Alibaba Cloud CDN のオリジン IP アドレス

更新日時
Copy as MD

オリジンサーバーを保護するために、Alibaba Cloud CDN POP の back-to-origin IP アドレスを取得し、オリジンサーバーのホワイトリストに追加できます。この構成により、Alibaba Cloud CDN からの back-to-origin トラフィックのみがオリジンサーバーにアクセスできるようになります。

エッジノード IP アドレスと back-to-origin IP アドレスの違い

Alibaba Cloud CDN では、2 種類の IP アドレスを使用しています。この違いを理解することで、正しいホワイトリストを構成したり、問題をトラブルシューティングしたりできます。

タイプ

説明

ユースケース

取得方法

back-to-origin IP (L2 ノード)

CDN POP がオリジンサーバーからコンテンツを取得する際に使用する IP アドレスです。動的に割り当てられます。

オリジンサーバーのホワイトリスト (ECS セキュリティグループ、SLB アクセス制御、Cloud Firewall) の構成。

DescribeL2VipsByDomain API を呼び出します。日次ピーク帯域幅が 1 Gbps 以上である必要があります。アクセスをリクエストするには、チケットを起票してください。

エッジノード IP (L1 ノード)

エンドユーザーが CDN 高速化コンテンツにアクセスする際に接続する IP アドレスです。動的に割り当てられます。

クライアント側のトラブルシューティング、コンプライアンス要件。

DescribeUserVipsByDomain API を呼び出して、特定のドメインのエッジノード IP アドレスをクエリします。IPv4 と IPv6 をサポートします。帯域幅のしきい値は不要です。

nslookup または dig コマンドを実行して、高速化ドメイン名を解決し、スケジューリングシステムが現在割り当てているエッジノード IP アドレスを取得することもできます。これらの結果は、特定時点のスナップショットのみを表します。

nslookup your-domain.example.com
# または
dig your-domain.example.com

Alibaba Cloud CDN では、オリジンへのリクエスト中に POP の IP アドレスが動的に割り当てられます。そのため、オリジンサーバーに固定 IP ホワイトリストを構成することは強く推奨しません。これにより、back-to-origin リクエストが失敗する可能性があります。

オリジンサーバーに SafeDog などのセキュリティソフトウェアがインストールされているなど、特別な要件によりホワイトリストを構成する必要がある場合は、DescribeL2VipsByDomain API を呼び出して、back-to-origin POP IP アドレスの最新リストを取得してください。このリストをオリジンサーバーのホワイトリストに追加して、適切なアクセスを確保してください。

注:この API は、日次ピーク帯域幅が 1 Gbps 以上のユーザーのみが利用できます。この要件を満たす場合は、チケットを起票してアクセスをリクエストする必要があります。

オリジンサーバーセキュリティのベストプラクティス

CDN の back-to-origin IP アドレスは動的に割り当てられるため、IP ホワイトリストのみに依存することは推奨しません。以下の代替手段を検討してください。

  • HTTP ヘッダーによる識別:back-to-origin リクエスト中、CDN は実際のクライアント IP アドレスを含む ali-cdn-real-ip HTTP ヘッダーを追加します。オリジンサーバーは、IP ホワイトリストに依存するのではなく、このヘッダーを確認することで、正当な CDN からの back-to-origin リクエストを識別して許可できます。

  • Referer ベースのホットリンク保護:Referer ホワイトリストまたはブラックリストを構成して、リソースへのアクセスを制御します。この方法は IP アドレスに依存しません。

  • URL 署名:URL 署名を有効にして、時間制限付きの署名付き URL を生成します。有効な署名を持つリクエストのみがオリジンサーバーにアクセスできます。

  • タイムスタンプベースの認証:URL にタイムスタンプパラメータを追加して、指定された期間後にアクセスが期限切れになるようにします。

これらの方法は、CDN の動的 IP 割り当てモデルに適しており、より信頼性の高いオリジンサーバー保護を提供します。

よくある質問

DescribeL2VipsByDomain API の制限事項は何ですか?

