华为云用户手册

更新内容 服务模块 主要变更点 ClickHouse 升级到22.3.2.2版本。 ClickHouse支持多租户，通过CPU优先级和内存限额分配资源。 Flink 升级到1.15.0版本。 FlinkServer支持审计日志。 Hadoop 升级到3.3.1版本。 HetuEngine HetuEngine支持物化视图及自动刷新。 HetuEngine支持配置IoTDB数据源。 Hudi 升级到0.11.0版本。 IoTDB 新增组件，一体化收集、存储、管理与分析物联网时序数据的服务。 集群管理 支持补丁在线推送及更新。

组件版本信息 表1 MRS 组件版本信息 组件 版本 CarbonData 2.2.0 ClickHouse 22.3.2.2 DBService 2.7.0 Flink 1.15.0 Flume 1.9.0 HBase 2.2.3 HDFS 3.3.1 HetuEngine 1.2.0 Hive 3.1.0 Hudi（集成在Spark2x中） 0.11.0 Hue 4.7.0 IoTDB 0.14.0 Kafka 2.11-2.4.0 KrbServer 1.18 LdapServer 2.7.0 Loader 1.99.3 Mapreduce 3.3.1 Oozie 5.1.0 Phoenix（集成在HBase中） 5.0.0 Ranger 2.0.0 Spark2x 3.1.1 Tez 0.9.2 Yarn 3.3.1 ZooKeeper 3.6.3 FusionInsight Manager 8.2.0.1

ClickHouse开源增强特性 MRS ClickHouse具备“手动挡”集群模式升级、平滑弹性扩容、高可用HA部署架构等优势能力，具体详情如下： 手动挡集群模式升级 如图1所示，多个ClickHouse节点组成的集群，没有中心节点，更多的是一个静态资源池的概念，业务要使用ClickHouse集群模式，需要预先在各个节点的配置文件中定义cluster信息，等所有参与的节点达成共识，业务才可以正确的交互访问，也就是说配置文件中的cluster才是通常理解的“集群”概念。 图1 ClickHouse集群 常见的数据库系统，隐藏了表级以下的数据分区、副本存储等细节，用户是无感知的，而ClickHouse则要求用户主动来规划和定义数据分片（shard）、分区（partition）、副本（replica）位置等详细配置。它的这种类似“手动挡”的属性，给用户带来极不友好的体验，所以MRS服务的ClickHouse实例对这些工作做了统一的打包处理，适配成了“自动挡”，实现了统一管理，灵活易用。 具体部署形态上，一个ClickHouse实例将包含3个ZooKeeper节点和多个ClickHouse节点，采用Dedicated Replica模式，数据双副本高可靠。 图2 ClickHouse的cluster结构 平滑的弹性扩容能力 随着业务的快速增长，面对集群存储容量或者CPU计算资源接近极限等场景，MRS服务提供了ClickHouse数据迁移工具，该工具可以将某几个ClickHouseServer实例节点上的一个或多个MergeTree引擎分区表的部分分区迁移至其他ClickHouseServer节点上相同的表中，以便保障业务可用性，实现了更加平滑的扩容能力。 在用户对集群进行扩容ClickHouse节点时，可以使用该工具将原节点上的部分数据迁移至新增节点上，从而达到扩容后的数据均衡。 高可用HA部署架构 MRS服务提供了基于ELB的HA部署架构，可以将用户访问流量自动分发到多台后端节点，扩展系统对外的服务能力，实现更高水平的应用容错。如图3所示，客户端应用请求集群时，使用ELB（Elastic Load Balance）来进行流量分发，通过ELB的轮询机制，写不同节点上的本地表（Local Table），读不同节点上的分布式表（Distributed Table），这样，无论集群写入的负载、读的负载以及应用接入的高可用性都具备了有力的保障。 ClickHouse集群发放成功后，每个ClickHouse实例节点对应一个副本replica，两个副本组成一个shard逻辑分片。如创建ReplicatedMergeTree引擎表时，可以指定分片，相同分片内的两个副本数据就可以自动进行同步。 图3 高可用HA部署架构图 父主题： ClickHouse

