摘要：長期維護(hù)該內(nèi)核通用源碼包，目前已經(jīng)支持和等絕大多數(shù)的發(fā)行版。選擇的加速區(qū)域在中國大陸地區(qū)之外，無論客戶端在哪訪問都不需要備案。網(wǎng)站或場景是否可以使用可以使用，全球動態(tài)加速支持透傳回源。

FAQ

加速配置和加速線路的關(guān)系

1、帶寬共享功能：一個加速線路可以被多個加速配置綁定，這些加速配置共享加速線路的帶寬；
2、一個加速配置可以綁定多個加速線路。
3、刪除加速配置不會影響加速線路，加速線路仍存在；
4、若加速線路上綁定了加速配置，該加速線路不能刪除；若加速線路上無任何加速配置，該加速線路可以刪除。

為什么看到大量固定的IP地址在訪問源站服務(wù)器？

這些地址是加速集群轉(zhuǎn)發(fā)節(jié)點(diǎn)IP，起到兩個作用：
1、傳輸您的業(yè)務(wù)數(shù)據(jù)流量（可通過toa模塊獲取訪問者真實(shí)IP）
2、對源站服務(wù)器定時做健康檢查
對源站服務(wù)器做健康檢查是通過TCP三次握手的原理來探測源站可用性，為短連接。對于UDP端口 暫不支持健康檢查。

注意：源站相關(guān)的云服務(wù)商或IDC安全策略，可能對短時間內(nèi)大量的tcp短連接比較敏感，例如友商的安騎士、云盾會在您不知情的情況下誤殺這類IP。安全起見，建議在加速線路詳情頁獲得出口EIP列表后 提前加入到云盾白名單內(nèi)（包括友商的CDN廠商信任列表，WAF產(chǎn)品白名單）。

如何獲取訪問者真實(shí)IP？

由于經(jīng)過加速線路，發(fā)生了nat轉(zhuǎn)換，在業(yè)務(wù)日志中看到的來源客戶端IP變?yōu)镻athX的出口IP。 如果需要獲取真實(shí)的客戶端IP 可以在您的源站服務(wù)器上加載UCloud定制開發(fā)的內(nèi)核toa模塊，讓應(yīng)用無需修改代碼 不用重新部署即可獲取到真實(shí)的來源客戶端IP。 注意：toa模塊目前僅支持ipv4 不支持ipv6。 如果您的源站監(jiān)聽了ipv6地址端口 無法通過此途徑獲取真實(shí)客戶端IP的，需要修改監(jiān)聽方式。

Linux系統(tǒng)
UCloud快杰主機(jī)上已經(jīng)安裝好toa模塊，執(zhí)行"modprobe toa"即可加載該模塊，如加載成功后無需其他操作。
如提示未找到該模塊或非快杰主機(jī)，可按如下簡單步驟進(jìn)行手工編譯與加載：

1.查看當(dāng)前內(nèi)核版本號，確認(rèn)依賴"kernel-devel、kernel-headers"是否安裝以及版本號是否與內(nèi)核一致(uname
-r && rpm -qa |egrep kernel-devel|kernel-headers)：
若一致，跳過步驟2，進(jìn)行toa模塊的編譯安裝
若不一致，如下圖：
需要卸載后進(jìn)行步驟2操作(rpm -e
--nodeps kernel-devel kernel-headers)
若未安裝依賴，如下圖：

2.yum搜索是否有與當(dāng)前內(nèi)核版本對應(yīng)的kernel-devel、kernel-headers
若有，則安裝對用版本（yum install pkgname-version.x86_64）
若無，如下圖

則打開網(wǎng)站 http://rpm.pbone.net 點(diǎn)擊左側(cè)SEARCH標(biāo)簽，填入包名+版本號（如：kernel-devel-3.10.0-693.11.6.el7.x86_64），選擇對應(yīng)的系統(tǒng)發(fā)行版本（此處為CentOS7），點(diǎn)擊搜索
搜索結(jié)果：
或使用谷歌用關(guān)鍵字“rpm.pbone.net
kernel-devel-3.10.0-693.11.6.el7.x86_64”搜索
下載后rpm方式安裝，kernel-headers的安裝同理
確認(rèn)安裝結(jié)果（uname -r && rpm -qa
|egrep kernel-devel|kernel-headers），如下圖：

