OSS バケットをオリジンサーバーとして構成する、静的リソースを格納するために使用されるサーバーを構成する、DNS 解決のためのオリジンサーバーを構成する - Edge Security Acceleration

Object Storage Service (OSS) から画像、音声、動画、ドキュメントなどの静的リソースを配信する場合、ESA アクセラレーションを設定することで、アクセス速度の向上、ネットワーク遅延の削減、トラフィックコストの低減が可能です。

利用シーン

あるウェブサイトでは、Object Storage Service (OSS) を使用して画像や動画などの静的リソースを保存しており、主に中国本土以外のユーザーにサービスを提供しています。ユーザーベースが拡大するにつれて、ファイルのダウンロードやリソースの読み込みにおける応答時間が遅くなっています。地理的に離れたユーザーは高い遅延を経験しています。この問題に対処するため、ウェブサイトは ESA を使用して OSS へのアクセスを高速化できます。このソリューションは、最小限のコストで高速なリソースアクセスを提供し、Web Application Firewall (WAF) や Anti-DDoS などのセキュリティ保護機能も含まれているため、全体的なユーザーエクスペリエンスとウェブサイトのセキュリティが向上します。

ソリューション

静的リソースをプライベート OSS バケットに保存し、ESA を使用してアクセスを高速化します。クライアントがリクエストを送信すると、ESA はドメイン名に基づいて最速の POP (ポイントオブプレゼンス) を自動的に選択します。POP がリクエストされたリソースをキャッシュに保持している場合、リソースは直接ユーザーに返されます。そうでない場合、POP はオリジンサーバーからリソースを取得し、ユーザーに返してから、後続のリクエストのためにキャッシュします。

事前準備

この機能を初めて使用する場合は、デフォルトのアクセスポリシーを有効にしてください。ポリシーを有効にすると、ESA は同一アカウント配下にあるすべての OSS バケットに対する読み取り専用アクセス権限を取得します。これらの権限は Security Token Service (STS) からの一時的なトークンを使用して付与され、PUT などの書き込みや削除操作は許可されません。
永続的なセキュリティトークンを設定する場合、トークンをリクエストする際に OSS バケットに対する PUT などの書き込みや削除操作を制限する必要があります。RAM ユーザーのアクセス権限の設定方法の詳細については、「認証情報の漏洩による不正アクセスのリスク軽減」をご参照ください。
権限を付与し、高速化ドメイン名に対してプライベートバケットのオリジンフェッチ機能を有効にすると、その高速化ドメイン名を使用してプライベートバケット内のすべてのリソースにアクセスできるようになります。プライベートバケット内のコンテンツが高速化に適していない場合は、この機能の権限付与や有効化を行わないでください。
ご利用のウェブサイトが攻撃を受けるリスクがある場合は、Anti-DDoS サービスを購入し、プライベートバケットのオリジンフェッチ機能の権限付与や有効化を慎重に行ってください。
ESA のプライベート OSS バケットからのオリジンフェッチ機能は、OSS の静的 Web サイトホスティングにおけるデフォルトのインデックスページ設定と競合します。両方の機能を同時に使用するには、「プライベート OSS バケットのオリジンフェッチで「You are forbidden to list buckets」エラーを解決する」をご参照ください。
プライベートバケットのオリジンフェッチ機能を有効にすると、ESA の POP はオリジンリクエストに「Authorization」という名前のヘッダーを追加します。このヘッダーの値は、プライベート OSS バケットの認証署名です。OSS への単一のオリジンリクエストでは、ヘッダーと URL リクエストパラメーターの両方に署名を含めることはできません。両方に含めると、OSS の認証に失敗します。

前提条件

Alibaba Cloud アカウントを登録、または Alibaba Cloud アカウントを作成していること。
OSS を有効化し、静的リソースをプライベート OSS バケットに保存していること。
ドメイン名を登録。
説明
アクセラレーションエリアに中国本土が含まれる場合、ドメイン名の ICP 登録を申請する必要があります。

