华为云用户手册

步骤一：环境配置 准备gmssl_openssl 下载页面https://www.gmssl.cn/gmssl/index.jsp中的openssl国密版 拷贝到/root/目录并解压 tar xzfm gmssl_openssl_1.1_b2024_x64_1.tar.gz -C /usr/local 则/usr/local/gmssl为国密版openssl目录 准备nginx 下载nginx-1.18.0 tar zxfm nginx-1.18.0.tar.gz cd httpd-2.4.46 vi auto/lib/openssl/conf 将全部$OPENSSL/.openssl/修改为$OPENSSL/并保存 ./configure \ --without-http_gzip_module \ --with-http_ssl_module \ --with-http_stub_status_module \ --with-http_v2_module \ --with-file-aio \ --with-openssl="/usr/local/gmssl" \ --with-cc-opt="-I/usr/local/gmssl/include" \ --with-ld-opt="-lm" 然后make install 则/usr/local/nginx为生成的国密版nginx目录 注：可能需要安装pcre-devel包。

步骤二：获取文件 安装证书前，需要获取证书文件和密码文件，请根据申请证书时选择的“证书请求文件”生成方式来选择操作步骤： 如果申请证书时，“证书请求文件”选择“系统生成 CS R”，具体操作请参见：系统生成CSR。 如果申请证书时，“证书请求文件”选择“自己生成CSR”，具体操作请参见：自己生成CSR。 具体操作如下： 系统生成CSR 在本地解压已下载的证书文件。 下载的文件包含了“Apache”、“Nginx”、2个文件夹和1个“domain.csr”文件，如图本地解压SSL证书所示。 图1 本地解压SSL证书 从“证书ID_证书绑定的 域名 _Apache”文件夹内获得证书文件“证书ID_证书绑定的域名_ca.crt”，“证书ID_证书绑定的域名_server.crt”，私钥文件“证书ID_证书绑定的域名_server.key”，“证书ID_证书绑定的域名_encrypt.crt”和私钥文件“证书ID_证书绑定的域名_ encrypt.key”。 “证书ID_证书绑定的域名_ca.crt”文件包括一段中级CA证书代码“-----BEGIN CERTIFICATE-----”和“-----END CERTIFICATE-----”。 “证书ID_证书绑定的域名_server.crt”文件包括一段服务器证书代码“-----BEGIN CERTIFICATE-----”和“-----END CERTIFICATE-----”。 “证书ID_证书绑定的域名_server.key”文件包括一段私钥代码“-----BEGIN EC PRIVATE KEY-----”和“-----END EC PRIVATE KEY-----”。 “证书ID_证书绑定的域名_ encrypt.crt”文件包括一段加密证书代码“-----BEGIN CERTIFICATE-----”和“-----END CERTIFICATE-----”。 “证书ID_证书绑定的域名_ encrypt.key”文件包括一段私钥代码“-----BEGIN EC PRIVATE KEY-----”和“-----END EC PRIVATE KEY-----”。 自己生成CSR 解压已下载的证书压缩包，获得“证书ID_证书绑定的域名_server.pem”文件。 “证书ID_证书绑定的域名_server.pem”文件包括两段证书代码“-----BEGIN CERTIFICATE-----”和“-----END CERTIFICATE-----”，分别为服务器证书和中级CA证书。 复制“证书ID_证书绑定的域名_server.pem”文件的第一段证书代码（服务器证书），并另存为“server.crt”文件。 复制“证书ID_证书绑定的域名_server.pem”文件的第二段证书代码（中级CA），并另存为“ca.crt”文件。 复制“证书ID_证书绑定的域名_encrypt.pem”文件的证书代码（加密证书），并另存为“encrypt.crt”文件。 将“ca.crt”、“server.crt”、“encrypt.crt”、“encrypt.key”和生成CSR时的私钥“server.key”放在任意文件夹内。 在/usr/local/httpd/conf目录下创建“cert”目录，并且将“server.key”、“server.crt”、“ca.crt”、“encrypt.key”和encrypt.crt”复制到“cert”目录下。

