IBM Cloud Docs
FAQ pour IBM Cloud Internet Services

FAQ pour IBM Cloud Internet Services

Vous avez une question sur IBM Cloud® Internet Services ? Passez en revue ces questions fréquemment posées, qui fournissent des réponses aux préoccupations liées à la mise à disposition, à l'accès aux applications et à d'autres demandes de renseignements communes.

Si vous avez d'autres questions que vous aimeriez voir abordées ici, ouvrez un dossier en utilisant les liens Ouvrir un dossier ou Modifier le sujet à la fin de cette page.

A quoi ai-je droit avec le plan Essai gratuit ?

Le plan Essai gratuit, de par sa conception, autorise une seule zone par compte. Il est recommandé de créer une seule instance par compte et de vérifier le nom de la zone. Il est essentiel de vérifier le nom de la zone avant de l'ajouter. Si une zone est supprimée, une autre zone ou la même zone ne peut pas être ajoutée pendant le plan d'essai gratuit.

De combien d'instances Essai gratuit puis-je bénéficier ?

Vous pouvez avoir, au plus, une instance Essai gratuit par compte pour la durée de vie du compte. Si vous disposez déjà d'une instance Essai gratuit, que vous supprimez une instance Essai gratuit ou que la version Essai gratuit est arrivée à expiration, vous n'êtes pas autorisé à créer une autre instance Essai gratuit. Cependant, vous pouvez créer des instances d'autres types de plans payants, indépendamment des essais gratuits que vous avez pu créer.

Puis-je passer de la version standard à la version d'essai gratuite?

Non. La rétrogradation du plan Standard Next vers un plan d'essai gratuit n'est pas autorisée.

Mon essai gratuit a expiré. Quelles sont mes possibilités ?

Pour éviter toute perte de données, vous devez passer de la version d'essai gratuite à la version standard avant la date d'expiration. Après cette expiration, vous pouvez uniquement mettre à niveau le plan ou supprimer l'instance CIS. Si l'instance n'est pas supprimée ou mise à niveau après 45 jours (à compter du lancement de l'instance), le domaine de configuration, les équilibreurs de charge globaux, les pools et les contrôles de santé sont automatiquement supprimés.

Qu'est-il arrivé aux plans Enterprise Package?

A partir du 11 août 2023, vous ne pouvez plus configurer le plan Enterprise Package. La fonctionnalité de ce plan a été répartie entre différents niveaux et est désormais disponible dans les plans Enterprise Essential, Enterprise Advanced et Enterprise Premier. Voir Plans de transition mis à jour.

J'ai ajouté un utilisateur à mon compte et je lui ai donné la permission de gérer les instances Internet Services. Pourquoi cet utilisateur a-t-il des problèmes d'authentification?

Il est possible que vous n'ayez pas attribué de "rôles d'accès au service" à l'utilisateur. Notez les deux ensembles distincts de rôles:

  • Accès à la plateforme
  • Accès au service

Vous avez besoin de rôles d'accès à la plateforme pour créer et gérer des instances de service, alors que les rôles d'accès aux services effectuent des opérations spécifiques au service sur les instances de service. Dans la console, ces paramètres peuvent être mis à jour à partir du menu Gérer > Sécurité > Identité et accès.

Pourquoi mon domaine est-il en attente ? Comment l'activer ?

Lorsque vous ajoutez un domaine à CIS, vous recevez des serveurs de noms à configurer chez votre registraire (ou chez votre fournisseur DNS, si vous ajoutez un sous-domaine). Le domaine ou le sous-domaine reste en attente jusqu'à ce que vous ayez correctement configuré les serveurs de noms. Assurez-vous de bien ajouter les deux serveurs de noms à votre enregistreur ou à votre fournisseur DNS. CIS analyse périodiquement le système DNS public pour vérifier si les serveurs de noms ont été configurés conformément aux instructions. Dès que CIS peut vérifier le changement de serveur de noms (qui peut prendre jusqu'à 24 heures), votre domaine est activé. Vous pouvez soumettre une demande de recontrôle des serveurs de noms en cliquant sur Recontrôler les serveurs de noms dans la page d'aperçu.

Qui est l'enregistreur de mon domaine ?

Consultez la page https://whois.icann.org/ pour en savoir plus à ce sujet.

Pour ajouter votre domaine à CIS, vous devez disposer des droits d'administrateur pour éditer la configuration du domaine au niveau du registre afin de mettre à jour ou d'ajouter les serveurs de noms pour votre domaine. Si vous ne savez pas qui est le registre pour le domaine que vous tentez d'ajouter à CIS, il est peu probable que vous ayez le privilège d'administrateur. Prenez contact avec le propriétaire du domaine dans votre organisation afin d'effectuer les modifications nécessaires.

