Object Storage Service:Alibaba Cloud CDN を利用した OSS へのアクセス加速

ステップ 1：CDN ドメイン名の追加とオリジンサーバーの設定

1. CDN コンソールに移動し、[ドメイン名の追加] をクリックします。

2. [加速リージョン] と [ビジネスタイプ] を選択し、[CDN ドメイン名] を入力します。プライマリドメイン名 (example.cn など) またはカスタムサブドメイン (oss.example.cn など) を使用できます。サブドメインを使用すると、管理と拡張が簡素化されます。

3. 以下の図に示すように、オリジンサーバー情報を追加します。オリジン URL を OSS バケットのドメイン名に設定し、[次へ] をクリックしてドメイン名を追加します。

   

ステップ 2：CNAME レコードの設定

DNS の CNAME レコードを使用して、CDN ドメイン名を Alibaba Cloud CDN によって割り当てられた CNAME ドメイン名に向けます。これにより、ドメインの DNS クエリが CDN POP にルーティングされます。

1. [推奨設定] ページで、[設定ガイドを開く] をクリックします。または、[ドメイン] ページで、ドメイン名の右側にある [設定保留中] にカーソルを合わせ、表示されるツールチップで [設定ガイドを開く] をクリックします。

   

2. CNAME レコードの値 (example.cn.w.kunlunap.com など) をコピーします。このアドレスを DNS 設定に使用します。

3. Alibaba Cloud DNS コンソールに移動します。ドメイン名を見つけ、[操作] 列の [設定] をクリックします。

4. [レコードの追加] をクリックし、以下のようにレコード情報を入力します。他のパラメーターはデフォルト設定のままにします。CNAME レコードが既に存在する場合は、[操作] 列の [編集] をクリックし、値をコピーした CNAME に更新します。

   • [レコードタイプ]：[CNAME] を選択します。

   • [ホスト名]：example.cn のようなプライマリドメイン名を使用している場合は、@ を入力します。oss.example.cn のようなサブドメインを使用している場合は、サブドメインのプレフィックスである oss を入力します。

   • [レコード値]：コピーした CNAME レコードの値を貼り付けます。

5. [OK] をクリックします。[DNS レコードの変更を確認] ポップアップウィンドウで、再度 [OK] をクリックして、ドメイン名の名前解決設定を完了します。

   DNS の変更が反映されるまでの時間は、レコードの TTL (Time to Live) 設定によって異なります。通常、変更が完全に反映されるまでには数分から数時間かかります。設定後、ドメインが一時的にアクセスできなくなる場合があります。変更が反映されるのを待つか、ローカルの DNS キャッシュをクリアしてみてください。

ステップ 3：プライベートバケットのオリジンフェッチ設定

デフォルトでは、新しいバケットは非公開です。Alibaba Cloud CDN がプライベートバケットにアクセスできるようにするには、プライベートバケットアクセスを有効にして権限を付与する必要があります。バケットが公開読み取りの場合、このステップは不要です。

1. CDN コンソールに移動し、対象のドメイン名をクリックしてから、左側のナビゲーションウィンドウで [back-to-origin] をクリックします。

2. [Alibaba Cloud OSS プライベートバケットアクセス] セクションで、次の図に示すようにプライベートバケットアクセスを有効にします。

   

ステップ 4：加速効果の検証

設定完了後、比較テストを実行して、CDN ドメイン名のパフォーマンス向上を検証します。

1. バケットへのファイルのアップロード

   [バケット] ページで、ご利用のバケット名をクリックします。[オブジェクト] ページで、[オブジェクトのアップロード] をクリックします。dest.jpg などのアップロードする静的リソースを選択し、画面の指示に従ってアップロードを完了します。

2. ファイルアクセス URL の取得

   • デフォルトの OSS アクセス URL：[オブジェクト] ページで、目的のオブジェクトの [操作] 列にある [詳細の表示] をクリックします。表示された詳細ページで、[オブジェクト URL のコピー] をクリックします。

     

   • CDN アクセス URL：CDN ドメイン名とファイル名を使用して、署名なしのアクセス URL を作成します。例：http://example.cn/dest.jpg。ここで、example.cn は CDN ドメイン名です。