步骤三：修改配置文件 修改配置文件前，请将配置文件进行备份，并建议先在测试环境中进行部署，配置无误后，再在现网环境进行配置，避免出现配置错误导致服务不能正常启动等问题，影响您的业务。 打开Apache安装目录下“httpd.conf”文件 vi /usr/local/httpd/conf/httpd.conf 找到以下两行配置，取消注释 #LoadModule ssl_module modules/mod_ssl.so #Include conf/extra/httpd-ssl.conf 打开“httpd-ssl.conf”文件 vi /usr/local/httpd/conf/extra/httpd-ssl.conf 注释掉所有带SSLSessionCache的配置行 配置算法SSLCipherSuite HIGH:ECC-SM4-SM3:ECDHE-SM4-SM3 注释掉默认证书和key #SSLCertificateFile "/usr/local/httpd/conf/server.crt" #SSLCertificateKeyFile "/usr/local/httpd/conf/server.key" 配置国密双证书/私钥 SSLCertificateChainFile "/usr/local/httpd/conf/cert/scsxxxxxx_test.com_ca.crt" SSLCertificateFile "/usr/local/httpd/conf/cert/scsxxxxxx_test.com_server.crt" SSLCertificateKeyFile "/usr/local/httpd/conf/cert/ scsxxxxxx _test.com_server.key" SSLCertificateFile "/usr/local/httpd/conf/cert/ scsxxxxxx _test.com_encrypt.crt" SSLCertificateKeyFile "/usr/local/httpd/conf/cert/ scsxxxxxx _test.com_encrypt.key" 以上配置仅供参考，证书文件名，证书所在目录等配置请以您的实际情况为准。 验证配置文件 /usr/local/httpd/bin/httpd -t 当回显信息如下所示时，则表示配置正确： Syntax OK

效果验证 部署成功后，可在浏览器的地址栏中输入“https://域名”，按“Enter”。 如果浏览器地址栏显示安全锁标识，则说明证书安装成功。 如果网站仍然出现不安全提示，请参见为什么部署了SSL证书后，网站仍然出现不安全提示？。 如果通过域名访问网站时，无法打开网站，请参见为什么部署了SSL证书后，通过域名访问网站时，无法打开网站？进行处理。 如果仍未解决或出现其他问题，华为云市场提供SSL证书配置优化服务，专业工程师一对一服务，请直接单击一对一咨询进行购买，购买服务后，联系工程师进行处理。

步骤一： 环境配置 准备gmssl_openssl 下载页面https://www.gmssl.cn/gmssl/index.jsp中的openssl国密版 拷贝到/root/目录并解压 tar xzfm gmssl_openssl_1.1_b2024_x64_1.tar.gz -C /usr/local 则/usr/local/gmssl为国密版openssl目录 准备Apache httpd 安装必要开发包：pcre-devel，expat-devel，apr，apr-util，bison，bison-devel，flex，flex-devel 下载Apache httpd 2.4.46 tar zxfm httpd-2.4.46.tar.gz cd httpd-2.4.46 ./configure --prefix=/usr/local/httpd --enable-so --enable-ssl --enable-cgi --enable-rewrite --enable-modules=most --enable-mpms-shared=all --with-mpm=prefork --with-zlib --with-apr=/usr/local/apr/apr --with-apr-util=/usr/local/apr/util --with-ssl=/usr/local/gmssl LDFLAGS=-lm vi build/config_vars.mk 找到ab_LIBS = -L/usr/local/gmssl/lib -lssl -lcrypto -lrt -lcrypt -lpthread -ldl 将-L/usr/local/gmssl/lib -lssl -lcrypto替换为/usr/local/gmssl/lib/libssl.a /usr/local/gmssl/lib/libcrypto.a 然后make install 则/usr/local/httpd为生成的国密版Apache httpd目录