Je souhaite conserver mon fournisseur DNS actuel pour mon domaine (example.com). Puis-je déléguer un sous-domaine (subdomain.example.com) de mon fournisseur DNS actuel à CIS?

Oui. Le processus est similaire à l'ajout d'un domaine, mais au lieu du bureau d'enregistrement, vous travaillez avec le fournisseur de DNS pour le domaine de niveau supérieur. Lorsque vous ajoutez un sous-domaine à CIS, vous avez deux serveurs de noms à configurer, comme d'habitude. Vous configurez un enregistrement de serveur de noms (NS) pour chacun des deux serveurs de noms en tant qu'enregistrements DNS dans votre domaine géré par l'autre fournisseur DNS. Lorsque CIS est en mesure de vérifier que les enregistrements NS requis ont été ajoutés, CIS active votre sous-domaine. Si vous ne gérez pas le domaine de niveau supérieur au sein de votre organisation, vous devez travailler avec le propriétaire du domaine de niveau supérieur pour faire ajouter les enregistrements NS.

Je veux transférer mon domaine vers CIS tout en conservant son fournisseur DNS primaire actuel qui fait autorité. Est-ce possible ?

Oui. CIS prend en charge une configuration CNAME(partiel). Cette option vous permet de ne faire passer que des domaines individuels par le réseau mondial d' CIS, dans le cas où vous ne pouvez pas changer de fournisseur DNS faisant autorité. Une fois que vous êtes sur une configuration partielle, la résolution réelle de vos enregistrements vers CIS dépend des enregistrements CNAME ajoutés chez votre fournisseur DNS faisant autorité. Gardez à l'esprit que CIS résout les enregistrements DNS différemment dans une configuration partielle.

Quelles sont les valeurs par défaut pour la durée de vie DNS ?

Les valeurs par défaut pour la durée de vie DNS sont les suivantes, en secondes.

  • Pour les enregistrements tels que les enregistrements A et les enregistrements CNAME, la durée de vie automatique est de 300s.

Qu'est-ce que TLS ?

TLS est un protocole de sécurité standard qui crée un canal sécurisé entre un serveur Web et un navigateur au cours d'une communication en ligne. Un certificat TLS est requis pour créer une connexion TLS avec un site Web et se compose du nom de domaine, du nom de la société et de données supplémentaires, telles que l'adresse, la ville, le code postal et le pays de la société. En outre, le certificat indique la date d'expiration, ainsi que les détails concernant l'autorité de certification émettrice.

Comment fonctionne TLS ?

Lorsqu'un navigateur initie une connexion avec un site Web sécurisé TLS, il va d'abord chercher le certificat TLS du site pour vérifier sa validité. Il vérifie que l'autorité de certification est de confiance et que le certificat est bien utilisé pour le site Web pour lequel il a été émis. Si l'une de ces conditions n'est pas vérifiée, un message avertissement s'affiche vous indiquant que le site Web n'est pas sécurisé par un certificat valide.

Lorsqu'un certificat TLS est installé sur un serveur Web, il permet d'établir une connexion sécurisée entre le serveur Web et le navigateur qui s'y connecte. Le préfixe 'HTTPS' remplace 'HTTP' dans l'adresse du site Web et un cadenas s'affiche dans la barre d'adresse. Si le site Web utilise un certificat à validation étendue (EV), le navigateur peut également afficher la barre d'adresse en vert.

Pourquoi un avertissement de confidentialité s'affiche-t-il ?

Les certificats TLS émis par IBM Cloud CIS couvrent le domaine racine (example.com) et un niveau de sous-domaine (*.example.com). Si vous tentez d'atteindre un sous-domaine de second niveau (*.*.example.com), un avertissement de confidentialité apparaît dans votre navigateur car ces noms d'hôte ne sont pas ajoutés au réseau de stockage.

Veuillez compter jusqu'à 15 minutes pour que l'une de nos autorités de certification partenaires émette un nouveau certificat. Un avertissement de confidentialité apparaît dans votre navigateur si le nouveau certificat n'a pas encore été émis.

Pourquoi une erreur de certificat SSL non valide s'affiche-t-elle ?

Si vous voyez "Error 526, Invalid SSL Certificate" lors de la visite de votre site, cela signifie peut-être que votre certificat d'origine n'est pas valide. Lorsque le proxy CIS est activé, un certificat valide signé par une autorité de certification est requis à l'origine en mode SSL par défaut, à savoir le certificat "Signé CA de bout en bout". Notez que le paramètre par défaut du mode SSL était auparavant "Souple de bout en bout", qui ne tient pas compte de la validité des certificats présentés par l'origine. La nouvelle valeur par défaut est appliquée uniquement aux domaines nouvellement ajoutés. Si votre domaine a été ajouté alors que le mode SSL par défaut était Souple de bout en bout, ce paramètre n'est pas écrasé. Vous pouvez remplacer le mode par un mode moins strict, mais cela n’est pas recommandé pour les environnements de production.