更新内容 服务模块 主要变更点 CarbonData 升级到2.2.0版本。 ClickHouse 支持通过FusionInsight Manager备份恢复元数据及业务数据。 Flink 升级到1.12.2版本。 FlinkServer支持上传、管理UDF。 Guardian 新增组件，支持存算分离场景下集群外客户端委托功能。 Hadoop 普通集群访问HDFS Web UI需要进行CAS认证。 Hudi 升级到0.9.0版本。 Impala 支持在MRS Manager页面上进行Impala SQL作业管理。 Spark2x 升级到3.1.1版本。 ZooKeeper 升级到3.6.3版本。 管理控制台 支持补丁在线推送及更新。 支持包周期集群中的部分节点退订。 作业提交API新增支持FlinkSQL作业类型。 支持指定资源池的弹性伸缩能力。 Master主机规格升级功能支持多Master节点集群。 Bootstrap脚本支持以root用户身份执行。 集群主机系统盘支持最小100GB容量，数据盘支持最小200GB容量。

组件版本信息 组件 版本 CarbonData 2.2.0 ClickHouse 21.3.4.25 DBService 2.7.0 Flink 1.12.2 Flume 1.9.0 Guardian 0.1.0 HBase 2.2.3 HDFS 3.1.1 Hive 3.1.0 Hudi（集成在Spark2x中） 0.9.0 Hue 4.7.0 Impala 3.4.0 Kafka 2.11-2.4.0 KrbServer 1.18 Kudu 1.12.1 LdapServer 2.7.0 Mapreduce 3.1.1 Oozie 5.1.0 Presto 333 Phoenix（集成在HBase中） 5.0.0 Ranger 2.0.0 Spark2x 3.1.1 Sqoop 1.4.7 Tez 0.9.2 Yarn 3.1.1 ZooKeeper 3.6.3

组件版本信息 表1 MRS组件版本信息 组件 版本 CarbonData 2.2.0 ClickHouse 21.3.4.25 DBService 2.7.0 Flink 1.12.2 Flume 1.9.0 HBase 2.2.3 HDFS 3.1.1 HetuEngine 1.2.0 Hive 3.1.0 Hudi（集成在Spark2x中） 0.9.0 Hue 4.7.0 Kafka 2.11-2.4.0 KrbServer 1.18 LdapServer 2.7.0 Loader 1.99.3 Mapreduce 3.1.1 Oozie 5.1.0 Phoenix（集成在HBase中） 5.0.0 Ranger 2.0.0 Spark2x 3.1.1 Tez 0.9.2 Yarn 3.1.1 ZooKeeper 3.6.3 FusionInsight Manager 8.1.2

Yarn和MapReduce的关系 MapReduce是运行在Yarn之上的一个批处理的计算框架。MRv1是Hadoop 1.0中的MapReduce实现，它由编程模型（新旧编程接口）、运行时环境（由JobTracker和TaskTracker组成）和数据处理引擎（MapTask和ReduceTask）三部分组成。该框架在扩展性、容错性（JobTracker单点）和多框架支持（仅支持MapReduce一种计算框架）等方面存在不足。MRv2是Hadoop 2.0中的MapReduce实现，它在源码级重用了MRv1的编程模型和数据处理引擎实现，但运行时环境由Yarn的ResourceManager和ApplicationMaster组成。其中ResourceManager是一个全新的资源管理系统，而ApplicationMaster则负责MapReduce作业的数据切分、任务划分、资源申请和任务调度与容错等工作。