下载的证书文件说明 下载文件说明：根据申请证书时，选择的“证书请求文件”方式的不同，下载文件也有所不同。 申请证书时，如果“证书请求文件”选择的是“系统生成CSR”，则下载文件说明如下： 下载的文件包含了“Apache”、“Nginx”、2个文件夹和1个“domain.csr”文件，如图解压SSL证书所示，具体文件说明如表下载文件说明所示。 图2 解压SSL证书 表1 下载文件说明 文件夹/文件名称 文件夹内容 Nginx server.crt：签名证书文件，包含两段证书代码，分别为服务器证书和CA中间证书。 server.key：签名证书私钥文件，包含一段签名证书私钥代码。 encrypt.crt：加密证书文件，包含一段加密证书代码。 encrypt.key：加密证书私钥文件，包含一段加密证书私钥代码。 Apache ca.crt：证书链文件，包含一段中级CA代码。 server.crt：签名证书文件，包含一段服务器证书代码。 server.key：签名证书私钥文件，包含一段证书私钥代码。 encrypt.crt：加密证书文件，包含一段加密证书代码。 encrypt.key：加密证书私钥文件，包含一段加密证书私钥代码。 domain.csr 证书请求文件。 申请证书时，如果“证书请求文件”选择的是“自己生成CSR”，则下载文件说明如下： 下载的证书下载的证书包含了 “server.pem”、“encrypt.pem”、“encrypt.key.pem”文件。“server.pem”文件中已经包含两段签名证书代码，分别是服务器证书和CA中间证书。 签名证书私钥为用户自行保存的，华为云SSL证书管理不提供。在各个服务器上安装证书时，需要填写对应私钥的位置。

约束条件 仅支持在证书有效期内，不限次数的下载证书，下载后即可在服务器（华为云的或非华为云的均可）上进行部署。 “证书请求文件”选择的是“系统生成CSR”，下载的文件包含了“Apache”、 “Nginx”、2个文件夹和1个“domain.csr”文件。 “证书请求文件”选择的是“自己生成CSR”，下载的证书包含了 “server.pem”、“encrypt.pem”、“encrypt.key.pem”文件。“server.pem”文件中已经包含两段签名证书代码，分别是服务器证书和CA中间证书。签名证书私钥为用户自行保存的，华为云SSL证书管理不提供。

为 MRS 集群配置委托 配置存算分离支持在新建集群中配置委托实现，也可以通过为已有集群绑定委托实现。本示例以为已有集群配置委托为例介绍。 登录MRS控制台，在导航栏选择“现有集群”。 单击集群名称，进入集群详情页面。 在集群详情页的“概览”页签，单击“ IAM 用户同步”右侧的“单击同步”进行IAM用户同步。 在集群详情页的“概览”页签，单击“委托”右侧的“管理委托”选择创建ECS委托的委托并单击“确定”进行绑定，或单击“新建委托”进入IAM控制台进行创建后再在此处进行绑定。 图3 绑定委托

Hive访问OBS文件系统 用root用户登录集群Master节点，具体请参见登录集群节点。 验证Hive访问OBS。 用root用户登录集群Master节点，执行如下命令： cd /opt/Bigdata/client source bigdata_env source Hive/component_env 查看文件系统mrs-demo01下面的文件列表。 hadoop fs -ls obs://mrs-demo01/ 返回文件列表即表示访问OBS成功。 图5 查看mrs-demo01下的文件列表 执行以下命令进行用户认证（普通模式即未开启Kerberos认证无需执行此步骤）。 kinit hive 输入用户hive密码，默认密码为Hive@123，第一次使用需要修改密码。 执行Hive组件的客户端命令。 beeline 在beeline中直接使用OBS的目录进行访问。例如，执行如下命令创建Hive表并指定数据存储在mrs-demo01文件系统的test_demo01目录中。 create table test_demo01(name string) location "obs://mrs-demo01/test_demo01"; 执行如下命令查询所有表，返回结果中存在表test_demo01，即表示访问OBS成功。 show tables; 图6 查看是否存在表test_demo01 查看表的Location。 show create table test_demo01; 查看表的Location是否为“obs://OBS桶名/”开头。 图7 查看表test_demo01的Location 写入数据。 insert into test_demo01 values('mm'),('ww'),('ww'); 执行select * from test_demo01;查询是否写入成功。 图8 查看表test_demo01中的数据 执行命令!q退出beeline客户端。 重新登录OBS控制台。 单击“并行文件系统”， 选择创建的文件系统名称。 单击“文件”，查看是否存在创建的数据。 图9 查看数据

