排查是否是源站异常，测试步骤详见排查访问异常是CDN节点问题还是源站问题。 如果确认为源站问题，请检查您的源站配置，CDN控制台的数据可以帮助您排查部分源站问题。 登录CDN控制台，左侧导航栏选择“CDN”>“统计分析”>“源站统计”。 检查带宽和流量有没有突增的情况，如果带宽突增，会导致源站压力过大，从而引发源站超时响应。此时您需要检查近期是否有资源更新，或者热点资源重新设置缓存规则。对于新发布资源和功能的情况，建议您将大文件提前预热到CDN节点，以防出现集中回源导致源站遭遇带宽瓶颈。 检查源站是否配置缓存规则，如果源站设置了no-cache、private、no-store，CDN侧同时开启了“缓存遵循源站”功能（此功能默认关闭），CDN将无法缓存源站资源，导致所有请求回源，大量请求集中回源时也可能导致源站响应超时。缓存规则的设置详见：如何设置缓存过期时间。 如果源站访问正常，请进行下一步排查。 返回504状态码 原因：可能是CDN回源协议与您的源站支持的协议不一致导致的。 CDN默认回源方式“协议跟随”，即回源协议与客户端访问协议一致。 如果客户端以HTTPS协议访问CDN，CDN会以HTTPS协议回源到服务器，如果您的源站服务器不支持HTTPS协议，就会响应504。 如果客户端以HTTP协议访问CDN，CDN会以HTTP协议回源到服务器，如果您的源站服务器不支持HTTP协议，就会响应504。 如果客户端以HTTP协议访问CDN，您在CDN侧配置了强制跳转到HTTPS，CDN会以HTTPS协议回源到服务器，如果您的源站服务器不支持HTTPS协议，就会响应504。 CDN回源方式为“HTTP”，源站仅支持HTTPS协议访问。 CDN回源方式为“HTTPS”，源站仅支持HTTP协议访问。 解决办法：修改CDN侧配置，匹配源站支持的访问协议。 CDN默认回源方式为“协议跟随”，请将回源方式修改为源站支持的协议，详见HTTPS配置。 返回502状态码 请检查您的源站服务器是否配置了安全狗、防火墙等安全策略，拦截了CDN的回源IP。 由于CDN回源时会智能分配节点访问您的源站服务器，回源的节点IP是不固定的，因此不建议您将源站服务器的回源策略设置为固定的节点IP列表，这样可能会发生回源失败的情况。 如果您因业务需要，使用了安全狗等防护软件，请调整过于严格的安全策略，避免导致误拦截。 如果以上排查仍无法解决您的问题，请您联系客服或提交工单处理。并提供以下信息： 在客户端使用CDN用户诊断系统，输入加速域名，单击检测，将结果截图。 无法访问的URL。 访问异常的时间。

内容审核 CDN不支持接入违反相关法律法规的域名，包括但不限于： 涉黄、涉赌、涉毒、涉诈、侵权内容的网站 游戏私服类 盗版游戏 / 软件 / 盗版视频网站 P2P类金融网站 彩票类网站 违规医院和药品类网站 无法正常访问或内容不含有任何实质信息 如果您的加速域名含有以上违规的内容，您将自行承担相关风险。 如果发现涉黄、涉赌、涉毒、涉诈等违规行为，CDN将执行域名封禁策略（删除相关加速域名且不允许再次接入，与违规域名使用相同源站的加速域名同样执行域名封禁策略），帐号加速域名配额降为0。

示例流程 操作流程如图1所示 图1 操作流程 创建用户组并授权 在IAM控制台创建用户组，并授予CDN加速域名只读权限“CDN DomainReadOnlyAccess”。 创建用户并加入用户组 在IAM控制台创建用户，并将其加入1中创建的用户组。 用户登录并验证权限 新创建的用户登录控制台，验证CDN加速域名的只读权限： 对加速域名进行启用或停用操作，如果提示权限不足，表示“CDN DomainReadOnlyAccess”已生效。 在“服务列表”中选择除CDN外的任一服务，如果提示权限不足，表示“CDN DomainReadOnlyAccess”已生效。

推荐配置 如果您需要提高缓存命中率、优化加速效果、配置安全策略，您可以参考下表进行配置。 配置项 需要确认或准备的 配置说明 配置回源Host 回源HOST域名 回源HOST默认是您的加速域名。 当您需要自定义回源HOST指明资源所在的站点域名时，需要配置回源HOST。 第三方对象存储桶（或OBS桶）以源站域名的形式接入CDN时，需要将回源HOST修改为桶域名，否则会造成回源失败。 配置缓存规则 确认源站缓存策略。 确认CDN侧是否开启了“缓存遵循源站”。 检查源站资源cache-control配置，如果设置为不缓存（no-cache、private、no-store），同时在CDN侧开启了“缓存遵循源站”功能，则CDN节点无法缓存，用户每次访问这个资源都需要回源，无法达到加速的目的。 确认资源类型（动态/静态） 合理配置不同资源的缓存过期时间和优先级，能有效提升缓存命中率，降低回源率，减轻源站压力。 注意事项： 注意设置缓存优先级，优先级取值为1~100之间的整数，数值越大优先级越高。 如果您修改或新增了缓存规则，请刷新对应资源的缓存。 请将动态资源的缓存过期时间设置为“0”，即不缓存，否则将导致访问异常。 建议配置： 对php、aspx、asp、 jsp、 do、 dwr、cgi、 fcgi、action、ashx、axd、json等动态文件不缓存。 对以shtml、html、htm、js结尾的文件，建议缓存7天。 其他静态文件建议缓存30天。 更多缓存规则配置建议请参考如何设置缓存过期时间。 优化加速效果 Range回源： 确认源站是否支持Range。 如果您的资源内容较大，希望CDN回源时只返回指定范围的内容，以便缩短大文件的分发时间，提升回源效率，减少回源消耗，您需要设置Range回源。 网站加速默认关闭Range回源。 智能压缩： 确认需要配置的压缩类型，Gzip或Brotli。 准备测试URL。 如果您想要压缩您网站的静态资源，缩小传输文件的大小，提升传输效率，减少带宽消耗，您需要开启智能压缩。智能压缩包含Gzip压缩和Brotli压缩，Brotli压缩的性能比Gzip压缩提升约15%~25%。 开启智能压缩功能时，CDN会自动压缩静态文件（.js、.html、.css、.xml、.json、.shtml、.htm，且大小为256Byte-2MB的文件进行压缩）。 部分域名可能无法在前台开启，请您提交工单处理。 URL参数： 确认不同的URL参数是否对应不同资源。 根据业务形态确认是否配置忽略URL参数。 如果您需要CDN节点在缓存资源忽略或保留“?”之后参数，提高缓存命中率，提升分发效率，您需要开启URL参数。 URL参数变化，资源不变，可以配置忽略参数。 URL参数变化，资源变化，不可配置忽略参数。 配置安全防护（可选） HTTPS证书： 准备好域名对应的证书。 请确保您的证书链完整，证书顺序：证书C-证书B-证书A-根证书，否则会报“证书链不全”。 请确保您的证书没有空格、空行等异常，否则会报“参数错误”。 仅支持“pem”格式的证书。 URL鉴权： 确认采取哪种鉴权方式。 确认域名、key、时间格式、有效时间、鉴权参数名、未拼接之前的测试URL。 CDN分发的内容默认为公开资源，URL鉴权功能主要用于保护用户站点资源，防止资源被用户恶意下载盗用。 配置鉴权后，如果用户请求的URL没有携带鉴权参数，认为请求非法，返回HTTP 403错误。 如果您的域名有特殊配置，暂不支持控制台自助配置URL鉴权，请您提交工单解决。 CDN联动WAF： 准备好WAF的CNAME。 华为云CDN联动WAF配置，实现加速的同时防护Web攻击，为您提供更加安全的加速体验。 您需要把WAF的CNAME配置为CDN源站。

安全防护（可选） 如果网站的安全性要求较高，您可以进行相关安全配置，防止资源被盗或网站被攻击。 功能 描述 配置HTTPS证书 开启HTTPS安全加速，实现客户端和CDN节点之间请求的HTTPS加密，保障数据传输的安全性。 配置防盗链 包括referer防盗链，IP黑白名单防盗链，URL鉴权防盗链，UA黑白名单防盗链，通过对访问者身份进行识别和过滤，限制访问来源，阻拦恶意IP盗刷、攻击等问题。 对接WAF防护 华为云CDN联动WAF配置，实现加速的同时防护Web攻击。

