站点接入ESA后,您需要为使用ESA加速的域名配置DNS记录,正确配置后,这些加速域名才可被正常解析和访问。
注意事项
新增或者修改DNS记录时,需要同时检查主机名和源站的值:
主机名的值不能是已经添加的某个DNS记录的主机名或者源站,也不能是某个源地址池中的源站。
源站的值不能是已经添加的某个DNS记录的主机名。
手动添加DNS记录
登录ESA控制台。
在站点管理页面,单击目标站点名称,或对应站点操作列的详情。
在左侧导航栏,选择
。单击添加记录。
在添加记录页面,根据不同的记录类型添加解析记录。
A/AAAA记录
添加A/AAAA记录可实现将域名指向IPv4或IPv6地址。
代理状态为代理加速的情况下,默认使用客户端请求中携带的HOST作为回源HOST,如需修改为其它HOST的值,请前往回源规则。
参数
说明
记录类型
选择A/AAAA。
主机记录
一般是指子域名的前缀(如需创建子域名为
www.example.com
,主机记录输入www
;如需设置主域名本身example.com
,主机记录输入@
;如需匹配其他所有子域名*.example.com
,主机记录输入*
)。代理状态
开启代理加速后,访问该记录的请求将获得ESA的加速和保护。关闭代理加速后,ESA仅为该记录做DNS解析,无加速和保护效果。
记录值/源站
记录值为IP地址,例如:123.123.XXX.XXX,2001:0db8:86a3:08d3:1319:8a2e:0370:7344,多个IP间用英文半角逗号(,)隔开,支持填写IPv4或IPv6地址。
回源HOST
回源规则中的回源host参数的生效优先级高于在DNS记录中设置的回源host参数,同时设置的情况下,回源规则中的回源host参数配置的值将会最终生效。
TTL
TTL为缓存时间,数值越小,修改记录后各地生效时间越快,默认为自动。
说明开启代理加速的DNS记录无法调整TTL。
备注
非必填。自定义备注信息。
CNAME记录
当需要将域名指向另一个域名,再由另一个域名提供IP地址,就需要添加CNAME记录。
代理状态为代理加速的情况下,默认使用客户端请求中携带的HOST作为回源HOST,如需修改为其它HOST的值,请前往回源规则。
参数
说明
记录类型
选择CNAME。
主机记录
一般是指子域名的前缀(如需创建子域名为
www.example.com
,主机记录输入www
;如需设置主域名本身example.com
,主机记录输入@
;如需匹配其他所有子域名*.example.com
,主机记录输入*
)。代理状态
开启代理加速后,访问该记录的请求将获得ESA的加速和保护。关闭代理加速后,ESA仅为该记录做DNS解析,无加速和保护效果。
记录值/源站
记录值支持选择域名、OSS、S3 兼容、负载均衡、源地址池。
域名:支持配置域名作为源站地址。
说明源站域名不能与加速域名相同,否则会造成循环解析,无法回源。
OSS:资源已存储在阿里云OSS中,可在下拉列表中选择或自定义输入阿里云OSS Bucket的外网域名作为源站(不支持OSS内网域名作为源站),例如:
***.oss-cn-hangzhou.aliyuncs.com
。说明获取OSS外网访问域名(Endpoint)请参见访问域名。
OSS作为源站时,回源类型支持公共访问、私有访问-同账号、私有访问-跨账号三种方式。如果回源类型您选择私有访问-同账号或私有访问-跨账号,还需要配置鉴权相关信息,具体请参见配置阿里云OSS源站。
阿里云ESA回源阿里云OSS的流量优惠说明:
用户需要在控制台上把源站类型设置为OSS,这样阿里云OSS产品会将来自阿里云ESA产品的回源流量识别为“CDN回源流出流量”,从而享受到更优惠的价格,具体可以查看OSS官网定价页面。
如果用户在控制台上把源站类型误设为域名,阿里云OSS产品会将来自阿里云ESA产品的回源流量识别为“外网流出流量”,这种情况下就享受不到优惠价格。
S3 兼容:支持配置AWS S3 Bucket外网访问地址作为源站地址。回源类型支持公共访问和私有访问两种方式。如果回源类型您选择私有访问,还需要配置鉴权相关信息,具体请参见配置S3兼容源站。
