华为云用户手册

证书类型 华为云SSL证书服务支持购买DV、OV和EV三种类型的SSL证书。不同证书类型适用的应用场景、信任等级和安全性不同，具体区别如表 各种证书之间的区别所示。 表1 各种证书之间的区别 证书类型 安全等级 认证强度 适用场景 支持的证书品牌 审核时长 DV（ 域名 型） 一般 简易验证域名所有权 个人或企业测试的网站 DigiCert GeoTrust TrustAsia vTrus 数小时内快速颁发 OV（企业型） 高 全面验证组织及企业真实性和域名所有权 教育、政府、互联网、中小型企业应用、电商等服务型网站 例如，Apple Store、微信小程序等 DigiCert GeoTrust GlobalSign CFCA TrustAsia vTrus 3～5个工作日 EV（增强型） 最高 严格验证组织及企业真实性和域名所有权 有严格安全要求的大型企业、机构和组织的网站 例如，金融、保险、银行等 DigiCert GeoTrust GlobalSign CFCA TrustAsia 7～10个工作日

收集范围 CCM收集及产生的个人数据如表1所示： 表1 个人数据范围列表 类型 收集方式 是否可以修改 是否必须 租户ID 在控制台进行任何操作时Token中的租户ID 在调用API接口时Token中的租户ID 否 是，租户ID是证书资源身份标识 姓名 在申请SSL证书时填写的联系人姓名 是 是，证书审核人工认证阶段必须 邮箱 在申请SSL证书或私有证书时填写的邮箱 申请SSL证书时填写的邮箱：是 申请私有证书时填写的邮箱：否 申请SSL证书时填写的邮箱：是，证书审核人工认证阶段必须 申请私有证书时填写的邮箱：否 手机号码 在申请SSL证书时填写的联系人手机号 是 是，证书审核人工认证阶段必须 企业营业执照 在申请SSL证书时，可以选择上传企业营业执照 是 否 银行开户许可 在申请SSL证书时，可以选择上传银行开户许可 是 否 企业项目ID 在申请或使用SSL证书、私有证书时，可以为证书分配企业项目 是 已开通企业项目：是 未开通企业项目：否

私有证书管理 功能名称 功能描述 华为云托管的证书颁发机构 私有证书管理服务提供证书颁发机构（Certificate Authority，CA），支持多种密钥算法，其中包括：RSA_2048、RSA_4096、EC_P256、EC_P384等。支持X.509 v3的证书格式，支持CA多级扩展和多级认证，采用国际通用的对称和非对称算法，符合PKI/CA国际标准。 私有证书生命周期管理 私有证书管理服务提供对私有证书的申请、下载、吊销，具备千万级以上的证书管理能力。 密钥生命周期管理 私有证书管理服务使用华为云的密钥管理服务（Key Management Service，KMS）、硬件安全模块HSM（Hardware Security Module）来保护CA密钥的安全，支持软件和硬件产生密钥对，完成密钥的产生、更新、删除、恢复等功能。 私有证书撤销列表（Certificate Revocation List，CRL）管理 私有证书管理服务能定期自动向您的华为云OBS桶发布和更新证书撤销列表，供您或应用下载。应用程序、服务以及设备可以定期使用CRL评估证书状态。 API自动化集成 私有证书管理服务提供API，可以帮助您在开发环境高效集成，快速进行产品部署。

SSL证书管理 功能名称 功能描述 SSL证书申购 云证书管理服务 SSL证书管理提供了OV（企业版）、OV Pro（企业型专业版）、EV（增强型）、EV Pro（增强型专业版）、DV（域名型）和DV（Basic）基础版六种类型的SSL证书，以及DigiCert、GlobalSign、GeoTrust、CFCA、TrustAsia、vTrus六种品牌供您选择。 SSL证书统一管理 云证书管理 服务提供上传证书和私钥功能，实现在华为云平台统一管理各种证书、提交审核、查看证书绑定域名和到期时间、修改证书名称、删除已过期的证书等一站式服务，帮助您有效提高证书运维效率。详细操作请参见上传已有证书。 SSL证书一键部署 支持一键将数字证书部署在华为云已经开通的云产品中（ELB、CDN、WAF），以最小成本在云上应用。 SSL证书吊销 按照标准的证书吊销流程，经过CA机构审核后，安全、快捷地吊销已签发的SSL证书。 SSL证书退款 SCM支持7天无理由退款，详细操作请参见退订证书。 SSL证书续费 SSL证书存在有效期限制。CA机构签发的SSL证书默认有效期为1年，您需要在证书到期前进行续费。详细操作请参见续费证书。

