摘要：長(zhǎng)期維護(hù)該內(nèi)核通用源碼包，目前已經(jīng)支持和等絕大多數(shù)的發(fā)行版。選擇的加速區(qū)域在中國(guó)大陸地區(qū)之外，無(wú)論客戶端在哪訪問(wèn)都不需要備案。網(wǎng)站或場(chǎng)景是否可以使用可以使用，全球動(dòng)態(tài)加速支持透?jìng)骰卦础?/p>

FAQ

加速配置和加速線路的關(guān)系

1、帶寬共享功能：一個(gè)加速線路可以被多個(gè)加速配置綁定，這些加速配置共享加速線路的帶寬；
2、一個(gè)加速配置可以綁定多個(gè)加速線路。
3、刪除加速配置不會(huì)影響加速線路，加速線路仍存在；
4、若加速線路上綁定了加速配置，該加速線路不能刪除；若加速線路上無(wú)任何加速配置，該加速線路可以刪除。

為什么看到大量固定的IP地址在訪問(wèn)源站服務(wù)器？

這些地址是加速集群轉(zhuǎn)發(fā)節(jié)點(diǎn)IP，起到兩個(gè)作用：
1、傳輸您的業(yè)務(wù)數(shù)據(jù)流量（可通過(guò)toa模塊獲取訪問(wèn)者真實(shí)IP）
2、對(duì)源站服務(wù)器定時(shí)做健康檢查
對(duì)源站服務(wù)器做健康檢查是通過(guò)TCP三次握手的原理來(lái)探測(cè)源站可用性，為短連接。對(duì)于UDP端口 暫不支持健康檢查。

注意：源站相關(guān)的云服務(wù)商或IDC安全策略，可能對(duì)短時(shí)間內(nèi)大量的tcp短連接比較敏感，例如友商的安騎士、云盾會(huì)在您不知情的情況下誤殺這類(lèi)IP。安全起見(jiàn)，建議在加速線路詳情頁(yè)獲得出口EIP列表后 提前加入到云盾白名單內(nèi)（包括友商的CDN廠商信任列表，WAF產(chǎn)品白名單）。

如何獲取訪問(wèn)者真實(shí)IP？

由于經(jīng)過(guò)加速線路，發(fā)生了nat轉(zhuǎn)換，在業(yè)務(wù)日志中看到的來(lái)源客戶端IP變?yōu)镻athX的出口IP。 如果需要獲取真實(shí)的客戶端IP 可以在您的源站服務(wù)器上加載UCloud定制開(kāi)發(fā)的內(nèi)核toa模塊，讓?xiě)?yīng)用無(wú)需修改代碼 不用重新部署即可獲取到真實(shí)的來(lái)源客戶端IP。 注意：toa模塊目前僅支持ipv4 不支持ipv6。 如果您的源站監(jiān)聽(tīng)了ipv6地址端口 無(wú)法通過(guò)此途徑獲取真實(shí)客戶端IP的，需要修改監(jiān)聽(tīng)方式。

Linux系統(tǒng)
UCloud快杰主機(jī)上已經(jīng)安裝好toa模塊，執(zhí)行"modprobe toa"即可加載該模塊，如加載成功后無(wú)需其他操作。
如提示未找到該模塊或非快杰主機(jī)，可按如下簡(jiǎn)單步驟進(jìn)行手工編譯與加載：

1.查看當(dāng)前內(nèi)核版本號(hào)，確認(rèn)依賴(lài)"kernel-devel、kernel-headers"是否安裝以及版本號(hào)是否與內(nèi)核一致(uname
-r && rpm -qa |egrep kernel-devel|kernel-headers)：
若一致，跳過(guò)步驟2，進(jìn)行toa模塊的編譯安裝
若不一致，如下圖：
需要卸載后進(jìn)行步驟2操作(rpm -e
--nodeps kernel-devel kernel-headers)
若未安裝依賴(lài)，如下圖：

2.yum搜索是否有與當(dāng)前內(nèi)核版本對(duì)應(yīng)的kernel-devel、kernel-headers
若有，則安裝對(duì)用版本（yum install pkgname-version.x86_64）
若無(wú)，如下圖