Yarn和Spark组件的关系 Spark的计算调度方式，可以通过Yarn的模式实现。Spark共享Yarn集群提供丰富的计算资源，将任务分布式的运行起来。Spark on Yarn分两种模式：Yarn Cluster和Yarn Client。 Yarn Cluster模式 运行框架如图1所示。 图1 Spark on yarn-cluster运行框架 Spark on yarn-cluster实现流程： 首先由客户端生成Application信息，提交给ResourceManager。 ResourceManager为Spark Application分配第一个Container(ApplicationMaster)，并在该Container上启动Driver。 ApplicationMaster向ResourceManager申请资源以运行Container。 ResourceManager分配Container给ApplicationMaster，ApplicationMaster和相关的NodeManager通讯，在获得的Container上启动Executor，Executor启动后，开始向Driver注册并申请Task。 Driver分配Task给Executor执行。 Executor执行Task并向Driver汇报运行状况。 Yarn Client模式 运行框架如图2所示。 图2 Spark on yarn-client运行框架 Spark on yarn-client实现流程： 在yarn-client模式下，Driver部署在Client端，在Client端启动。yarn-client模式下，不兼容老版本的客户端。推荐使用yarn-cluster模式。 客户端向ResourceManager发送Spark应用提交请求，ResourceManager为其返回应答，该应答中包含多种信息（如ApplicationId、可用资源使用上限和下限等）。Client端将启动ApplicationMaster所需的所有信息打包，提交给ResourceManager上。 ResourceManager收到请求后，会为ApplicationMaster寻找合适的节点，并在该节点上启动它。ApplicationMaster是Yarn中的角色，在Spark中进程名字是ExecutorLauncher。 根据每个任务的资源需求，ApplicationMaster可向ResourceManager申请一系列用于运行任务的Container。 当ApplicationMaster（从ResourceManager端）收到新分配的Container列表后，会向对应的NodeManager发送信息以启动Container。 ResourceManager分配Container给ApplicationMaster，ApplicationMaster和相关的NodeManager通讯，在获得的Container上启动Executor，Executor启动后，开始向Driver注册并申请Task。 正在运行的Container不会被挂起释放资源。 Driver分配Task给Executor执行。Executor执行Task并向Driver汇报运行状况。

监控安全风险 MRS的Manager界面提供集群级别的监控能力，帮助用户监控集群中大数据组件和节点的健康状态，同时提供告警通知能力，用户可以实时掌握MRS集群的各项指标、健康度。 MRS支持将集群中所有部署角色的节点，按管理节点、控制节点和数据节点进行分类，分别计算关键主机监控指标在每类节点上的变化趋势，并在报表中按用户自定义的周期显示分布曲线图。MRS集群指标监控采用周期性监控，历史监控平均周期约为5分钟。 用户可在MRS管理控制台或者Manager界面中查看集群整体的资源概况。 更多详情请参见查看和定制集群监控指标和管理组件和主机监控。 父主题： 安全

Yarn和ZooKeeper的关系 ZooKeeper与Yarn的关系如图3所示。 图3 ZooKeeper与Yarn的关系 在系统启动时，ResourceManager会尝试把选举信息写入ZooKeeper，第一个成功写入ZooKeeper的ResourceManager被选举为Active ResourceManager，另一个为Standby ResourceManager。Standby ResourceManager定时去ZooKeeper监控Active ResourceManager选举信息。 Active ResourceManager还会在ZooKeeper中创建Statestore目录，存储Application相关信息。当Active ResourceManager产生故障时，Standby ResourceManager会从Statestore目录获取Application相关信息，恢复数据。

Manager关键特性：统一用户权限管理 Manager提供系统中各组件的权限集中管理功能。 Manager引入角色的概念，采用RBAC的方式对系统进行权限管理，集中呈现和管理系统中各组件零散的权限功能，并且将各个组件的权限以权限集合（即角色）的形式组织，形成统一的系统权限概念。这样一方面对普通用户屏蔽了内部的权限管理细节，另一方面对MRS集群管理员简化了权限管理的操作方法，提升了权限管理的易用性和用户体验。

