Edge Security Acceleration：DNS相關參數介紹

參數

說明

記錄類型

選擇A/AAAA。

主機記錄

一般是指子網域名稱的首碼（如需為子網域名稱www.example.com添加記錄，主機記錄輸入www；如需為主網域名稱本身example.com添加記錄，主機記錄輸入@；如需匹配其他所有子網域名稱*.example.com，主機記錄輸入*）。

代理程式狀態

開啟代理程式狀態後，訪問該記錄的請求將獲得ESA的加速和保護。關閉代理程式狀態後，ESA僅為該記錄做DNS解析，無加速和保護效果。

記錄值/來源站點

記錄值為IP地址，例如：123.123.XXX.XXX,2001:0db8:86a3:08d3:1319:8a2e:XXXX:XXXX，多個IP間用英文半形逗號,隔開，支援填寫IPv4或IPv6地址。

回源HOST

ESA向來源站點發起資源請求時，預設會使用使用者請求時的網域名稱作為HOST頭進行請求（例如用戶端請求攜帶Host為test.example.com，則ESA向您來源站點請求時也攜帶Host為test.example.com）。如您需要ESA更改回源Host，請參考自訂回源Host。

TTL

TTL為緩衝時間，數值越小，修改記錄後各地生效時間越快，預設為自動。

備忘

非必填，自訂備忘資訊。

參數

說明

記錄類型

選擇CNAME。

主機記錄

一般是指子網域名稱的首碼（如需為子網域名稱www.example.com添加記錄，主機記錄輸入www；如需為主網域名稱本身example.com添加記錄，主機記錄輸入@；如需匹配其他所有子網域名稱*.example.com，主機記錄輸入*）。

代理程式狀態

開啟代理程式狀態後，訪問該記錄的請求將獲得ESA的加速和保護。關閉代理程式狀態後，ESA僅為該記錄做DNS解析，無加速和保護效果。

記錄值/來源站點

記錄值支援選擇網域名稱、OSS、S3 相容、負載平衡、源位址集區。

• 網域名稱：支援佈建網域名作為來源站點地址。

  說明

  來源站點網域名稱不能與加速網域名稱相同，否則會造成迴圈解析，無法回源。

• OSS：資源已儲存在阿里雲OSS中，可在下拉式清單中選擇或自訂輸入阿里雲OSS Bucket的外網網域名稱作為來源站點（不支援OSS內網網域名稱作為來源站點），例如：***.oss-cn-hangzhou.aliyuncs.com。

  說明

  • 擷取OSS外網訪問網域名稱（Endpoint）請參見訪問網域名稱。

  • OSS作為來源站點時，回源類型支援公用訪問、私人訪問-同帳號、私人訪問-跨帳號三種方式。如果回源類型選擇為私人訪問-同帳號或私人訪問-跨帳號，還需要配置鑒權相關資訊，具體請參見使用ESA加速OSS資源訪問。

  • 在不使用永久安全性權杖的情況下，也可以通過STS臨時安全性權杖實現私人訪問-跨帳號的效果，詳情請參見如何?跨帳號回源OSS私人Bucket。

  • 阿里雲ESA回源阿里雲OSS的流量優惠說明：

    • 使用者需要在控制台上把來源站點類型設定為OSS，這樣阿里雲OSS產品會將來自阿里雲ESA產品的回源流量識別為“CDN回源流出流量”，從而享受到更優惠的價格，具體可以查看OSS官網定價頁面。

    • 如果使用者在控制台上把來源站點類型誤設為網域名稱，阿里雲OSS產品會將來自阿里雲ESA產品的回源流量識別為“外網流出流量”，這種情況下就享受不到優惠價格。

• S3 相容：支援配置AWS S3 Bucket外網訪問地址作為來源站點地址。回源類型支援公用訪問和私人訪問兩種方式，如果回源類型選擇為私人訪問，還需要配置鑒權相關資訊，具體請參見使用ESA加速OSS資源訪問。