則打開(kāi)網(wǎng)站 http://rpm.pbone.net 點(diǎn)擊左側(cè)SEARCH標(biāo)簽，填入包名+版本號(hào)（如：kernel-devel-3.10.0-693.11.6.el7.x86_64），選擇對(duì)應(yīng)的系統(tǒng)發(fā)行版本（此處為CentOS7），點(diǎn)擊搜索
搜索結(jié)果：
或使用谷歌用關(guān)鍵字“rpm.pbone.net
kernel-devel-3.10.0-693.11.6.el7.x86_64”搜索
下載后rpm方式安裝，kernel-headers的安裝同理
確認(rèn)安裝結(jié)果（uname -r && rpm -qa
|egrep kernel-devel|kernel-headers），如下圖：

1. 下載內(nèi)核小版本對(duì)應(yīng)的kernel-devel kernel-headers rpm安裝包 除了通過(guò)搜索引擎或rpmfind等途徑找到，歷史版本的centos系統(tǒng)，可以去 https://vault.centos.org/ 看看對(duì)應(yīng)centos版本x86_64/os/packages目錄。
2. UCloud長(zhǎng)期維護(hù)該linux內(nèi)核通用toa源碼包，目前已經(jīng)支持Centos 6.9和Centos 7、Centos 8、ubuntu14.04等絕大多數(shù)的linux發(fā)行版。

中國(guó)大陸地區(qū)下載地址：
wget http://pathx.cn-bj.ufileos.com/linux_toa.tar.gz

中國(guó)大陸之外地區(qū)下載地址：
wget http://toa.hk.ufileos.com/linux_toa.tar.gz

4.編譯加載toa模塊過(guò)程，由于操作系統(tǒng)和內(nèi)核版本不斷更新，編譯過(guò)程可能會(huì)出現(xiàn)文檔中未能描述的情形，如編譯報(bào)錯(cuò)提示：缺少其他模塊或內(nèi)核函數(shù)簽名錯(cuò)誤，除了善用搜索引擎安裝對(duì)應(yīng)模塊，
您可聯(lián)系技術(shù)支持尋求幫助。

yum install -y gcc
tar -zxvf linux_toa.tar.gz
cd linux_toa
make
mv toa.ko /lib/modules/`uname -r`/kernel/net/netfilter/ipvs/toa.ko
insmod /lib/modules/`uname -r`/kernel/net/netfilter/ipvs/toa.ko

toa模塊安裝驗(yàn)證如下（lsmod |grep toa）：

5.添加開(kāi)機(jī)模塊自動(dòng)加載

echo "insmod /lib/modules/`uname -r`/kernel/net/netfilter/ipvs/toa.ko"
>> /etc/rc.local

nginx 環(huán)境下，直接在nginx 日志中查看真實(shí)訪問(wèn)者地址 日志路徑： /var/log/nginx/access.log

apache環(huán)境下，直接在apache日志中查看真實(shí)訪問(wèn)者地址

日志路徑：/etc/httpd/logs/access_log

• 其他web配置環(huán)境， 采用同樣方法在相關(guān)web 日志文件中檢查即可

安裝了toa 仍然無(wú)法查看真實(shí)客戶端IP

toa原理是從tcp包中取出option字段，解析出真實(shí)客戶端IP，最后通過(guò)內(nèi)核鉤子函數(shù)完成替換，服務(wù)程序調(diào)用的socket庫(kù)可以通過(guò)getpeername方法獲取到真實(shí)客戶端IP。由于toa目前不支持ipv6 如果源站服務(wù)監(jiān)聽(tīng)了ipv6地址，如golang服務(wù)默認(rèn)監(jiān)聽(tīng)方式，也會(huì)導(dǎo)致無(wú)法獲取真實(shí)客戶端IP，需要業(yè)務(wù)調(diào)整服務(wù)監(jiān)聽(tīng)方式。如果必須支持ipv6棧下獲取真實(shí)客戶端IP請(qǐng)聯(lián)系我們討論解決方案。