MapReduce开源增强特性：特定场景优化MapReduce的Merge/Sort流程提升MapReduce性能 下图展示了MapReduce任务的工作流程。 图2 MapReduce 作业 图3 MapReduce作业执行流程 Reduce过程分为三个不同步骤：Copy、Sort（实际应当称为Merge）及Reduce。在Copy过程中，Reducer尝试从NodeManagers获取Maps的输出并存储在内存或硬盘中。紧接着进行Shuffle过程（包含Sort及Reduce），这个过程将获取到的Maps输出进行存储并有序地合并然后提供给Reducer。当Job有大量的Maps输出需要处理的时候，Shuffle过程将变得非常耗时。对于一些特定的任务（例如hash join或hash aggregation类型的SQL任务），Shuffle过程中的排序并非必须的。但是Shuffle却默认必须进行排序，所以需要对此处进行改进。 此特性通过对MapReduce API进行增强，能自动针对此类型任务关闭Sort过程。当Sort被关闭，获取Maps输出数据以后，直接合并后输出给Reduce，避免了由于排序而浪费大量时间。这种方式极大程度地提升了大部分SQL任务的效率。

MapReduce开源增强特性：History Server优化解决日志小文件问题 运行在Yarn上的作业在执行完成后，NodeManager会通过LogAggregationService把产生的日志收集到HDFS上，并从本地文件系统中删除。日志收集到HDFS上以后由HistoryServer来进行统一的日志管理。LogAggregationService在收集日志时会把container产生的本地日志合并成一个日志文件上传到HDFS，在一定程度上可以减少日志文件的数量。但在规模较大且任务繁忙的集群上，经过长时间的运行，HDFS依然会面临存储的日志文件过多的问题。 以一个20节点的计算场景为例，默认清理周期（15日）内将产生约1800万日志文件，占用NameNode近18G内存空间，同时拖慢HDFS的系统响应速度。 由于收集到HDFS上的日志文件只有读取和删除的需求，因此可以利用Hadoop Archives功能对收集的日志文件目录进行定期归档。 日志归档 在HistoryServer中新增AggregatedLogArchiveService模块，定期检查日志目录中的文件数。在文件数达到设定阈值时，启动归档任务进行日志归档，并在归档完成后删除原日志文件，以减少HDFS上的文件数量。 归档日志清理 由于Hadoop Archives不支持在归档文件中进行删除操作，因此日志清理时需要删除整个归档文件包。通过修改AggregatedLogDeletionService模块，获取归档日志中最新的日志生成时间，若所有日志文件均满足清理条件，则清理该归档日志包。 归档日志浏览 Hadoop Archives支持URI直接访问归档包中的文件内容，因此浏览过程中，当History Server发现原日志文件不存在时，直接将URI重定向到归档文件包中即可访问到已归档的日志文件。 本功能通过调用HDFS的Hadoop Archives功能进行日志归档。由于Hadoop Archives归档任务实际上是执行一个MR应用程序，所以在每次执行日志归档任务后，会新增一条MR执行记录。 本功能归档的日志来源于日志收集功能，因此只有在日志收集功能开启状态下本功能才会生效。

Manager关键特性：单点登录 提供Manager WebUI与组件WebUI之间的单点登录，以及MRS与第三方系统集成时的单点登录。 此功能统一了Manager系统用户和组件用户的管理及认证。整个系统使用LDAP管理用户，使用Kerberos进行认证，并在 OMS 和组件间各使用一套Kerberos和LDAP的管理机制，通过CAS实现单点登录（包括单点登录和单点登出）。用户只需要登录一次，即可在Manager WebUI和组件Web UI之间，甚至第三方系统之间进行任务跳转操作，无需切换用户重新登录。 出于安全考虑，CAS Server只能保留用户使用的TGT（ticket-granting ticket）20分钟。 如用户20分钟内不对页面（包括Manager和组件WebUI）进行操作，页面自动锁定。

Manager关键特性：租户管理 Manager引入了多租户的概念，集群拥有的CPU、内存和磁盘等资源，可以整合规划为一个集合体，这个集合体就是租户。多个不同的租户统称多租户。 多租户功能支持层级式的租户模型，支持动态的添加和删除租户，实现资源的隔离，可以对租户的计算资源和存储资源进行动态配置和管理。 计算资源指租户Yarn任务队列资源，可以修改任务队列的配额，并查看任务队列的使用状态和使用统计。 存储资源目前支持HDFS存储，可以添加删除租户HDFS存储目录，设置目录的文件数量配额和存储空间配额。 Manager作为MRS的统一租户管理平台，用户可以在界面上根据业务需要，在集群中创建租户、管理租户。 创建租户时将自动创建租户对应的角色、计算资源和存储资源。默认情况下，新的计算资源和存储资源的全部权限将分配给租户的角色。 修改租户的计算资源或存储资源，对应的角色关联权限将自动更新。 Manager还提供了多实例的功能，使用户在资源控制和业务隔离的场景中可以独立使用HBase、Hive和Spark组件。多实例功能默认关闭，可以选择手动启用。