CCM权限 默认情况下，管理员创建的 IAM 用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 CCM部署时不区分物理区域，为全局级服务。授权时，在全局项目中设置权限，访问CCM时，不需要切换区域。 根据授权精细程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于华为云各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对CCM服务，管理员能够控制IAM用户仅能对某一类云服务器资源进行指定的管理操作。多数细粒度策略以API接口为粒度进行权限拆分，CCM支持的API授权项请参见权限及授权项说明。 如表1所示，包括了CCM所有系统角色。 表1 CCM系统角色 角色名称/策略名称 描述 类别 依赖关系 SCM Administrator SSL证书管理服务管理员权限，拥有服务的所有权限。 系统策略 依赖“Server Administrator”和“Tenant Guest”角色，在同项目中勾选依赖的角色。 购买证书需要依赖 BSS Administrator角色。 BSS Administrator：系统角色，费用中心（BSS）管理员，拥有该服务下的所有权限。 WAF FullAccess：系统策略， Web应用防火墙 管理员。 ELB FullAccess：系统策略，弹性负载均衡服务所有权限。 CDN FullAccess：系统策略，具有内容分发网络（CDN）所有细粒度鉴权接口的操作权限。 EPS FullAccess：系统策略，企业项目管理服务所有权限。 OBS Administrator：系统策略 ， 对象存储服务 管理员。 DNS FullAccess：系统策略，拥有该权限的用户可以拥有云解析服务的全部权限，包括创建、删除、查询、修改等操作。 SCM FullAccess SSL证书管理服务的所有权限。 系统策略 购买证书需要依赖 BSS Administrator角色。 BSS Administrator：系统角色，费用中心（BSS）管理员，拥有该服务下的所有权限。 WAF FullAccess：系统策略，Web应用防火墙管理员。 ELB FullAccess：系统策略，弹性负载均衡服务所有权限。 CDN FullAccess：系统策略，具有内容分发网络（CDN）所有细粒度鉴权接口的操作权限。 EPS FullAccess：系统策略，企业项目管理服务所有权限。 OBS Administrator：系统策略 ，对象存储服务管理员。 DNS FullAccess：系统策略，拥有该权限的用户可以拥有云解析服务的全部权限，包括创建、删除、查询、修改等操作。 SCM ReadOnlyAccess SSL证书管理服务只读权限，拥有该权限的用户仅能查询证书信息，不具备对证书进行增删改权限。 系统策略 无。 PCA FullAccess 私有证书管理服务所有权限。 系统策略 创建私有CA或私有证书需要依赖BSS Administrator角色。 EPS FullAccess：系统策略，企业项目管理服务所有权限。 OBS Administrator：系统策略 ，对象存储服务管理员。 表2列出了SSL证书管理常用操作与系统权限的授权关系，您可以参照该表选择合适的系统权限。 如需购买证书，账号除了必须拥有“SCM Administrator”或“SCM FullAccess”之外，还需要拥有“BSS Administrator”权限。 BSS Administrator：费用中心、资源中心、账号中心的所有执行权限。项目级角色，在同项目中勾选。 表2 常用操作与系统权限的关系 操作 SCM Administrator SCM FullAccess SCM ReadOnlyAccess 查询SSL证书列表 √ √ √ 查询SSL证书详情 √ √ √ 查询SSL证书产品类型 √ √ √ 查询SSL证书产品详情 √ √ √ 取消 SSL证书申请 √ √ x 购买SSL证书 √ √ x 申请SSL证书 √ √ x 保存申请SSL证书填写的信息 √ √ x 读取申请SSL证书填写的信息 √ √ √ 修改SSL证书 √ √ x 删除SSL证书 √ √ x 下载SSL证书 √ √ x 上传认证信息 √ √ x 吊销SSL证书 √ √ x 推送SSL证书 √ √ x 查询SSL证书推送记录 √ √ √ 上传SSL证书 √ √ x 校验 CS R √ √ x 新增附加域名 √ √ x 取消隐私授权 √ √ x 重新签发SSL证书 √ √ x 退订SSL证书 √ √ x