1. 下載內(nèi)核小版本對應(yīng)的kernel-devel kernel-headers rpm安裝包 除了通過搜索引擎或rpmfind等途徑找到，歷史版本的centos系統(tǒng)，可以去 https://vault.centos.org/ 看看對應(yīng)centos版本x86_64/os/packages目錄。
2. UCloud長期維護(hù)該linux內(nèi)核通用toa源碼包，目前已經(jīng)支持Centos 6.9和Centos 7、Centos 8、ubuntu14.04等絕大多數(shù)的linux發(fā)行版。

中國大陸地區(qū)下載地址：
wget http://pathx.cn-bj.ufileos.com/linux_toa.tar.gz

中國大陸之外地區(qū)下載地址：
wget http://toa.hk.ufileos.com/linux_toa.tar.gz

4.編譯加載toa模塊過程，由于操作系統(tǒng)和內(nèi)核版本不斷更新，編譯過程可能會出現(xiàn)文檔中未能描述的情形，如編譯報錯提示：缺少其他模塊或內(nèi)核函數(shù)簽名錯誤，除了善用搜索引擎安裝對應(yīng)模塊，
您可聯(lián)系技術(shù)支持尋求幫助。

yum install -y gcc
tar -zxvf linux_toa.tar.gz
cd linux_toa
make
mv toa.ko /lib/modules/`uname -r`/kernel/net/netfilter/ipvs/toa.ko
insmod /lib/modules/`uname -r`/kernel/net/netfilter/ipvs/toa.ko

toa模塊安裝驗證如下（lsmod |grep toa）：

5.添加開機(jī)模塊自動加載

echo "insmod /lib/modules/`uname -r`/kernel/net/netfilter/ipvs/toa.ko"
>> /etc/rc.local

nginx 環(huán)境下，直接在nginx 日志中查看真實(shí)訪問者地址 日志路徑： /var/log/nginx/access.log

apache環(huán)境下，直接在apache日志中查看真實(shí)訪問者地址

日志路徑：/etc/httpd/logs/access_log

• 其他web配置環(huán)境， 采用同樣方法在相關(guān)web 日志文件中檢查即可

安裝了toa 仍然無法查看真實(shí)客戶端IP

toa原理是從tcp包中取出option字段，解析出真實(shí)客戶端IP，最后通過內(nèi)核鉤子函數(shù)完成替換，服務(wù)程序調(diào)用的socket庫可以通過getpeername方法獲取到真實(shí)客戶端IP。由于toa目前不支持ipv6 如果源站服務(wù)監(jiān)聽了ipv6地址，如golang服務(wù)默認(rèn)監(jiān)聽方式，也會導(dǎo)致無法獲取真實(shí)客戶端IP，需要業(yè)務(wù)調(diào)整服務(wù)監(jiān)聽方式。如果必須支持ipv6棧下獲取真實(shí)客戶端IP請聯(lián)系我們討論解決方案。

如果整條鏈路轉(zhuǎn)發(fā)過程中出現(xiàn)了tcp連接截斷的情況，分成兩段tcp連接。如在rs前使用了七層負(fù)載均衡或tcp請求代理模式，就會導(dǎo)致安裝toa成功，仍然獲取不到真實(shí)客戶端IP：

1）client -------> pathx 4層轉(zhuǎn)發(fā) --------- tcp packet (option字段包含：客戶端IP ) --------> 7層負(fù)載均衡或tcp請求代理負(fù)載均衡 ----------tcp packet (option字段不再包含 客戶端IP) --------> 源站RS（安裝toa 不能獲取客戶端IP）

2）client -------> pathx 4層轉(zhuǎn)發(fā) --------- tcp packet (option字段包含：客戶端IP ) --------> 源站RS（安裝toa 可以獲取客戶端IP）

3）client--------> pathx 4層轉(zhuǎn)發(fā) --------- tcp packet (option字段包含：客戶端IP ) --------> 4層負(fù)載均衡（ulb4開啟報文轉(zhuǎn)發(fā) 或 AWS NLB開啟保留源IP） ----------tcp packet (option字段包含 客戶端IP) --------> 源站RS（安裝toa 可以獲取客戶端IP）

如果使用http協(xié)議場景，七層轉(zhuǎn)發(fā) 不需要安裝toa模塊就可以獲取真實(shí)客戶端IP：

4）client--------> pathx 7層轉(zhuǎn)發(fā) ------X-Forwarded-For---------> 各類LB --------> 源站RS（從http header獲取客戶端IP）