MapReduce开源增强特性：JobHistoryServer HA特性 JobHistoryServer（JHS）是用于查看MapReduce历史任务信息的服务器，当前开源JHS只支持单实例服务。JobHistoryServer HA能够解决JHS单点故障时，应用访问MapReduce接口无效，导致整体应用执行失败的场景，从而大大提升 MapReduce服务 的高可用性。 图1 JobHistoryServer HA主备倒换的状态转移过程 JobHistoryServer高可用性 采用ZooKeeper实现主备选举和倒换。 JobHistoryServer使用浮动IP对外提供服务。 兼容JHS单实例，也支持HA双实例。 同一时刻，只有一个节点启动JHS进程，防止多个JHS操作同一文件冲突。 支持扩容减容、实例迁移、升级、健康检查等。

HBase HA原理与实现方案 HBase中的HMaster负责Region分配，当RegionServer服务停止后，HMaster会把相应Region迁移到其他RegionServer。为了解决HMaster单点故障导致HBase正常功能受到影响的问题，引入HMaster HA模式。 图1 HMaster高可用性实现架构 HMaster高可用性架构是通过在ZooKeeper集群创建Ephemeral node（临时节点）实现的。 当HMaster两个节点启动时都会尝试在ZooKeeper集群上创建一个znode节点Master，先创建的成为Active HMaster，后创建的成为Standby HMaster。 Standby HMaster会在Master节点添加监测事件。如果主节点服务停止，就会和ZooKeeper集群失去联系，session过期之后Master节点会消失。Standby节点通过监测事件（watch event）感知到节点消失，会去创建Master节点自己成为Active HMaster，主备倒换完成。如果后续停止服务的节点重新启动，发现Master节点已经存在，则进入Standby模式，并对Master znode创建监测事件。 当客户端访问HBase时，会首先通过ZooKeeper上的Master节点信息找到HMaster的地址，然后与Active HMaster进行连接。

HBase和ZooKeeper的关系 HBase和ZooKeeper的关系如图 ZooKeeper和HBase的关系所示。 图1 HBase和ZooKeeper的关系 HRegionServer以Ephemeral node的方式注册到ZooKeeper中。其中ZooKeeper存储HBase的如下信息：HBase元数据、HMaster地址。 HMaster通过ZooKeeper随时感知各个HRegionServer的健康状况，以便进行控制管理。 HBase也可以部署多个HMaster，类似HDFS NameNode，当HMaster主节点出现故障时，HMaster备用节点会通过ZooKeeper获取主HMaster存储的整个HBase集群状态信息。即通过ZooKeeper实现避免HBase单点故障问题的问题。

HDFS和MapReduce的关系 HDFS是Hadoop分布式文件系统，具有高容错和高吞吐量的特性，可以部署在价格低廉的硬件上，存储应用程序的数据，适合有超大数据集的应用程序。 而MapReduce是一种编程模型，用于大数据集（大于1TB）的并行运算。在MapReduce程序中计算的数据可以来自多个数据源，如Local FileSystem、HDFS、数据库等。最常用的是HDFS，可以利用HDFS的高吞吐性能读取大规模的数据进行计算。同时在计算完成后，也可以将数据存储到HDFS。