订阅 选择对应设置的发布，单击右键选择“新建订阅”。 图17 新建订阅 创建订阅的发布，单击“下一步”。 图18 创建发布 选择推送订阅，单击“下一步”。 图19 分发代理位置 选择“添加订阅服务器”，支持SQL Server引擎和非SQL Server作为订阅服务器，将创建并根据上述步骤配置的华为云实例作为一个订阅服务器。 图20 添加订阅服务器 选择一个数据库作为订阅对象。 图21 选择订阅数据库 配置与订阅服务器的连接。 图22 配置连接 使用一个长期有效的数据库帐号，保障订阅长期有效，这里的帐号设置可以为登录华为云实例的数据库帐号，单击“确定”。 图23 连接分发服务器 创建订阅成功。 图24 创建订阅 将鼠标移动到发布配置上可以看到对应的订阅信息。 图25 查看订阅

发布 创建发布。 展开服务器下的“复制”节点，右键单击“本地发布”，选择“新建发布”。 图10 新建发布数据库 选择事务发布。 选择以表作为发布对象。 图11 发布表 添加筛选对象，进行个性化的发布。 图12 添加筛选对象 事务发布会先创建一个快照以复制表当前的状态。也可以设置快照代理用以执行计划。 图13 快照代理 设置代理安全性，这里需要设置登录帐号为本地sa帐号。 图14 设置代理安全性 设置发布名称，单击“完成”。 图15 完成 创建完成后可以通过复制监视器来查看是否创建发布成功。 图16 启动复制监视器

背景 通常情况下大表的DDL操作都会对业务产生很大的影响，需要在业务低峰期做。MySQL 5.7支持原生DDL工具Copy和Inplace算法、以及开源DDL工具gh-ost，减少了DDL期间DML操作被阻塞的情况。但是大表DDL仍然需要花费很长时间。 instant秒级加列算法，让添加列的时候不在需要rebuild整个表，只需要在表的metadata中记录新增列的基本信息即可，可以很快执行完成。但是目前支持的DDL操作有限。

使用限制 使用场景的限制： 部分场景下增加、删除、重命名（MySQL 8.0.28之后）列。 设置或删除列的默认值。 修改ENUM或SET列的定义。 更改索引的类型（BTREE | HASH）。 增加或删除虚拟列。 表名重命名。 添加或删除列的限制： 不支持有其他INSTANT语句在同一行的操作在同一条语句的情况。 新增列将会放到最后，不支持改变列的顺序（MySQL 8.0.29后支持任意位置加列）。 不支持在行格式为COMPRESSED的表上快速加列或删除。 不支持在已经有全文索引的表上快速加列或删除。 不支持在临时表上快速加列或删除。 重命名列的限制： 不支持重命名被其他表引用的列。 不支持重命名列的操作与生成或者删除虚拟列在同一个语句中。 修改ENUM或SET列的限制： 不支持ENUM或者SET列数据类型占用的存储空间发生变化。 增加或删除虚拟列的限制： 不支持对分区表的增加或删除操作。

载入数据字典 MySQL从系统表读取表定义时，会将instant column相关的信息载入到InnoDB的表对象“dict_table_t”和索引对象“dict_index_t”中。 dict_table_t::n_instant_cols：第一次instant add column之前的非虚拟字段个数（包含系统列）。 dict_index_t::instant_cols：用于标示是否存在Instant column。 dict_index_t::n_instant_nullable：第一次instant add column之前的可为NULL的字段个数。 dict_col_t::instant_default：存储instant列默认值及其长度。

记录格式 为了支持instant add column，针对COMPACT和DYNAMIC类型引入了新的记录格式，主要为了记录字段的个数信息。 如果没有执行过instant add column操作，则表的行记录格式保持不变。 如果执行过instant add column操作，则所有新的记录都会设置一个特殊的标记，同时在记录内存储字段的个数。 INSTANT_FLAG使用了info bits中的一个bit位，如果记录是第一次instant add column之后插入的，该flag被设置为1。 图1 记录格式

新的数据字典信息 在执行instant add column的过程中，MySQL会将第一次intant add column之前的字段个数以及每次加的列的默认值保存在tables系统表的“se_private_data”字段中。 dd::Table::se_private_data::instant_col：第一次instant add column之前表上的列的个数。 dd::Column::se_private_data::default_null：标识instant column的默认值是否为NULL。 dd::Column::se_private_data::default：当instant column的默认值不是NULL时存储具体的默认值，column default value需要从InnoDB类型byte转换成“se_private_data”中的char类型。