• 負載平衡：可在下拉式清單中選擇已建立的負載平衡器作為來源站點，如果您還未建立負載平衡器，請參考負載平衡器管理章節進行建立。

• 源位址集區：可在下拉式清單中選擇已建立的源位址集區作為來源站點，如果您還未建立源位址集區，請參考建立源位址集區章節進行建立。

回源HOST

• 記錄值/來源站點是網域名稱、負載平衡、源位址集區時：回源HOST的預設配置是跟隨請求HOST，表示使用用戶端請求中攜帶的HOST作為回源HOST。

• 記錄值/來源站點是OSS、S3相容時：回源HOST的預設配置是跟隨來源站點網域名稱，表示使用來源站點的網域名稱作為回源host。

TTL

TTL為緩衝時間，數值越小，修改記錄後各地生效時間越快，預設為自動。

備忘

非必填，自訂備忘資訊。

參數

說明

記錄類型

選擇MX。

主機記錄

一般是指子網域名稱的首碼（如需為子網域名稱www.example.com添加記錄，主機記錄輸入www；如需為主網域名稱本身example.com添加記錄，主機記錄輸入@；如需匹配其他所有子網域名稱*.example.com，主機記錄輸入*）。

優先順序

按郵件註冊商的要求填寫優先順序，數值越低，優先順序越高。

郵件服務

填寫您的郵件伺服器網域名稱，例如：mx.example.com。

TTL

TTL為緩衝時間，數值越小，修改記錄後各地生效時間越快，預設為自動。

備忘

非必填，自訂備忘資訊。

參數

說明

記錄類型

選擇TXT。

主機記錄

一般是指子網域名稱的首碼（如需為子網域名稱www.example.com添加記錄，主機記錄輸入www；如需為主網域名稱本身example.com添加記錄，主機記錄輸入@；如需匹配其他所有子網域名稱*.example.com，主機記錄輸入*）。

記錄值/來源站點

填寫您需要指向的文本資料。

TTL

TTL為緩衝時間，數值越小，修改記錄後各地生效時間越快，預設為自動。

備忘

非必填，自訂備忘資訊。

參數

說明

記錄類型

選擇NS。

主機記錄

一般是指子網域名稱的首碼（如需為子網域名稱www.example.com添加記錄，主機記錄輸入www；如需為主網域名稱本身example.com添加記錄，主機記錄輸入@；如需匹配其他所有子網域名稱*.example.com，主機記錄輸入*）。

記錄值/來源站點

填寫您需要指向的權威伺服器的網域名稱，如ns1.example.com。

TTL

TTL為緩衝時間，數值越小，修改記錄後各地生效時間越快，預設為自動。

備忘

非必填，自訂備忘資訊。

參數

說明

記錄類型

選擇SRV。

主機記錄

由服務名稱和協議類型組成，且服務類型和協議類型必須以底線_開頭。支援小寫字母、數字和連字號-，長度不超過253個字元。記錄形式需符合_服務名稱._協議類型.網域名稱尾碼，如_sip._udp.example.cn。

優先順序

表示記錄的優先順序，數值越低，優先順序越高。

權重

表示伺服器接收的流量比例值，數值越大，權重比例越高。

連接埠

填寫需要監聽的網路連接埠號碼。

目標

填寫伺服器對應的網域名稱，如srvhosname.example.com。

TTL

TTL為緩衝時間，數值越小，修改記錄後各地生效時間越快，預設為自動。

備忘

非必填，自訂備忘資訊。

參數

說明

記錄類型

選擇CAA。

主機記錄

一般是指子網域名稱的首碼（如需為子網域名稱www.example.com添加記錄，主機記錄輸入www；如需為主網域名稱本身example.com添加記錄，主機記錄輸入@；如需匹配其他所有子網域名稱*.example.com，主機記錄輸入*）。

標誌

一個8位不帶正負號的整數標誌欄位，通常用來控制CAA記錄的遺傳和進一步的處理。常用值為0。

標記

標籤欄位，表示不同的CA策略。常見的標籤包括：

• issue：授權指定的CA頒發認證。

• issuewild：授權指定的CA頒發萬用字元認證。

• iodef：指定違規報告的電子郵件地址或URI，通常用於收集頒發違規情況的資訊。

TTL

TTL為緩衝時間，數值越小，修改記錄後各地生效時間越快，預設為自動。

備忘

非必填，自訂備忘資訊。

參數

說明

記錄類型

選擇CERT。

主機記錄

一般是指子網域名稱的首碼（如需為子網域名稱www.example.com添加記錄，主機記錄輸入www；如需為主網域名稱本身example.com添加記錄，主機記錄輸入@；如需匹配其他所有子網域名稱*.example.com，主機記錄輸入*）。