负载均衡:可在下拉列表中选择已创建的负载均衡器作为源站,如果您还未创建负载均衡器,请参考负载均衡器管理章节进行创建。
源地址池:可在下拉列表中选择已创建的源地址池作为源站,如果您还未创建源地址池,请参考创建源地址池章节进行创建。
回源HOST
记录值/源站是域名、负载均衡、源地址池时:
回源HOST的默认配置是跟随请求HOST,表示使用客户端请求中携带的HOST作为回源HOST。
记录值/源站是OSS、S3兼容时:
回源HOST的默认配置是跟随源站域名,表示使用源站的域名作为回源host。
TTL
TTL为缓存时间,数值越小,修改记录后各地生效时间越快,默认为自动。
说明开启代理加速的DNS记录无法调整TTL。
备注
非必填。自定义备注信息。
MX记录
当您需要将域名指向邮件服务器地址,您可以选择添加电子邮件交换MX记录。
参数
说明
记录类型
选择MX。
主机记录
一般是指子域名的前缀(如需创建子域名为
www.example.com
,主机记录输入www
;如需设置主域名本身example.com
,主机记录输入@
;如需匹配其他所有子域名*.example.com
,主机记录输入*
)。优先级
按邮件注册商的要求填写优先级,数值越低,优先级越高。
邮件服务
填写您的邮件服务器域名,例如:
mx.example.com
。TTL
TTL为缓存时间,数值越小,修改记录后各地生效时间越快,默认为自动。
备注
非必填。自定义备注信息。
TXT记录
当您需要将域名指向任意可读的文本DNS记录,如验证类信息或对外的公开信息,您可以选择添加文本TXT记录。
参数
说明
记录类型
选择TXT。
主机记录
一般是指子域名的前缀(如需创建子域名为
www.example.com
,主机记录输入www
;如需设置主域名本身example.com
,主机记录输入@
;如需匹配其他所有子域名*.example.com
,主机记录输入*
)。记录值/源站
填写您需要指向的文本数据。
TTL
TTL为缓存时间,数值越小,修改记录后各地生效时间越快,默认为自动。
备注
非必填。自定义备注信息。
NS记录
当您需要将域名委托给其他DNS服务商解析,您可以选择添加名称服务器NS记录。
参数
说明
记录类型
选择NS。
主机记录
一般是指子域名的前缀(如需创建子域名为
www.example.com
,主机记录输入www
;如需设置主域名本身example.com
,主机记录输入@
;如需匹配其他所有子域名*.example.com
,主机记录输入*
)。记录值/源站
填写您需要指向的权威服务器的域名,如
ns1.example.com
。TTL
TTL为缓存时间,数值越小,修改记录后各地生效时间越快,默认为自动。
备注
非必填。自定义备注信息。
SRV记录
当您需要将域名指向提供了特定服务的服务器,如微软系统的目录管理,您可以选择添加服务器资源SRV记录。
参数
说明
记录类型
选择SRV。
主机记录
一般是指子域名的前缀(如需创建子域名为
www.example.com
,主机记录输入www
;如需设置主域名本身example.com
,主机记录输入@
;如需匹配其他所有子域名*.example.com
,主机记录输入*
)。优先级
表示记录的优先级,数值越低,优先级越高。
权重
表示服务器接受的流量比例值,数值越大,权重比例越高。
端口
填写需要监听的网络端口号。
目标
填写服务器对应的域名,如
srvhosname.example.com
。TTL
TTL为缓存时间,数值越小,修改记录后各地生效时间越快,默认为自动。
备注
非必填。自定义备注信息。
CAA记录
CAA(Certification Authority Authorization,证书颁发机构授权)记录是一种DNS记录类型,它允许域名所有者指定哪些证书颁发机构(CAs)被授权为其域名签发SSL/TLS证书。通过配置CAA记录,可以提升安全性,防止未经授权的CA为您的域颁发证书。