解决方案 如果想要定期刷新域名DNS解析，不用重启Nginx服务器，可以通过在Nginx上配置Resolver实现。 示例一： Nginx服务器原“nginx.conf”配置： location /prod-url-test/ { ... proxy_pass http://$proxy_url; } 添加resolver后的配置：*.*.*.*为设备网络使用的公共DNS或本地DNS，可根据业务情况配置两个DNS，valid为解析结果有效期。 location /prod-url-test/ { resolver *.*.*.* *.*.*.* valid=300s; resolver_timeout 10s; set $proxy_url "prod-url-test.example.com"; proxy_pass http://$proxy_url; } 示例二： Nginx服务器原“nginx.conf”配置： location = /test/example1.txt{ expires 30s; rewrite ^/test/example2.txt break; proxy_pass https://test.example.com; } 添加resolver配置：*.*.*.*为设备网络使用的公共DNS或本地DNS，可根据业务情况配置两个DNS，valid为解析结果有效期。 set $var_host "test.example.com"; resolver *.*.*.* *.*.*.* valid=300s; resolver_timeout 10s; location = /test/example1.txt{ expires 30s; rewrite ^/test/example2.txtbreak; proxy_pass https://$var_host; proxy_set_header Host test.example.com; }

适用场景 如果您的加速域名遭受攻击，想要加固安全防护配置，比如配置防盗链、IP黑白名单等，您可以通过分析攻击时段对应的日志实现。 CDN日志包含了终端用户访问的信息，日志内容示例如下： [05/Feb/2018:07:54:52 +0800] x.x.x.x 1 "-" "HTTP/1.1" "GET" "www.test.com" "/test/1234.apk" 206 720 HIT "Mozilla/5.0 (Linux; U; Android 6.0; zh-cn; EVA-AL10 Build/HUAWEIEVA-AL10) AppleWebKit/533.1 (KHTML，like Gecko) Mobile Safari/533.1" "bytes=-256" 各字段从左到右含义如表1所示。 表1 CDN日志字段说明 序号 字段含义 字段示例 1 日志生成时间 [05/Feb/2018:07:54:52 +0800] 2 访问IP地址 x.x.x.x 3 响应时间(单位ms) 1 4 Referer信息 - 5 HTTP协议标识 HTTP/1.1 6 HTTP请求方式 GET 7 CDN加速 域名 www.test.com 8 请求路径 /test/1234.apk 9 HTTP状态码 206 10 返回字节数大小 720 11 缓存命中状态 HIT 12 User-Agent信息，其作用是让服务器能够识别客户使用的操作系统及版本、CPU类型、浏览器及版本信息等。 Mozilla/5.0 (Linux; U; Android 6.0; zh-cn; EVA-AL10 Build/HUAWEIEVA-AL10) AppleWebKit/533.1 (KHTML，like Gecko) Mobile Safari/533.1 13 Range信息，其作用是在HTTP请求头中指定返回数据的范围，即第一个字节的位置和最后一个字节的位置。 bytes参数值表示方法一般分为如下三类： bytes=x-y：表示请求第x个字节到第y个字节的数据内容。 bytes=-y：表示请求最后y个字节的数据内容。 bytes=x-：表示请求第x字节到最后一个字节的数据内容。 bytes=-256