3. 加速効果の検証

   CloudMonitor 合成テストなどの専門的な速度テストプラットフォームやツールを使用して、デフォルトの OSS アクセス URL と CDN アクセス URL を使用した場合の同じファイルの読み込み時間を比較します。

   説明

   テストデータは参考用です。アクセス速度の向上は、ネットワーク環境、地理的な場所、その他の要因によって異なる場合があります。最初のテストでは、CDN POP がまだリソースをキャッシュしておらず、それを取得するためにオリジンフェッチを実行する必要があるため、加速効果が顕著でない場合があります。最初のテストの後、CDN がリソースをキャッシュするのを待ってから、再度テストして加速効果を確認してください。

   

4. キャッシュヒットステータスの確認

   ブラウザの開発者ツール (F12) を使用して、レスポンスヘッダーの X-Cache フィールドの値を確認します。この値は、リクエストが CDN キャッシュにヒットしたかどうかを示します。

   • 値が HIT で始まる場合、リクエストは CDN キャッシュに正常にヒットし、加速は効果的でした。

   • 値が MISS で始まる場合、リクエストは CDN キャッシュにヒットせず、リソースを取得するためにオリジンフェッチが OSS に送信されました。

方法 1：独立したサブドメインアーキテクチャ

異なる機能やリソースタイプを持つバケットに、独立した意味のあるサブドメインを割り当て、各サブドメインに対して個別の CDN 加速を設定します。たとえば、画像リソースにはサブドメイン img.example.cn を、音声・動画リソースには video.example.cn を使用します。意味のあるサブドメインは、リソースの識別とメンテナンスを容易にします。また、DNS トラフィックの分散を可能にし、単一ドメインの同時接続制限を回避するのに役立ちます。

このアーキテクチャは、異なる種類のリソースを完全に分離し、各バケットに対してキャッシュポリシー、セキュリティ設定、モニタリングを独立して設定および最適化できます：

• 画像リソースには長期キャッシュポリシーを設定して、アクセス速度を向上させます。

• 動画リソースには Range back-to-origin を有効にして、再開可能なダウンロードをサポートします。

• 機密文書には URL 署名を有効にして、セキュリティを確保します。

独立した監視システムは、パフォーマンスボトルネックや異常トラフィックを正確に特定します。これにより、詳細な運用管理が可能になり、異なるサービス間の干渉リスクが軽減されます。

方法 2：パスベースのルーティングによるドメインの統一

異なるサービスやアプリケーション用に複数のバケットがあるが、単一の統一されたアクセスポイントを提供したい場合は、単一の CDN ドメイン名を設定できます。ルールエンジンを使用して、異なるアクセスパスを持つリクエストを特定のバケットにルーティングします。このアプローチは、ブランドイメージを統一し、ドメイン名と SSL 証明書のメンテナンスを簡素化し、運用保守の複雑さを軽減します。以下の例では、cdn-bucket1 と cdn-bucket2 の 2 つのバケットを使用して設定を説明します。

1. パスルールの追加

   まず、CDN コンソールで、対象の CDN ドメイン名をクリックします。次に、[ルールエンジン] > [ルールの追加] をクリックします。次の図に示すように、http://example.cn/bucket1/* と http://example.cn/bucket2/* にそれぞれ一致する 2 つの URL パスルールを追加します。この例では、example.cn は CDN ドメイン名です。bucket1 と bucket2 は、それぞれ cdn-bucket1 と cdn-bucket2 を指す仮想パスです。* は、バケット内のオブジェクトの実際のパスを表します。

   

2. 条件付きオリジンサーバの設定

   CDN ドメイン名の [基本情報] セクションで、2 つの条件付きオリジンサーバを設定します。作成したパスルールをそれぞれのターゲットバケットのオリジンアドレスにアタッチします。これにより、リクエストは一致するパスルールに基づいて正しいオリジンに自動的にルーティングされます。

   

3. back-to-origin ホストの指定

   条件付きオリジンルーティングを設定した後、CDN ドメイン名の [back-to-origin] 設定で、各オリジンサーバーの back-to-origin ホストも指定する必要があります。これにより、オリジンリクエストが正しいターゲットバケットにルーティングされるようになります。