配置证书 登录华为云控制台，在控制台首页中选择“CDN与智能边缘 > CDN”，进入CDN控制台。 在左侧菜单栏中，选择“域名证书管理”。 单击左上角“配置证书”，进入证书配置页面，如下图所示。 图1 配置证书（自有证书） 图2 配置证书（华为云托管证书） 配置相关参数，请参考下表。 参数 说明 证书类型 选择证书类型，有“自有证书”和“华为云托管证书”两项可选。 证书名称 如为自有证书，请输入证书名称。建议证书名称为英文，且长度不能超过32个字符。 如为华为云托管证书，请先前往SSL证书管理将证书推送到CDN，然后在下拉菜单中选择证书，具体推送方法请参考推送证书到云产品。 证书内容 如为自有证书，请用本地文本查看工具打开证书，将证书内容复制到文本框中。证书格式请参考HTTPS证书要求。 如为华为云托管证书，证书内容将由系统自动获取。 说明： 证书内容中不能有空格、空行，否则会提示证书参数错误。 私钥内容 如为自有证书，请用本地文本查看工具打开私钥，将私钥内容复制到文本框中。私钥格式要求请参考RSA私钥格式要求。 如为华为云托管证书，私钥内容将由系统自动获取。 回源方式 保持原值：如果您之前已设置回源方式，用户回源请求将遵循之前的设置；如果之前未设置，CDN默认回源方式为HTTP。 HTTP：CDN回源请求将遵从HTTP协议。 HTTPS：CDN回源请求将遵从HTTPS协议。 协议跟随：终端用户以HTTP或HTTPS协议请求，CDN跟随终端用户的协议回源。 强制跳转HTTPS 保持原值：如果您之前已设置跳转方式，用户访问网站的请求将遵循之前的设置；如果之前未设置，CDN默认关闭强制跳转HTTPS。 默认：终端用户到CDN节点请求同时支持HTTP和HTTPS。 强制跳转HTTPS：终端用户到CDN节点的请求都将强制跳转为HTTPS。 强制跳转HTTP：终端用户到CDN节点的请求都将强制跳转为HTTP。 HTTP/2 保持原值：如果您之前已设置访问协议，用户访问网站的请求将遵循之前的设置；如果之前未设置，CDN默认关闭HTTP/2。 启用：开启HTTP/2，终端用户到CDN节点的访问请求都将遵从HTTP/2协议。 停用：关闭HTTP/2。 单击“下一步”，可以将证书关联到加速域名。 选择左侧需要关联的CDN加速域名，单击图标，完成该域名的关联，单击下一步。 如果您选择的域名已使用证书，本次操作将会替换您的已有证书。 单击“完成”，实现关联域名的HTTPS安全加速。

日志说明 日志命名规则：播放域名_日志时间.log.gz 日志生成规则：日志默认按5分钟粒度进行分割，若域名无请求，则不会产生日志数据包。正在进行拉流的直播日志一般4个小时后才能获取到最完整的日志文件。 日志格式：[time_local]|play_domain|client_ip|cdn_ip|url|http_code|cache_hit|scheme|method|period_bytes_sent|period_duration|ua|refer|- 若某字段不涉及或为空时，用-表示；若字段信息中存在空格，则空格需带上英文双引号""。 日志示例： [02/Nov/2020:17:05:03 +0800]|pullexample.huaweicloud.com|49.x.xx.195|42.xx.xxx.218|http://pullexample.huaweicloud.com/stage/stream-107400941191299211.flv|404|MISS|HTTP|GET|0|4|Lavf/58.12.100|- 各字段的含义如表1所示。 表1 日志字段含义说明 字段名 字段含义 字段示例 time_local 通用日志格式下的本地时间，标记本次统计的时间值。 [13/Jun/2016:14:50:17 +0800] play_domain CDN加速域名。 hw.play.xxx.com client_ip 客户端IP。 10.1.1.1 cdn_ip 播放用户接入的CDN节点IP。 10.1.1.2 url 完整的访问url。 http://hw.play.xxx.com/live/1423787836-1423787836-6115122192062611456-2847699128-10057-A-0-1.m3u8?wsSecret=9045e7b99db58475627d33e99eb64fc1&wsTime=5f03baeb&fm=RFdxOEJjSjNoNkRKdDZUWV8kMF8kMV8kMl8kMw%3D%3D&ctyp=huya_tars&fs=bgct&&sphdcdn=al_7-tx_3-js_3-ws_7-bd_2-hw_2&sphdDC=xxx&sphd=264_* http_code HTTP状态码。 200 cache_hit 缓存命中状态，有如下两种： HIT MISS HIT scheme 访问协议，有如下三种： HTTP HTTPS RTMP HTTP method HTTP方法 GET period_bytes_sent 周期内发送字节数，对应的统计周期时间为period_duration。 2030 period_duration 统计周期，单位：s，精度到秒。 60 ua User - Agent信息。 Mozilla/5.0 (compatible; AhrefsBot/5.0; +http://ahrefs.com/robot/) refer Referer信息。 -

资源和成本规划 本节介绍最佳实践中资源规划情况，包含以下内容： 表1 资源和成本规划说明 资源 资源说明 成本说明 OBS 需要创建一个OBS桶用于存放静态网站文件，同时在OBS桶上完成静态网站托管配置和自定义域名绑定。 OBS的使用涉及以下几项费用： 存储费用：静态网站文件存储在OBS中产生的存储费用。 请求费用：用户访问OBS中存储的静态网站文件时产生的请求费用。 流量费用：用户使用自定义域名通过公网访问OBS时产生的流量费用。 实际产生的费用与存储的文件大小、用户访问所产生的请求次数和流量大小有关，请根据自己的业务进行预估。 静态网站文件 静态网站首页： 访问静态网站时返回的索引页面，即首页。 示例：index.html 404错误页面： 当访问错误的静态网站路径时，返回的404错误页面。 示例：error.html 免费 自定义域名 用户自己的域名地址，需要绑定在OBS桶上。 按照工信部要求，您绑定自定义域名的桶如果在以下区域，需要提前完成ICP备案。 包括：华北-北京一、华北-北京四、华北-乌兰察布一、华东-上海一、华东-上海二、华南-广州、西南-贵阳一 示例：www.example.com 准备自定义域名涉及域名注册费用，由域名注册商收取，具体费用以实际为准。 CDN 可选。可以为OBS桶绑定的自定义域名开启CDN加速，以实现更快的资源访问速度。 使用CDN加速会产生相应的流量费用，具体请参见CDN加速OBS计费规则。 实际产生的费用与用户访问所产生的流量大小有关，请根据自己的业务进行预估。 DNS OBS桶绑定的自定义域名需要在DNS上配置CNAME记录。 免费 本例中，静态网站文件的示例如下： index.html的内容为：

欢迎使用OBS静态网站托管功能

这是首页

error.html的内容为：

欢迎使用OBS静态网站托管功能

这是404错误页面

快速部署 本章节主要帮助用户快速部署“CDN下载加速解决方案”。 表1 参数说明 参数名称 类型 是否可选 参数解释 默认值 bucket_name string 必填 OBS桶名称，用于存放应用数据，全局唯一。仅支持小写字母、数字、中划线（-）、英文句号（.）， 长度 3~63个字符。 download-acceleration-cdn-demo accelerate_domain string 必填 加速域名，输入需加速的应用访问域名地址，该域名必须为在工信部已经备案域名，此域名建议为publicZone_domain公网域名的二级域名。取值范围：域名用字母（A-Z，a-z，大小写等价）、数字（0-9）和连接符（-）组成，各级域名之间用实点（.）连接，国际域名75个字符。注意连接符（-）不能作为域名的开头或结尾字符。示例：download.game-apk1.com。 空 publicZone_domain string 必填 公网域名地址，用户业务系统对外提供服务的域名。取值范围：域名用字母（A-Z，a-z，大小写等价）、数字（0-9）和连接符（-）组成，各级域名之间用实点（.）连接，国际域名75个字符。注意连接符（-）不能作为域名的开头或结尾字符。示例：game-apk1.com。 空 service_type string 必填 加速业务类型，默认“download”，可根据业务实际需求选择。 download：表示业务类型为文件下载加速 web：表示业务类型为网站加速 video：表示业务类型为点播加速 download 登录华为云解决方案实践，选择“CDN下载加速”模板，单击“一键部署”，跳转至解决方案创建资源栈界面。 图1 解决方案实践 在选择模板界面中，单击“下一步：配置参数”。 图2 选择模板 在配置参数界面中，自定义填写资源栈名称，根据表1填写配置参数信息，单击“下一步：高级配置”。 图3 配置参数 在高级配置页面中，单击“下一步：配置确认”。 图4 高级配置 在配置确认页面中，单击“创建执行计划”。 图5 配置确认 在弹出的创建执行计划框中，自定义填写执行计划名称，单击“确认”。 图6 创建执行计划 图7 执行计划创建成功 （可选）单击“查看费用明细”，可以查看当前支持的该解决方案使用的云服务器资源费用明细清单。 等待执行计划状态为“生成成功”后，单击“执行”，并且在弹出的执行计划确认框中单击“执行”。 图8 执行计划 图9 执行计划确认 等待执行计划状态为“执行完成”，表示该解决方案已经部署完成。 图10 执行完成