修订记录 发布日期 修订记录 2024-06-13 第二十次正式发布。 本次更新说明如下： 新增“使用 函数工作流 服务实现定时刷新缓存功能”章节。 下线“推送CDN日志到 云日志 服务（LTS）”章节。 2024-03-20 第十九次正式发布。 本次更新说明如下： 新增“客户端访问加速域名经过Nginx转发时，如何定期刷新DNS解析”章节。 2023-12-07 第十九次正式发布。 本次更新说明如下： 更新“自定义OBS私有桶策略配置”章节。 2023-10-18 第十八次正式发布。 本次更新说明如下： 完善推送CDN日志到云日志服务（LTS）的配置流程指引。 2023-06-30 第十七次正式发布。 本次更新说明如下： 增加“源站是OBS桶时如何配置自定义首页内容”。 增加“通过 日志分析 恶意访问地址”。 2023-04-27 第十六次正式发布。 本次更新说明如下： 增加“推送CDN日志到云日志（LTS）服务”。 2022-02-23 第十五次正式发布。 本次更新说明如下： 从OBS控制台为桶绑定CDN加速域名后，支持自动刷新功能。 2022-09-06 第十四次正式发布。 本次更新说明如下： 增加“CDN加速匀速建站CloudSite”。 2022-08-10 第十三次正式发布。 本次更新说明如下： 增加“CDN加速OBS常见问题”章节。 2022-08-01 第十二次正式发布。 本次更新说明如下： 更新“CDN日志转存到OBS”章节，修改“创建委托”步骤。 2022-05-24 第十一次正式发布。 本次更新说明如下： 更新“CDN日志转存到OBS”章节，新增“创建自定义策略”。 2022-03-10 第十次正式发布。 本次更新说明如下： 新增“自定义OBS私有桶策略配置”章节 2021-12-28 第九次正式发布。 本次更新说明如下： 更新“如何提高缓存命中率”章节。 2021-09-08 第八次正式发布。 本次更新说明如下： 更新“CDN日志转存到OBS”代码示例。 2021-06-18 第七次正式发布。 本次更新说明如下： 新增“获取客户端真实IP” 2021-04-28 第六次正式发布。 本次更新说明如下： 新增“CDN日志转存到OBS” 2021-04-21 第五次正式发布。 本次更新说明如下： 新增“如何提高缓存命中率” 2021-04-02 第四次正式发布。 本次更新说明如下： 新增“CDN加速ECS资源” 2021-03-19 第三次正式发布。 本次更新说明如下： 更新“CDN加速OBS桶文件” 新增“如何设置缓存过期时间” 2020-04-15 第二次正式发布。 本次更新说明如下： 更新操作步骤 优化相关描述 2019-06-27 第一次正式发布。

背景信息 网站接入CDN加速后，源站服务器端从IP头部获取的用户访问IP不是客户端的真实IP。当您因为业务需要获取客户端真实IP时，可以通过配置网站服务器获取客户端的真实IP。 代理服务器（CDN、WAF等）在把用户的HTTP、WebSocket、WSS请求转到下一环节的服务器时，会在头部中加入一条“X-Forwarded-For”记录，用来记录用户的真实IP，其形式为“X-Forwarded-For：客户端的真实IP，代理服务器1-IP， 代理服务器2-IP，代理服务器3-IP，……”。 因此，您可以通过获取“X-Forwarded-For”对应的第一个IP来得到客户端的真实IP。

IIS 6如何在访问日志中获取客户端真实IP 如果您的源站部署了IIS 6服务器，您可以通过安装“F5XForwardedFor.dll”插件，从IIS 6服务器记录的访问日志中获取客户端真实的IP地址。 下载F5XForwardedFor模块。 根据您服务器的操作系统版本将“x86\Release”或者“x64\Release”目录中的“F5XForwardedFor.dll”文件复制至指定目录（例如，“C:\ISAPIFilters”），同时确保IIS进程对该目录有读取权限。 打开IIS管理器，找到当前开启的网站，在该网站上右键选择“属性”，打开“属性”页面。 在“属性”页面，切换至“ISAPI筛选器”，单击“添加”，在弹出的窗口中，配置如下信息： “筛选器名称”：“F5XForwardedFor”； “可执行文件”：“F5XForwardedFor.dll”的完整路径，例如：“C:\ISAPIFilters\F5XForwardedFor.dll” 单击“确定”，重启IIS 6服务器。 查看IIS 6服务器记录的访问日志（默认的日志路径为：“C:\WINDOWS\system32\LogFiles\ ”，IIS日志的文件名称以“.log”为后缀），可获取X-Forwarded-For对应的客户端真实IP。