如果整條鏈路轉(zhuǎn)發(fā)過(guò)程中出現(xiàn)了tcp連接截?cái)嗟那闆r，分成兩段tcp連接。如在rs前使用了七層負(fù)載均衡或tcp請(qǐng)求代理模式，就會(huì)導(dǎo)致安裝toa成功，仍然獲取不到真實(shí)客戶端IP：

1）client -------> pathx 4層轉(zhuǎn)發(fā) --------- tcp packet (option字段包含：客戶端IP ) --------> 7層負(fù)載均衡或tcp請(qǐng)求代理負(fù)載均衡 ----------tcp packet (option字段不再包含 客戶端IP) --------> 源站RS（安裝toa 不能獲取客戶端IP）

2）client -------> pathx 4層轉(zhuǎn)發(fā) --------- tcp packet (option字段包含：客戶端IP ) --------> 源站RS（安裝toa 可以獲取客戶端IP）

3）client--------> pathx 4層轉(zhuǎn)發(fā) --------- tcp packet (option字段包含：客戶端IP ) --------> 4層負(fù)載均衡（ulb4開(kāi)啟報(bào)文轉(zhuǎn)發(fā) 或 AWS NLB開(kāi)啟保留源IP） ----------tcp packet (option字段包含 客戶端IP) --------> 源站RS（安裝toa 可以獲取客戶端IP）

如果使用http協(xié)議場(chǎng)景，七層轉(zhuǎn)發(fā) 不需要安裝toa模塊就可以獲取真實(shí)客戶端IP：

4）client--------> pathx 7層轉(zhuǎn)發(fā) ------X-Forwarded-For---------> 各類(lèi)LB --------> 源站RS（從http header獲取客戶端IP）

5）client--------> pathx 7層轉(zhuǎn)發(fā) ------X-Forwarded-For---------> 源站RS（從http header獲取客戶端IP）

如何查看PathX的回源IP（靠近源站一側(cè)的轉(zhuǎn)發(fā)節(jié)點(diǎn)IP）？

請(qǐng)?jiān)赑athX資源詳情頁(yè)查看，需要在源站設(shè)置白名單時(shí)可供參考。這些IP在碰到ddos攻擊或機(jī)房網(wǎng)絡(luò)裁撤情況下會(huì)發(fā)生變化。加速域名解析出來(lái)的IP是靠近客戶端一側(cè)的接入點(diǎn)IP，在發(fā)生ddos攻擊或機(jī)房網(wǎng)絡(luò)裁撤情況下會(huì)發(fā)生變化。

非UCloud服務(wù)器是否可以使用全球動(dòng)態(tài)加速？

可以，只要是公網(wǎng)路由可達(dá)的服務(wù)器即可。

網(wǎng)站是否需要備案？

1）選擇的加速區(qū)域在中國(guó)大陸地區(qū)，當(dāng)業(yè)務(wù)域名CName到加速域名后，需要在中華人民共和國(guó)工業(yè)和信息化部完成相關(guān)備案（console設(shè)有備案申請(qǐng)入口）。

2）選擇的加速區(qū)域在中國(guó)大陸地區(qū)之外，無(wú)論客戶端在哪訪問(wèn)都不需要備案。

3）使用PathX作為國(guó)內(nèi)CDN回源海外服務(wù)器的加速器時(shí)，回源http(s)請(qǐng)求會(huì)經(jīng)過(guò)PathX國(guó)內(nèi)機(jī)房節(jié)點(diǎn)，備案系統(tǒng)會(huì)在機(jī)房pop點(diǎn)檢查http header中host字段保存的域名是否做過(guò)備案。雖然此時(shí)cname沒(méi)有解析到加速域名，仍然需要申請(qǐng)備案。

全球動(dòng)態(tài)加速和CDN加速有區(qū)別嗎？

CDN在邊緣節(jié)點(diǎn)對(duì)資源緩存實(shí)現(xiàn)訪問(wèn)提速，緩存的對(duì)象為靜態(tài)媒體資源。全鏈路在公網(wǎng)上，跨國(guó)回源的線路不太穩(wěn)定。國(guó)外領(lǐng)先的CDN廠商對(duì)回源網(wǎng)絡(luò)做了深度優(yōu)化，受政策影響，在某些地區(qū)節(jié)點(diǎn)數(shù)量有限，需要其他產(chǎn)品輔助。

