如何使用免费试用套餐？

按照设计，免费试用套餐仅允许每个帐户一个区域。 建议您仅为每个帐户创建一个实例，并验证区域名称。 在添加区域名称之前对其进行验证至关重要。 如果删除了某个区段，在免费试用计划期间将无法添加另一个区段或相同的区段。

我可以拥有多少个免费试用实例？

每个账户在使用期限内最多只能拥有一个免费试用实例。 如果您已经拥有一个免费试用实例，如果您删除了一个免费试用实例，或者如果免费试用过期，则不允许创建另一个免费试用实例。 不过，您可以创建其他付费计划类型的实例，与您可能创建的任何免费试用计划无关。

我可以从标准版降级到免费试用版吗？

编号 不允许从“标准下一个”降级到“免费试用”套餐。

我的免费试用已到期。 我有哪些选项？

为避免数据丢失，您必须在到期日之前从免费试用版升级到标准版。 在该到期后，您只能升级计划或删除 CIS 实例。 如果在 45 天后（从启动实例开始）未删除或升级实例，配置域、全局负载平衡器、池和健康检查将自动删除。

企业软件包计划发生了什么?

从 2023 年 8 月 11 日开始，您无法再配置企业软件包套餐。 此套餐的功能在各个层之间进行了拆分，现在可以在 Enterprise Essential，Enterprise Advanced 和 Enterprise Premier 套餐中使用。 请参阅 转换更新的计划。

我在账户中添加了一个用户，并赋予该用户管理 Internet Services 实例的权限。 为什么该用户存在认证问题?

您可能没有为用户分配“服务访问角色”。 请注意两组不同的角色:

• 平台访问权
• 服务访问权

您需要平台访问角色来创建和管理服务实例，而服务访问角色在服务实例上执行特定于服务的操作。 在控制台中，可以通过选择管理 > 安全性 > 身份和访问来更新这些设置。

为什么我的域处于“暂挂”状态？ 如何将其激活？

当您在 CIS 上添加域名时，注册商（或 DNS 提供商（如果您添加的是子域））会给您一些名称服务器供您配置。 在正确配置名称服务器之前，域名或子域一直处于待定状态。 确保将两个名称服务器都添加到注册商或 DNS 提供商。 CIS 定期扫描公共 DNS 系统以检查是否按照指示配置了名称服务器。 只要 CIS 能够验证名称服务器更改 (最多可能需要 24 小时)，就会激活您的域。 您可以通过单击概述页面中的 重新检查名称服务器 来提交重新检查名称服务器的请求。

我的域的注册器是哪一个？

请参阅 https://whois.icann.org/ 以获取此信息。

要将域添加到 CIS，您必须具有管理员特权才能在注册器上编辑域的配置，以更新或添加域的名称服务器。 如果您不知道您尝试添加到 CIS的域的注册者是谁，那么您不太可能具有管理员特权。 与组织中的域所有者一起进行必要的更改。

我想为我的域名保留当前的 DNS 提供商 (example.com)。我能否将当前 DNS 提供商的一个子域（subdomain.example.com）委托给 CIS?

需要。 该过程与添加域名类似，但不是注册商，而是与高级域名的 DNS 提供商合作。 在 CIS 中添加子域时，会像往常一样提供两个名称服务器供您配置。 您要为两个名称服务器分别配置一个名称服务器 (NS) 记录，作为由其他 DNS 提供商管理的域名内的 DNS 记录。 当 CIS 能够验证已添加所需的 NS 记录时，CIS 就会激活您的子域。 如果您不管理组织内的上一级域，则必须与上一级域的所有者合作以添加 NS 记录。

我希望将我的域名加入 CIS 中，同时仍保留其当前的主要和权威 DNS 提供商。 这可能吗？

是的。CIS 支持 CNAME （部分） 配置。 如果您无法更改权威DNS提供商，则此选项允许您通过 CIS 的全球网络仅代理单个域。 部分设置完成后，记录实际解析为 CIS 取决于在权威 DNS 提供商处添加的 CNAME 记录。 请记住，CIS 在部分设置中会以不同方式解析 DNS 记录。

DNS TTL 的缺省值是什么?