5）client--------> pathx 7層轉(zhuǎn)發(fā) ------X-Forwarded-For---------> 源站RS（從http header獲取客戶端IP）

如何查看PathX的回源IP（靠近源站一側(cè)的轉(zhuǎn)發(fā)節(jié)點(diǎn)IP）？

請在PathX資源詳情頁查看，需要在源站設(shè)置白名單時可供參考。這些IP在碰到ddos攻擊或機(jī)房網(wǎng)絡(luò)裁撤情況下會發(fā)生變化。加速域名解析出來的IP是靠近客戶端一側(cè)的接入點(diǎn)IP，在發(fā)生ddos攻擊或機(jī)房網(wǎng)絡(luò)裁撤情況下會發(fā)生變化。

非UCloud服務(wù)器是否可以使用全球動態(tài)加速？

可以，只要是公網(wǎng)路由可達(dá)的服務(wù)器即可。

網(wǎng)站是否需要備案？

1）選擇的加速區(qū)域在中國大陸地區(qū)，當(dāng)業(yè)務(wù)域名CName到加速域名后，需要在中華人民共和國工業(yè)和信息化部完成相關(guān)備案（console設(shè)有備案申請入口）。

2）選擇的加速區(qū)域在中國大陸地區(qū)之外，無論客戶端在哪訪問都不需要備案。

3）使用PathX作為國內(nèi)CDN回源海外服務(wù)器的加速器時，回源http(s)請求會經(jīng)過PathX國內(nèi)機(jī)房節(jié)點(diǎn)，備案系統(tǒng)會在機(jī)房pop點(diǎn)檢查http header中host字段保存的域名是否做過備案。雖然此時cname沒有解析到加速域名，仍然需要申請備案。

全球動態(tài)加速和CDN加速有區(qū)別嗎？

CDN在邊緣節(jié)點(diǎn)對資源緩存實(shí)現(xiàn)訪問提速，緩存的對象為靜態(tài)媒體資源。全鏈路在公網(wǎng)上，跨國回源的線路不太穩(wěn)定。國外領(lǐng)先的CDN廠商對回源網(wǎng)絡(luò)做了深度優(yōu)化，受政策影響，在某些地區(qū)節(jié)點(diǎn)數(shù)量有限，需要其他產(chǎn)品輔助。

全球應(yīng)用加速優(yōu)化的是從客戶端到源站的跨國(洲)網(wǎng)絡(luò)質(zhì)量，依托UCloud的專線調(diào)度能力，控制丟包和延遲，不支持應(yīng)用數(shù)據(jù)緩存，每次請求都會訪問源站獲取資源數(shù)據(jù)。適合支付、登陸、聊天、長連接等場景。同時支持websocket，http等應(yīng)用層協(xié)議，在靠近客戶端一側(cè)提前終結(jié)tcp連接，端到端長連接優(yōu)化，可以使鏈路速度大幅提升。

HTTP(s)網(wǎng)站或API場景是否可以使用？

1）可以使用，全球動態(tài)加速支持tcp透傳回源。在控制臺配置 TCP 80或443端口，證書仍然部署在您的業(yè)務(wù)服務(wù)器上，不需要其他設(shè)置。

2）如果您的業(yè)務(wù)場景需要就近Offloading SSL 用HTTP協(xié)議回源，可以使用PathX 7層端口轉(zhuǎn)發(fā)中HTTPS-HTTP方式。

3）如果您使用的HTTP(s)請求，源站不方便安裝TOA模塊 又想獲得真實(shí)客戶端IP，可以使用PathX HTTPS-HTTPS或HTTP-HTTP轉(zhuǎn)發(fā)方式。

什么是多地接入？

以中國(多地)到香港的加速為例，創(chuàng)建加速后，華北、華東、華南的用戶訪問同一個加速域名，但解析出的IP不同，這些IP分別對應(yīng)pathx在三個地區(qū)的入口，也即，不同區(qū)域的用戶訪問pathx加速域名會解析出離用戶最近的加速入口IP。

資源使用一段時間后，PathX或GlobalSSH的加速域名+端口突然無法正常訪問，而源站+端口可以正常訪問

用curl測試一般會報"curl: (56) Failure when receiving data from the peer"
用telnet測試 提示連接成功后，立即收到"Reset By Remote Peer"
重點(diǎn)！重點(diǎn)！重點(diǎn)！用nc測試，則提示連接成功建立。