HDFS和Spark的关系 通常，Spark中计算的数据可以来自多个数据源，如Local File、HDFS等。最常用的是HDFS，用户可以一次读取大规模的数据进行并行计算。在计算完成后，也可以将数据存储到HDFS。 分解来看，Spark分成控制端（Driver）和执行端（Executor）。控制端负责任务调度，执行端负责任务执行。 读取文件的过程如图1所示。 图1 读取文件过程 读取文件步骤的详细描述如下所示： Driver与HDFS交互获取File A的文件信息。 HDFS返回该文件具体的Block信息。 Driver根据具体的Block数据量，决定一个并行度，创建多个Task去读取这些文件Block。 在Executor端执行Task并读取具体的Block，作为RDD（弹性分布数据集）的一部分。 写入文件的过程如图2所示。 图2 写入文件过程 HDFS文件写入的详细步骤如下所示： Driver创建要写入文件的目录。 根据RDD分区分块情况，计算出写数据的Task数，并下发这些任务到Executor。 Executor执行这些Task，将具体RDD的数据写入到步骤1创建的目录下。

HDFS和ZooKeeper的关系 ZooKeeper与HDFS的关系如图3所示。 图3 ZooKeeper和HDFS的关系 ZKFC（ZKFailoverController）作为一个ZooKeeper集群的客户端，用来监控NameNode的状态信息。ZKFC进程仅在部署了NameNode的节点中存在。HDFS NameNode的Active和Standby节点均部署有zkfc进程。 HDFS NameNode的ZKFC连接到ZooKeeper，把主机名等信息保存到ZooKeeper中，即“/hadoop-ha”下的znode目录里。先创建znode目录的NameNode节点为主节点，另一个为备节点。HDFS NameNode Standby通过ZooKeeper定时读取NameNode信息。 当主节点进程异常结束时，HDFS NameNode Standby通过ZooKeeper感知“/hadoop-ha”目录下发生了变化，NameNode会进行主备切换。

Web应用防火墙 可以跨区域使用吗？ 原则上，在任何一个区域购买的WAF支持防护所有区域的Web业务。但是为了提高WAF的转发效率，建议您在购买WAF时，根据防护业务的所在区域就近选择购买的WAF区域。 例如，如果买一个WAF能同时覆盖不同地域的业务（如北京和上海），但是如果购买北京region的WAF，对于客户在上海的业务，可能转发时长相比于北京的业务会更长。为了提高转发效率，建议您购买2个WAF（北京region的WAF和上海region的WAF），分别防护北京和上海的业务。 父主题： 产品咨询

什么是Cookie Cookie是网站为了辨别用户身份，进行Session跟踪而储存在用户本地终端上的数据（通常经过加密），Cookie由Web服务器发送到浏览器，可以用来记录用户个人信息。 Cookie由一个名称（Name）、一个值（Value）和其它几个用于控制Cookie有效期、安全性、使用范围的可选属性组成。Cookie分为会话Cookie和持久性Cookie两种类型，详细说明如下： 会话Cookie 临时的Cookie，不包含到期日期，存储在内存中。当浏览器关闭时，Cookie将被删除。 持久性Cookie 包含到期日期，存储在磁盘中，当到达指定的到期日期时，Cookie将从磁盘中被删除。

本地文件包含和远程文件包含是指什么？ 您可以在WAF的防护事件中查看文件包含等安全事件，快速定位攻击源或对攻击事件进行分析。 文件包含是指程序开发人员一般会把重复使用的函数写到单个文件中，需要使用某个函数时直接调用此文件，而无需再次编写，这种文件调用的过程一般被称为文件包含。文件包含分为本地文件包含和远程文件包含，说明如下： 当被包含的文件在服务器本地时，称为本地文件包含。 当被包含的文件在第三方服务器时，称为远程文件包含。 文件包含漏洞是指通过函数包含文件时，由于没有对包含的文件名进行有效的过滤处理，被攻击者利用从而导致了包含了Web根目录以外的文件进来，导致文件信息的泄露甚至注入了恶意代码。 有关查看防护日志的详细操作，请参见查看防护日志。 父主题： 产品咨询

