如何使用免费试用套餐？

按照设计，免费试用套餐仅允许每个帐户一个区域。 建议您仅为每个帐户创建一个实例，并验证区域名称。 在添加区域名称之前对其进行验证至关重要。 如果删除了某个区段，在免费试用计划期间将无法添加另一个区段或相同的区段。

我可以拥有多少个免费试用实例？

每个账户在使用期限内最多只能拥有一个免费试用实例。 如果您已经拥有一个免费试用实例，如果您删除了一个免费试用实例，或者如果免费试用过期，则不允许创建另一个免费试用实例。 不过，您可以创建其他付费计划类型的实例，与您可能创建的任何免费试用计划无关。

我可以从标准版降级到免费试用版吗？

编号 不允许从“标准下一个”降级到“免费试用”套餐。

我的免费试用已到期。 我有哪些选项？

为避免数据丢失，您必须在到期日之前从免费试用版升级到标准版。 在该到期后，您只能升级计划或删除 CIS 实例。 如果在 45 天后（从启动实例开始）未删除或升级实例，配置域、全局负载平衡器、池和健康检查将自动删除。

企业软件包计划发生了什么?

从 2023 年 8 月 11 日开始，您无法再配置企业软件包套餐。 此套餐的功能在各个层之间进行了拆分，现在可以在 Enterprise Essential，Enterprise Advanced 和 Enterprise Premier 套餐中使用。 请参阅 转换更新的计划。

我在账户中添加了一个用户，并赋予该用户管理 Internet Services 实例的权限。 为什么该用户存在认证问题?

您可能没有为用户分配“服务访问角色”。 请注意两组不同的角色:

• 平台访问权
• 服务访问权

您需要平台访问角色来创建和管理服务实例，而服务访问角色在服务实例上执行特定于服务的操作。 在控制台中，可以通过选择管理 > 安全性 > 身份和访问来更新这些设置。

为什么我的域处于“暂挂”状态？ 如何将其激活？

当您在 CIS 上添加域名时，注册商（或 DNS 提供商（如果您添加的是子域））会给您一些名称服务器供您配置。 在正确配置名称服务器之前，域名或子域一直处于待定状态。 确保将两个名称服务器都添加到注册商或 DNS 提供商。 CIS 定期扫描公共 DNS 系统以检查是否按照指示配置了名称服务器。 只要 CIS 能够验证名称服务器更改 (最多可能需要 24 小时)，就会激活您的域。 您可以通过单击概述页面中的 重新检查名称服务器 来提交重新检查名称服务器的请求。

我的域的注册器是哪一个？

请参阅 https://whois.icann.org/ 以获取此信息。

要将域添加到 CIS，您必须具有管理员特权才能在注册器上编辑域的配置，以更新或添加域的名称服务器。 如果您不知道您尝试添加到 CIS的域的注册者是谁，那么您不太可能具有管理员特权。 与组织中的域所有者一起进行必要的更改。

我想为我的域名保留当前的 DNS 提供商 (example.com)。我能否将当前 DNS 提供商的一个子域（subdomain.example.com）委托给 CIS?

需要。 该过程与添加域名类似，但不是注册商，而是与高级域名的 DNS 提供商合作。 在 CIS 中添加子域时，会像往常一样提供两个名称服务器供您配置。 您要为两个名称服务器分别配置一个名称服务器 (NS) 记录，作为由其他 DNS 提供商管理的域名内的 DNS 记录。 当 CIS 能够验证已添加所需的 NS 记录时，CIS 就会激活您的子域。 如果您不管理组织内的上一级域，则必须与上一级域的所有者合作以添加 NS 记录。

我希望将我的域名加入 CIS 中，同时仍保留其当前的主要和权威 DNS 提供商。 这可能吗？

是的。CIS 支持 CNAME （部分） 配置。 如果您无法更改权威DNS提供商，则此选项允许您通过 CIS 的全球网络仅代理单个域。 部分设置完成后，记录实际解析为 CIS 取决于在权威 DNS 提供商处添加的 CNAME 记录。 请记住，CIS 在部分设置中会以不同方式解析 DNS 记录。

DNS TTL 的缺省值是什么?