認證類型

用於指明認證的種類，根據數位不同，含義也有所不同。以下是常見的認證類型及其對應的數字和說明：

• 0：保留欄位（尚未使用）

• 1：PKIX（X.509認證）

• 2：SPKI（Simple Public Key Infrastructure）公開金鑰

• 3：PGP（OpenPGP認證）

• 4：IPKIX（IPsec End Entity）

• 5：ISPKI（IPsec信賴第三方）

• 6：IPGP（IPsec OpenPGP Key）

• 7：ACPKIX（Attribute Certificate PKIX）

• 8：IACPKIX（Attribute Certificate PKIX IPSEC）

• 252：URI（Uniform Resource Identifier）

• 253：OID（Object Identifier）

以上只是部分常見類型，如需瞭解全部範圍內的定義或最新更新，請參考相關的RFC文檔或其他權威資料。

密鑰標記

與認證相關的標籤。

演算法

用於指示公開金鑰加密技術所使用的演算法，這些演算法通常用數字來表示。以下是常見的數字與密碼編譯演算法的對應關係：

• 0: 未分配或保留

• 1: RSA公開金鑰加密與簽名演算法（RSA）

• 2: MD2摘要密碼編譯演算法與RSA加密

• 3: MD4摘要密碼編譯演算法與RSA加密

• 4: MD5摘要密碼編譯演算法與RSA加密

• 5: SHA-1摘要演算法與RSA加密

• 6: DSA數位簽章演算法

• 7: ECDSA橢圓曲線數位簽章演算法

• 8: SHA256摘要演算法與RSA加密

• 9: SHA384摘要演算法與RSA加密

• 10: SHA512摘要演算法與RSA加密

• 11: SHA224摘要演算法與RSA加密

• 12: 不常用或備用

上述映射只是一個常見的參考，具體使用過程中，可能因標準和實現的差異有所不同。在實踐中，請務必參考具體協議的規範文檔來確保準確性。

認證(base64)

Base 64 編碼的認證。

TTL

TTL為緩衝時間，數值越小，修改記錄後各地生效時間越快，預設為自動。

備忘

非必填，自訂備忘資訊。

參數

說明

記錄類型

選擇SMIMEA。

主機記錄

一般是指子網域名稱的首碼（如需為子網域名稱www.example.com添加記錄，主機記錄輸入www；如需為主網域名稱本身example.com添加記錄，主機記錄輸入@；如需匹配其他所有子網域名稱*.example.com，主機記錄輸入*）。

使用類型

用於指定認證的用途。根據數位不同，含義也有所不同，以下是常見的使用類型值及其對應的說明：

• 0：保留（Reserved），這一值目前保留，不能使用。

• 1：S/MIME端到端加密（S/MIME End-to-End Encryption），表示用於S/MIME的端到端加密。這個認證將用於加密發送給接收者的郵件，以確保只有接收者能夠解密並讀取郵件內容。

• 2：S/MIME中間人（S/MIME Intermediary），表示用於S/MIME中間人的認證。這通常用於企業的郵件伺服器，它們可以對郵件進行檢查、過濾或存檔，然後再將其轉寄給最終接收者。

• 3：S/MIME驗證（S/MIME Validation），表示用於S/MIME簽名驗證。這個認證將用於驗證寄件者對郵件的數位簽章，以確保郵件的真實性和完整性。

選取器

用來指定認證中的哪部分資料被包含在記錄中。根據數位不同，含義也有所不同，以下是常見的選取器值及其對應的說明：

• 0：整個認證（完整的認證）。表示包含完整的X.509認證。

• 1：僅公開金鑰（SubjectPublicKeyInfo）。表示只包含認證中的公開金鑰資訊。

匹配類型

主要用於指定認證關聯的匹配類型。支援的匹配類型通常有以下幾種數字表示：

• 0：完整認證。這意味著記錄中儲存的是整個認證。

• 1：SHA-256Hash。表示記錄中儲存的是認證的SHA-256雜湊值。

• 2：SHA-512Hash。表示記錄中儲存的是認證的SHA-512雜湊值。

認證(16進位)

Base64編碼的認證關聯資料。

TTL

TTL為緩衝時間，數值越小，修改記錄後各地生效時間越快，預設為自動。

備忘

非必填，自訂備忘資訊。

參數

說明

記錄類型

選擇SSHFP。

主機記錄

一般是指子網域名稱的首碼（如需為子網域名稱www.example.com添加記錄，主機記錄輸入www；如需為主網域名稱本身example.com添加記錄，主機記錄輸入@；如需匹配其他所有子網域名稱*.example.com，主機記錄輸入*）。