DescribeL2VipsByDomain API には、以下の制限事項があります。

制限事項

説明

帯域幅のしきい値

日次ピーク帯域幅が 1 Gbps 以上のユーザーのみが、この API を呼び出すことができます。チケットを起票してアクセスをリクエストする必要があります。

クエリの粒度

この API は、複数のドメインの一括クエリをサポートしていません。リクエストごとに 1 つの高速化ドメイン名のみをクエリできます。

スコープ

この API は、L2 back-to-origin ノードの IP アドレスのみを返します。オリジンサーバーでホワイトリストを構成する必要があるシナリオ (ECS セキュリティグループ、SLB アクセス制御リスト、Cloud Firewall ルールなど) を対象としています。

Cloud Firewall または WAF で CDN back-to-origin の許可ルールを構成するにはどうすればよいですか?

オリジンサーバーが Cloud Firewall または Web アプリケーションファイアウォール (WAF) によって保護されている場合は、以下のルールを構成して、CDN または ESA の back-to-origin トラフィックを許可します。

  1. オリジン IP アドレスを取得します。

    • CDN の場合は、DescribeL2VipsByDomain API を呼び出します。

    • ESA の場合は、ESA コンソールに移動し、[サイト管理] に移動して、back-to-origin IP リストを表示およびエクスポートします。ESA には、組み込みの IP リストを持つ独自のオリジン保護機能があります。

  2. インバウンドルールを構成します。Cloud Firewall または WAF で、back-to-origin IP アドレスのインバウンド許可ルールを作成します。カスタムの back-to-origin ポートが構成されていない場合、デフォルトのポートは 80 (HTTP) と 443 (HTTPS) です。

  3. アウトバウンドルールを構成します (該当する場合)。ネットワークにアウトバウンドトラフィック制御ポリシーがある場合は、オリジン IP アドレスのアウトバウンド許可ルールも構成します。

説明

CDN の back-to-origin リクエストが WAF によってブロックされており、ホワイトリストに固定 IP アドレスを提供できない場合は、ESA への移行を検討してください。ESA は WAF 保護を統合しており、より柔軟なオリジンサーバー IP 管理をサポートしています。

CDN アクセスログまたはオリジンサーバーログの IP アドレスが実際のクライアント IP アドレスと異なるのはなぜですか?

これは、CDN の back-to-origin のメカニズムによる、想定される動作です。

  • CDN エッジノードがリクエストされたコンテンツをキャッシュしていない場合 (キャッシュミス)、back-to-origin ノード (L2 ノード) がユーザーに代わってオリジンサーバーにリクエストを送信します。オリジンサーバーログに記録される IP アドレスは、実際のクライアント IP ではなく、back-to-origin ノードの IP です。

  • CDN アクセスログも、このようなリクエストに対して、エンドユーザー IP ではなく、back-to-origin ノードの IP を記録します。

実際のクライアント IP アドレスを取得するには、接続 IP に依存するのではなく、以下の HTTP ヘッダーを解析してください。

  • X-Forwarded-For:クライアント IP とリクエストパス上のプロキシサーバーの IP アドレスが含まれます。最初の IP アドレスは、通常、実際のクライアント IP です。

  • ali-cdn-real-ip:実際のクライアント IP アドレスを含む、Alibaba Cloud CDN 固有のヘッダーです。

Alibaba Cloud は、静的な CDN または API サービス IP アドレスリストを提供していますか?

CDN IP アドレス:Alibaba Cloud は、CDN IP アドレス (国内または全世界) の静的リストを提供していません。CDN IP アドレスは動的に割り当てられ、リアルタイムで変更されます。カスタマーサポートは静的 IP リストを提供できません。

CDN API エンドポイント IP アドレス:CDN API サービスエンドポイントには、固定 IP アドレスがありません。ネットワーク環境に厳格なアウトバウンド制限がある場合は、プロキシサーバーを構成し、プロキシサーバーの IP アドレスをホワイトリストに追加してください。プロキシを介して API リクエストをルーティングしてください。