参数
说明
记录类型
选择CAA。
主机记录
一般是指子域名的前缀(如需创建子域名为
www.example.com
,主机记录输入www
;如需设置主域名本身example.com
,主机记录输入@
;如需匹配其他所有子域名*.example.com
,主机记录输入*
)。标志
一个8位无符号整数标志字段,通常用来控制CAA记录的遗传和进一步的处理。常用值为0。
标记
标签字段,表示不同的CA策略。常见的标签包括:
issue:授权指定的CA颁发证书。
issuewild:授权指定的CA颁发通配符证书。
iodef:指定违规报告的电子邮件地址或URI,通常用于收集颁发违规情况的信息。
CA域名
标记字段的值,一般是CA厂商的域名或者报告URI。
TTL
TTL为缓存时间,数值越小,修改记录后各地生效时间越快,默认为自动。
备注
非必填。自定义备注信息。
CERT记录
当您需要将域名指向公钥证书地址,用于让客户端或者其他服务查询来进行验证时,您可以选择添加CERT记录。
参数
说明
记录类型
选择CERT。
主机记录
一般是指子域名的前缀(如需创建子域名为
www.example.com
,主机记录输入www
;如需设置主域名本身example.com
,主机记录输入@
;如需匹配其他所有子域名*.example.com
,主机记录输入*
)。证书类型
用于指明证书的种类,根据数字的不同,含义也有所不同。以下是常见的证书类型及其对应的数字和说明:
0:保留字段(尚未使用)
1:PKIX(X.509证书)
2:SPKI(Simple Public Key Infrastructure)公钥
3:PGP(OpenPGP证书)
4:IPKIX(IPsec End Entity)
5:ISPKI(IPsec信赖第三方)
6:IPGP(IPsec OpenPGP Key)
7:ACPKIX(Attribute Certificate PKIX)
8:IACPKIX(Attribute Certificate PKIX IPSEC)
252:URI(Uniform Resource Identifier)
253:OID(Object Identifier)
以上只是部分常见类型,如需了解全部范围内的定义或最新更新,请参考相关的RFC文档或其他权威资料。
密钥标记
与证书相关的标签。
算法
用于指示公钥加密技术所使用的算法,这些算法通常用数字来表示。以下是常见的数字与加密算法的对应关系:
0: 未分配或保留
1: RSA公钥加密与签名算法(RSA)
2: MD2摘要加密算法与RSA加密
3: MD4摘要加密算法与RSA加密
4: MD5摘要加密算法与RSA加密
5: SHA-1摘要算法与RSA加密
6: DSA数字签名算法
7: ECDSA椭圆曲线数字签名算法
8: SHA256摘要算法与RSA加密
9: SHA384摘要算法与RSA加密
10: SHA512摘要算法与RSA加密
11: SHA224摘要算法与RSA加密
12: 不常用或备用
上述映射只是一个常见的参考,具体使用过程中,可能因标准和实现的差异有所不同。在实践中,请务必参考具体协议的规范文档来确保准确性。
证书(base64)
Base64 编码的证书。
TTL
TTL为缓存时间,数值越小,修改记录后各地生效时间越快,默认为自动。
备注
非必填。自定义备注信息。
SMIMEA记录
SMIMEA记录是一种用来发布S/MIME(Secure/Multipurpose Internet Mail Extensions)证书关联的DNS记录。S/MIME是一种广泛用于电子邮件加密和数字签名的标准,它依赖于公钥基础设施(PKI)来提供邮件内容的机密性和身份验证。
参数
说明
记录类型
选择SMIMEA。
主机记录
一般是指子域名的前缀(如需创建子域名为
www.example.com
,主机记录输入www
;如需设置主域名本身example.com
,主机记录输入@
;如需匹配其他所有子域名*.example.com