Qu'est-ce qu'une attaque DDoS ?

Une attaque par déni de service distribué (DDoS) est une tentative de rendre un service en ligne indisponible en le surchargeant d'un important trafic provenant de nombreuses sources. Dans une attaque DDoS, plusieurs systèmes informatiques compromis attaquent une cible, telle qu'un serveur, un site Web ou toute autre ressource réseau, ce qui a des répercussions sur l'utilisation de la ressource cible.

Le flux de messages entrants, requêtes de connexion ou paquets mal formés vers le système cible a pour conséquence de ralentir, voire de bloquer et d'arrêter le système cible, empêchant ainsi les utilisateurs ou systèmes légitimes d'un service de l'utiliser. Les attaques DDoS sont menées par divers auteurs, allant du simple pirate informatique aux réseaux de criminels organisés et agences gouvernementales.

Que faire en cas d'attaque DDoS ?

Étape 1 : Activez le "mode défense" dans la page de présentation.

![Mode de](images/defense-mode.png "de défenseMode de défenseMode " caption-side="bottom}"){: caption="

Etape 2 : Paramétrez vos enregistrements DNS sur la sécurité maximale.

Etape 3 : N'appliquez pas de limite de débit ni de régulateurs de demandes dans IBM CIS, car vous avez besoin de bande passante pour vous en sortir.

Etape 4 : Bloquez certains pays ou visiteurs, si nécessaire.

J'ai reçu une erreur 522, que dois-je faire ?

Une erreur 522 signifie que nous n'avons pas pu établir de connexion à votre serveur d'origine (à savoir, votre hôte). Si la connexion n'est pas établie au bout de 15 secondes, la page d'erreur 522 s'affiche.

Ce problème est généralement causé par un pare-feu ou logiciel de sécurité qui bloque accidentellement nos adresses IP. CIS agissant en tant que proxy inverse, les connexions à votre site donnent l'impression de provenir de diverses adresses IP CIS. Ainsi, certains pare-feux peuvent bloquer ces connexions, nous empêchant ainsi d'afficher correctement le contenu du site à vos visiteurs.

Pour corriger ce problème, demandez à votre hôte d'établir une liste autorisée de toutes les adresses IP CIS, consultable ici.

Toutes ces adresses IP doivent être répertoriées dans la liste autorisée pour éviter les erreurs 522. De même, il convient de vérifier qu'aucune de ces adresses n'est bloquée.

Les erreurs 522 peuvent également être causées par des problèmes de connectivité. Par conséquent, assurez-vous que votre serveur et votre réseau sont sains et qu'ils ne sont pas surchargés.

Si, malgré toutes ces mesures, vous continuez à recevoir des erreurs, contactez le support et confirmez les points suivants :

  • Vos adresses IP sont sur liste autorisée
  • Votre serveur/réseau est en ligne et n'a pas subi d'altération majeure

Si vous contactez notre équipe d'assistance, fournissez un numéro d'identification (Ray ID) d'une erreur 522 récente. Nous l'utiliserons pour déterminer le centre de données CIS concerné et exécuter des tests supplémentaires.

Qu'est-ce qu'un enregistrement proxy et pourquoi en ai-je besoin ?

Les enregistrements proxy sont des enregistrements qui acheminent leur trafic via le proxy d'IBM CIS. Seuls les enregistrements proxy bénéficient des avantages CIS, à l'instar du masque IP, où une adresse IP CIS remplace l'adresse IP d'origine afin de la protéger :

$ whois 104.28.22.57 | grep OrgName
OrgName:        IBM

Si vous préférez ignorer CIS sur un domaine (une résolution DNS est quand même appliquée), il est possible de ne pas utiliser l'enregistrement comme proxy.

J'ai reçu une erreur de validation DNS : 1004, que dois-je faire ?

Pour que les règles de page fonctionnent, le système DNS de votre zone doit être résolu. Par conséquent, vous devez disposer d'un enregistrement DNS proxy pour votre zone.

Puis-je ajouter un CNAME pour un enregistrement racine ?

Oui. IBM CIS prend en charge une fonctionnalité appelée "mise à plat de CNAME" qui permet à nos utilisateurs d'ajouter un CNAME en tant qu'enregistrement racine. Nos serveurs DNS faisant autorité énumèrent les enregistrements de la cible CNAME et répondent avec ces enregistrements et non avec le CNAME même, masquant ainsi le fait que l'utilisateur a configuré un CNAME à la racine du domaine.

Quel est le délai par défaut d'un contrôle de santé ?

Le délai d'attente par défaut d'un contrôle de santé pour les plans Essai gratuit et Standard est de 60 secondes.