以下是 DNS 生存时间 (TTL) 的缺省值 (以秒为单位)。

• 对于 A 记录和 CNAME 之类的记录，自动 TTL 为 300s。

我为什么会看到隐私警告？

IBM Cloud CIS 发出的 TLS 证书涵盖根域 (example.com) 和一个级别的子域 (*.example.com)。如果您尝试访问二级子域 (*.*.example.com)，那么浏览器中将显示隐私警告，因为这些主机名不会添加到 SAN 中。

我们的合作证书颁发机构 (CA) 最多需要 15 分钟颁发新证书。 如果您的新证书尚未签发，浏览器中会出现隐私警告。

为什么我会看到无效的 SSL 证书错误？

如果在访问站点时看到“错误 526，无效的 SSL 证书”，这可能意味着源证书无效。 启用 CIS 代理时，在缺省 SSL 方式下，源中需要有效的 CA 签名证书，即“端到端 CA 签名”。 请注意，以前 SSL 模式的默认设置是“端到端灵活”，它会忽略来源地提供的证书的有效性。 新的默认设置仅适用于新添加的域。 如果您的域是在缺省 SSL 方式为“端到端灵活性”时添加的，将不会覆盖该设置。 您可以将模式更改为不那么严格的模式，但不建议在生产环境中这样做。

什么是 DDoS？

分布式拒绝服务 (DDoS) 攻击是一种通过使用来自多个源的流量使联机服务溢出而导致其不可用的尝试。 在 DDoS 攻击中，多个被入侵的计算机系统攻击一个目标，如服务器、网站或其他网络资源，影响目标资源的用户。

大量入局消息、连接请求或格式不正确的包传入目标系统会导致系统运行速度减慢，甚至会崩溃或停机，这样就会拒绝为合法用户或系统提供服务。 DDoS 攻击由不同的威胁参与者执行，从个人犯罪黑客到有组织犯罪团伙和政府机构。

如果受到 DDoS 攻击应该怎么办？

步骤 1： 在“概览”页面打开“防御模式”。

**步骤 2：**设置 DNS 记录以实现最高安全性。

**步骤 3：**不要对来自 IBM CIS 的请求进行速率限制或调速，我们需要带宽来帮助您解决该情况。

步骤 4： 必要时阻止特定国家和访客。

遇到 522 错误时该怎么办？

522 错误指示无法建立与源服务器（即，主机）的连接。 连接失败约 15 秒后，我们关闭连接并显示 522 错误页面。

此问题通常是由防火墙或安全软件意外阻止了我们的 IP 地址所导致的。 由于 CIS 起着反向代理的作用，因此连接到您网站的连接看起来来自一系列 CIS IP。 此行为可能导致某些防火墙阻止这些连接，这将导致无法向站点访问者提供正确内容。

要解决此问题，请让您的主机将 CIS 允许列表 IP 地址 页面中列出的所有 CIS IP 范围列入允许列表。

所有这些 IP 都必须列入允许列表，以避免出现 522 错误。 有必要检查这些范围内的任意 IP 是否会被阻止。

网络连接问题也可能导致 522 错误，因此请确认服务器和网络正常运行，且未超负荷。

如果在执行上述步骤后仍收到错误，请联系 IBM CIS 支持人员并确认以下内容：

• 您已允许列出我们的 IP 范围
• 您的服务器/网络处于联机状态并且运行状况普遍正常

如果您联系我们的支持团队，请提供最近一次 522 错误的 Ray ID。 我们可以利用这一点来确定您访问的是哪个 CIS 数据中心，并进行进一步测试。

什么是代理记录，为何需要这些记录？

代理记录是通过 IBM CIS 来代理其流量的记录。 只有代理记录能受益于 CIS，如 IP 屏蔽，就是用 CIS IP 替换源 IP 以对其进行保护：

$ whois 104.28.22.57 | grep OrgName
OrgName:        IBM

如果您想绕过 CIS （我们仍然解析 DNS），那么不代理记录也是一种可行的解决方案。

我收到 DNS 验证错误：1004；现在怎么办？

要使页面规则有效，需要针对您的区域解析 DNS。 因此，必须有针对您区域的代理 DNS 记录。

可以为根记录添加 CNAME 吗？

需要。 IBM CIS 支持名为“CNAME 序列化”的功能，这允许用户添加 CNAME 作为根记录。 我们的权威 DNS 服务器枚举 CNAME 目标的记录并使用这些记录而不是 CNAME 自身进行响应，这实际上隐藏了用户在域根中配置了 CNAME 的事实。

缺省运行状况检查超时是多少？

免费试用和标准套餐的缺省运行状况检查超时为 60 秒。

能否针对非 HTTP/HTTPS 流量配置运行状况检查？

否，健康检查只能通过 HTTP / HTTPS 进行配置。

全球负载均衡器能否针对非 HTTP / HTTPS 流量进行配置？

不，全局负载均衡器只能配置为 HTTP / HTTPS。

禁用起源池中的所有起源是否会禁用整个池本身？

会，如果源池在负载均衡器中使用，那么流量将路由到次高优先级的池或回退池。

我的 Kubernetes Ingress 中发生错误，应该怎么办？

Kubernetes 编址中的主机名必须由小写字母数字字符 - 或 . 组成，并且必须以字母数字字符开头和结尾。 虽然允许在负载均衡器名称中使用 _，但是这可能导致在 Kubernetes 集群中发生 Ingress 错误。 建议不要在负载均衡器名称使用 -，以避免 Kubernetes 集群问题。