什么是SSL证书管理 SSL证书管理（SSL Certificate Manager，SCM）是一个SSL（Secure Sockets Layer）证书管理平台。它是由华为云联合全球知名数字证书服务机构（CA，Certificate Authority），在华为云平台上为您提供一站式SSL证书的全生命周期管理，实现网站的可信认证与安全数据传输。 什么是SSL证书？ SSL证书是一种遵守SSL协议的服务器数字证书，由受信任的根证书颁发机构颁发。 SSL证书采用SSL协议进行通信，SSL证书部署到服务器后，服务器端的访问将启用HTTPS协议。您的网站将会通过HTTPS加密协议来传输数据，可帮助服务器端和客户端之间建立加密链接，从而保证数据传输的安全。 华为云SSL证书管理与HTTPS的关系 您可以通过华为云SSL证书管理购买SSL证书，并向CA机构提交证书申请，CA机构审核通过后将会签发证书。签发后，您需要将SSL证书下载并安装到Web服务器中或一键部署至华为云其他云产品中，安装或部署完成后，您的Web服务器或云产品将会通过HTTPS加密协议来传输数据。 SSL证书的作用 网站身份验证，确保数据发送到正确的客户端和服务器。 在客户端和服务器端之间建立加密通道，保证数据在传输过程中不被窃取或篡改。

应用场景 CDN是构建在现有互联网基础之上的一层智能虚拟网络，通过在网络各处部署节点服务器，实现将源站内容分发至所有CDN节点，使用户可以就近获得所需的内容，所以接入CDN的网站都能有比较快的响应速度。 Web应用防火墙（WAF：Web Application Firewall），通过对HTTP(S)请求进行检测，识别并阻断SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、跨站请求伪造等攻击，保护Web服务安全稳定。 如果您的网站对安全性能要求比较高，同时又有加速的需求，可以使用华为云CDN联动WAF配置，实现加速的同时防护Web攻击，全面提升网站防护能力。 本实践建立在用户已经开通CDN服务、准备好域名（www.example.com），且解析在华为云。 待加速的域名已在华为云完成备案。

数据准备 准备项 说明 示例 网站域名 游戏网站域名。如果您的服务范围是“中国大陆”或者“全球”，根据中国《互联网管理条例》的要求，此域名必须在工信部备案并在有效期内才可以使用 CDN加速 。 域名在华为云备案请参考备案。 download.game-apk1.com（已备案） OBS桶 版本号为3.0以上的OBS存储桶。 桶策略为公共读，未开通静态网站托管。 支持CDN加速的区域：华北-北京一、华北-北京四、华东-上海一、华南-广州、华南-广州-友好用户环境、西南-贵阳一。 obs-doc-test01

判断URL是否命中缓存 在浏览器Chrome上，按F12。 选择“Network”。 查看指定URL的响应头，查看头部信息，进行如下判断： 如果有“x-hcs-proxy-type”头部，值为“1”即命中缓存，值为“0”即未命中缓存，不再查看其它头部； 如果无“x-hcs-proxy-type”头部，而有“X-Cache-Lookup”头部，值为“Hit From MemCache”、“Hit From Disktank”或“Hit From Upstream”即为命中缓存，其它值表示未命中缓存，不再查看其它头部； 如果同时无“x-hcs-proxy-type”、“X-Cache-Lookup”头部，有“age”头部，则值大于“0”即命中缓存，值为“0”即未命中缓存。