ESA への接続

サイトのプライマリドメイン名 (例：example.com) を ESA に追加すると、プライマリドメイン名とそのすべてのサブドメインを高速化し、管理できます。

ステップ 1：サイトの追加

ESA コンソールで、サイト管理 を選択し、サイトを追加 をクリックします。
サイトの入力 ページで、追加したいサイトのプライマリドメイン名 (例：example.com) を入力し、Next をクリックします。
Location で、 グローバル (中国本土を除く) を選択します。接続方式 で、CNAME を選択します。その後、次へをクリックします。
プランの選択 ページで、新規プラン を購入するか、購入済みプラン を選択します。画面の指示に従って購入を完了します。
新しいプランの購入
新規プラン ページで、ニーズに合ったプランを選択します。
既存プランのバインド
既存のプランがある場合は、購入済みプラン タブで選択します。

ステップ 2：ドメイン名の所有権の検証

初めてドメイン名を ESA に追加する際には、ドメイン名の所有権を検証する必要があります。

概要ページで、ESA によって生成された レコードタイプ、ホストレコード、および レコード値 をコピーします。
Alibaba Cloud DNS コンソールにログインします。インターネットの権威ある DNS 解決 ページで、対象のドメイン名 (例：example.com) を見つけ、Actions 列の 解決設定 をクリックします。
Add Record をクリックします。ステップ 1 でコピーした情報に基づいてパラメーターを入力します。その後、OK をクリックします。
- Record Type：TXT
- Hostname：_esaauth
- Query Source：デフォルト
- Record Value：verify_3***9e1
- TTL：10 (推奨)
ESA コンソールに戻ります。対象サイトの概要ページで、認証をクリックします。
システムに Verification Successful と表示された場合、検証は成功です。

ドメイン名の追加と解決

高速化を有効にするには、高速化ドメイン名を ESA に追加し、Alibaba Cloud DNS プラットフォームでそのドメイン名の DNS レコードを追加します。このトピックでは、ドメイン名 images.example.com とプライベート OSS バケットのエンドポイント bucket***aliyuncs.com を例として使用します。実際のドメイン名とバケットエンドポイントに置き換えてください。

ステップ 1：ESA でのドメイン名の追加

ESA コンソールで DNS レコードを追加して、高速化ドメイン名やプライベート OSS バケットのエンドポイントなどの情報を設定し、CNAME 値を取得できます。

ESA コンソールで、サイト管理 を選択します。サイト 列で、対象のサイトをクリックします。
左側のナビゲーションウィンドウで、DNS > レコード を選択します。レコードの追加 をクリックします。以下のようにレコードパラメーターを設定し、次へをクリックします。
- レコードタイプ：CNAME。
- ホストレコード：images。
- プロキシのステータス：このスイッチをオンにしてプロキシアクセラレーションを有効にします。
- レコード値：OSS を選択します。
- back-to-origin タイプ：プライベートアクセス - 同一アカウント を選択します。
- 権限付与：デフォルトでは、同一アカウント配下のプライベート OSS バケットへのアクセスは自動的に許可されます。
- OSS バケット：bucket***aliyuncs.com を選択します。
- TTL：デフォルト値は自動です。
画像とビデオ を選択し、完了をクリックします。
CNAME 設定ウィザード で、ホストレコード と レコード値 をコピーします。その後、Alibaba Cloud DNS コンソールに移動して CNAME レコードを追加します。

ステップ 2：ドメイン名の解決

ESA で CNAME 値を取得した後、Alibaba Cloud DNS コンソールで CNAME レコードを追加する必要があります。ユーザーが高速化ドメイン名にアクセスすると、リクエストは Alibaba Cloud DNS によって ESA の POP の CNAME に解決され、高速化サービスが提供されます。