在尝试保存 Edge Functions 操作时收到 502 错误，应该怎么办？

请联系 IBM 支持并提供尝试保存的脚本。

如何查找服务实例 ID？

要查找服务实例标识，请在概述页面上复制 CRN。 例如：

crn:v1:test:public:internet-svcs:global:a/2c38d9a9913332006a27665dab3d26e8:836f33a5-d3e1-4bc6-876a-982a8668b1bb::

CRN 的最后一部分是服务实例：836f33a5-d3e1-4bc6-876a-982a8668b1bb。

或者，也可以单击资源列表主页面上包含 CIS 实例的行，然后复制服务实例 ID 的 GUID。

CIS 是否压缩资源?

是，CIS 将 "gzip" 和 "brotli" 压缩应用于某些类型的内容。CIS 还会根据浏览器的 UserAgent 来压缩项，以加快页面装入时间。

如果您已在使用 gzip CIS，那么只要您从 Web 服务器传递文件的头中的详细信息，就会采用 gzip 设置。

CIS 仅支持针对源服务器的内容类型 "gzip"，并且还只能交付 gzip-compressed，brotli-compressed 或不压缩的内容。

CIS的逆向代理还能够在压缩格式和未压缩格式之间进行转换，这意味着它可以通过 gzip 从客户源服务器中提取内容并将其提供给未压缩的客户 (反之亦然)。 这与高速缓存无关。

不遵守 Accept-Encoding 头并将其除去。

我可以向 CIS API 发出多少请求?

CIS API 的全局速率限制为每个用户每五分钟 1200 个请求，并且无论请求是通过 UI，CLI，Terraform 还是 API 发出，都将累积应用。

我能否将 CIS 与专用 IP 配合使用?

可以通过非代理 CIS 设置通过 DNS 查找来访问专用 IP (RFC1918)。 但是，您无法通过此设置访问 CIS的大部分高级功能，例如 CDN 和 WAF。 对于专用 IP，CIS 仅处理“名称到地址”转换。 与专用网络的连接由客户负责。

Cloudflare的网络使用什么端口范围来处理边缘流量？

启用代理后，流量将通过Cloudflare网络路由到源站服务器。 这些流量可能来自 1024-65535 范围内的任何端口。 为您的环境配置网络访问控制列表（ACL）时，请确保允许该端口范围的入站和出站流量。

CIS 如何处理时钟同步？

为满足 ISO 27001 的要求，所有相关系统必须与统一的时间源同步。 IBM CIS CIS 使用以下内部 NTP 服务器：

• time.adn.networklayer.com
• time.service.networklayer.com

CIS 如何处理流量清洗？

CIS 利用其 388 Tbps 的全球边缘网络，在不清除中心的情况下减轻大量 攻击。DDoS 在靠近源头的边缘对攻击进行分析和拦截。 只有受保护的流量（干净的请求和响应）才计费。 恶意流量被排除在外。

CIS 使用什么网络进行全球流量和健康检查？

CIS 其数据平面在 Cloudflare 的全球 Anycast 网络上运行，该网络覆盖全球数百个城市。 该网络可确保快速、可靠的流量路由和 DDoS 缓解。

健康检查请求来自该分布式网络，因此健康检查的可用区域基于 Cloudflare 全球任播网络。

CIS 如何提供成本保护？

CIS 对于作为 缓解、防火墙或速率限制的一部分而被阻止的流量，不进行计量或计费。DDoS 只有通过 CIS 网络发送到起始目的地的请求才会产生费用或使用量。

CIS 还可以通过只传递原点需要响应的良好请求，帮助控制原点的出口带宽费用。 所有 CIS 计划均可无限制、无计量地缓解 DDoS 攻击。 您永远不会因攻击流量而被收费，也不会因攻击造成的流量激增而被罚款或扣款。

CIS 是否支持出站流量过滤？

编号 CIS 旨在确保 应用程序的入站流量安全。IBM Cloud 它不会检查、记录或过滤来自虚拟服务器实例、容器或 VPC 资源等云资源的出站流量。

CIS 充当反向代理，保护进入应用程序的流量。 CIS 不具有前向代理或出口过滤器的功能。

对于出境交通管制，可以考虑

• VPC 安全组- 在实例级别控制出站端口/IP。
• VPC 网络 ACL(NACL)--子网级别的入站/出站规则。
• 防火墙设备- 在 VPC 内部署第三方防火墙。
• DNS 过滤- 使用基于 DNS 的服务来限制域。