老架构WAF上面基于域名的ACL策略偶尔不生效

一、问题现象：

       某客户8.0.48版本的WAF 写了服务器访问api.mch.weixin.qq.com域名控制策略，但是服务器访问不了这个域名，排查发现服务器和WAF解析的域名api.mch.weixin.qq.com对应的IP不一致，导致业务系统无法访问域名。服务器和WAF配置的DNS一样，但是DNS服务器和业务系统都在WAF下面，业务系统DNS解析流量不过WAF

二、解决办法：

       关于AF新架构和老架构配置相同基于域名的ACL，可能存在匹配逻辑不一致的问题。
当前客户配置域名  api.mch.weixin.qq.com
绑定IP域名：forwardtmp.weixin.qq.com
最终的主域名：pay.weixin.qq.com

如果客户内部业务出AF到云端特定域名访问，遇到非主域名的情况建议老架构把主域名要加上，不然会存在偶发性业务异常，非必现。原因是AF老版本出在多层解析，绑定顺序和客户配置的不匹配，导致的问题 。架构如果遇到这种奇奇怪怪的问题，直接查域名是不是主域名，不是的话，加上主域名就行