优化缓存命中率 合理设置缓存过期时间 CDN加速的本质是缓存加速，把源站资源缓存在遍布全球的节点上，用户可以就近从边缘节点获取资源，从而达到加速的效果。您可以通过CDN控制台合理设置缓存过期时间来提高缓存命中率，建议如下： 对于不经常更新的静态文件（如图片类型、应用下载类型等），建议您将缓存时间设置为1个月以上。 对于频繁更新的静态文件（如JS、 CSS 等），您可以根据实际业务情况设置。 对于动态文件（如PHP、JSP、ASP等），建议您将缓存时间设置为0，即不缓存。 详细的设置步骤和注意事项请见如何设置缓存过期时间。 如果源站设置了s-maxage=0、max-age=0、no-cache、no-store、private，CDN侧同时开启了“缓存遵循源站”功能（此功能默认关闭），CDN节点将无法缓存源站资源，导致频繁回源。 如果您的源站有多个主机，某个相同的资源在多个主机中的Last-modified、Etag、Content-Length不一致，CDN节点将无法缓存该资源，导致重复回源。 如果源站资源更新，请刷新资源对应的URL，以保证用户可以获得最新的资源。 如果您修改了缓存规则： 新的规则仅对后面缓存的资源生效，已经缓存的资源需要等缓存过期后，再次缓存才会遵循新的缓存规则。 如果您想要立即生效，请在修改缓存规则后执行缓存刷新操作。 配置URL参数 目前大多数的网页请求都携带URL参数信息，参数以“？”开始，如果参数没有包含重要信息（如版本信息等），是否携带该参数访问不会影响用户获得正确的资源，可以选择将“URL参数”功能配置为“忽略参数”或“忽略指定参数”，提高缓存命中率，提升分发效率，详见URL参数。 典型应用： 终端用户首次访问URL“http://www.example.com/1.txt?test1”时，CDN无缓存，回源请求资源；第二次访问“http://www.example.com/1.txt?test2”时，由于配置了“URL参数”的“忽略参数”功能，所以“?”之后的参数不匹配，直接命中缓存“http://www.example.com/1.txt”。 终端用户首次访问URL“http://www.example.com/1.txt?test1”时，CDN无缓存，回源请求资源；第二次访问“http://www.example.com/1.txt?test2”时，由于“URL参数”功能配置为“不忽略参数”，所以“?”之后的参数也需要匹配，要重新回源请求“http://www.example.com/1.txt?test2”。 预热URL CDN可以通过缓存预热将源站资源主动缓存到CDN节点，用户访问时就能直接从CDN节点获取到最新的资源，详见缓存预热。 当您的域名初次接入CDN加速、活动发布时您可以将源站资源预热到CDN节点，用户访问资源时直接从CDN节点获取，从而提升CDN的缓存命中率。 典型场景： 初次接入CDN：域名初次接入CDN时，节点暂未缓存源站资源，此时，您可以将源站资源预热至CDN节点。后续用户访问资源将直接从就近的CDN节点获取资源，提升访问速度。 安装包发布：新版本安装包或是升级包发布前，提前将资源预热至CDN节点。正式上线后，海量用户的下载请求将直接由全球加速节点响应，提升下载速度的同时，大幅度降低源站压力。 运营活动：运营活动发布前，提前将活动页涉及到的静态资源预热至CDN节点。活动开始后，用户访问中所有静态资源均由加速节点响应，海量带宽储备保障用户服务可用性，提升用户体验。 开启Range回源 Range回源是指源站在收到CDN节点回源请求时，根据HTTP请求头中的Range信息返回指定范围的数据给CDN节点。Range回源能有效缩短大文件的分发时间，提升回源效率，提高缓存命中率，详见Range回源。 典型场景： 未开通Range时，用户想观看指定片段的视频，而CDN回源时需要获取整个视频，所以回源流量大于响应给用户的流量，从而造成缓存命中率降低。开启Range回源后，CDN将分片回源获取资源返回给用户，从而提升缓存命中率。 其它 缓存资源需要更新时，尽量避免刷新目录 当源站某个资源更新时，一般需要通过刷新相应的URL来强制节点缓存资源过期。刷新目录会将目录内所有的资源全部置为过期，用户下次访问时将无法命中缓存，全部回源站请求资源，因此尽量避免刷新整个目录，尤其慎重刷新根目录。 避免在URL中携带动态参数 如果您的URL中包含动态参数，如时间戳，CDN无法缓存该资源，导致频繁回源。

背景信息 CDN缓存命中率低，会导致源站压力大，静态资源访问效率低。您可以针对导致CDN缓存命中率低的具体原因，选择对应的优化策略，来提高CDN的缓存命中率。CDN缓存命中率包括流量命中率和请求命中率。 流量命中率 = 命中缓存产生的流量 / 请求总流量 请求命中率 = 命中缓存的请求数 / 请求总数 流量命中率越低，回源流量越大，源站的流出流量越大，源站带宽资源占用越大，其代表了源站服务器收到的负载压力，请重点关注流量命中率。