IIS 7如何在访问日志中获取客户端真实IP 如果您的源站部署了IIS 7服务器，您可以通过安装“F5XForwardedFor”模块，从IIS 7服务器记录的访问日志中获取客户端真实的IP地址。 下载F5XForwardedFor模块。 根据服务器的操作系统版本将“x86\Release”或者“x64\Release”目录中的“F5XFFHttpModule.dll”和“F5XFFHttpModule.ini”文件复制到指定目录（例如，“C:\x_forwarded_for\x86”或“C:\x_forwarded_for\x64”），并确保IIS进程对该目录有读取权限。 在IIS服务器的选择项中，双击“模块”，进入“模块”界面。 单击“配置本机模块”，在弹出的对话框中，单击“注册”。 在弹出的对话框中，按操作系统注册已下载的DLL文件后，单击“确定”。 x86操作系统：注册模块“x_forwarded_for_x86” 名称：x_forwarded_for_x86 路径：“C:\x_forwarded_for\x86\F5XFFHttpModule.dll” x64操作系统：注册模块“x_forwarded_for_x64” 名称：x_forwarded_for_x64 路径：“C:\x_forwarded_for\x64\F5XFFHttpModule.dll” 注册完成后，勾选新注册的模块（“x_forwarded_for_x86”或“x_forwarded_for_x64”）并单击“确定”。 在“ISAPI和CGI限制”中，按操作系统添加已注册的DLL文件，并将其“限制”改为“允许”。 x86操作系统： ISAPI或CGI路径：“C:\x_forwarded_for\x86\F5XFFHttpModule.dll” 描述：x86 x64操作系统： ISAPI或CGI路径：“C:\x_forwarded_for\x64\F5XFFHttpModule.dll” 描述：x64 重启IIS 7服务器，等待配置生效。 查看IIS 7服务器记录的访问日志（默认的日志路径为：“C:\WINDOWS\system32\LogFiles\ ”，IIS日志的文件名称以“.log”为后缀），可获取X-Forwarded-For对应的客户端真实IP。

华为云CDN是否支持对中文域名的加速？ CDN暂不支持加速中文域名，接入CDN的域名需要满足以下基本规范： 域名长度不能超过75个字符，支持大小写字母、数字、“-”、“.”。 每个账号最多支持加速100个域名。 加速域名不允许重复添加。 CDN不支持非法网站接入，对于已接入CDN的域名，会进行定期复审，如发现存在违规行为，将立即中止该域名的CDN加速，同时中止该用户名下所有域名的CDN服务。 父主题： 功能咨询

CDN域名服务范围对源站服务器位置、备案是否有要求？ CDN服务范围与源站服务器位置 CDN域名的服务范围对源站服务器所在位置没有特殊要求。 CDN服务范围与备案关系 域名是否需要备案与域名提供商地域、网站服务器所处地域无关，与您加速域名的CDN加速服务范围有关。只要您的加速服务范围包含中国大陆（中国大陆，全球），该域名必须在工信部备案才能接入CDN。 如果CDN加速服务范围仅为中国大陆境外，则该域名不需要在工信部备案。 父主题： 使用咨询

服务器在中国大陆境外，网站访问人群在中国大陆，该如何选择服务范围？ 建议您的服务范围选择中国大陆。 当您的源站在中国大陆境外，且您开通的CDN加速服务范围在中国大陆时： 当中国大陆用户访问您的加速域名时会就近访问到中国大陆节点上，加速效果明显。 当中国大陆境外用户访问您的加速域名时，因您未开通中国大陆境外加速服务，中国大陆境外用户也会访问到中国大陆节点上。对中国大陆境外用户来说加速效果不是很明显，甚至会无法访问。 父主题： 使用咨询

域名添加失败怎么办？ 添加域名失败的原因及解决方案见下表： 原因 解决方案 加速域名与源站域名相同 加速域名和源站域名不能是同一个，否则会进入死循环，CDN节点无法回源，请更换加速域名或者源站域名后重试。 加速域名已存在 加速域名已经在华为云CDN添加，不允许重复添加同一个加速域名，请使用其他域名作为加速域名。 账号未实名认证 国际站用户在没有实名认证的情况下，无法添加服务范围包含中国大陆的加速域名，请实名认证后重试。 加速域名受限 因加速域名违规导致账号被冻结，请提交工单解决。 欠费导致帐号被冻结，请缴清欠款后重新添加。 源站是加速域名的子域名 域名的源站不能是已经添加到华为云CDN加速的泛域名的子域名，这样会造成回源失败，请更换源站域名后重试。 父主题： 故障相关

