ESA を使用して、イメージ、オーディオ、ビデオなどの静的リソースを OSS から配信することで、リソースの読み込み速度とウェブサイトのセキュリティを大幅に向上させることができます。
例
あるウェブサイトでは、イメージやビデオなどの多くの静的リソースを保存するために OSS を使用しており、主に中国本土以外のユーザーにサービスを提供しています。ユーザーが増えるにつれて、ファイルのダウンロードとリソースの読み込みの応答時間が遅くなり、特に遠く離れた場所にいるユーザーにとっては顕著になっています。この問題に対処するために、ウェブサイトは ESA に追加されました。 ESA は、OSS の高速化により、最小限のコストでリソースを迅速に配信すると同時に、WAF や DDoS などの機能を通じてユーザーエクスペリエンスとウェブサイトのセキュリティを包括的に向上させます。
ソリューション概要
静的リソースを非公開の OSS バケットに保存し、ESA を介してアクセスを高速化できます。クライアントがリクエストを開始すると、ESA はドメイン名に基づいて最速の Point of Presence(POP)を自動的に選択します。POP にリクエストされたリソースがキャッシュされている場合、リソースはユーザーに直接返されます。キャッシュされていない場合、POP はオリジンからリソースを取得し、ユーザーに返し、後続のリクエストのためにリソースをキャッシュします。
前提条件
Alibaba Cloud アカウント登録を完了していること。
OSS サービスを有効化し、非公開の OSS バケットに静的リソースを保存していること。
- 説明
ウェブサイトのアクセラレーションリージョンに中国本土が含まれる場合は、ドメイン名の ICP 登録を完了する必要があります。
ウェブサイトを ESA に追加する
ウェブサイトのプライマリドメイン名(例:example.com)を ESA に接続すると、プライマリドメイン名とそのすべてのサブドメインを高速化および管理できます。
ステップ 1:ウェブサイトを追加する
ステップ 2:ドメイン所有権を確認する
ESA に初めてドメイン名を追加する場合は、ドメインの所有権を確認する必要があります。
[概要] ページで、ESA によって生成された [レコードタイプ]、[ホストレコード]、および [レコード値] をコピーします。
Alibaba Cloud DNS コンソールにログインし、 を選択します。
[権威 DNS 解決] タブで、ターゲットドメイン名(例:
example.com)を見つけ、[操作] 列の [構成] をクリックします。[レコードを追加] をクリックし、ステップ 1 でコピーした内容に従って関連パラメーターを入力し、[OK] をクリックします。
[レコードタイプ]:
TXT[ホストレコード]:
_esaauth[解決リクエストソース]: [デフォルト]
[レコード値]:
verify_3***9e1[TTL]: 10(推奨)
ESA コンソールに戻り、ターゲットサイトの概要ページに移動し、[確認] をクリックします。
検証結果を表示する際に、システムに [検証成功] と表示された場合は、検証に合格したことを意味します。
ドメイン名を追加して DNS 解決を構成する
高速化を実現するには、ESA で高速化するドメイン名を追加し、Alibaba Cloud DNS プラットフォームを介して DNS 解決を構成する必要があります。次の例では、ドメイン名 images.example.com と OSS 非公開バケットアドレス bucket***aliyuncs.com を使用しています。例のドメイン名とバケットアドレスは、高速化する必要がある実際のドメイン名とアドレスに置き換えてください。
ステップ 1:ESA でドメイン名を追加する
CNAME 値を取得するには、DNS レコードを追加することで、ESA サーバーで、高速化するドメイン名、OSS 非公開バケットアドレス、その他の情報を構成する必要があります。
ESA コンソールで、ウェブサイト を選択し、管理するウェブサイトの名前をクリックします。
左側のナビゲーションウィンドウで、 を選択し、[レコードを追加] をクリックします。次の情報に従ってレコードパラメーターを入力し、[次へ] をクリックします。
[レコードタイプ]: [CNAME]。
[ホストレコード]:
images。[プロキシステータス]: 有効。
[レコード値]: [OSS] を選択します。