,主机记录输入*
)。使用类型
用于指定证书的用途。根据数字的不同,含义也有所不同,以下是常见的使用类型值及其对应的说明:
0:保留(Reserved),这一值目前保留,不能使用。
1:S/MIME端到端加密(S/MIME End-to-End Encryption),表示用于S/MIME的端到端加密。这个证书将用于加密发送给接收者的邮件,以确保只有接收者能够解密并读取邮件内容。
2:S/MIME中间人(S/MIME Intermediary),表示用于S/MIME中间人的证书。这通常用于企业的邮件服务器,它们可以对邮件进行检查、过滤或存档,然后再将其转发给最终接收者。
3:S/MIME验证(S/MIME Validation),表示用于S/MIME签名验证。这个证书将用于验证发送者对邮件的数字签名,以确保邮件的真实性和完整性。
选择器
用来指定证书中的哪部分数据被包含在记录中。根据数字的不同,含义也有所不同,以下是常见的选择器值及其对应的说明:
0:整个证书(完整的证书)。表示包含完整的X.509证书。
1:仅公钥(SubjectPublicKeyInfo)。表示只包含证书中的公钥信息。
匹配类型
主要用于指定证书关联的匹配类型。支持的匹配类型通常有以下几种数字表示:
0:完整证书。这意味着记录中存储的是整个证书。
1:SHA-256Hash。表示记录中存储的是证书的SHA-256哈希值。
2:SHA-512Hash。表示记录中存储的是证书的SHA-512哈希值。
证书(16进制)
Base64编码的证书关联数据。
TTL
TTL为缓存时间,数值越小,修改记录后各地生效时间越快,默认为自动。
备注
非必填。自定义备注信息。
SSHFP记录
SSHFP记录用于在DNS系统中存储SSH服务器的公钥指纹信息。SSHFP记录允许客户端自动地验证远程SSH服务器的身份,以减少中间人攻击的风险。
参数
说明
记录类型
选择SSHFP。
主机记录
一般是指子域名的前缀(如需创建子域名为
www.example.com
,主机记录输入www
;如需设置主域名本身example.com
,主机记录输入@
;如需匹配其他所有子域名*.example.com
,主机记录输入*
)。算法
SSH密钥的算法类型,以下是一些常见算法的说明:
0:未指定
1:RSA(用于RSA加密算法的公钥)
2:DSA(用于数字签名算法的公钥)
3:ECDSA(用于椭圆曲线数字签名算法的公钥)
4:ED25519(用于EdDSA算法的公钥)
类型
用于在DNS中存储SSH公钥的指纹信息,以便在客户端通过公钥认证时验证服务器的身份。SSHFP记录中包含算法类型(Algorithm)和指纹类型(Fingerprint Type)。以下是一些常见类型的说明:
算法类型(Algorithm)
0:预留。不适用于任何有效使用,该值保留供将来使用。
1:RSA。表示使用RSA算法的公钥。
2:DSA。表示使用DSA算法的公钥。
3:ECDSA。表示使用ECDSA算法的公钥。
4:Ed25519。表示使用Ed25519算法的公钥。
指纹类型(Fingerprint Type)
0:预留。不适用于任何有效使用,该值保留供将来使用。
1:SHA-1。表示使用SHA-1算法生成的指纹。
2:SHA-256。表示使用SHA-256算法生成的指纹。
指纹(16进制)
Base64编码的指纹数据。
TTL
TTL为缓存时间,数值越小,修改记录后各地生效时间越快,默认为自动。
备注
非必填。自定义备注信息。
TLSA记录
TLSA记录用于为在特定端口和传输协议上提供服务的服务器关联TLS(传输层安全性)证书。
参数
说明
记录类型
选择TLSA。
主机记录
一般是指子域名的前缀(如需创建子域名为
www.example.com
,主机记录输入www
;如需设置主域名本身example.com
,主机记录输入@
;如需匹配其他所有子域名*.example.com
,主机记录输入*
)。使用类型
用于指定TLSA记录的使用方法,以下是一些常见使用类型的说明:
0:PKIX-TA(CA 证书发布者信任锚点),指定TLS证书是基于CA(Certificate Authority)证书链验证的,并且CA证书是信任锚点。
1:PKIX-EE(CA 证书发布者实体证书),指定TLS证书是基于CA证书链验证的,并且验证的是服务器的最终实体证书。
2 :DANE-TA(DANE 信任锚点),指定TLS证书是基于DNSSEC(基于域名系统的认证)信任的,并且TLSA记录中的公钥是信任锚点。
3:DANE-EE(DANE 实体证书),指定TLS证书是基于DNSSEC信任的,并且验证的是服务器的最终实体证书。
选择器
用来指定证书中的哪部分数据被包含在记录中。根据数字的不同,含义也有所不同,以下是常见的选择器值及其对应的说明:
0:整个证书(完整的证书)。表示包含完整的X.509证书。
1:仅公钥(SubjectPublicKeyInfo)。表示只包含证书中的公钥信息。
匹配类型
主要用于指定证书关联的匹配类型。支持的匹配类型通常有以下几种数字表示:
0:完整证书。这意味着记录中存储的是整个证书。
1:SHA-256Hash。表示记录中存储的是证书的SHA-256哈希值。
2:SHA-512Hash。表示记录中存储的是证书的SHA-512哈希值。
证书(16进制)
Base64编码的证书关联数据。
TTL
TTL为缓存时间,数值越小,修改记录后各地生效时间越快,默认为自动。
备注
非必填。自定义备注信息。
URI记录
URI记录用于提供将域名映射到统一资源标识符(URI)的方法。这种记录类型定义在RFC 7553中,允许DNS参与URI的解析过程,它可以链接任何形式的服务、信息或资源的位置。
参数
说明
记录类型
选择URI。
主机记录
一般是指子域名的前缀(如需创建子域名为
www.example.com
,主机记录输入www
;如需设置主域名本身example.com
,主机记录输入@
;如需匹配其他所有子域名*.example.com
,主机记录输入*
)。优先级
优先级,数值越小优先级越高。
权重
权重,同优先级下用以负载均衡。
目标
目标URI(资源路径),例如
https://example.com/service
。TTL
TTL为缓存时间,数值越小,修改记录后各地生效时间越快,默认为自动。
备注
非必填。自定义备注信息。
单击下一步。
如果您选择的记录类型为A/AAAA或CNAME,且开启了代理加速开关,您还需要选择适用的加速场景,选择后单击完成。
应用场景
说明
网站页面
适用于加速小文件和API请求动静混合的网站业务。例如:您的个人博客网站、小型UGC社区、小型电商独立站等场景。
API接口
适用于加速纯动态的API接口类业务,该类业务一般无需缓存。例如:账号密码校验接口、下单支付接口、日志上传接口、数据实时同步等场景。
图片视频
适用于加速纯静态文件的业务。例如:大量的图片下载、在线视频点播、游戏安装包等场景。
批量导入DNS记录
登录ESA控制台。
在站点管理页面,单击目标站点名称,或对应站点操作列的详情。
在左侧导航栏,选择
。单击导入。
在导入界面,单击下载文件模板,获取DNS文件导入模板并根据您业务的实际情况修改DNS文件导入模板。文件模板示例:
;主机记录 TTL IN 记录类型 记录值 $ORIGIN example.com. ; A 记录 1.example.com. 600 IN A 8.8.8.8 ; AAAA 记录 2.example.com. 600 IN AAAA 2400:cb00:2049:1::a29f:f9 ; CNAME 记录 2.example.com. 600 IN CNAME example.com. ; MX 记录 4.example.com. 600 IN MX 15 mailhost.example.com. ; TXT 记录 4.example.com. 600 IN TXT xxxxxxxxxxxxxxxxxxx ; NS 记录 4.example.com. 600 IN NS