Les contrôles de santé peuvent-ils être configurés pour le trafic non HTTP/HTTPS ?

Non, les contrôles de santé ne peuvent être configurés qu'avec HTTP/HTTPS.

Les équilibreurs de charge globaux peuvent-ils être configurés pour le trafic non HTTP/HTTPS ?

Non, les équilibreurs de charge globaux ne peuvent être configurés qu'avec HTTP/HTTPS.

La désactivation de toutes mes origines dans un pool d'origines désactive-t-elle l'intégralité du pool ?

Oui, si le pool d'origines est utilisé dans un équilibreur de charge, le trafic est acheminé vers le pool suivant dont la priorité est la plus élevée ou le pool de repli.

Mon entrée Kubernetes contient une erreur, que dois-je faire ?

Le nom d'hôte d'une entrée Kubernetes doit être composé de caractères alphanumériques en minuscule, - ou ., et doit commencer et se terminer par un caractère alphanumérique. L'utilisation du caractère _ dans le nom de l'équilibreur de charge, bien qu'autorisée, peut entraîner une erreur d'entrée dans les clusters Kubernetes. Nous vous recommandons de ne pas utiliser le caractère - dans le nom de l'équilibreur de charge pour éviter les problèmes liés aux clusters Kubernetes.

Une erreur 502 s'affiche lorsque je tente de sauvegarder d'une action de fonctions Edge. Que dois-je faire ?

Contactez le support IBM et indiquez le script que vous avez tenté de sauvegarder.

Comment puis-je rechercher mon ID d'instance service ?

Pour rechercher votre ID d'instance de service, copiez le CRN dans la page Vue d'ensemble. Exemple :

crn:v1:test:public:internet-svcs:global:a/2c38d9a9913332006a27665dab3d26e8:836f33a5-d3e1-4bc6-876a-982a8668b1bb::

La dernière partie du CRN est votre instance de service : 836f33a5-d3e1-4bc6-876a-982a8668b1bb.

Vous pouvez également cliquer sur la ligne contenant l'instance CIS dans la page principale de la liste de ressources et copier l'identificateur global unique de l'ID d'instance de service.

CIS compresse-t-il les ressources ?

Oui, CIS applique la compression "gzip" et "brotli" à certains types de contenu. CIS compresse également les éléments en fonction de l'agent utilisateur du navigateur pour accélérer le temps de chargement des pages.

Si vous utilisez déjà gzip, CIS applique vos paramètres gzip tant que vous transmettez les détails dans un en-tête à partir du serveur Web pour les fichiers.

CIS prend uniquement en charge le type de contenu "gzip" acheminé vers le serveur d'origine et ne peut transmettre qu'un contenu compressé avec gzi, brotli ou sans compression.

Le proxy inverse CIS peut également effectuer des conversions entre des formats compressés et non compressés, ce qui signifie qu'il peut extraire un contenu du serveur d'origine d'un client via gzip et le transmettre aux clients sans compression (ou inversement). Cette action est effectuée indépendamment de la mise en cache.

L'en-tête Accept-Encoding n'est pas pris en compte et est supprimé.

Combien de demandes puis-je adresser à l'API CIS ?

La limite de débit globale de l'API CIS est de 1200 demandes par cinq minutes par utilisateur et s'applique de manière cumulative, que la demande soit effectuée via l'interface utilisateur, l'interface de ligne de commande, Terraform ou l'API.

Dans quel ordre mes configurations sont-elles gérées pour le trafic entrant à la périphérie?

CIS gère le trafic entrant dans l'ordre suivant.

  1. DDoS
  2. URL Réécritures
  3. Règles de page
  4. Pare-feu IP
  5. Règles WAF / Firewall
  6. Fonctions d'arête
  7. Equilibreur de charge

Pour plus d'informations sur le traitement de votre trafic, consultez la rubrique Séquençage du trafic.

Puis-je utiliser CIS avec des adresses IP privées?

Les adresses IP privées (RFC1918) peuvent être atteintes avec la recherche DNS via la configuration CIS sans proxy. Toutefois, vous ne pouvez pas accéder à la plupart des fonctions avancées de CIStelles que CDN et WAF avec cette configuration. Pour les adresses IP privées, CIS gère uniquement la conversion de nom en adresse. La connectivité au réseau privé est de la responsabilité du client.

Quelle plage de ports le réseau de Cloudflare utilise-t-il pour le trafic en périphérie?

Lorsque le proxy est activé, le trafic est acheminé vers le serveur d'origine via le réseau Cloudflare. Ce trafic peut provenir de n'importe quel port situé dans la zone 1024-65535. Lors de la configuration des listes de contrôle d'accès réseau (ACL) pour votre environnement, assurez-vous que le trafic entrant et sortant de cette plage de ports est autorisé.