[オリジンタイプ]: [非公開アクセス(同一アカウント)] を選択します。
[承認]: デフォルトでは、同じ OSS アカウント内の非公開バケットへのアクセスが自動的に承認されます。
[OSS バケット]:
bucket***aliyuncs.comを選択します。[TTL]: デフォルトの [自動]。
[イメージ/ビデオ] を選択し、[完了] をクリックします。
[CNAME 構成ガイド] で、[ホストレコード] と [レコード値] をコピーし、Alibaba Cloud DNS コンソールに移動して、CNAME タイプの DNS レコードを追加します。
ステップ 2:DNS 解決を構成する
ESA で対応する CNAME 値をコピーし、Alibaba Cloud DNS に CNAME レコードを追加します。ユーザーが高速化されたドメイン名にアクセスすると、リクエストは Alibaba Cloud DNS プラットフォームを介して対応する ESA エッジ POP に解決され、高速プロキシサービスが有効になります。
権威 DNS 解決ページで、ターゲットドメイン名(例:
example.com)の [操作] 列にある [DNS 設定] をクリックします。[レコードを追加] をクリックし、ESA からコピーした [ホストレコード] と [レコード値] に従ってパラメーターを入力し、[OK] をクリックします。
[レコードタイプ]:
CNAME[ホストレコード]:
images[DNS リクエストソース]: [デフォルト]
[レコード値]:
images.example.com.a1.initzz.com[TTL]: 10(推奨)
ESA に戻り、高速化されたドメイン名が有効かどうかを確認します。これには数分かかる場合があります。 [CNAME ステータス] に [構成済み] と表示されている場合は、高速化が有効です。
ステップ 3:高速化を確認する
ESA で高速化されたドメイン名とバケットドメイン名の両方で同じファイルにアクセスし、ESA の高速化効果を確認します。
この例では、ESA で高速化されたドメイン名での読み込み時間は 128 ミリ秒であるのに対し、バケットドメイン名での読み込み時間は 163 ミリ秒であることが結果に示されています。 ESA で高速化されたドメイン名は約 21% 高速です。
上記のデータは参考値です。効果は、ネットワーク環境、地理的な場所、その他の要因によって異なる場合があります。一般的に、ユーザーがエッジ POP に近いほど、またはネットワーク環境が良いほど、ESA は高速になります。
ESA で高速化されたドメイン名によるアクセス
バケットドメイン名によるアクセス
ウェブサイトの保護を有効にする
ウェブサイトのデータセキュリティを向上させるには、DDoS 保護(フラッド攻撃をブロックするため)、Web アプリケーションファイアウォール(WAF、悪意のあるアクティビティを防止するため)、SSL 証明書管理(データ転送を暗号化するため)などの主要な機能を構成します。これらの機能を組み合わせることで、より安全で信頼性の高いウェブサイトを作成できます。
アクセス保護:包括的なウェブサイトセキュリティ
アクセス保護は、悪意のある攻撃からウェブサイトを保護し、ウェブサイトの安定性と可用性を確保します。 ESA はネイティブの WAF 機能と 事前定義ルールとカスタムルールを組み合わせて使用することで、クライアントのリクエストトラフィックをインテリジェントにフィルタリングし、正当でクリーンなトラフィックのみがサーバーに到達できるようにすることで、潜在的なリスクを軽減します。
ESA は、セキュリティ分析と イベント分析を通じて、クライアントのリクエストデータをリアルタイムで収集および分析し、異常な動作を特定します。 WAF カスタムルールと組み合わせることで、ブロック、JavaScript チャレンジ、リダイレクトなどの対策を柔軟に構成し、さまざまな攻撃に的確に対応できます。
ESA は、デフォルトで 基本的な DDoS 保護も提供しており、大規模な DDoS 攻撃や CC 攻撃を効果的に防御し、高トラフィック攻撃下でもウェブサイトの安定した運用を確保できます。
これらの階層化された保護により、ESA は異常なアクセスを迅速に特定してブロックし、ウェブサイトを完全に保護するための強力な脅威防御を提供します。
データ転送の暗号化:クライアントとサーバー間の安全な通信