以下是 DNS 生存时间 (TTL) 的缺省值 (以秒为单位)。

• 对于 A 记录和 CNAME 之类的记录，自动 TTL 为 300s。

什么是 TLS？

TLS 是一种标准安全协议，用于在联机通信中在 Web 服务器和浏览器之间建立加密链路。 TLS 证书是与网站建立 TLS 连接所必需的，它包括域名、公司名称和其他数据，如公司地址、城市、州和国家。 证书还显示到期日期和颁发证书的证书颁发机构（CA）的详细信息。

TLS 如何工作？

当浏览器启动与 TLS 保护的 Web 站点的连接时，将首先检索该站点的 TLS 证书，以检查证书是否仍然有效。 TLS 验证 CA 是否为浏览器信任的 CA，以及该证书是否由针对其发布证书的 Web 站点使用。 如果其中任何一项检查失败，将收到一个警告，指示该 Web 站点未受到有效证书的保护。

在 Web 服务器上安装 TLS 证书后，会在 Web 服务器及所连接的浏览器之间实现安全连接。 Web 站点的 URL 前缀为“https”而不是“http”，会在地址栏上显示挂锁。 如果网站使用扩展验证（EV）证书，浏览器也会显示绿色地址栏。

我为什么会看到隐私警告？

IBM Cloud CIS 发出的 TLS 证书涵盖根域 (example.com) 和一个级别的子域 (*.example.com)。如果您尝试访问二级子域 (*.*.example.com)，那么浏览器中将显示隐私警告，因为这些主机名不会添加到 SAN 中。

我们的合作证书颁发机构 (CA) 最多需要 15 分钟颁发新证书。 如果您的新证书尚未签发，浏览器中会出现隐私警告。

为什么我会看到无效的 SSL 证书错误？

如果在访问站点时看到“错误 526，无效的 SSL 证书”，这可能意味着源证书无效。 启用 CIS 代理时，在缺省 SSL 方式下，源中需要有效的 CA 签名证书，即“端到端 CA 签名”。 请注意，以前 SSL 模式的默认设置是“端到端灵活”，它会忽略来源地提供的证书的有效性。 新的默认设置仅适用于新添加的域。 如果您的域是在缺省 SSL 方式为“端到端灵活性”时添加的，将不会覆盖该设置。 您可以将模式更改为不那么严格的模式，但不建议在生产环境中这样做。

什么是 DDoS？

分布式拒绝服务 (DDoS) 攻击是一种通过使用来自多个源的流量使联机服务溢出而导致其不可用的尝试。 在 DDoS 攻击中，多个被入侵的计算机系统攻击一个目标，如服务器、网站或其他网络资源，影响目标资源的用户。

大量入局消息、连接请求或格式不正确的包传入目标系统会导致系统运行速度减慢，甚至会崩溃或停机，这样就会拒绝为合法用户或系统提供服务。 DDoS 攻击由不同的威胁参与者执行，从个人犯罪黑客到有组织犯罪团伙和政府机构。

如果受到 DDoS 攻击应该怎么办？

步骤 1： 在“概览”页面打开“防御模式”。

**步骤 2：**设置 DNS 记录以实现最高安全性。

**步骤 3：**不要对来自 IBM CIS 的请求进行速率限制或调速，我们需要带宽来帮助您解决该情况。

步骤 4： 必要时阻止特定国家和访客。

遇到 522 错误时该怎么办？

522 错误指示无法建立与源服务器（即，主机）的连接。 连接失败约 15 秒后，我们会关闭连接并显示 522 错误页面。

此问题通常是由防火墙或安全软件意外阻止了我们的 IP 地址所导致的。 由于 CIS 起着反向代理的作用，因此连接到您网站的连接看起来来自一系列 CIS IP。 此行为可能导致某些防火墙阻止这些连接，这将导致无法向站点访问者提供正确内容。