   

4. オリジン URL の書き換え

   オリジンがリソースを正しく特定できるようにするには、CDN ドメイン名の [back-to-origin] 設定でオリジン URL を書き換える必要があります。この書き換えにより、オリジンフェッチ中にルーティングに使用された仮想パス (例：/bucket1) が自動的に削除され、オリジンリクエストパスがバケット内のオブジェクトの実際のストレージパスと一致するようになります。

   

5. 効果の検証

   設定が完了すると、単一の CDN ドメイン名を使用して、異なるパスに基づいて異なる OSS バケット内のリソースにアクセスできます。これにより、マルチオリジンアクセスに統一されたエントリポイントが提供されます。

   

ベストプラクティス

• 安全な転送：HTTPS の有効化

  詳細については、「HTTPS 証明書の設定」をご参照ください。CDN ドメイン名に HTTPS 証明書を設定し、HTTPS 強制リダイレクトを有効にして、クライアントと CDN POP 間で転送されるデータを暗号化します。HTTPS は、転送中のデータ盗難や改ざんを防ぎ、ブラウザのアドレスバーに「保護されていない通信」という警告が表示されるのを回避し、ユーザーの信頼、ブランドイメージ、現代の Web セキュリティ標準への準拠を向上させます。

• パフォーマンスの最適化：包括的なキャッシュポリシーの設定

  キャッシュポリシーは CDN パフォーマンスの中核です。適切に設計されたキャッシュポリシーは、最適なパフォーマンスと機能の互換性を実現するために、キャッシュ期間とパラメーター処理の両方に対応する必要があります。

  • TTL の設定：適切なキャッシュ期間を設定することで、キャッシュヒット率を最大化し、オリジンフェッチリクエストの頻度と帯域幅コストを大幅に削減できます。

    • 頻繁に更新されない静的ファイル：画像、音声、動画、アプリケーションインストールパッケージなどのファイルには、1 か月以上の長いキャッシュ期間を設定して、不要なオリジンリクエストを削減します。

    • 頻繁に更新される静的ファイル：JS や CSS などのファイルには、ビジネスの更新頻度に基づいて、数時間から数日のキャッシュ期間を設定します。リリース管理にはバージョン管理 (例：style.v1.1.css) を使用します。

    • 動的ファイルまたは API：PHP や JSP などのファイルには、キャッシュ時間を 0 秒 (キャッシュなし) に設定して、すべてのリクエストが最新のコンテンツを取得するようにします。

  • 画像処理を有効にするためのパラメーター処理の設定：OSS は、スケーリング、トリミング、ウォーターマークなどの画像処理機能を提供します。デフォルトでは、CDN はキャッシュヒット率を最大化するためにすべてのパラメーターをフィルタリングします。これにより、?x-oss-process などの画像処理命令が機能しなくなります。これらの機能を使用するには、CDN コンソールに移動し、[ドメイン] > ご利用の CDN ドメイン名 > [パフォーマンスの最適化] に移動し、[パラメーターを無視] の設定を変更します。

• 可用性の確保：リソースのプリフェッチと自動キャッシュ更新の利用

  キャッシュが有効になっている場合、オリジンファイルの変更はすぐに CDN POP に反映されません。ユーザーが最新のリソースに迅速にアクセスできるようにし、バージョンリリースなどの重要な期間中のサービス安定性を維持するために、以下の戦略を推奨します。

  • リソースのプリフェッチ：バージョンリリースや運用活動の前に、Alibaba Cloud CDN のリソースのパージとプリフェッチ機能を使用して、ホットスポットリソースを事前にグローバルノードに配信します。これにより、コンテンツが公開されたときにオリジンリクエストが急増してオリジンサーバーに影響が及ぶのを防ぎ、ユーザーの初回アクセス時のスムーズな体験を保証します。

  • CDN キャッシュの自動更新：OSS コンソールの [バケット設定] > [ドメイン] ページで、ドメイン名の CDN キャッシュの自動更新を有効にします。API を介して OSS ファイルを更新すると、OSS は自動的に CDN 更新タスクをトリガーし、ユーザーが最新のコンテンツに迅速にアクセスできるようにします。