方案概述 华为云CDN可以有效加速网站，为用户提供良好的体验。通过CDN加速搭建在ECS服务器上的网站，这样构造的业务系统可以在降低成本的同时，提高终端用户使用感受。 业务流程：当终端用户发起访问请求时，会首先通过CDN查找对此域名响应速度较快的CDN节点，并查询此节点是否有缓存终端用户请求的内容。如果CDN节点有缓存用户所需资源，直接将资源返回给用户；如果CDN节点无缓存，则回源请求资源返回给用户，同时将资源缓存到CDN节点。

资源与成本规划 本实践所需资源请见下表。 资源 资源说明 每月费用 内容分发网络 CDN 流量：用户访问CDN节点产生的流量，可购买流量包抵扣。 具体的计费方式及标准请参考计费说明。 对象存储服务 OBS 存储费用：日志存储费用，按需计费。 具体的计费方式及标准请参考OBS计费说明。 函数工作流 FunctionGraph 请求次数费用、执行时间费用和其他费用，按需计费。 具体的计费方式及标准请参考函数工作流计费项

方案概述 CDN记录了所有域名（包括已删除域名，如果您开通了企业项目，则已删除域名不支持此功能）被网络用户访问的详细日志，您可以通过CDN控制台查看和下载最近30天的日志，对您的业务资源被访问情况进行详细分析。 日志转存储服务是华为云CDN配合函数工作流，将CDN日志存储到OBS桶，可以帮助您将日志存储更长的时间，便于您基于长时间的日志做出自定义的数据分析，有助于您更好地了解您CDN的服务质量，以及您的终端客户的访问详情，提高您的业务决策能力。 本文以Python3.6为例，为您介绍通过控制台创建FunctionGraph函数和Timer触发器，实现定时将CDN日志转存到OBS。

资源与成本规划 本实践所需资源请见下表。 资源 资源说明 每月费用 内容分发网络 CDN 流量/带宽：用户访问CDN节点产生的流量/带宽，“计费方式”“流量计费”时可购买流量包抵扣。 具体的计费方式及标准请参考计费说明。 对象存储服务 OBS 流量：CDN回源OBS时会产生公网流出费用，按需计费，版本为3.0以上的桶且以“OBS桶域名”形式接入CDN可购买回源流量包抵扣。 具体的计费方式及标准请参考OBS计费说明。

KMS加密文件配置 CDN默认无法读取OBS桶中的加密文件，如果您的OBS桶存在此类文件，建议您慎重开启CDN加速，避免加密对象泄露。如果您因业务需求，需要加速OBS桶中的KMS加密文件，请注意： 如果您的OBS桶是公有桶，CDN将无法读取桶中的KMS加密文件，从而导致回源失败，用户无法访问到加密文件。 解决方案：将公有桶中的加密文件转移到私有桶中，再接入CDN加速。 如果您的OBS桶是私有桶，需要为“CDNAccessPrivateOBS”委托配置“kms:cmk:get”和“kms:dek:crypto”权限。如此，CDN才能读取OBS私有桶中的KMS加密文件并加速，配置过程详见OBS委托授权。

CDN加速OBS文件方案 华为云CDN可以有效加速网站，为用户提供良好的体验，而OBS桶提供海量文件存储。将数据存放在OBS桶中然后通过配置CDN加速，这样构造的业务系统可以在降低成本的同时，提高终端用户使用感受。当终端用户发起访问请求时，会首先通过CDN查找对此域名响应速度较快的CDN节点，并查询此节点是否有缓存终端用户请求的内容。如果CDN节点有缓存用户所需资源，直接将资源返回给用户；如果CDN节点无缓存，则回源请求资源返回给用户，同时将资源缓存到CDN节点。

约束与限制 只有版本号为3.0及以上的桶支持此方案。桶版本号可以在OBS控制台上，进入桶概览页面后，在“基本信息”中查看。 当OBS配置了镜像回源且CDN侧开启Range回源时，如果镜像源站未遵循RFC Range Requests标准，对range请求响应非206 ，CDN会回源失败。如需支持该场景，请提工单申请。 当CDN源站类型为“OBS桶域名”且接入的是OBS私有桶时，不支持文件上传操作。如果您需要通过CDN将文件上传到OBS私有桶，需要以“源站域名”的形式将OBS私有桶接入CDN，同时，客户端携带鉴权请求头上传文件。 OBS私有桶以源站域名接入CDN后，因CDN无私有桶上传权限，此时客户端无法正常访问加速域名。使用GET/HEAD等方式通过此加速域名请求资源时，也需携带鉴权请求头。