1. 檢查源站是否有安全策略設(shè)置，如阿里云的安騎士（云盾會在用戶不做任何配置情況下自動封堵，需要開啟白名單IP保護(hù) CDN信任廠商），fail2ban等，若有，可以從console資源詳情頁獲取pathx或globalssh 出口ip加入白名單。
2. 以上不能解決您的問題，請先提工單咨詢您的源站服務(wù)器供應(yīng)商，是否有自動封堵不明來源IP的安全策略。
3. 檢查系統(tǒng)參數(shù)設(shè)置

   net.ipv4.tcp_timestamps = 1
   net.ipv4.tcp_tw_recycle = 0
   net.ipv4.tcp_tw_reuse = 1

開啟tcp_tw_resuse足夠進(jìn)行TCP連接的回收（作為客戶端壓測或向外大量發(fā)請求時有效），tcp_tw_recycle由于設(shè)計的時間較為早期，并沒有考慮NAT技術(shù)在如今公網(wǎng)已經(jīng)普及，會導(dǎo)致經(jīng)過NAT（諸如網(wǎng)吧、4G、WIFI）用戶部分的連接失敗。當(dāng)前這個參數(shù)已經(jīng)基本廢棄。提升tcp回收速度，也可以通過減小tcp等待timeout的時間來實(shí)現(xiàn)。

源站是否可以修改？

2020年7月開始，PathX加速源站支持修改，在加速配置詳情頁，可以修改為新的源站IP或域名，原加速域名和端口不變。注意修改源站后，可能會發(fā)生短暫的服務(wù)中斷，需要客戶端重連。

pathX欠費(fèi)回收后是否可以找回？

回收后無法找回。此時資源在我司的資源和計費(fèi)系統(tǒng)被標(biāo)記刪除，需要重新創(chuàng)建資源。

pathX是否可配置帶寬告警？

可在加速線路詳情頁"告警模板"處配置，支持帶寬絕對值和帶寬使用率告警，在加速線路詳情頁和加速配置頁，下拉列表可以選擇不同加速區(qū)域 方便定位帶寬占比較高的入口。

pathX的限流措施

PathX按購買帶寬限流，當(dāng)實(shí)時帶寬（出向帶寬與入向帶寬的最大值）超過購買帶寬時會觸發(fā)限流，限流會引起丟包率上升，連接中斷等現(xiàn)象發(fā)生，當(dāng)實(shí)時帶寬低于購買帶寬時限流會自動解除。請在線路詳情頁配置帶寬使用率告警。PathX帶寬監(jiān)控數(shù)據(jù)需要動態(tài)采集計算，分布于全球各地機(jī)房有1-2分鐘的滯后，導(dǎo)致短時間內(nèi)實(shí)際帶寬會大幅跑過購買帶寬，等到帶寬上報完成后下發(fā)限流指令會引起嚴(yán)重的丟包情況。

海外SD-WAN是否會支持從海外訪問中國大陸地區(qū)或從中國大陸地區(qū)訪問海外的線路？

目前僅支持加速區(qū)域和源站均在海外的線路。

加速配置相關(guān)能力限制說明

1）加速區(qū)域數(shù)量：不限制；

2）端口數(shù)量：50；

3）4層和七層協(xié)議支持情況：http(s) websocket(s) 4層轉(zhuǎn)發(fā)可擴(kuò)展http2 quic ipsec-vpn rtmp rtc等協(xié)議，ssl-vpn需要非標(biāo)支持，不支持ftp訪問。

4）4層端口轉(zhuǎn)發(fā)：普通集群上，并發(fā)連接數(shù)限制10000；

5）7層端口轉(zhuǎn)發(fā)：普通集群上，單個源IP（客戶端）并發(fā)限制100，最大并發(fā)連接數(shù)4000，https請求會低一些；支持選用高性能集群，有需要的可以隨時聯(lián)系我們。

源站域名和源站多個IP，如何處理負(fù)載均衡？

1） 如果填寫的源站域名解析出來多個IP 每隔30s會對全部源站IP+端口組合（暫時不包括UDP協(xié)議端口）做一次健康檢查，踢掉健康檢查失敗的源站節(jié)點(diǎn)；

2） 客戶端新增的連接請求采用輪詢方式在多個源站IP節(jié)點(diǎn)間分發(fā)；

實(shí)時文檔歡迎訪問：https://docs.ucloud.cn/pathx/faq