全球應(yīng)用加速優(yōu)化的是從客戶端到源站的跨國(guó)(洲)網(wǎng)絡(luò)質(zhì)量，依托UCloud的專(zhuān)線調(diào)度能力，控制丟包和延遲，不支持應(yīng)用數(shù)據(jù)緩存，每次請(qǐng)求都會(huì)訪問(wèn)源站獲取資源數(shù)據(jù)。適合支付、登陸、聊天、長(zhǎng)連接等場(chǎng)景。同時(shí)支持websocket，http等應(yīng)用層協(xié)議，在靠近客戶端一側(cè)提前終結(jié)tcp連接，端到端長(zhǎng)連接優(yōu)化，可以使鏈路速度大幅提升。

HTTP(s)網(wǎng)站或API場(chǎng)景是否可以使用？

1）可以使用，全球動(dòng)態(tài)加速支持tcp透?jìng)骰卦础Ｔ诳刂婆_(tái)配置 TCP 80或443端口，證書(shū)仍然部署在您的業(yè)務(wù)服務(wù)器上，不需要其他設(shè)置。

2）如果您的業(yè)務(wù)場(chǎng)景需要就近Offloading SSL 用HTTP協(xié)議回源，可以使用PathX 7層端口轉(zhuǎn)發(fā)中HTTPS-HTTP方式。

3）如果您使用的HTTP(s)請(qǐng)求，源站不方便安裝TOA模塊 又想獲得真實(shí)客戶端IP，可以使用PathX HTTPS-HTTPS或HTTP-HTTP轉(zhuǎn)發(fā)方式。

什么是多地接入？

以中國(guó)(多地)到香港的加速為例，創(chuàng)建加速后，華北、華東、華南的用戶訪問(wèn)同一個(gè)加速域名，但解析出的IP不同，這些IP分別對(duì)應(yīng)pathx在三個(gè)地區(qū)的入口，也即，不同區(qū)域的用戶訪問(wèn)pathx加速域名會(huì)解析出離用戶最近的加速入口IP。

資源使用一段時(shí)間后，PathX或GlobalSSH的加速域名+端口突然無(wú)法正常訪問(wèn)，而源站+端口可以正常訪問(wèn)

用curl測(cè)試一般會(huì)報(bào)"curl: (56) Failure when receiving data from the peer"
用telnet測(cè)試 提示連接成功后，立即收到"Reset By Remote Peer"
重點(diǎn)！重點(diǎn)！重點(diǎn)！用nc測(cè)試，則提示連接成功建立。

1. 檢查源站是否有安全策略設(shè)置，如阿里云的安騎士（云盾會(huì)在用戶不做任何配置情況下自動(dòng)封堵，需要開(kāi)啟白名單IP保護(hù) CDN信任廠商），fail2ban等，若有，可以從console資源詳情頁(yè)獲取pathx或globalssh 出口ip加入白名單。
2. 以上不能解決您的問(wèn)題，請(qǐng)先提工單咨詢(xún)您的源站服務(wù)器供應(yīng)商，是否有自動(dòng)封堵不明來(lái)源IP的安全策略。
3. 檢查系統(tǒng)參數(shù)設(shè)置

   net.ipv4.tcp_timestamps = 1
   net.ipv4.tcp_tw_recycle = 0
   net.ipv4.tcp_tw_reuse = 1

開(kāi)啟tcp_tw_resuse足夠進(jìn)行TCP連接的回收（作為客戶端壓測(cè)或向外大量發(fā)請(qǐng)求時(shí)有效），tcp_tw_recycle由于設(shè)計(jì)的時(shí)間較為早期，并沒(méi)有考慮NAT技術(shù)在如今公網(wǎng)已經(jīng)普及，會(huì)導(dǎo)致經(jīng)過(guò)NAT（諸如網(wǎng)吧、4G、WIFI）用戶部分的連接失敗。當(dāng)前這個(gè)參數(shù)已經(jīng)基本廢棄。提升tcp回收速度，也可以通過(guò)減小tcp等待timeout的時(shí)間來(lái)實(shí)現(xiàn)。