背景介绍 现在越来越多的行业使用OBS桶存储图片、视频、软件包等静态资源文件，并将OBS桶作为网站、论坛、APP、游戏等业务的存储源。在需要获取这些静态资源时，用户通过URL直接从OBS桶请求数据。OBS桶能够很好的解决本地存储不够用的难题，但一般情况下文件只存储在一个区域，不同区域的用户访问OBS桶的响应速度存在差异。在需要频繁访问的场景下，直接访问OBS桶来获取相应文件，还会消耗大量的流量费用。

方案优势 低成本 CDN加速OBS桶文件后，资源缓存在CDN节点，用户请求无需回源，而CDN加速的费用较低，二者配合使用可以节约50%到57%的带宽成本，详见通过CDN减少OBS公网带宽费用。 OBS桶提供CDN回源流量包折扣方式，使CDN从OBS桶获取数据时流量费用更低，计费详情请见CDN加速OBS计费规则。 CDN加速OBS桶不支持走内网。 高效率 华为云CDN具有加速资源丰富、节点分布广泛优势，保证将用户请求精准调度至较优边缘节点，提供有效且稳定的加速效果。 自动刷新 通过OBS控制台为您的桶绑定加速域名后，支持自动刷新配置，您可以参考配置CDN自动刷新完成相关配置。

适用场景 通过OBS桶提供文件下载业务的应用或服务。例如：通过HTTP/HTTPS提供文件下载业务的网站、工具下载、游戏客户端、APP商店等。 通过OBS桶提供音 视频点播 业务的应用或服务。例如：在线教育类网站、在线视频分享网站、互联网电视点播平台、音乐视频点播APP等。 通过OBS桶提供图片素材等的网站。例如：包括门户网站、电商平台、资讯APP、UGC应用（User Generated Content，用户原创内容）等

配置示例 配置场景1：有一个门户网站，配置了华为云CDN加速，客户希望不缓存首页 需要在CDN控制台增加一条类型为“首页”，缓存过期时间为“0”的规则。 配置场景2：设置某个类型的文件或者某个页面不缓存 某客户配置了CDN加速，设置了对“.do”格式的文件缓存1天，由于业务需求，需要对“.do”格式的文件不缓存。 需要在CDN控制台增加一条文件名后缀为“.do”的缓存规则，缓存过期时间设置为“0”。 新规则仅对后续资源缓存生效，新规则配置完成后，建议您刷新“.do”文件所在的URL或者目录，新规则才可以对所有“.do”文件生效。 某客户配置了CDN加速，发现登录界面无限循环，无法登录，停用CDN加速后，可以正常登录。 这是因为CDN节点缓存了登录界面导致的，需要在控制台增加一条针对登录界面的缓存规则，缓存过期时间设置为“0”。以华为云控制台登录界面为例，华为云控制台的登录页面为“https://auth.huaweicloud.com/authui/login.html#/login”，在控制台增加一条全路径：/authui/login.html#/login，缓存过期时间为“0”的缓存规则。 配置场景3：某客户加速域名www.example.com设置了如下图的缓存规则，不知道哪一个规则生效。 用户访问www.example.com/test/cdn.jpg，虽然所有文件、文件名后缀、全路径三条规则都匹配到了，但是由于全路径的优先级为8，在三条规则里优先级最高，所以系统最终匹配全路径/test/*.jpg这条规则。