    説明

    この機能は、CDN ドメイン名と OSS バケットが同じ Alibaba Cloud アカウントに属している場合にのみ有効です。絶対的なリアルタイム更新を保証するものではありません。非常に高い即時性が要求されるユースケースでは、ファイル更新後に CDN 更新機能を積極的に使用してください。

• クロスオリジンアクセス：CORS ポリシーの設定

  クロスオリジンリクエストに対して、OSS オリジンでのみ CORS ルールを設定するのは信頼できません。CDN が必要な CORS ヘッダーを含まないレスポンスをキャッシュして配信する可能性があり、ブラウザがリクエストをブロックする原因となります。推奨される解決策は、CDN 上で直接 Access-Control-Allow-Origin およびその他の必要な CORS ヘッダーを設定することです。これにより、キャッシュのステータスに関係なく、すべての関連レスポンスにそれらが含まれるようになります。

  1. CDN コンソールで、CDN ドメイン名または [操作] 列の [管理] をクリックします。

  2. [キャッシュ] > [HTTP レスポンスヘッダーの変更] ページで、次の図に示すようにレスポンスヘッダーのパラメーターと値を設定します。

     説明

     パラメーター設定は参考用です。必要に応じて調整してください。

     

     設定が完了すると、CDN POP を介して OSS リソースにアクセスしたときに、レスポンスに指定された CORS ヘッダーが一貫して含まれるようになります。これにより、クロスオリジンリクエストがブラウザの検証を通過することが保証されます。

     

• パフォーマンスの最適化：大容量ファイルとデータ転送の効率向上

  • Range back-to-origin の有効化：オンデマンド動画／音声ストリーミングや大容量ファイルの配信などのユースケースでは、Range back-to-origin を有効にすることが重要です。この機能により、CDN POP は大容量ファイルの一部をオンデマンドでリクエストできます。これにより、動画再生中のシークなどの高度な機能が可能になるだけでなく、不要な back-to-origin トラフィックと初期読み込み時間が大幅に削減されます。

  • データ転送の最適化：CDN コンソールで Gzip 圧縮またはページの最適化を有効にして、JS、CSS、HTML などのテキストファイルの転送サイズを削減し、転送効率を向上させます。Gzip 圧縮はリソースが返される前に圧縮し、ページの最適化は HTML ページや埋め込み JavaScript、CSS からコメントや繰り返される空白文字などの冗長なコンテンツを自動的に削除します。

    説明

    • ページの最適化または Gzip 圧縮を有効にすると、ファイルの Content-Length および Content-MD5 の値が変更されます。ビジネスロジックがこれらの値を検証に依存している場合は、これらの機能を慎重に有効にしてください。

    • ページの最適化と Gzip 圧縮の両方が有効になっている場合、ページの最適化機能は無効になります。CDN はファイルに対して Gzip 圧縮のみを実行します。

• シームレスな移行：ダウンタイムゼロのドメイン切り替え 既存のサービスを OSS バケットドメインから CDN ドメイン名に移行する場合、サービスの継続性と安定性を確保するために段階的なアプローチを採用します。

  1. 準備フェーズ：CDN ドメイン名のすべての設定を完了し、テスト環境でその機能とパフォーマンスを完全に検証します。

  2. 段階的リリースフェーズ (オフピーク時間帯を推奨)：段階的リリースアプローチを使用して、サービスの一部トラフィックを CDN ドメイン名に切り替えます。切り替えリスクを軽減するために、トラフィックを徐々に増やします。

  3. 検証フェーズ：サービスのアクセスログとエラー率を注意深く監視します。応答時間や成功率などの主要なメトリックを分析して、段階的リリースサービスが正常であり、ビジネスがスムーズに実行されていることを確認します。

  4. 完全リリースフェーズ：徹底的な検証の後、すべてのサービストラフィックを CDN ドメイン名に切り替えて、ドメイン名の移行を完了します。

  5. ロールバック計画：問題が発生した場合は、トラフィックを元のバケットドメインに直ちにロールバックする計画を立てておきます。再デプロイする前に、問題の根本原因を詳細に分析します。