为什么购买了流量包，还会扣除余额？ 请您确认是否存在以下情况： CDN计费方式未选择流量计费 只有流量计费方式，才会从流量包扣除流量，您可以前往CDN控制台查看计费方式。 域名的业务类型为全站加速 全站加速费用由基础费用（流量或峰值带宽）+全站加速会产生请求数（HTTP和HTTPS请求）计费组成，全站加速请求数产生的费用需从账户余额扣除。 域名服务范围为全球 流量包分区域，中国大陆流量包仅能抵扣中国大陆节点产生的流量，无法抵扣中国大陆外节点产生的流量，反之亦然。 如果您的账户余额不足，可能导致欠费而无法使用CDN加速服务，您可以参考如何设置余额预警阈值？设置余额预警，及时充值，避免业务受到影响。 实际使用的流量超出流量包规格 当您的实际使用量多于当前流量包的流量时，系统自动转为按需付费，扣除账户余额。

配置示例 加速域名为www.example.com，该加速域名配置了referer白名单规则：包含空referer，白名单内容为www.test.com，如下图所示。 用户1：请求URL：https://www.example.com/file.html，该请求携带的referer字段值为空，CDN将会正常返回内容。 用户2：请求URL：https://www.example.com/file.html，该请求携带的referer字段值为：www.test.com，CDN将会正常返回内容。 用户3：请求URL：https://www.example.com/file.html，该请求携带的referer字段值为：www.abc.com，CDN节点将会返回403禁止访问的错误信息。 加速域名为www.example01.com，该加速域名配置了referer黑名单规则：包含空referer，黑名单内容为www.test01.com，如下图所示。 用户1：请求URL：https://www.example01.com/file.html，该请求携带的referer字段值为空，CDN节点将会返回403禁止访问的错误信息。 用户2：请求URL：https://www.example01.com/file.html，该请求携带的referer字段值为：www.test01.com，CDN节点将会返回403禁止访问的错误信息。 用户3：请求URL：https://www.example01.com/file.html，该请求携带的referer字段值为：www.bcd.com，CDN将会正常返回内容。

日志说明 日志文件延迟时间：您可以在日志管理中查询到6小时之前的日志文件。 日志命名规则：日志时间跨度-加速域名-服务范围.gz，其中服务范围：“cn”代表中国大陆，“ov”代表中国大陆境外。如“2018021123-www.example01.com-ov.gz”。 日志生成规则：每个加速域名日志默认按小时分割，每天 24 个日志文件。 日志内容示例： [05/Feb/2018:07:54:52 +0800] x.x.x.x 1 "-" "HTTP/1.1" "GET" "www.test.com" "/test/1234.apk" 206 720 HIT "Mozilla/5.0 (Linux; U; Android 6.0; zh-cn; EVA-AL10 Build/HUAWEIEVA-AL10) AppleWebKit/533.1 (KHTML，like Gecko) Mobile Safari/533.1" "bytes=-256" 各字段从左到右含义如表1所示。 表1 CDN日志字段说明 序号 字段含义 字段示例 1 日志生成时间 [05/Feb/2018:07:54:52 +0800] 2 访问IP地址 x.x.x.x 3 响应时间(单位ms) 1 4 Referer信息 - 5 HTTP协议标识 HTTP/1.1 6 HTTP请求方式 GET 7 CDN加速域名 www.test.com 8 请求路径 /test/1234.apk 9 HTTP状态码 206 10 返回字节数大小 720 11 缓存命中状态 HIT 12 User-Agent信息，其作用是让服务器能够识别客户使用的操作系统及版本、CPU类型、浏览器及版本信息等。 Mozilla/5.0 (Linux; U; Android 6.0; zh-cn; EVA-AL10 Build/HUAWEIEVA-AL10) AppleWebKit/533.1 (KHTML，like Gecko) Mobile Safari/533.1 13 Range信息，其作用是在HTTP请求头中指定返回数据的范围，即第一个字节的位置和最后一个字节的位置。 bytes参数值表示方法一般分为如下三类： bytes=x-y：表示请求第x个字节到第y个字节的数据内容。 bytes=-y：表示请求最后y个字节的数据内容。 bytes=x-：表示请求第x字节到最后一个字节的数据内容。 bytes=-256

支持的授权项 策略包含系统策略和自定义策略，如果系统策略不满足授权要求，管理员可以创建自定义策略，并通过给用户组授予自定义策略来进行精细的访问控制。策略支持的操作与API相对应，授权项列表说明如下： 权限：允许或拒绝某项操作。 对应API接口：自定义策略实际调用的API接口。 授权项：自定义策略中支持的Action，在自定义策略中的Action中写入授权项，可以实现授权项对应的权限功能。 IAM项目(Project)/企业项目(Enterprise Project)：自定义策略的授权范围，包括IAM项目与企业项目。授权范围如果同时支持IAM项目和企业项目，表示此授权项对应的自定义策略，可以在IAM和企业管理两个服务中给用户组授权并生效。如果仅支持IAM项目，不支持企业项目，表示仅能在IAM中给用户组授权并生效，如果在企业管理中授权，则该自定义策略不生效。关于IAM项目与企业项目的区别，详情请参见：IAM与企业管理的区别。 “√”表示支持，“x”表示暂不支持。 CDN支持自定义策略授权项如下所示： 【示例】刷新预热，包含CDN所有刷新预热接口对应的授权项，如查询刷新预热历史记录、开启刷新功能、开启预热功能等接口。 【示例】域名操作，包括CDN域名操作接口对应的授权项，如查询加速域名、创建加速域名、停用加速域名、启用加速域名、删除加速域名等接口。

None 配置指导 内容分发网络 CDN 快速入门 03:04 添加加速域名及配置CNAME解析 内容分发网络 CDN 计费 06:40 购买CDN 内容分发网络 CDN 基本配置 01:41 修改加速域名基本配置 内容分发网络 CDN 回源配置 02:51 CDN回源配置 内容分发网络 CDN HTTPS配置 03:17 CDN HTTPS配置 内容分发网络 CDN 缓存配置 03:21 CDN缓存配置 内容分发网络 CDN 刷新预热 01:59 CDN缓存刷新和缓存预热 内容分发网络 CDN 计费详解 03:33 CDN计费详解

操作步骤 登录华为云控制台，在控制台首页中选择“CDN与智能边缘 > CDN”，进入CDN控制台。 在左侧菜单栏中，选择“域名管理”。 在域名列表中，单击需要修改的域名或域名所在行的“设置”，进入域名配置页面。 选择“缓存配置”页签。 在缓存规则模块，单击“编辑”，系统弹出“配置缓存策略”对话框。 单击“添加”，根据业务需求配置缓存策略，如图1所示。具体配置参数说明如表1所示，您还可以单击“查看缓存策略配置建议”查看推荐的配置。 图1 配置缓存策略 表1 缓存策略配置参数 参数 说明 配置规则 所有文件 设置CDN节点所有缓存资源的过期时间。 对于新添加的加速域名，CDN默认添加一条“所有文件”缓存过期时间为30天的规则，此默认规则允许修改，不允许删除。 文件名后缀 设置指定文件类型的缓存资源的缓存规则。 对于新添加的业务类型为网站加速、文件下载加速和点播加速，且源站为自有源站的加速域名，CDN默认添加一条常规动态文件（如.php .jsp .asp .aspx）缓存过期时间为0的规则，对此类动态文件请求会直接回源。此默认规则允许修改和删除。 支持所有格式的文件类型。 输入首字符为“.”，以“;”进行分隔。 输入的文件后缀名总数不能超过20个。 字符总数不能超过255。 文件名后缀英文字符支持大写和小写。 示例：.JPG;.zip;.exe。 目录路径 设置某一指定路径下的缓存资源的缓存规则。 输入要求以“/”作为首字符，以“;”进行分隔，输入的目录路径总数不能超过20个，且字符总数不能超过255。 示例：/test/folder01;/test/folder02。 全路径 设置完整路径下某一文件的缓存规则。 输入要求以“/”作为首字符，"*"不能在结尾。支持匹配指定目录下的具体文件或者带通配符"*"的文件。单条全路径缓存规则里仅支持配置一个全路径。 示例：如/test/index.html或/test/*.jpg 缓存首页 设置根目录缓存规则 网站的根目录就是网站的顶层文件目录，目录下放着网站所有的子文件夹。 示例：以目录“abc/file01/2.png”为例，“abc/”就是根目录，缓存首页就是对“abc/”设置缓存规则。 优先级 缓存规则的优先级。 优先级设置具有唯一性，不支持多条缓存规则设置同一优先级，且优先级不能输入为空。多条缓存规则下，不同缓存规则中的相同资源内容，CDN按照优先级高的缓存规则执行缓存内容过期。 取值为1~100之间的整数，数值越大优先级越高。 缓存过期时间 达到设置的缓存过期时间后，当用户向CDN节点请求资源时，CDN会直接回源站请求对应的最新资源返回给用户，并缓存到CDN节点中。 时间设置不能超过365天，建议参考如下规则进行配置： 对于不经常更新的静态文件（如.jpg、.zip等），建议将缓存过期时间设置成1个月以上。 对于频繁更新的静态文件（如js、css等），请根据实际业务情况设定。 对于动态文件（如php、jsp、asp等），建议设置成0秒，回源获取。 （可选）通过单击缓存规则所在行的“删除”，删除不需要的缓存规则。 单击“确定”，完成缓存规则配置。