云模式、独享模式可以互相切换吗？ 不能直接切换。添加防护 域名 /IP时，您需要根据业务实际情况，选择部署模式：云模式-CNAME接入、云模式-ELB接入或独享模式。防护域名添加到WAF后，部署模式不能切换。 如果您需要更换防护域名/IP的部署模式，请确保业务已部署到对应模式。在WAF的网站配置列中删除添加的防护域名/IP后，再以对应的部署方式重新添加该防护域名/IP，完成部署模式切换。例如，“www.example.com”防护域名以云模式添加到WAF，如果您希望“www.example.com”切换到独享模式，请先确保当前业务支持独享模式部署方式，申请独享模式后，您需要先删除“www.example.com”防护域名，然后再重新以独享模式方式重新添加“www.example.com”防护域名。 父主题： 产品咨询

Web应用防火墙支持自定义授权策略吗？ WAF支持自定义授权策略，通过 IAM ，您可以： 根据企业的业务组织，在您的华为账号中，给企业中不同职能部门的员工创建IAM用户，让员工拥有唯一安全凭证，并使用WAF资源。 根据企业用户的职能，设置不同的访问权限，以达到用户之间的权限隔离。 将WAF资源委托给更专业、高效的其他华为账号或者云服务，这些账号或者云服务可以根据权限进行代运维。 有关创建WAF权限策略的详细介绍，请参见创建用户组并授权使用WAF。 父主题： 产品咨询

后端服务器配置多个源站地址时的注意事项？ 同一个域名在后端配置多个源站地址时，请注意： 域名对应的业务端口为非标准端口 对外协议、源站协议和源站端口必须都相同 域名对应的业务端口为标准端口 对外协议、源站协议和源站端口可不相同 添加域名时，WAF支持添加多个服务器IP，多个服务器之间，WAF采用轮询的方式回源，这样有助于减少服务器的压力，起到保护源站的作用。例如，后端添加了两个服务器IP（IP-A，IP-B），当有10个请求访问该域名时，5个请求会被WAF转发到IP-A，其余5个请求会被WAF转发到IP-B。 WAF云模式目前暂不支持健康检查的功能，当一个服务器IP出现问题，WAF仍然会转发流量给这个服务器IP，这样会导致部分业务受损。如果您希望服务器有健康性检查的功能，建议您将弹性负载均衡（ELB）和WAF搭配使用，ELB的相关配置请参见添加后端云服务器。ELB配置完成后，再将ELB的EIP作为服务器的IP地址，接入WAF，实现健康检查。 父主题： 网站接入

如何测试在WAF中配置的源站IP是IPv6地址？ 执行此操作前，请确认已在WAF中添加了域名并完成了域名接入。 假如已在WAF中添加域名www.example.com。通过以下方法可以测试配置的源站IP是否是IPv6地址： 在Windows中打开cmd命令行工具。 执行dig AAAA www.example.com命令。 如果返回的结果里有IPv6格式的IP地址，如图1所示，则证明配置的源站IP是IPv6地址。 图1 测试结果 父主题： IPv6防护

相关概念 泛域名 泛域名是指带1个通配符“*”且以“*.”号开头的域名。 例如：“*.example.com”是正确的泛域名，但“*.*.example.com”则是不正确的。 一个泛域名算一个域名。 单域名 单域名又称普通域名，是相对泛域名来说的，是一个具体的域名或者说不是通配符域名。 例如：“www.example.com”或“example.com”都算一个单域名。 如“www.example.com”或“a.www.example.com”各个明细子域名都算一个域名。

如何选择域名类型 WAF支持防护单域名和泛域名。 在DNS服务商处购买的域名为单域名（example.com），WAF中添加的域名形式可以为example.com、子域名（例如：a.example.com）、泛域名（*.example.com），可根据以下场景选择配置域名的类型： 如果防护的域名业务相同：输入单域名。例如：防护www.example.com的业务都是8080端口的业务，则“防护域名”直接配置为单域名“www.example.com”。 如果各子域名对应的服务器IP地址相同：输入防护的泛域名。例如：a.example.com、b.example.com和c.example.com对应的服务器IP地址相同，则“防护域名”可配置为泛域名“*.example.com”。 如果各子域名对应的服务器IP地址不相同：请将子域名按“单域名”方式逐条添加。 建议添加的“防护域名”与在DNS服务商处设置的域名保持一致。