リスク防止

• ホットリンクと不正アクセスからの保護：Referer ベースのホットリンク保護と URL 署名の設定 不正なサイトによるリソースの利用を防ぎ、不要なトラフィック料金や帯域幅の消費を避けるために、セキュリティ保護ポリシーを設定する必要があります。

  • ホットリンク保護：詳細については、「Referer ブラックリストまたはホワイトリストの設定」をご参照ください。この方法は、HTTP リクエストヘッダーの Referer フィールドを検証してホットリンクを防ぎ、指定されたドメインからのアクセスのみを許可します。

  • URL 署名：OSS バケットに対してプライベートオリジンフェッチを有効にすると、CDN POP に直接アクセス権が与えられ、OSS 独自の署名検証がバイパスされます。これは、プライベートリソースが CDN ドメインを介して公開アクセス可能になることを意味します。これらのリソースを保護するには、CDN で URL 署名を有効にします。この機能は、リクエストに一意の署名とタイムスタンプを含めることを要求し、不正なダウンロードや配布を防ぎます。

• オリジン接続のセキュリティ確保：オリジン SNI と back-to-origin ホストの設定

  Alibaba Cloud CDN と OSS 間の安定的で安全な通信を確保することは、サービスの可用性を保証する鍵となります。

  • オリジン SNI の設定：SNI (Server Name Indication) を含まない CDN オリジンリクエストは、OSS へのアクセス問題を引き起こす可能性があります。これを防ぐには、CDN でオリジン SNI を設定し、オリジン HOST と同じ値に設定する必要があります。オリジン HOST はデフォルトで CDN ドメイン名になります。オリジンリクエストに SNI が含まれている場合、OSS は TLS ハンドシェイク中にビジネスドメイン名を正確に識別し、ドメイン名を保護するための一致する証明書を返すことができます。OSS が SNI を含まないリクエストを受信した場合、ビジネスドメイン名を正確に識別できず、デフォルトの証明書しか返すことができません。TLS ハンドシェイク中、SNI のないすべてのリクエストは同じクラスとして扱われ、より厳しいトラフィック制限がトリガーされ、結果として通常のアクセスが妨げられる可能性があります。

  • オリジン情報の非表示

    デフォルトでは、CDN はオリジンフェッチにバケットドメイン名を使用します。オリジンフェッチエラー (ファイルが存在しないなど) が発生すると、エラーメッセージに OSS バケットドメイン名が公開され、セキュリティリスクが生じる可能性があります。

    

    オリジン情報を非表示にしてセキュリティを強化するには、次の手順に従って back-to-origin ホストを CDN ドメイン名に変更します：

    1. [バケット] ページで、対象のバケット名をクリックします。次に、[バケット設定] > [ドメイン] に移動し、CDN ドメイン名をバケットにマップします。

       

    2. CDN コンソールで、対象の CDN ドメイン名をクリックします。次に、[back-to-origin] > [デフォルトの back-to-origin ホスト] に移動し、[変更] をクリックして [ドメイン名タイプ] を [CDN ドメイン名] に変更します。

• 監査とトラブルシューティング：アクセスログの有効化 本番環境でのセキュリティ監査、パフォーマンス分析、トラブルシューティングのためには、包括的なロギングを有効にする必要があります。詳細については、CDN コンソールで「リアルタイムログ配信の設定」をご参照ください。アクセスログを Simple Log Service (SLS) に送信します。SLS を使用すると、詳細な分析を実行し、アクセス動作やトラフィック分布、人気のあるリソースやコンテンツ、エラー率やリクエスト失敗などの主要なメトリックに関するアラートを設定できます。このデータは、パフォーマンスの最適化とセキュリティの強化に不可欠です。

CDN のオリジンフェッチ中に 5xx エラーが発生するのはなぜですか？

5xx エラーは、CDN が OSS オリジンからリソースを取得できなかったことを示します。問題をトラブルシューティングするために、以下の点を確認してください：

• オリジン設定：CDN コンソールで設定された OSS オリジンアドレスが正しいかどうかを確認します。

• back-to-origin プロトコル：CDN が HTTPS オリジンフェッチまたはback-to-origin プロトコルに設定されている場合、オリジンが HTTPS アクセスをサポートし、SSL 証明書が正しく設定されていることを確認します。