使用场景说明 当用户的视频、电商等业务系统可以通过域名区分动静态资源，可以使用“DDoS高防+CDN”联动方案，实现原理图如图1所示，动静态资源相关说明如表1所示。 部分平台业务系统的动静态资源采用一套域名，没有做动静态资源分离，这种情况无法使用“DDoS高防+CDN”联动方案，请参考备选方案进行处理。 图1 “DDoS高防+CDN”联动方案原理说明 表1 动态资源与静态资源 类别 定义 举例 解决办法 动态资源 服务器端在应答客户请求前需要和数据库进行交互的业务。 支付 登录 动态资源的域名解析到高防的CNAME。高防防护能够保证登录、支付等功能平台稳定运行不中断。 静态资源 客户可以直接在对象存储中获取的固定资源。 图片 视频 静态资源的域名解析到CDN的CNAME。CDN加速使客户能够快速获取视频、图片等资源，提升客户体验。

修订记录 发布日期 修订记录 2022-09-28 第二十八次正式发布。 本次修改说明如下： 配置全量修改、查询接口新增“Range回源、User-Agent黑白名单、改写回源URL、自定义错误页面”四个功能。 2022-09-08 第二十七次正式发布。 本次修改说明如下： 新增“添加、删除、修改标签”三个API接口。 2022-08-15 第二十六次正式发布。 本次修改说明如下： 全量接口支持配置和查询IPv6功能。 2022-07-15 第二十五次正式发布。 本次修改说明如下： 新增“429状态码”说明。 全量接口支持配置和查询TLS版本。 2022-05-30 第二十四次正式发布。 本次修改说明如下： 新增“国家及地区说明”章节。 2022-01-12 第二十三次正式发布。 本次修改说明如下： 新增域名配置全量接口。 2021-11-05 第二十二次正式发布。 本次修改说明如下： 新增场景示例“创建缓存刷新和预热任务”。 2021-09-13 第二十一次正式发布。 本次修改说明如下： 统计分析功能支持查询时间段修改为90天。 查询刷新预热接口新增create_time参数。 2021-02-02 第二十次正式发布。 本次修改说明如下： 新增“修改回源请求头” 新增“查看回源请求头” 2020-04-23 第十九次正式发布。 本次修改说明如下： 新增“一个证书批量设置多个域名” 修改相关参数。 2019-10-21 第十八次正式发布。 本次修改说明如下： 区分“API（新版）”和“API（旧版）”的接口列表。 附录中增加“区域说明”和“运营商说明”。 2019-10-09 第十七次正式发布。 本次修改说明如下： 新增“批量查询域名的统计明细-按域名单独返回”章节 新增“批量查询域名的区域、运营商统计明细-按域名单独返回”章节。 2019-09-26 第十六次正式发布。 本次修改说明如下： 新增“开启/关闭Range回源”章节。 新增“开启/关闭302回源跟随”章节。 新增“查询IP黑白名单”章节。 新增“设置IP黑白名单”章节。 2019-08-20 第十五次正式发布。 本次修改说明如下： 优化章节结构。 优化语言描述，规范接口参数。 2019-07-23 第十四次正式发布。 本次修改说明如下： 新增“新增或修改响应头配置”章节。 新增“查询响应头配置”章节。 2019-05-31 第十三次正式发布。 本次修改说明如下： 优化文档结构，新增“快速入门”章节。 将“接口简介”、“获取请求认证”、“接口使用方法”合并入“如何调用API”。 优化语言描述，增加操作示例。 2019-02-28 第十二次正式发布。 本次修改说明如下： 优化“获取请求认证”章节内容。 优化“示例”章节内容。 优化“错误码”章节内容。 2018-11-15 第十一次正式发布。 本次修改说明如下： 新增API授权项列表。 2018-10-30 第十次正式发布。 本次修改说明如下： 新增配置HTTP header接口参数。 2018-08-30 第九次正式发布。 本次修改说明如下： 新增企业项目相关接口参数。 2018-07-05 第八次正式发布。 本次修改说明如下： 新增接口“查询区域消耗统计”、“查询运营商消耗统计”、“查询TOP100 URL明细”、“查询区域和运营商下的域名消耗统计”和“查询区域和运营商消耗明细”。 2018-05-15 第七次正式发布。 本次修改说明如下： 新增接口“查询IP归属信息”。 2018-03-30 第六次正式发布。 本次修改说明如下： 《CDN接口参考》更名为《CDN API参考》。 接口“查询消耗统计”、“查询消耗明细”和“查询域名消耗统计”新增统计指标状态码、回源总数和回源失败数。 2018-02-28 第五次正式发布。 本次修改说明如下： 下线“忽略cache-control”功能。 统计章节接口增加服务范围字段，提供按服务范围查询统计指标的功能。 2018-01-03 第四次正式发布。 本次修改说明如下： 新增接口，“查询加速域名”、“创建加速域名”、“查询加速域名详情”、“修改源站信息”、“删除加速域名”、“启用加速域名”、“停用加速域名”、“修改回源HOST”、“查询回源HOST”、“设置Referer过滤规则”、“查询Referer过滤规则”、“设置缓存规则”、“查询缓存规则”、“查询消耗统计”、“查询消耗明细”、“查询域名消耗统计”、“配置HTTPS”和“查询HTTPS配置”。 统一参数类型“string”。 删除“创建刷新缓存任务”、“创建预热任务”和“查询刷新预热任务”和“查询刷新预热任务详情”中status参数的fail返回值。 修改list为array。 错误码统一到附录的“错误码说明”中。 响应样例修改为返回具体的错误类型。 2017-11-15 第三次正式发布。 本次修改说明如下： 创建预热任务中，将请求示例中的字段“directory”等带误导性的url更改为“di.png”等，将urls的说明加上“（目前不支持对目录的预热）”。 查询刷新预热任务详情中，将带字段“directory”的字段更改为“dir.png”。 创建刷新预热缓存任务，修改返回样例status为“task_inprocess”。 查询刷新预热任务和查询刷新预热任务详情接口，新增请求样例。 修改了接口的错误返回样例。 修改“创建刷新缓存任务”的请求参数“type”的类型。 “创建刷新缓存任务”、“创建预热任务”和“查询刷新预热任务”接口响应要素说明新增字段“urls”。 “查询刷新预热任务”新增对order_field和order_type的说明。 CDN统计章节中增加对响应的描述。 修改了CDN统计的注意事项。 修改了错误码说明。 修改了“创建预热任务”和“创建刷新缓存任务”的url长度限制。 2017-09-28 第二次正式发布。 本次修改说明如下： 域名配置章节中的“创建刷新缓存任务”，请求的urls说明修改为“多个URL之间需要用逗号分隔”。 域名配置章节中的“创建预热任务”，请求的urls说明修改为“多个URL之间需要用逗号分隔”。 2017-09-15 第一次正式发布。

资源和成本规划 本节介绍最佳实践中资源规划情况，包含以下内容： 表1 资源和成本规划说明 资源 资源说明 成本说明 OBS 需要创建一个OBS桶用于存放静态网站文件，同时在OBS桶上完成静态网站托管配置和自定义域名绑定。 OBS的使用涉及以下几项费用： 存储费用：静态网站文件存储在OBS中产生的存储费用。 请求费用：用户访问OBS中存储的静态网站文件时产生的请求费用。 流量费用：用户使用自定义域名通过公网访问OBS时产生的流量费用。 实际产生的费用与存储的文件大小、用户访问所产生的请求次数和流量大小有关，请根据自己的业务进行预估。 静态网站文件 静态网站首页： 访问静态网站时返回的索引页面，即首页。 示例：index.html 404错误页面： 当访问错误的静态网站路径时，返回的404错误页面。 示例：error.html 免费 自定义域名 用户自己的域名地址，需要绑定在OBS桶上。 按照工信部要求，您绑定自定义域名的桶如果在以下区域，需要提前完成ICP备案。 包括：华北-北京一、华北-北京四、华北-乌兰察布一、华东-上海一、华东-上海二、华南-广州、西南-贵阳一 示例：www.example.com 准备自定义域名涉及域名注册费用，由域名注册商收取，具体费用以实际为准。 CDN 可选。可以为OBS桶绑定的自定义域名开启CDN加速，以实现更快的资源访问速度。 使用CDN加速会产生相应的流量费用，具体请参见CDN加速OBS计费规则。 实际产生的费用与用户访问所产生的流量大小有关，请根据自己的业务进行预估。 DNS OBS桶绑定的自定义域名需要在DNS上配置CNAME记录。 免费 本例中，静态网站文件的示例如下： index.html的内容为：