根据业务类型设置缓存过期时间 CDN默认缓存过期时间： 业务类型选择的是网站加速、文件下载加速或点播加速，且源站类型为源站IP或源站域名的加速域名，会有两条默认缓存规则。 常规动态文件（如： .php .jsp .asp .aspx）默认缓存过期时间为0，对此类动态文件请求会直接回源，此默认规则允许修改和删除。 除常规动态文件外的其他“所有文件”默认缓存过期时间30天，允许修改，不允许删除。 如果您在添加域名里源站类型选择的是“OBS桶域名”，会有一条默认缓存规则。 默认有“所有文件”默认缓存过期时间30天，允许修改，不允许删除。 所有文件默认缓存30天，此规则允许修改但不允许删除。您可以将自定义缓存规则设置为更高优先级（数值更大），该自定义规则将会被优先匹配。 业务类型为全站加速时，默认有“所有文件”、缓存过期时间为“0”的缓存规则，允许修改和删除。 您可以根据业务类型配置缓存过期时间： 网站加速类型，建议设置缓存过期时间： 对php、aspx、asp、 jsp、 do、 dwr、cgi、 fcgi、action、ashx、axd、json等动态文件不缓存。 对以shtml、html、htm、js结尾的文件，建议缓存7天。 其他静态文件建议缓存30天。 下载加速类型，建议设置缓存过期时间： 对php、aspx、asp、jsp、do等动态文件不缓存。 对7z、apk、 wdf、 cab、 dhp、exe、flv、gz、ipa、iso、mpk、MPQ、pbcv、pxl、qnp、r00、rar、xy、xy2、zip、CAB等文件缓存30天。 视频点播加速 类型，建议设置缓存过期时间： 对php、aspx、asp、jsp、do等动态文件不缓存。 对mwv、html、htm、shtml、hml、gif、swf、png、bmp、js等缓存7天。 对MP3、wma、7z、apk、 wdf、 cab、 dhp、exe、flv、gz、ipa、iso、mpk、MPQ、pbcv、pxl、qnp、r00、rar、xy、xy2、zip、CAB等文件缓存30天。

删除推荐实例 在模型地图页面，单击界面右上方的“检索配置”。 进入到检索配置界面，选择“推荐管理”页签，在推荐实例列表，选择需要删除的推荐实例，单击操作列的“删除”。 单击“确定”。 删除数据后，数据无法找回，请谨慎操作。 您可以对推荐实例进行表2： 表2 其他操作 操作 说明 编辑推荐实例 在推荐实例列表，选择需要编辑的推荐实例，单击操作列的“编辑”。 批量编辑实例 在推荐实例列表，勾选需要编辑的推荐实例，单击列表上方的“批量编辑”。 批量删除推荐实例 在推荐实例列表，勾选需要删除的推荐实例，单击列表上方的“删除”。 使推荐实例生效 在推荐实例列表，勾选一个或多个需要生效的推荐实例，单击列表上方的“生效”。 使推荐实例失效 在推荐实例列表，勾选一个或多个需要失效的推荐实例，单击列表上方的“失效”。

更多操作 采集任务创建完成后，您还可以执行如表3的操作。 表3 相关操作 操作 说明 查看采集任务详情 在任务列表中，单击采集任务名称，可查看采集任务的名称、描述、数据源、适配器、命名空间、开始执行时间、执行周期等信息。 停止采集任务 在任务列表中找到需要立即停止的任务，单击“操作”栏中的“停止”即可立即停止此采集任务。 编辑采集任务 在任务列表中找到需要编辑的任务，单击“操作”栏中的“编辑”修改采集任务。其中，数据源和适配器不支持修改。 查看采集任务日志 在任务列表中找到需要查看日志的任务，单击“操作”栏中的“日志”可查看此任务的日志信息。日志信息主要包含运行实例编号、状态、调度开始和调度结束时间以及耗时间。