演算法

SSH密鑰的演算法類型，以下是一些常見演算法的說明：

• 0：未指定

• 1：RSA（用於RSA密碼編譯演算法的公開金鑰）

• 2：DSA（用於數位簽章演算法的公開金鑰）

• 3：ECDSA（用於橢圓曲線數位簽章演算法的公開金鑰）

• 4：ED25519（用於EdDSA演算法的公開金鑰）

類型

用於在DNS中儲存SSH公開金鑰的指紋資訊，以便在用戶端通過公開金鑰認證時驗證伺服器的身份。SSHFP記錄中包含演算法類型（Algorithm）和指紋類型（Fingerprint Type）。以下是一些常見類型的說明：

• 演算法類型（Algorithm）

  • 0：預留。保留供將來使用。

  • 1：RSA。表示使用RSA演算法的公開金鑰。

  • 2：DSA。表示使用DSA演算法的公開金鑰。

  • 3：ECDSA。表示使用ECDSA演算法的公開金鑰。

  • 4：Ed25519。表示使用Ed25519演算法的公開金鑰。

• 指紋類型（Fingerprint Type）

  • 0：預留。保留供將來使用。

  • 1：SHA-1。表示使用SHA-1演算法產生的指紋。

  • 2：SHA-256。表示使用SHA-256演算法產生的指紋。

指紋(16進位)

Base64編碼的指紋資料。

TTL

TTL為緩衝時間，數值越小，修改記錄後各地生效時間越快，預設為自動。

備忘

非必填，自訂備忘資訊。

參數

說明

記錄類型

選擇TLSA。

主機記錄

一般是指子網域名稱的首碼（如需為子網域名稱www.example.com添加記錄，主機記錄輸入www；如需為主網域名稱本身example.com添加記錄，主機記錄輸入@；如需匹配其他所有子網域名稱*.example.com，主機記錄輸入*）。

使用類型

用於指定TLSA記錄的使用方法，以下是一些常見使用類型的說明：

• 0：PKIX-TA（CA 憑證發行者信任錨點），指定TLS認證是基於CA（Certificate Authority）憑證鏈結驗證的，並且CA認證是信任錨點。

• 1：PKIX-EE（CA 憑證發行者實體認證），指定TLS認證是基於CA憑證鏈結驗證的，並且驗證的是伺服器的最終實體認證。

• 2 ：DANE-TA（DANE 信任錨點），指定TLS認證是基於DNSSEC（基於網域名稱系統的認證）信任的，並且TLSA記錄中的公開金鑰是信任錨點。

• 3：DANE-EE（DANE 實體認證），指定TLS認證是基於DNSSEC信任的，並且驗證的是伺服器的最終實體認證。

選取器

用來指定認證中的哪部分資料被包含在記錄中。根據數位不同，含義也有所不同，以下是常見的選取器值及其對應的說明：

• 0：整個認證（完整的認證）。表示包含完整的X.509認證。

• 1：僅公開金鑰（SubjectPublicKeyInfo）。表示只包含認證中的公開金鑰資訊。

匹配類型

主要用於指定認證關聯的匹配類型。支援的匹配類型通常有以下幾種數字表示：

• 0：完整認證。這意味著記錄中儲存的是整個認證。

• 1：SHA-256Hash。表示記錄中儲存的是認證的SHA-256雜湊值。

• 2：SHA-512Hash。表示記錄中儲存的是認證的SHA-512雜湊值。

認證(16進位)

Base64編碼的認證關聯資料。

TTL

TTL為緩衝時間，數值越小，修改記錄後各地生效時間越快，預設為自動。

備忘

非必填，自訂備忘資訊。

參數

說明

記錄類型

選擇URI。

主機記錄

一般是指子網域名稱的首碼（如需為子網域名稱www.example.com添加記錄，主機記錄輸入www；如需為主網域名稱本身example.com添加記錄，主機記錄輸入@；如需匹配其他所有子網域名稱*.example.com，主機記錄輸入*）。

優先順序

優先順序，數值越小優先順序越高。

權重

權重，同優先順序下用以負載平衡。

目標

目標URI（資源路徑），例如https://example.com/service。

TTL

TTL為緩衝時間，數值越小，修改記錄後各地生效時間越快，預設為自動。

備忘

非必填，自訂備忘資訊。