欢迎使用OBS静态网站托管功能

这是首页

error.html的内容为：

欢迎使用OBS静态网站托管功能

这是404错误页面

操作步骤 登录管理控制台。 单击管理控制台左上角的，选择区域或项目。 单击页面左上方的，选择“安全与合规 > Web应用防火墙 WAF”。 在左侧导航树中，选择“网站设置”，进入“网站设置”页面。 在目标域名所在行中，单击域名，进入域名基本信息页面。 在“CNAME”行中，单击，复制“CNAME”值，如图1。 图1 复制CNAME 页面右上角弹出“复制成功”，则表示CNAME值复制成功。 域名接入。 未使用代理 到该域名的DNS服务商处，配置防护域名的别名解析，具体操作请咨询您的域名服务提供商。 以下为华为云DNS的CNAME绑定方法，仅供参考。如与实际配置不符，请以各自域名服务商的信息为准。 进入云解析页面的入口，如图2所示。 图2 云解析页面入口 在目标域名所在行的“操作”列，单击“修改”，进入“修改记录集”页面。 在弹出的“修改记录集”对话框中修改记录值，如图3所示。 “主机记录”：在WAF中配置的域名。 “类型”：选择“CNAME-将域名指向另外一个域名”。 “线路类型”：全网默认。 “TTL(秒)”：一般建议设置为5分钟，TTL值越大，则DNS记录的同步和更新越慢。 “值”：修改为已复制的WAF CNAME地址。 其他的设置保持不变。 关于修改解析记录： 对于同一个主机记录，CNAME解析记录不能重复，您需要将已存在的解析记录的CNAME修改为WAF CNAME地址。 同一解析记录下，不同DNS解析记录类型间可能存在冲突。例如，对于同一个主机记录，CNAME记录与A记录、MX记录、TXT记录等其他记录互相冲突。在无法直接修改记录类型的情况下，您可以先删除存在冲突的其他记录，再添加一条新的CNAME记录。删除其他解析记录并新增CNAME解析记录的过程应尽可能在短时间内完成。如果删除A记录后没有添加CNAME解析记录，可能导致域名无法正常解析。 域名解析类型的限制规则请参见添加记录集时，为什么会提示“与已有解析记录冲突”？。 图3 修改记录集 单击“确定”，完成DNS配置，等待DNS解析记录生效。 使用了代理 若接入Web应用防火墙的网站已使用CDN、云加速等七层代理，为了保证WAF的安全策略能够针对真实源IP生效，请确保网站的“是否已使用代理”已配置为“是”，详细操作请参见查看基本信息。 将使用的代理类服务（高防、CDN服务等）的回源地址修改为复制的目标域名的CNAME，具体的方法请参见网站业务接入。 为了防止其他用户提前将您的域名配置到Web应用防火墙上，从而对您的域名防护造成干扰，建议您的DNS服务商处添加“子域名”和“TXT记录”。 获取“子域名”和“TXT记录”：在“接入状态”所在行，单击“如何接入？”，在弹出的“接入指导”对话框中，复制“子域名”和“TXT记录”。 到DNS服务商处添加“子域名”，并为它配置“TXT记录”。具体的配置方法请参见未配置子域名和TXT记录的影响。 WAF会根据配置“子域名”和“TXT记录”判断域名的所有权属于哪个用户。 验证域名的CNAME是否配置成功。 在Windows操作系统中，选择“开始 > 运行”，在弹出框中输入“cmd”，按“Enter”。 执行nslookup命令，查询CNAME。 如果回显的域名是配置的CNAME，则表示配置成功，示例如图4所示。 以域名www.example.com为例。 nslookup www.example.com 图4 查询CNAME

操作步骤 登录华为云控制台，在控制台首页中选择“CDN与智能边缘 > CDN”，进入CDN控制台。 在左侧菜单栏中，选择“域名管理”。 在域名列表中，单击需要修改的域名或域名所在行的“设置”，进入域名配置页面。 选择“缓存配置”页签。 在缓存规则模块，单击“编辑”，系统弹出“配置缓存策略”对话框。 单击“添加”，根据业务需求配置缓存策略，如图1所示。具体配置参数说明如表1所示。 图1 配置缓存策略 表1 缓存策略配置参数 参数 说明 配置规则 所有文件 设置CDN节点所有缓存资源的过期时间。 对于新添加的加速域名，CDN默认添加一条“所有文件”缓存过期时间为30天的规则，此默认规则允许修改，不允许删除。 文件名后缀 设置指定文件类型的缓存资源的缓存规则。 对于新添加的业务类型为网站加速、文件下载加速和点播加速，且源站为自有源站的加速域名，CDN默认添加一条常规动态文件（如.php .jsp .asp .aspx）缓存过期时间为0的规则，对此类动态文件请求会直接回源。此默认规则允许修改和删除。 支持所有格式的文件类型。 输入首字符为“.”，以“;”进行分隔。 字符总数不能超过255。 输入的文件后缀名总数不能超过20个。 文件名后缀英文字符支持大写和小写。 示例：.JPG;.zip;.exe。 目录路径 设置某一指定路径下的缓存资源的缓存规则。 输入要求以“/”作为首字符，以“;”进行分隔，输入的目录路径总数不能超过20个，且字符总数不能超过255。 示例：/test/folder01;/test/folder02。 全路径 设置完整路径下某一文件的缓存规则。 输入要求以“/”作为首字符，"*"不能在结尾。支持匹配指定目录下的具体文件或者带通配符"*"的文件。单条全路径缓存规则里仅支持配置一个全路径。 示例：如/test/index.html或/test/*.jpg 首页 设置根目录缓存规则 网站的根目录就是网站的顶层文件目录，目录下放着网站所有的子文件夹。 示例：以目录“abc/file01/2.png”为例，“abc/”就是根目录，缓存首页就是对“abc/”设置缓存规则。 优先级 缓存规则的优先级。 优先级设置具有唯一性，不支持多条缓存规则设置同一优先级，且优先级不能输入为空。多条缓存规则下，不同缓存规则中的相同资源内容，CDN按照优先级高的缓存规则执行缓存内容过期。 取值为1~100之间的整数，数值越大优先级越高。 缓存过期时间 达到设置的缓存过期时间后，当用户向CDN节点请求资源时，CDN会直接回源站请求对应的最新资源返回给用户，并缓存到CDN节点中。 时间设置不能超过365天，建议参考如下规则进行配置： 对于不经常更新的静态文件（如.jpg、.zip等），建议将缓存过期时间设置成1个月以上。 对于频繁更新的静态文件（如js、css等），请根据实际业务情况设定。 对于动态文件（如php、jsp、asp等），建议设置成0秒，回源获取。 （可选）通过单击缓存规则所在行的“删除”，删除不需要的缓存规则。 单击“确定”，完成缓存规则配置。 如果您修改了缓存规则： 新的规则仅对后面缓存的资源生效，已经缓存的资源需要等缓存过期后，再次缓存才会遵循新的缓存规则。 如果您想要立即生效，请在修改缓存规则后执行缓存刷新操作。