国外IP地址访问加速域名时，会通过哪个节点加速？ 国外IP地址访问加速域名时，会根据客户端访问的出口IP地址，分配相应的CDN节点服务，域名的服务范围不同，分配的节点也不同。 如果加速域名的服务范围为全球或中国大陆境外，境外IP地址访问域名时会转发到最近的节点。 如果域名的服务范围为中国大陆，境外IP地址访问域名时也会转发到中国大陆的节点，由于跨境的网络的影响，访问速度可能较慢或者无法访问。 CDN节点分布在全球各地，建议您根据业务特点合理选择服务范围。 父主题： 使用咨询

背景信息 接口自动化用例可包括三个阶段：准备阶段、测试阶段、销毁阶段。 准备阶段对应页面中的“前置步骤”，实现测试前置条件的准备；测试阶段对应“测试步骤”，实现接口的功能测试；销毁阶段对应“后置步骤”，实现准备阶段和测试阶段测试数据的释放或恢复。 准备阶段（可选）：前置步骤。 在此阶段中准备测试阶段需要的前置条件的数据，如果没有前置条件，可以忽略此阶段。 在准备阶段通过调用接口的方式初始化前置条件，如果前置条件的数据需要在测试阶段中引用，可以使用参数传递将数据参数化后供测试阶段引用，详见设置响应提取。 测试阶段：测试步骤。 定义接口核心测试步骤，测试阶段中的测试步骤可以引用准备阶段提取的参数。 销毁阶段（可选）：后置步骤。 为了不影响其它测试或者下一次测试，建议在每次测试结束后清理测试环境数据，恢复测试环境的初始状态，销毁准备阶段创建的数据。 如果没有数据需要销毁，可以忽略此阶段。通过调用接口的方式销毁数据，销毁阶段的测试步骤可以引用准备阶段提取的参数。

AstroZero权限 默认情况下，新建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 AstroZero部署时通过物理区域划分，为项目级服务。授权时，“作用范围”需要选择“区域级项目”，然后在指定区域（如华北-北京4）对应的项目（cn-north-4）中设置相关权限，并且该权限仅对此项目生效。如果在“所有项目”中设置权限，则该权限在所有区域项目中都生效。访问AstroZero时，需要先切换至授权区域。 根据授权精细程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能，定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于华为云各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。 如表1所示，包括了AstroZero的所有系统权限。 表1 AstroZero系统权限 系统角色/策略名称 描述 类别 依赖关系 Astro Zero Instance ManageAccess Astro轻应用实例管理权限，拥有订购、退订、查看和升级AstroZero实例的权限。 系统策略 无 Astro Zero Instance ViewAccess Astro轻应用实例查看权限，只拥有查看AstroZero实例的权限，不可进行退订、升级等操作。 若IAM用户登录AstroZero服务控制台，查看不到AstroZero实例，处理方式有以下两种（任选其一即可）： 给IAM用户所在用户组，添加“Astro Zero Instance ViewAccess”权限。 不要将IAM用户，添加到任何用户组中。 系统策略 无 Astro Zero IAM User QueryAccess Astro轻应用IAM用户查询权限，只有华为云账号或具有“Astro Zero IAM User QueryAccess”权限的IAM用户，才能执行创建AstroZero开发者账号的操作。 系统策略 无 表2列出了AstroZero常用操作与系统策略的授权关系，您可以参照该表选择合适的系统策略。 表2 AstroZero常用操作与系统策略之间的关系 操作 Astro Zero Instance ManageAccess Astro Zero Instance ViewAccess Astro Zero IAM User QueryAccess 查看Astro轻应用实例列表及详情 √ √ x 订购Astro轻应用实例 √ x x 退订Astro轻应用实例 √ x x 变更Astro轻应用实例规格 √ x x 修改Astro轻应用实例详情 √ x x 创建Astro轻应用开发者账号 x x √ 除了具备该权限外，还需要具备AstroZero本身的权限，即在权限配置文件Profile中，还需勾选“管理用户&用户权限”。 查询Astro轻应用IAM用户 x x √ 除了IAM提供的认证和授权功能，AstroZero本身也提供了用户管理和权限配置（Profile）功能，来管理用户（包括业务用户），控制用户、业务用户等的操作权限。

InnerClient::startModuleShadow 启动模块影子，设置收到影子回调并触发获取影子动作，该函数适用于AppClient、DriverClient、DcDriver。 函数描述 public void startModuleShadow(ModuleShadowNotificationCallback callback) throws IllegalArgumentException