• ネットワークリンク：CDN POP またはローカルマシンから OSS オリジンへのネットワーク接続をテストします。CDN POP はインターネット上にあるため、CDN に設定されたオリジンはインターネット経由でアクセス可能でなければなりません。オリジン IP アドレスがインターネットから到達できない、ポートが閉じられている、またはオリジンドメイン名が解決されない場合、オリジンサーバーへの CDN オリジンリクエストは失敗します。

• オリジンサーバーの負荷：CDN リアルタイムモニタリングページで、帯域幅とトラフィックの急増がないか確認します。多数の back-to-origin リクエストは、オリジンサーバーの過剰な負荷を引き起こし、back-to-origin の応答タイムアウトにつながる可能性があります。ホットスポットリソースについては、リソースが公開されたときにリソースのプリフェッチを行い、適切なキャッシュ期間を設定します。

CDN で加速された静的ページにアクセスすると、403 Forbidden または You are forbidden to list buckets エラーが表示されるのはなぜですか？

原因分析：この問題は通常、静的 Web サイトホスティング用に設定されたプライベートバケットに対して CDN 加速を有効にした後に発生します。根本原因は、2 つのアクセスメカニズム間の競合です：

• CDN プライベートオリジンフェッチ：CDN が OSS にオリジンフェッチを実行するとき、ID 検証のために署名情報を持ちます。

• OSS 静的 Web サイトホスティング：そのデフォルトページ機能 (例：/ にアクセスしたときに index.html を自動的に返す) は、アクセスリクエストが匿名であることを要求します。

ユーザーが CDN ドメイン名のルートディレクトリにアクセスすると、CDN はバケットのルートディレクトリにアクセスするための署名付きリクエストを開始します。OSS がこの署名付きリクエストを受信すると、リクエストが匿名ではないため、静的 Web サイトホスティングのロジックをトリガーしません。代わりに、ListObjects (ファイル一覧) 操作を実行しようとします。アクセスポリシーは通常この種の操作を禁止しているため、403 Forbidden エラーが返されます。

解決策：OSS の静的 Web サイトホスティング機能をバイパスし、CDN 上で直接URL 書き換えルールを設定することで同じ結果を達成します。

• [書き換え対象のパス]：^/$ (ルートディレクトリへのアクセスに一致)

• [ターゲットパス]：/index.html (またはインデックスページの実際のファイル名)

• 実行ルール: [リダイレクト] を選択します

CDN ドメイン名経由で OSS にファイルをアップロードできますか？

セキュリティ上の理由から、CDN ドメイン名経由で OSS にファイルをアップロードしないでください。CDN が書き込みメソッド (PUT や POST など) を許可している場合、誰でも ID 検証や権限付与なしに CDN 経由で OSS にファイルをアップロードできます。これにより、サービスが悪意のあるアップロードやデータ改ざん攻撃に対して脆弱になります。最小権限の原則に従うために、OSS ドメイン名を使用してファイルをアップロードしてください。

CDN 加速を使用すると、OSS のアウトバウンドトラフィックは減少しますか？

はい、減少します。リクエストが OSS バケットではなく CDN キャッシュから提供される場合、OSS のアウトバウンドトラフィックが削減されます。これは、人気の画像、ダウンロード、または Web サイトのアセットなど、頻繁にアクセスされるコンテンツに最も効果的です。

CDN キャッシュファイルへの頻繁なヒットは、Web サイトへのアクセス、画像ファイルのダウンロード、ゲームの配信など、特定のデータが繰り返しアクセスされるビジネスシナリオで発生します。キャッシュヒット率が高いほど、back-to-origin トラフィックが低くなり、コスト削減効果が大きくなります。

ファイルが実際にアクセスされた回数をカウントするにはどうすればよいですか？

CDN 加速が有効になった後、OSS アクセスログは CDN キャッシュから直接提供されるエンドユーザーのアクセスリクエストを記録できません。以下の方法で、実際のファイルアクセス数をカウントできます：

• 30 日以内のログデータ：CDN のオフラインログをダウンロードして表示および分析できます。

• 30 日より古いログデータ：CDN でリアルタイムログ配信を設定した後、CDN データ統計ページでデータを表示および分析できます。