OBS最佳实践汇总 本文汇总了基于对象存储服务（OBS，Object Storage Service）常见应用场景的操作实践，为每个实践提供详细的方案描述和操作指导，帮助用户轻松构建基于OBS的存储业务。 表1 OBS最佳实践一览表 最佳实践 说明 安全最佳实践 本章节提供了OBS使用过程中的安全最佳实践，旨在为提高整体安全能力提供可操作的规范性指导。 搬迁本地数据至OBS 本章节根据用户本地（个人电脑或自建存储服务器）数据大小，介绍了几种将本地数据搬迁至OBS的方式，并针对不同方式提供了对应操作流程及指导。 迁移第三方云厂商的数据至OBS 本章节根据存储在第三方云厂商的数据量及迁移场景，介绍了几种迁移方式，并针对不同方式提供了对应操作流程及指导。 OBS之间数据迁移 本章节介绍如何在华为云对象存储服务OBS之间进行跨账号、跨地域、以及同地域内的数据迁移。 使用备份软件实现本地数据备份至OBS 本章节描述了备份本地数据至OBS的背景以及OBS支持的备份软件，并以Commvault备份软件为例，介绍了备份本地数据至OBS的基本流程。 在ECS上通过内网访问OBS ECS支持通过公网和华为云内网两种方式访问OBS，为优化性能、节省开支，建议通过华为云内网访问OBS。本章节详细描述了在ECS上如何通过华为云内网访问OBS服务。 通过CDN加速访问OBS OBS支持通过CDN加速实现快速获取存储在OBS上的数据，提升终端用户体验，降低OBS流量开销。本章节以OBS文件下载加速为例，介绍了如何通过CDN加速访问OBS。 使用自定义域名托管静态网站 本章节详细描述了在OBS上使用自定义域名托管静态网站的操作流程及步骤，无需搭建网站服务器，即可快速发布个人及企业静态网站。 OBS数据一致性校验 对象数据在上传下载过程中，有可能会因为网络劫持、数据缓存等原因，存在数据不一致的问题。本章介绍如何利用OBS提供的通过计算MD5值的方式，对上传下载的数据进行一致性校验。 性能优化最佳实践 本章节介绍如何通过给对象添加随机前缀名，对高速率访问请求进行水平扩展，以达到提升访问速率，降低访问时延的效果。 将WordPress远程附件存储到OBS 本章节介绍如何通过插件，将WordPress远程附件存储到华为云OBS。 Web端通过PostObject接口直传OBS 本章节介绍一种在Web端利用PostObject接口直传文件至OBS的方法，即使用表单上传方式上传文件至OBS。该方案省去了应用服务器这一步骤，提高了传输效率，不会对服务器产生压力，且服务端签名后直传可以保证传输的安全性。 移动应用直传 本章节介绍了应用客户端访问OBS的两种方法，从而更好地保护应用数据，避免被攻击后数据泄露以及越权访问的风险。 小程序直传OBS 本章节通过一个示例程序演示了如何通过微信小程序上传文件至OBS。 通过Nginx反向代理访问OBS 本章节介绍如何通过在ECS上配置Nginx反向代理，实现通过固定IP地址访问OBS。 大数据场景下使用OBS实现存算分离 华为云存算分离大数据方案相比传统大数据方案，在同样的业务规模下所使用的计算资源、存储资源以及服务器数量都会有明显下降，同时资源利用率也能得到显著提升，可帮助企业降低业务综合成本。

备案限制 使用华为云备案系统时，具有一定的限制条件，具体限制条件请参见表1。 表1 备案限制说明 限制项 说明 基本条件 如果您的域名要在华为云进行备案，需要包周期购买华为云中国大陆内节点服务器和IP。 主体 一个华为云帐号只能备案一个主体（公司或个人）信息，但是一个主体下可以备案多个网站。 网站名称 需按规范命名，命名规则参见网站名称要求。 前置审批 若网站内容涉及需前置审批行业的内容，备案前请先到相关批复单位办理前置审批，请参见前置审批。 CDN 如果您的CDN服务覆盖中国大陆境内，则必须备案。您需要先购买一个中国大陆境内的服务器（ECS）和公网IP（包年包月）用于备案产品验证。 负载均衡 如果您使用中国大陆境内的服务器（ECS）和负载均衡服务，您可以使用其中一个服务器（ECS）或服务器（ECS）生成的备案授权码，进行产品验证。备案成功后，配置您的域名解析，指向您的负载均衡的IP地址。 域名 备案使用的域名对应的顶级域必须是通过工信部批复的顶级域。 域名注册服务机构是经工信部批复的域名注册服务机构。 域名需在注册有效期内。 域名需完成域名实名信息认证。 域名所有人信息与备案主体信息必须一致。 每个网站只能备案1个域名。 网站内容 网站不可以涉及违法内容。 如果网站内容涉及行业或企业内容，无法选择为个人性质备案。 服务器 通过华为云备案，需要先购买华为云中国大陆节点服务器。目前华为云可备案的产品有： ECS：需包月3个月及以上（包含多次续费后累计时长），且有包周期公网IP。 建站市场：建站主机、云速邮箱，需包月3个月及以上（包含多次续费后累计时长）。 云容器实例：需包月3个月及以上（包含多次续费后累计时长）。 专属云：需包年1年及以上。 NAT网关：公网NAT网关，需包月3个月及以上（包含多次续费后累计时长）。 备案授权码 由ECS（需包月3个月及以上）生成，一台ECS可生成5个备案授权码，一个授权码只能备案一个网站。

操作步骤（旧版） 登录管理控制台。 单击管理控制台左上角的，选择区域或项目。 单击页面左上方的，选择“安全与合规 > Web应用防火墙 WAF”。 在左侧导航树中，选择“网站设置”，进入“网站设置”页面。 在网站列表左上角，单击“添加防护网站”。 选择“独享模式”后，在页面配置域名基本信息，相关参数说明如表3所示。 图5 配置网站基本信息 表3 基本信息参数说明 参数 参数说明 取值样例 网站名称 网站的名称。 - 防护对象 防护的域名或IP，域名支持单域名和泛域名。 单域名：输入防护的单域名。例如：www.example.com。 泛域名 说明： 泛域名不支持下划线（_）。 如果各子域名对应的服务器IP地址相同：输入防护的泛域名。例如：子域名a.example.com，b.example.com和c.example.com对应的服务器IP地址相同，可以直接添加泛域名*.example.com。 如果各子域名对应的服务器IP地址不相同：请将子域名按“单域名”方式逐条添加。 单域名：www.example.com 泛域名：*.example.com IP：XXX.XXX.1.1 端口 可选参数，仅当用户勾选“非标准端口”时需要配置。端口的配置示例如配置示例一：防护同一端口的不同源站IP的标准端口业务。 “对外协议”选择“HTTP”时，WAF默认防护“80”标准端口的业务；“对外协议”选择“HTTPS”时，WAF默认防护“443”标准端口的业务。 如需配置除“80”/“443”以外的端口，勾选“非标准端口”，在“端口”下拉列表中选择非标准端口。 Web应用防火墙支持的非标准端口请参见Web应用防火墙支持哪些非标准端口？。 说明： 如果配置了非标准端口，访问网站时，需要在网址后面增加非标准端口进行访问，否则访问网站时会出现404错误。 81 网站备注 网站补充信息。 - 服务器配置 网站服务器地址的配置。包括对外协议、源站协议、VPC、源站地址和源站端口。 对外协议：客户端请求到WAF独享引擎使用的协议。包括“HTTP”、“HTTPS”两种协议类型。 源站协议：客户端请求经过WAF独享引擎转发到源站时使用的协议。包括“HTTP”、“HTTPS”两种协议类型。 说明： 对外协议与源站协议的具体配置规则，请参见对外协议与源站协议配置规则。 WAF支持WebSocket/WebSockets协议，且默认为开启状态。 VPC：选择独享引擎实例所在的VPC。 源站地址：客户端（例如浏览器）访问的网站服务器的私网IP/内网IP地址或域名。 源站端口：WAF独享引擎转发客户端请求到服务器的业务端口。 对外协议：HTTP 源站协议：HTTP VPC：vpc-default 源站地址： 192.168.1.1 源站端口：80 证书名称 “对外协议”设置为“HTTPS”时，需要选择证书。您可以选择已创建的证书或选择导入的新证书。导入新证书的操作请参见导入新证书。 创建证书的操作，请参见上传证书。 您也可以在SCM管理控制台购买证书并推送到WAF。有关SCM证书推送到WAF的详细操作，请参见推送证书到云产品。 须知： WAF当前仅支持PEM格式证书。如果证书为非PEM格式，请参考导入新证书将证书转换为PEM格式，再上传。 目前华为云SCM证书只能推送到“default”企业项目下。如果您使用其他企业项目，则不能选择使用SCM推送的SSL证书。 域名和证书需要一一对应，泛域名只能使用泛域名证书。如果您没有泛域名证书，只有单域名对应的证书，则只能在WAF中按照单域名的方式逐条添加域名进行防护。 -- 选择“是否已使用代理”。 为了保证WAF的安全策略能够针对真实源IP生效，成功获取Web访问者请求的真实IP地址，如果WAF前没有使用CDN、云加速等七层等代理服务器，且ELB使用的是四层负载均衡（NAT等方式），“是否已使用代理”务必选择“否”，其他情况，“是否已使用代理”选择“是”。 选择“策略配置”，默认为“系统自动生成策略”。 您也可以选择已创建的防护策略或在域名接入后根据防护需求配置防护规则。 系统自动生成的策略说明如下： Web基础防护（“仅记录”模式、常规检测） 仅记录SQL注入、XSS跨站脚本、远程溢出攻击、文件包含、Bash漏洞攻击、远程命令执行、目录遍历、敏感文件访问、命令/代码注入等攻击行为。 网站反爬虫（“仅记录”模式、扫描器） 仅记录漏洞扫描、病毒扫描等Web扫描任务，如OpenVAS、Nmap的爬虫行为。 “仅记录”模式：发现攻击行为后WAF只记录攻击事件不阻断攻击。 单击“确定”，防护网站添加成功。 图6 域名配置完成 单击“配置策略”，您可以为防护网站配置防护策略。 单击“继续添加域名”，您可以继续添加防护网站。 关闭对话框，您可以在防护网站列表中查看已添加防护网站。