ns.example.com. ; SRV 记录 _sip._tcp.example.com. 600 IN SRV 1 5 7001 srvhostname.example.com. ; CAA 记录 hostname.example.com. 600 IN CAA 0 issue example.com ; CERT 记录 cert.example.com. 1 IN CERT 0 0 0 VEVwQk5GWXlUR3RXVVZwc1RIcGFhMGh0UVhWUGQweFJFZENNM0JSVFROV2JVd3lWbFJOTkVSS1dnPT0= ; SMIMEA 记录 smimea.example.com. 1 IN SMIMEA 12 12 12 436c6f7564666c61726520444e53 ; SSHFP 记录 sshfp.example.com. 1 IN SSHFP 12 12 436C6F7564666C61726520444E53 ; TLSA 记录 tlsa.example.com. 1 IN TLSA 12 12 12 436c6f7564666c61726520444e53 ; URI 记录 uri.example.com. 1 IN URI 12 12 "http://www.example.com/service"
完成修改后,单击选择文件上传并导入DNS记录。
说明导入后,主机记录相同的A和AAAA记录将被合并为1条A/AAAA记录。
DNS记录导入后,为需要ESA代理加速的域名开启代理加速开关并选择业务场景。
建议为您的A/AAAA、CNAME记录开启代理加速,以获得ESA带来的加速和安全防护。
请选择合适的业务场景,正确的业务场景可以进一步提升加速性能。
说明确认无误后,单击确定导入。
后续步骤
根据接入方式不同,在添加DNS记录后,您还需要进行如下操作:
通过CNAME模式接入:完成DNS记录添加后,您还需要在DNS服务商处将加速域名的DNS解析记录指向分配的CNAME域名,使访问请求转发到ESA节点上,实现全站加速、边缘计算和安全防护。具体操作请参见配置CNAME使代理加速生效。
记录类型说明
ESA DNS支持A/AAAA、CNAME、MX、TXT、SRV、AAAA、NS、CAA等记录类型。具体如下:
记录类型 | 功能描述 |
A/AAAA | IPv4/IPv6记录,支持将域名映射到IPv4/IPv6地址使用。 |
CNAME | 别名记录,支持将域名指向另外一个域名。 |
MX | 电子邮件交互记录,支持将域名指向邮件服务器地址。 |
TXT | 文本记录,是任意可读的文本DNS记录。 |
SRV | 服务器资源记录,用来标识某台服务器使用了某个服务,常见于微软系统的目录管理。 |
NS | 名称服务器记录,支持将子域名委托给其他DNS服务商解析。 |
CAA | CAA资源记录,可以限定域名颁发证书和CA(证书颁发机构)之间的联系。 |
CERT | CERT记录的目的是将与DNS名相关的证书和相关安全信息公布在一个公共的可访问位置,从而可以被客户端或者其他服务查询来进行验证。 |
SMIMEA | SMIMEA记录是一种用来发布S/MIME(Secure/Multipurpose Internet Mail Extensions)证书关联的DNS记录。S/MIME是一种广泛用于电子邮件加密和数字签名的标准,它依赖于公钥基础设施(PKI)来提供邮件内容的机密性和身份验证。 |
SSHFP | SSHFP记录用于在DNS系统中存储SSH服务器的公钥指纹信息。SSHFP记录允许客户端自动地验证远程SSH服务器的身份,以减少中间人攻击的风险。 |
TLSA | TLSA记录用于为在特定端口和传输协议上提供服务的服务器关联TLS(传输层安全性)证书。 |
URI | 用于提供将域名映射到统一资源标识符(URI)的方法。这种记录类型定义在RFC 7553中,允许DNS参与URI的解析过程,它可以链接任何形式的服务、信息或资源的位置。 |