更多操作 连接器创建完成后，您可以执行如表3的操作。 表3 相关操作 操作 说明 查看连接器基本信息 在我的连接器列表中，单击连接器名称进入基本信息页签，即可查看连接器身份验证、ID、状态、创建时间、修改时间等基本信息。 查看触发事件 在我的连接器列表中，单击“触发事件”列的数字，可跳转至触发事件列表页面，您可以创建、编辑或删除触发事件。 查看执行动作 在我的连接器列表中，单击“执行动作”列的数字，可跳转至执行动作列表页面，您可以创建、编辑或删除执行动作。 编辑连接器 在我的连接器列表中，单击“操作”列的“编辑”可编辑连接器。编辑完成后需要重新发布才能在流中使用该连接器。 发布连接器 在我的连接器列表中，单击“操作”列的“发布”。连接器有任何更新，均需要重新发布后才能在流中使用，新建流默认使用新版本连接器。 共享连接器 连接器创建成功后，您可以共享连接器给其他华为云租户账号。共享连接器的操作请参见共享连接器。 创建触发事件 连接器至少需包含一个触发事件或一个执行动作。创建触发事件的操作请参见创建触发事件。 创建执行动作 连接器至少需包含一个触发事件或一个执行动作。创建触发事件的操作请参见创建连接器。 导入OpenAPI文件更新连接器 连接器需要更新修改时，您可以通过导入OpenAPI的方式更新连接器。更新完成后需要重新发布才能在流中使用该连接器。 下载连接器 在我的连接器列表中，单击“操作”列的“下载”，可下载连接器的JSON文件。 上架连接器 在我的连接器列表中，单击“操作”列的“上架”，可申请连接器上架。上架操作请参见上架连接器。 创建连接 连接器存在各种的认证配置，而连接就是来填写这些认证信息，只有在连接创建完成后，才可以正常使用连接器。创建连接的操作请参见连接管理。 删除连接器 在我的连接器列表中，单击“操作”列的“删除”，可以删除单个连接器。 在我的连接器列表中，可以批量选择待删除的连接器，单击连接器上方的“删除”。 说明： 用户只能删自己创建的本地连接器，而公共连接器无法删除，在执行删除操作前，请确保将云服务器上的数据已完成备份或者迁移，删除数据后，数据无法找回，请谨慎操作。 批量删除连接器时，系统会自动提示正在被使用的连接器名称以及备注信息，正在被使用的连接器不允许删除。 删除单个连接器时，系统会自动提示“该连接器正在被使用，请先删除正在使用的资源”，单击当前正在使用的引用资源的名称，进入资源界面进行处理，处理完毕后再进行删除。 连接器未被使用时，可以直接删除。 复制连接器 在我的连接器列表中，单击“操作”列的“复制”。 系统会自动弹出复制连接器的弹框，并自动生成复制后的连接器名称，单击“确定”，复制成功。 说明： 复制后的连接器名称支持自定义修改，同时系统会对复制后的连接器名称进行校验。 连接器名称长度不能超过60个字符，可包含中文、大小写字母、数字及下划线、中划线、英文小括号，名称开头不能是下划线、中划线、英文小括号。

使用限制 单账号跟踪的事件可以通过 云审计 控制台查询。多账号的事件只能在账号自己的事件列表页面去查看，或者到组织追踪器配置的OBS桶中查看，也可以到组织追踪器配置的 CTS /system日志流下面去查看。 用户通过云审计控制台只能查询最近7天的操作记录。如果需要查询超过7天的操作记录，您必须配置转储到对象存储服务（OBS）或 云日志 服务（LTS），才可在OBS桶或LTS日志组里面查看历史事件信息。否则，您将无法追溯7天以前的操作记录。 云上操作后，1分钟内可以通过云审计控制台查询管理类事件操作记录，5分钟后才可通过云审计控制台查询数据类事件操作记录。 CTS新版事件列表不显示数据类审计事件，您需要在旧版事件列表查看数据类审计事件。 云审计控制台对用户的操作事件日志保留7天，过期自动删除，不支持人工删除。

数据库引擎和版本 RDS for PostgreSQL目前支持的数据库引擎和版本如表1所示。 表1 数据库引擎和版本 数据库引擎 单机实例 主备实例 PostgreSQL 17（如需购买17版本的实例，请提交工单申请。） 16 15 14 13 12 11（不支持购买，仅存量经营） 10（不支持购买，仅存量经营） 9.6（不支持购买，仅存量经营） 9.5（不支持购买，仅存量经营） 17（如需购买17版本的实例，请提交工单申请。） 16 15 14 13 12 11（不支持购买，仅存量经营） 10（不支持购买，仅存量经营） 9.6（不支持购买，仅存量经营） 父主题： 实例说明

响应消息 正常响应要素说明 表2 要素说明 名称 参数类型 说明 restore_time Array of objects 可恢复时间段列表。 详情请参见表3。 表3 restore_time字段数据结构说明 名称 参数类型 说明 start_time Integer 可恢复时间段的起始时间点，UNIX时间戳格式，单位是毫秒，时区是UTC。 end_time Integer 可恢复时间段的结束时间点，UNIX时间戳格式，单位是毫秒，时区是UTC。 正常响应样例 { "restore_time": [ { "start_time": 1532001446987, "end_time": 1532742139000 } ] } 异常响应 请参见异常请求结果。

请求消息 请求参数 无。 URI样例 查询实例的所有可恢复时间段 GET https://{endpoint}/v3/0483b6b16e954cb88930a360d2c4e663/instances/dsfae23fsfdsae3435in01/restore-time 根据指定日期查询实例的可恢复时间段 GET https://{endpoint}/v3/0483b6b16e954cb88930a360d2c4e663/instances/dsfae23fsfdsae3435in01/restore-time?date=2020-12-26