审计服务支持的CDN操作列表 表1 云审计服务支持的CDN操作列表 操作名称 说明 createDomain 创建加速域名 updateDomain 更新加速域名 deleteDomain 删除加速域名 enableDomain 启用加速域名 disableDomain 停用加速域名 updateOrigin 设置源站 updateOriginHost 设置回源Host createRefer 创建Referer规则 createCertificate 设置加速域名证书 createCacheRule 创建缓存规则 createRefreshTask 创建刷新缓存任务 createPreheatingTask 创建预热任务

与其他云服务的关系 表1 与其他云服务的关系 交互功能 相关服务 位置 将OBS桶作为CDN加速域名的源站。 对象存储服务（Object Storage Service，OBS） 快速接入CDN 通过IAM服务实现以下功能： 用户管理及权限设置： 管理IAM用户和用户组 管理细粒度策略 管理委托 设置OBS私有桶回源前，在IAM控制台进行委托授权，授权成功后CDN将有权限访问您帐户下的OBS私有桶。 统一身份认证服务（Identity and Access Management，IAM） 用户权限 OBS私有桶回源 通过CTS服务收集CDN资源操作记录，便于日后的查询、审计和回溯。 云审计服务（Cloud Trace Service，CTS） 审计 可在企业管理服务创建相关CDN的企业项目来集中管理CDN域名资源。 企业管理服务（Enterprise Project Management Service ，EPS） 企业项目

为什么OBS桶接入CDN后，访问域名会列出所有文件列表？ 如果您使用的是OBS公有桶，请参考以下操作步骤解决该问题： 在OBS处开启静态网站托管，操作步骤请参考配置静态网站托管。 同时在CDN域名的源站配置页面勾选“静态网站托管”。 在CDN控制台域名管理页面，单击需要配置的域名。 在“基本配置”页签下“源站配置”处单击“编辑”。 勾选“静态网站托管”，完成配置。如图所示。 如果您使用的是OBS私有桶，请参考通过CDN加速OBS视频点播文档中实施步骤的第6步处理。

什么是CDN CDN（Content Delivery Network，内容分发网络）是构建在现有互联网基础之上的一层智能虚拟网络，通过在网络各处部署节点服务器，实现将源站内容分发至所有CDN节点，使用户可以就近获得所需的内容。CDN服务缩短了用户查看内容的访问延迟，提高了用户访问网站的响应速度与网站的可用性，解决了网络带宽小、用户访问量大、网点分布不均等问题。 华为云CDN加速节点资源丰富，有2000+中国大陆加速节点，800+中国大陆境外加速节点。有充足的带宽资源，全网带宽输出能力不低于150Tbps。涵盖了电信、联通、移动、教育网等主流运营商，以及多家中小型运营商。覆盖130多个国家/地区，支持运营商网络超过1,600家。保证将用户请求精准调度至最优边缘节点，提供有效且稳定的加速效果。 华为云CDN主要的应用场景包括： 应用场景 场景描述 网站加速 适用于有加速需求的网站，包括门户网站、电商平台、资讯APP、UGC应用（User Generated Content，用户原创内容）等。CDN网络能够对加速域名下的静态内容提供良好的加速服务。支持自定义缓存规则，用户可以根据数据需求设置缓存过期时间，缓存格式包括但不限于zip、exe、wmv、gif、png、bmp、wma、rar、jpeg、jpg等。 文件下载加速 适用于使用HTTP/HTTPS文件下载业务的网站、下载工具、游戏客户端、APP商店等。现在越来越多的新业务需要通过网络对客户端软件进行实时更新，包括APP更新，手游更新等，传统的下载类业务也需要支持更多的文件数量和更大的文件，如果所有的请求都通过源站服务器来处理，服务器和网络会成为很大的瓶颈，导致下载体验变差。使用CDN下载加速可以将下载量大的内容分发到各地的CDN节点，有效减轻源站的压力，同时保证了客户端高速下载的需求。 点播加速 适用于提供音视频点播服务的客户。例如：在线教育类网站、在线视频分享网站、互联网电视点播平台、音乐视频点播APP等。传统的点播服务会加大服务器的负载，并消耗巨大的带宽资源，同时又无法保证终端用户访问时需要的高速体验，CDN点播加速可以提供快速、稳定和安全的点播加速服务，通过分布在各个区域的CDN节点，将音视频内容扩展到距离用户较近的地方，随时随地为用户提供高品质的访问体验。 全站加速 适用于各行业动静态内容混合，含较多动态资源请求（如asp、jsp、php等格式的文件）的网站。全站加速融合了动态和静态加速，用户请求资源时，静态内容从边缘节点就近获取，动态内容通过动态加速技术智能选择较优路由回源获取。CDN全站加速有效提升动态页面的加载速度，避开网络拥堵路由，提高访问成功率，实现网站整体加速与实时优化。

操作步骤 登录华为云控制台，在控制台首页中选择“CDN与智能边缘 > CDN”，进入CDN控制台。 在左侧菜单栏中，选择“域名管理”。 在域名列表中，单击需要修改的域名或域名所在行的“设置”，进入域名配置页面。 选择“回源配置”页签。 如果您首次配置OBS私有桶回源，页面显示如下： 此时的配置步骤如下： 单击“立即授权”，弹出云资源委托授权对话框，如下图所示。 单击“确定”，系统将为您在IAM管理控制台委托页面创建名为“CDNAccessPrivateOBS”委托关系，CDN将有权限访问您的私有OBS桶。 请勿删除CDN与OBS的委托关系，否则会导致CDN无法在回源时从OBS私有桶获取相应资源。 如果您的源站是OBS公有桶，请不要开启OBS私有桶回源。 授权委托后的页面如下： 开启OBS私有桶回源开关。 打开OBS私有桶回源开关后，域名管理页面当前加速域名状态显示“配置中”，配置完成大概需要5分钟左右时间，当域名状态从“配置中”变为“已开启”时，配置完成。 当CDN回源到OBS私有桶的非加密文件时，完成上述配置即可。如果您的OBS桶中某些文件进行了KMS加密，此时CDN还无法访问KMS加密文件，您需要为“CDNAccessPrivateOBS”委托配置“KMS Administrator”权限，CDN才能读取并加速KMS加密文件。 （可选）为“CDNAccessPrivateOBS”委托配置“KMS Administrator”权限。 登录华为云控制台，在控制台首页中选择“管理与监管 > IAM”，进入IAM控制台。 在左侧菜单栏中，选择“委托”。 在“委托”界面找到“CDNAccessPrivateOBS”，单击权限配置。 进入“委托权限界面”。 单击“配置权限”。 选择区域级项目，根据OBS桶的位置选择相应的区域。 勾选“KMS Administrator”。 单击“确定”，完成配置。

概述 当终端用户访问资源时，如果CDN节点没有缓存该资源，就会回源请求资源并缓存到CDN节点。您可以根据业务需求对回源的各个参数进行设置，提升资源访问效率。 回源相关配置详见下表： 功能 说明 回源HOST 如果CDN回源时访问的站点域名不是您的加速域名（CDN默认回源HOST为加速域名），您需要设置回源HOST。 回源方式 如果您需要指定CDN回源时的请求协议，您需要配置回源方式。 改写回源URL 如果您的回源请求URL与源站URL不匹配，您可以改写回源URL，提高回源请求URL与源站的匹配度，提升回源命中率。 Range回源 如果您的资源内容较大，希望CDN回源时只返回指定范围的内容，以便缩短大文件的分发时间，提升回源效率，减少回源消耗，您需要设置Range回源。 回源跟随 如果您的源站地址因业务需求做了301/302 重定向，您需要开启回源跟随功能才可以将重定向的资源缓存到CDN节点，达到加速分发的效果。 OBS私有桶回源 如果您使用OBS私有桶作为源站，您需要开启OBS私有桶回源功能，CDN才有权限访问您的源站，加速您的域名。 说明： 如果您的源站是OBS公有桶，请不要开启OBS私有桶回源。 回源请求头 如果您想在回源时加入指定的HTTP消息头部，改写终端用户请求URL中的头部信息，您需要设置回源请求头。 回源超时时间 如果您需要根据源站特性和业务场景调整回源超时时间，您需要配置此项。

启用加速域名 对处于“已停用”状态的域名，您可以对其进行“启用”操作。 进入CDN控制台的“域名管理”页面，在需要启用的加速域名行单击“更多”，选择“启用”（也可以勾选您需要启用的多个加速域名，选择域名上方“启用”按钮）。 确认需要启用的域名信息，单击“确定”完成域名启用操作。 单域名启用 进入CDN控制台的“域名管理”页面，在需要启用的加速域名行单击“更多”，选择“启用”。 确认需要启用的域名信息，单击“确定”完成域名启用操作。