源站是否可以修改？

2020年7月開(kāi)始，PathX加速源站支持修改，在加速配置詳情頁(yè)，可以修改為新的源站IP或域名，原加速域名和端口不變。注意修改源站后，可能會(huì)發(fā)生短暫的服務(wù)中斷，需要客戶端重連。

pathX欠費(fèi)回收后是否可以找回？

回收后無(wú)法找回。此時(shí)資源在我司的資源和計(jì)費(fèi)系統(tǒng)被標(biāo)記刪除，需要重新創(chuàng)建資源。

pathX是否可配置帶寬告警？

可在加速線路詳情頁(yè)"告警模板"處配置，支持帶寬絕對(duì)值和帶寬使用率告警，在加速線路詳情頁(yè)和加速配置頁(yè)，下拉列表可以選擇不同加速區(qū)域 方便定位帶寬占比較高的入口。

pathX的限流措施

PathX按購(gòu)買(mǎi)帶寬限流，當(dāng)實(shí)時(shí)帶寬（出向帶寬與入向帶寬的最大值）超過(guò)購(gòu)買(mǎi)帶寬時(shí)會(huì)觸發(fā)限流，限流會(huì)引起丟包率上升，連接中斷等現(xiàn)象發(fā)生，當(dāng)實(shí)時(shí)帶寬低于購(gòu)買(mǎi)帶寬時(shí)限流會(huì)自動(dòng)解除。請(qǐng)?jiān)诰€路詳情頁(yè)配置帶寬使用率告警。PathX帶寬監(jiān)控?cái)?shù)據(jù)需要?jiǎng)討B(tài)采集計(jì)算，分布于全球各地機(jī)房有1-2分鐘的滯后，導(dǎo)致短時(shí)間內(nèi)實(shí)際帶寬會(huì)大幅跑過(guò)購(gòu)買(mǎi)帶寬，等到帶寬上報(bào)完成后下發(fā)限流指令會(huì)引起嚴(yán)重的丟包情況。

海外SD-WAN是否會(huì)支持從海外訪問(wèn)中國(guó)大陸地區(qū)或從中國(guó)大陸地區(qū)訪問(wèn)海外的線路？

目前僅支持加速區(qū)域和源站均在海外的線路。

加速配置相關(guān)能力限制說(shuō)明

1）加速區(qū)域數(shù)量：不限制；

2）端口數(shù)量：50；

3）4層和七層協(xié)議支持情況：http(s) websocket(s) 4層轉(zhuǎn)發(fā)可擴(kuò)展http2 quic ipsec-vpn rtmp rtc等協(xié)議，ssl-vpn需要非標(biāo)支持，不支持ftp訪問(wèn)。

4）4層端口轉(zhuǎn)發(fā)：普通集群上，并發(fā)連接數(shù)限制10000；

5）7層端口轉(zhuǎn)發(fā)：普通集群上，單個(gè)源IP（客戶端）并發(fā)限制100，最大并發(fā)連接數(shù)4000，https請(qǐng)求會(huì)低一些；支持選用高性能集群，有需要的可以隨時(shí)聯(lián)系我們。

源站域名和源站多個(gè)IP，如何處理負(fù)載均衡？

1） 如果填寫(xiě)的源站域名解析出來(lái)多個(gè)IP 每隔30s會(huì)對(duì)全部源站IP+端口組合（暫時(shí)不包括UDP協(xié)議端口）做一次健康檢查，踢掉健康檢查失敗的源站節(jié)點(diǎn)；

2） 客戶端新增的連接請(qǐng)求采用輪詢(xún)方式在多個(gè)源站IP節(jié)點(diǎn)間分發(fā)；

實(shí)時(shí)文檔歡迎訪問(wèn)：https://docs.ucloud.cn/pathx/faq