Global Accelerator (GA) は、クラウド内のデータを効率的に保護するために、データ転送の暗号化とディザスタリカバリをサポートしています。
データ転送の暗号化
ドメイン名への安全なアクセスのための HTTPS リスナーとの SSL 証明書の関連付け
標準 GA インスタンスの HTTPS プロトコルを使用するリスナーを構成する場合は、ビジネスが暗号化され認証されるように SSL 証明書を関連付ける必要があります。
HTTPS リスナーの作成時に構成した SSL 証明書は、デフォルトのサーバー証明書として使用されます。 HTTPS リスナーに追加の証明書を関連付けることができます。 HTTPS リスナーに追加の証明書を関連付けた後、リスナーを複数のドメイン名に関連付けることができます。 また、リスナーのドメイン名ベースの転送ルールを構成することもできます。 このようにして、異なるドメイン名を宛先とするリクエストを異なる仮想エンドポイントグループに転送し、複数の HTTPS ドメイン名へのアクセスを高速化できます。
GA HTTPS リスナーに証明書を関連付ける方法については、「証明書の関連付けと管理」をご参照ください。
複数の証明書を使用して複数の HTTPS ドメイン名へのアクセスを高速化する方法については、「1 つの GA インスタンスを使用して複数の HTTPS 対応ドメイン名へのアクセスを高速化する」をご参照ください。
証明書は、クライアントから GA に送信されるデータを暗号化するために使用されます。 バックエンドサーバーにインストールされている証明書を使用して、GA からバックエンドサーバーに送信されるデータを暗号化できます。 GA インスタンスの証明書は、バックエンドサーバーの証明書と同じにすることができます。
TLS ポリシーを使用して HTTPS を使用する Web サイトのセキュリティを向上させる
標準 GA インスタンスの HTTPS リスナーを構成する場合は、Transport Layer Security (TLS) ポリシーを選択してビジネスセキュリティを向上させることができます。
TLS ポリシーには、HTTPS で使用可能な TLS プロトコルバージョンと暗号スイートが含まれています。 TLS の新しいバージョンは、セキュリティは向上しますが、ブラウザとの互換性は低下します。 ビジネス要件に基づいて TLS ポリシーを選択できます。
GA でサポートされている TLS ポリシーについては、「TLS セキュリティポリシー」をご参照ください。
TLS ポリシーの選択方法については、「インテリジェントルーティングリスナーを追加および管理する」トピックの「HTTP または HTTPS リスナーを追加する」セクションをご参照ください。
データのバックアップとディザスタリカバリ
複数アクセラレーションリージョンのディザスタリカバリ
デフォルトでは、Alibaba Cloud Domain Name System (DNS) の無料トライアル版が選択されています。 地理的な場所に基づいて IP アドレスを返すことができるのは、Enterprise 標準版と Enterprise Ultimate 版のみです。 Alibaba Cloud DNS をアップグレードする必要があります。 詳細については、「インテリジェント DNS 解決」をご参照ください。 Alibaba Cloud DNS のアップグレード方法については、「リージョン全体にデプロイされたアプリケーションの高可用性を確保するためにディザスタリカバリを構成する」トピックの「ステップ5: Alibaba Cloud DNS をアップグレードする」セクションをご参照ください。
GA によって割り当てられる CNAME は、アクセラレーションリージョンにスコープが設定されています。 リージョン間のシナリオでは、リクエストが失敗する可能性があります。
たとえば、アクセラレーションリージョンに中国本土以外のリージョンのみが含まれ、中国 (香港) が除外されている場合、CNAME レコードは中国本土では有効にならないため、中国本土のクライアントのアクセスが失敗します。 次の構成オプションを参照できます。
解決策 1: リージョンに基づいてインテリジェント解決を構成します。 中国本土以外のリージョンからのトラフィックは GA の CNAME にルーティングされ、中国本土からのトラフィックはオリジンサーバーに直接ルーティングされます。 詳細については、「シナリオ 2: 地域回線に基づくインテリジェント DNS 解決」をご参照ください。
この設定では、海外のトラフィックは、対応するアクセラレーションリージョンの高速化された IP アドレスを使用して GA にルーティングされます。 中国本土からのトラフィックはオリジンサーバーに直接送られ、ISP の制限または国際ネットワークの遅延の影響を受ける可能性があり、高遅延またはパケット損失につながる可能性があります。
解決策 2: 中国本土のリージョンを GA のアクセラレーションリージョンとして追加し、デフォルトの解決回線を構成します。
GA は、リクエストのリージョンに基づいて、アクセラレーション IP アドレスを自動的に割り当てます。 この場合、海外のトラフィックは中国本土以外のリージョンの高速化された IP アドレスを介してルーティングされ、中国本土からのトラフィックは中国本土の高速化された IP アドレスを介してルーティングされます。
注: アクセラレーションリージョンに中国本土のリージョンが含まれており、サービスが HTTP および HTTPS トラフィックを使用している場合は、カスタムドメイン名の ICP 番号を取得する必要があります。 そうしないと、アクセラレーションは失敗します。
クライアントが複数のアクセラレーションリージョンにデプロイされている場合は、標準 GA インスタンスの CNAME に対してインテリジェント DNS 解決を構成できます。 このようにして、Alibaba Cloud DNS は、クライアントの地理的な場所に基づいて高速化された IP アドレスを返します。 これにより、解決の遅延が短縮され、アプリケーションへのアクセスが高速化されます。 いずれかのアクセラレーションリージョンで障害が発生した場合、Alibaba Cloud DNS はリクエストをエンドユーザーに近い他のアクセラレーションリージョンにリダイレクトします。 これは、アクセラレーションリージョン全体でのディザスタリカバリの実装に役立ちます。
CNAME レコードを追加する方法については、「ドメイン名の CNAME レコードを追加する」をご参照ください。
ディザスタリカバリを実装するために GA インスタンスの Alibaba Cloud DNS を構成する方法については、「リージョン全体にデプロイされたアプリケーションの高可用性を確保するためにディザスタリカバリを構成する」をご参照ください。
複数エンドポイントグループとエンドポイントのディザスタリカバリ
GA インスタンスのエンドポイントグループのヘルスチェックを有効にできます。 ヘルスチェックを有効にすると、GA はエンドポイントが正常かどうかを定期的にチェックします。 GA は異常なエンドポイントを検出すると、新しいリクエストを正常なエンドポイントに配信します。 異常なエンドポイントが回復すると、GA はリクエストをエンドポイントに再度配信します。
ヘルスチェックの構成については、「ヘルスチェックを有効化および管理する」をご参照ください。