要解决此问题，请请求主机允许列出所有 CIS IP 范围，并在 此处 列出。

所有这些 IP 都必须列入允许列表，以避免出现 522 错误。 有必要检查这些范围内的任意 IP 是否会被阻止。

网络连接问题也可能导致 522 错误，因此请确认服务器和网络正常运行，且未超负荷。

如果在执行上述步骤后仍收到错误，请联系 IBM CIS 支持人员并确认以下内容：

• 您已允许列出我们的 IP 范围
• 您的服务器/网络处于联机状态并且运行状况普遍正常

如果您联系我们的支持团队，请提供最近一次 522 错误的 Ray ID。 我们可以利用这一点来确定您访问的是哪个 CIS 数据中心，并进行进一步测试。

什么是代理记录，为何需要这些记录？

代理记录是通过 IBM CIS 来代理其流量的记录。 只有代理记录能受益于 CIS，如 IP 屏蔽，就是用 CIS IP 替换源 IP 以对其进行保护：

$ whois 104.28.22.57 | grep OrgName
OrgName:        IBM

如果您想绕过 CIS （我们仍然解析 DNS），那么不代理记录也是一种可行的解决方案。

我收到 DNS 验证错误：1004；现在怎么办？

要使页面规则有效，需要针对您的区域解析 DNS。 因此，必须有针对您区域的代理 DNS 记录。

可以为根记录添加 CNAME 吗？

需要。 IBM CIS 支持名为“CNAME 序列化”的功能，这允许用户添加 CNAME 作为根记录。 我们的权威 DNS 服务器枚举 CNAME 目标的记录并使用这些记录而不是 CNAME 自身进行响应，这实际上隐藏了用户在域根中配置了 CNAME 的事实。

缺省运行状况检查超时是多少？

免费试用和标准套餐的缺省运行状况检查超时为 60 秒。

能否针对非 HTTP/HTTPS 流量配置运行状况检查？

否，健康检查只能通过 HTTP / HTTPS 进行配置。

全球负载均衡器能否针对非 HTTP / HTTPS 流量进行配置？

不，全局负载均衡器只能配置为 HTTP / HTTPS。

禁用起源池中的所有起源是否会禁用整个池本身？

会，如果源池在负载均衡器中使用，那么流量将路由到次高优先级的池或回退池。

我的 Kubernetes Ingress 中发生错误，应该怎么办？

Kubernetes 编址中的主机名必须由小写字母数字字符 - 或 . 组成，并且必须以字母数字字符开头和结尾。 虽然允许在负载均衡器名称中使用 _，但是这可能导致在 Kubernetes 集群中发生 Ingress 错误。 建议不要在负载均衡器名称使用 -，以避免 Kubernetes 集群问题。

在尝试保存 Edge Functions 操作时收到 502 错误，应该怎么办？

请联系 IBM 支持并提供尝试保存的脚本。

如何查找服务实例 ID？

要查找服务实例标识，请在概述页面上复制 CRN。 例如：

crn:v1:test:public:internet-svcs:global:a/2c38d9a9913332006a27665dab3d26e8:836f33a5-d3e1-4bc6-876a-982a8668b1bb::

CRN 的最后一部分是服务实例：836f33a5-d3e1-4bc6-876a-982a8668b1bb。

或者，也可以单击资源列表主页面上包含 CIS 实例的行，然后复制服务实例 ID 的 GUID。

CIS 是否压缩资源?

是，CIS 将 "gzip" 和 "brotli" 压缩应用于某些类型的内容。CIS 还会根据浏览器的 UserAgent 来压缩项，以加快页面装入时间。

如果您已在使用 gzip CIS，那么只要您从 Web 服务器传递文件的头中的详细信息，就会采用 gzip 设置。

CIS 仅支持针对源服务器的内容类型 "gzip"，并且还只能交付 gzip-compressed，brotli-compressed 或不压缩的内容。

CIS的逆向代理还能够在压缩格式和未压缩格式之间进行转换，这意味着它可以通过 gzip 从客户源服务器中提取内容并将其提供给未压缩的客户 (反之亦然)。 这与高速缓存无关。

不遵守 Accept-Encoding 头并将其除去。

我可以向 CIS API 发出多少请求?

CIS API 的全局速率限制为每个用户每五分钟 1200 个请求，并且无论请求是通过 UI，CLI，Terraform 还是 API 发出，都将累积应用。

对于边缘处的入局流量，我的配置的处理顺序是什么?

CIS 按以下顺序处理入局流量。

1. DDoS
2. URL 重写
3. 页面规则
4. IP 防火墙
5. WAF/防火墙规则
6. Edge Functions
7. 负载均衡器

如需了解有关流量处理方式的更多信息，请参阅 流量排序。

我能否将 CIS 与专用 IP 配合使用?

可以通过非代理 CIS 设置通过 DNS 查找来访问专用 IP (RFC1918)。 但是，您无法通过此设置访问 CIS的大部分高级功能，例如 CDN 和 WAF。 对于专用 IP，CIS 仅处理“名称到地址”转换。 与专用网络的连接由客户负责。

Cloudflare的网络使用什么端口范围来处理边缘流量？

启用代理后，流量将通过Cloudflare网络路由到源站服务器。 这些流量可能来自 1024-65535 范围内的任何端口。 为您的环境配置网络访问控制列表（ACL）时，请确保允许该端口范围的入站和出站流量。