Alibaba Cloud DNS コンソールのパブリックゾーンページで、example.com などの対象ドメイン名の操作列の解決設定をクリックします。
Add Record をクリックし、ESA からコピーした ホストレコード と レコード値 を使用してパラメーターを設定します：
- Record Type：CNAME
- Hostname：images
- Query Source：デフォルト
- Record Value：images.example.com.a1.initzz.com
- TTL：10 (推奨)
数分待ってから ESA コンソールに戻り、高速化ドメイン名が有効になったかを確認します。CNAME のステータス が 設定済み になっていれば、高速化は有効です。

ステップ 3：アクセラレーションの検証

ESA の高速化ドメイン名とバケットエンドポイントを使用して同じファイルにアクセスし、ESA の高速化効果を検証できます。

結果として、高速化ドメイン名を使用してファイルにアクセスした場合の読み込み時間は 128 ms、バケットエンドポイントを使用してアクセスした場合は 163 ms でした。高速化ドメイン名を使用すると、アクセス速度が約 21% 向上します。

説明

上記のデータは参考値です。実際の高速化効果は、ネットワーク環境や地理的な場所などの要因によって異なる場合があります。通常、ユーザーが POP に近いほど、またはネットワーク環境が良いほど、高速化効果はより顕著になります。

ESA 高速化ドメイン名：

バケットエンドポイントを使用したアクセス：

サイトの保護の有効化

転送中のデータのセキュリティとウェブサイト全体のセキュリティを向上させるために、複数のセキュリティ機能を設定できます。これらの機能には、フラッド攻撃から防御する Anti-DDoS、Web アプリケーションを悪意のある攻撃から保護する WAF、転送中のデータの暗号化を保証する SSL 証明書管理が含まれます。これらの機能が連携して、より安全で信頼性の高いウェブサイト環境を構築するのに役立ちます。

包括的なウェブサイトセキュリティ

ESA の保護機能は、悪意のある攻撃を効果的に軽減し、ウェブサイトの安定性と可用性を確保します。ESA は、ネイティブの WAF 緩和機能と事前定義ルールおよびカスタムルールを組み合わせて、クライアントのリクエストトラフィックをインテリジェントにフィルタリングします。これにより、正当でクリーンなトラフィックのみがサーバーに到達し、潜在的なセキュリティリスクを低減します。必要に応じて不正利用防止を有効にすることもでき、悪意のあるリソースの乱用を効果的に防ぎ、サービスの安定性とセキュリティを確保します。

サービス運用中、ESA はセキュリティ分析およびイベント分析モジュールを使用して、クライアントのリクエストデータをリアルタイムで収集・分析し、異常な動作を検出します。WAF カスタムルールを使用すると、ブロック、JavaScript チャレンジ、リダイレクトなど、さまざまな保護対策を柔軟に設定して、さまざまな種類の攻撃に正確に対応できます。

さらに、ESA はデフォルトで DDoS 基本保護機能を有効にし、大規模な DDoS 攻撃や CC 攻撃から効果的に防御し、高トラフィックの攻撃中でもウェブサイトの安定性を確保します。

これらの多層的な保護対策により、ESA は異常なアクセスを迅速に検出してブロックするだけでなく、複雑な攻撃に対する強力なセキュリティ保護を提供し、ウェブサイトを包括的に保護します。

クライアントとサーバー間の安全な通信

転送中のデータの暗号化は、ネットワーク通信を保護するための重要な手段であり、送信中に機密データが盗まれたり改ざんされたりするのを効果的に防ぎます。ESA は、クライアントとオリジンサーバー間のデータ転送に対して包括的なセキュリティソリューションを提供し、あらゆる段階でデータのセキュリティを確保します。

まず、ESA はデフォルトで SSL/TLS 暗号化機能を有効にします。SSL/TLS プロトコルは、クライアントとサーバー間に暗号化されたチャネルを確立することで、送信中のデータの機密性と完全性を保証します。