与其他服务的关系 表1 MapDS与其他云服务的关系 服务类别 服务名称 交互关系 CDN服务 内容分发网络（Content Delivery Network，CDN） 通过CDN加速，缩短用户查看地图的访问延迟，提高用户访问网站的响应速度与网站的可用性。 网络服务 VPC终端节点（VPC Endpoint，VPCEP） 能够将VPC私密地连接到终端节点服务，使VPC中的云资源无需弹性公网IP就能够访问终端节点服务，提高访问效率。 存储服务 数据快递服务（Data Express Service，DES） 通过DES实现海量数据快速传输上云。

绑定CDN域名 检查七牛云迁移账号是否拥有CDN加速域名，如果没有，参考如下步骤绑定CDN域名。 登录七牛云管理控制台。 在控制台左侧导航树选择对象存储 Kodo，进入对象存储服务的概览页面。 单击“空间管理”，进入空间管理页面。 单击待迁移的空间名称，进入空间概览。 选择“域名管理”页签，单击“绑定域名”，进入“添加域名”页面。 在“域名配置”、“源站配置”、“缓存配置”区域，根据需求，设置参数。 单击“创建”，完成CDN域名绑定。

方案优势 提供纯净的弹性公网IP 每台HECS绑定的弹性公网IP，提供独立的公网IP资源，确保访问亚马逊店铺IP的唯一性。还可与HECS灵活的绑定或解绑，根据业务需求灵活的调整带宽。 多节点区域可选 支持在多个区域购买HECS，系统自动分析推荐，还可根据业务自行调整。 一般建议您就近选择靠近您或者您的目标用户的区域，这样可以减少网络时延，提高访问速度。 简单上云 HECS是一种可以快速搭建且易于管理的新一代云服务器，提供从1核1G到8核32G的套餐并匹以相对的磁盘空间和公有云带宽，使用HECS对于亚马逊店铺管理更加便捷，易开通、易管理、易搭建。 使用安全 HECS提供对用户云环境的安全评估，帮助用户快速发现安全弱点和威胁，同时提供安全配置检查，并给出安全实践建议，有效减少或避免由于网络中病毒和恶意攻击带来的损失，报障用户数据安全。 支持组合使用多种加速服务 搭配内容分发网络CDN，快速、稳定、安全、可靠的全球内容分发加速服务，支持网站、图片、音视频等多业务内容分发。 组合云专线 DC，搭建用户本地数据中心与华为云VPC之间高速、低时延、稳定安全的专属连接通道。

使用OBS桶作为源站且已购买OBS回源流量包，但CDN产生的回源流量未从OBS回源流量包中扣除 请您参照以下步骤排查问题： 请检查购买的OBS回源流量包和接入CDN作源站的OBS桶是否在同一区域，跨区购买将导致无法抵扣，请重新购买CDN回源流量包。 登录CDN控制台，在“域名管理”中查看CDN加速域名配置，请确认您是以“OBS桶域名”的形式接入CDN，如果以“源站域名”方式接入CDN，无法使用OBS回源流量包。如果您不是以“OBS桶域名”的形式接入CDN，请修改源站信息，如图所示。 请确认您的OBS桶版本为3.0及以上，如果不是，将无法享受OBS针对CDN回源流量的特殊计费和流量包优惠，将按照公网流出费用进行结算。

如果我购买的CDN流量包是中国大陆境外流量包，没有购买中国大陆流量包，那么中国大陆有用户访问我的域名，使用的是哪里的流量？ 流量包分区域，不同区域的流量包无法相互抵扣： 当加速域名的服务范围是全球时： 如果您只购买了中国大陆境外流量包，中国大陆用户访问您的加速域名产生的流量费用是按需收费（扣除账户余额），即：您的用户通过CDN节点访问使用了多少流量，CDN就收取多少流量的费用。具体收费额度，详见价格计算器。 如果您只购买了中国大陆的流量包，那么中国大陆境外用户访问您的加速域名产生的流量费用，也是按需收费（扣除账户余额），具体规则同上。 当加速域名的服务范围是中国大陆时： 此时您只需要购买中国大陆流量包，中国大陆境外流量包不能抵扣。 当加速域名的服务范围是中国大陆境外时： 此时您只需要购买中国大陆境外流量包，中国大陆流量包不能抵扣。

什么是全站加速？ 全站加速适用于各行业动静态内容混合，含较多动态资源请求（如asp、jsp、php等格式的文件）的网站。 全站加速融合了动态和静态加速，用户请求资源时，静态内容从边缘节点就近获取，动态内容通过动态加速技术智能选择最佳路由回源获取。 CDN全站加速有效提升动态页面的加载速度，避开网络拥堵路由，提高访问成功率，实现网站整体加速与实时优化。 如果您开启了“全站加速”业务类型，除基础“流量（或带宽）”费用外，还将会额外产生请求数计费：全站加速价格=基础费用(流量或带宽)+全站加速请求数费用(￥0.15 元/万次)。具体计费标准请参见价格详情。 CDN已支持自助开通全站加速，请前往CDN控制台>域名管理界面开通全站加速。 了解全站加速详情请见全站加速WSA。

如果加速域名是泛域名，如何配置证书？ 在您配置泛域名证书的时候，泛域名与证书必须是同级匹配，例如： 如果您的域名为a.b.huawei.com或*.b.huawei.com，则泛域名证书必须为*.b.huawei.com，不能是*.huawei.com和*.a.b.huawei.com。 如果您的域名为a.huawei.com，*.huawei.com，则泛域名证书必须为*.huawei.com，不能是*.b.huawei.com。 配置路径： 单个域名证书配置：请您前往登录华为云控制台，在控制台首页中选择“CDN与智能边缘 > CDN”，进入CDN控制台，左侧菜单栏选择域名管理>设置>HTTPS配置，完成单个域名的证书配置。 多个域名共用证书配置：请您前往登录华为云控制台，在控制台首页中选择“CDN与智能边缘 > CDN”，进入CDN控制台，左侧菜单栏选择域名证书管理>配置证书，完成批量证书配置。

如何获取访问者真实IP？ 网站接入WAF后，WAF作为一个反向代理存在于客户端和服务器之间，服务器的真实IP被隐藏起来，Web访问者只能看到WAF的IP地址。 通常情况下，网站访问并不是简单地从用户的浏览器直达服务器，中间可能部署有CDN、WAF、高防。例如，采用这样的架构：“用户 > CDN/WAF/高防 > 源站服务器” 。那么，在经过多层代理之后，服务器如何获取发起请求的真实客户端IP呢？ 一个透明的代理服务器在把用户的HTTP请求转到下一环节的服务器时，会在HTTP的头部中加入一条“X-Forwarded-For”记录，用来记录用户的真实IP，其形式为“X-Forwarded-For：访问者的真实IP，代理服务器1-IP， 代理服务器2-IP，代理服务器3-IP，……”。 因此，访问者的真实IP可以通过获取“X-Forwarded-For”对应的第一个IP来得到。 可参考最佳实践获取访问者真实IP。

背景信息 网站在接入WAF前使用代理或未使用代理的接入配置说明如下： 使用代理 网站在接入WAF前已使用高防、CDN（Content Delivery Network，内容分发网络）、云加速等代理，如图1所示。 当网站没有接入到WAF前，DNS解析到代理，流量先经过代理，代理再将流量直接转到源站。 网站接入WAF后，需要将域名解析到WAF，这样流量才会被代理转发到WAF，WAF再将流量转到源站，实现网站流量检测和攻击拦截。 将代理回源地址修改为WAF的“CNAME”。 （可选）在DNS服务商处添加一条WAF的子域名和TXT记录。 图1 使用代理配置原理图 未使用代理 网站在接入WAF前未使用代理，如图2所示。 当网站没有接入到WAF前，DNS直接解析到源站的IP，用户直接访问服务器。 当网站接入WAF后，需要把DNS解析到WAF的CNAME，这样流量才会先经过WAF，WAF再将流量转到源站，实现网站流量检测和攻击拦截。 图2 未使用代理配置原理图

查看HTTPS证书信息 您可以在HTTPS证书配置页面，查看加速域名已配置的HTTPS证书信息。 登录华为云控制台，在控制台首页中选择“CDN与智能边缘 >CDN”，进入CDN控制台。 在左侧菜单栏中，选择“域名管理”。 在域名列表中，单击需要修改的域名或域名所在行的“设置”，进入域名配置页面。 选择“HTTPS配置”页签。 在HTTPS配置页面，可以查看加速域名已配置的HTTPS证书过期时间等相关信息。您也可以查看证书内容，但基于安全考虑，不支持私钥内容查看。如下图所示。 证书过期时间的取值依据是您的证书链中，各级证书的过期时间中的最早过期时间。