転送中のデータの暗号化は、機密情報を盗難や改ざんから保護するために不可欠です。 ESA は、クライアントとサーバー間のエンドツーエンドのデータ転送セキュリティを提供し、あらゆる段階でデータの安全性を確保します。
まず、ESA はデフォルトで SSL/TLS 暗号化を有効にします。SSL/TLS プロトコルは、クライアントとサーバー間に暗号化されたチャネルを確立することにより、転送中のデータの機密性と整合性を確保します。
セキュリティをさらに強化するには、無料のエッジ証明書を申請します。エッジ証明書をデプロイすることで、クライアントは HTTPS プロトコルを使用して ESA POP と通信し、データ転送が暗号化および認証され、ウェブサイトに対するユーザーの信頼が高まります。
ESA は、エッジ TLS 相互認証の有効化もサポートしています。この機能は、クライアントと ESA POP 間に双方向認証メカニズムを確立し、承認されたクライアントのみがサーバーにアクセスできるようにします。このメカニズムは、データ転送のセキュリティを大幅に強化し、不正アクセスや悪意のある攻撃を効果的に防止します。
これらのセキュリティ対策により、転送中のビジネスデータはさまざまなネットワークの脅威から保護され、ビジネスが保護されます。
推奨構成
ESA は、リソースアクセスを向上させ、ネットワークパフォーマンスを強化し、キャッシュヒット率を高めるためのいくつかの最適化戦略を提供します。これらの機能は、より高速で安定した安全なウェブサイトアクセスを提供するのに役立ちます。
リソースアクセスを最適化する
ウェブサイトの設定を有効化および最適化することで、ESA はアプリケーションのパフォーマンスを大幅に向上させることができます。 ESA は、カスタムイメージ変換、リソースの最小化、転送プロトコルのアップグレードなど、複数の高度なテクノロジーを採用してリソースアクセスを最適化します。これらの最適化機能は、ウェブサイトの速度を向上させ、リソースへのアクセスを高速化し、全体的なユーザーエクスペリエンスを向上させます。
カスタムイメージ変換: ユーザーのデバイスと画面に基づいてイメージのサイズと形式を自動的に調整し、不要なデータ転送を削減します。
リソースの最小化: 静的リソースを圧縮および最適化し、冗長なコードや不要なデータを削除して、リソースファイルのサイズを削減します。
転送プロトコルのアップグレード: HTTP/2 や HTTP/3 などの転送プロトコルをサポートし、データ転送効率を向上させ、レイテンシを削減します。
ネットワークパフォーマンスを最適化する
ネットワーク速度を向上させるために、ESA は、プロトコルのサポートから通信方法まで、パフォーマンスを向上させる 4 つのネットワーク最適化設定を提供します。
IPv6 プロトコルのサポート: IPv6 プロトコルと完全に互換性があり、ネットワークアドレスリソースの利用率を向上させ、ネットワーク接続効率を最適化します。
WebSocket 低レイテンシ通信: リアルタイム通信に WebSocket プロトコルを使用し、データ転送レイテンシを削減し、リアルタイムアプリケーションの応答速度を向上させます。
gRPC 効率的なサービスインタラクション: gRPC の効率的な通信メカニズムに基づいて、低レイテンシ、高スループットのサービスインタラクションを提供し、非常に高いパフォーマンス要件を持つシナリオに適しています。
過負荷を防ぐためのインテリジェントトラフィックシェーピング: インテリジェントトラフィック制御と負荷分散により、ネットワークの輻輳と過負荷を防ぎ、高トラフィック時でも安定した転送速度を確保します。
キャッシュヒット率を向上させる
リソースアクセス速度を向上させるために、ESA は、ウェブサイトの キャッシュポリシーの構成または キャッシュルールの作成をサポートしており、頻繁に使用されるリソースファイルをエッジ POP に保存します。ユーザーがファイルをリクエストすると、POP は直接応答し、オリジンフェッチリクエストの長時間化を回避することで、リソースの読み込み時間を大幅に短縮します。
グローバルキャッシュ: キャッシュルールを柔軟に構成します。キャッシュする必要のあるリソースとキャッシュする必要のないリソースを指定することで、キャッシュヒット率を最大化できます。
階層化キャッシュ: 頻繁に使用されるリソースと静的ファイルを、グローバルに分散されたエッジ POP に保存します。これにより、ユーザーは近くの場所からコンテンツにアクセスできるようになり、転送距離とレイテンシが短縮されます。