セキュリティをさらに強化するために、無料のエッジ証明書をリクエストできます。エッジ証明書をデプロイすることで、クライアントは ESA の POP と HTTPS 経由で通信します。これにより、転送中のデータが暗号化され、認証されるため、ウェブサイトに対するユーザーの信頼が高まります。

さらに、ESA はエッジ TLS 相互認証機能の有効化をサポートしています。この機能は、クライアントと ESA の POP との間に双方向の ID 検証メカニズムを確立し、承認されたクライアントのみがサーバーにアクセスできるようにします。この相互認証メカニズムは、データ転送のセキュリティを大幅に向上させ、不正アクセスや悪意のある攻撃を効果的に防ぎます。

上記の多層的なセキュリティ対策により、ビジネスデータが送信中にさまざまなネットワークの脅威から保護され、ビジネスを保護できます。

推奨設定

ESA は、リソースへのアクセスパフォーマンスの向上、ネットワークパフォーマンスの最適化、キャッシュヒット率の向上を目的とした複数の最適化戦略を提供します。これにより、より高速で、より安定し、より安全なアクセス体験が保証されます。

リソースアクセスパフォーマンスの最適化

ウェブサイト設定を有効化し最適化することで、ESA はアプリケーションのパフォーマンスを大幅に向上させます。具体的には、ESA はカスタム画像変換、リソースの最小化、転送プロトコルのアップグレードなど、複数の高度な技術を使用してリソースを包括的に最適化します。これらの最適化により、サイトのアクセス速度が複数の側面から向上し、必要なリソースをより速く取得できるようになり、全体的なユーザーエクスペリエンスが向上します。

カスタム画像変換：ユーザーのデバイスと画面サイズに基づいて画像のサイズとフォーマットを自動的に調整し、不要なデータ転送を削減します。
リソースの最小化：静的リソースを圧縮・最適化し、冗長なコードや不要なデータを削除してリソースファイルのサイズを削減します。
転送プロトコルのアップグレード：HTTP/2 や HTTP/3 などの最新の転送プロトコルをサポートし、データ転送効率を向上させ、遅延を削減します。

ネットワークパフォーマンスの最適化

ネットワーク転送速度をさらに向上させるため、ESA はプロトコルのサポートから通信方法まで、全体的なネットワークパフォーマンスを向上させるための 4 段階のネットワーク最適化設定を提供します。

IPv6 プロトコルのサポート：IPv6 プロトコルと完全に互換性があり、ネットワークアドレスリソースの利用率を向上させ、ネットワーク接続効率を最適化します。
WebSocket による低遅延通信：リアルタイム通信に WebSocket プロトコルを使用し、データ転送の遅延を削減し、リアルタイムアプリケーションの応答速度を向上させます。
gRPC による効率的なサービスインタラクション：gRPC の効率的な通信メカニズムに基づいた低遅延、高スループットのサービスインタラクションを提供します。これは、高いパフォーマンス要件を持つシナリオに適しています。
過負荷を防ぐためのインテリジェントなトラフィックシェーピング：インテリジェントなトラフィックシェーピングとロードバランシング技術を使用して、ネットワークの輻輳や過負荷を回避し、高並行シナリオでも安定したネットワーク転送速度を確保します。

キャッシュヒット率の向上

リソースへのアクセス速度を向上させるため、ESA では、サイトのキャッシュポリシーを設定するか、キャッシュルールを作成することで、頻繁に使用されるリソースファイルを POP に保存できます。ユーザーがファイルをリクエストすると、POP が直接応答します。これにより、長距離のオリジンリクエストを回避し、リソースの読み込み時間を大幅に短縮します。

サイトキャッシュポリシー：必要に応じてキャッシュルールを柔軟に設定し、どのリソースをキャッシュするかを指定して、キャッシュヒット率を最大化できます。
POP ストレージ：人気の高いリソースや静的ファイルは、グローバルに分散された POP に保存されます。これにより、ユーザーは近くの場所からリソースにアクセスでき、ネットワークの転送距離と遅延を削減できます。