分發Object Storage Service中的靜態資源(如圖片、音視頻、文檔)時,通過配置ESA加速,可以顯著提升訪問速度、降低網路延遲,並削減流量成本。
情境介紹
某網站使用OSS儲存大量圖片、視頻等靜態資源,主要服務中國內地以外的使用者。隨著使用者規模的持續增長,檔案下載和資源載入的響應速度變慢,尤其是地理位置較遠的使用者面臨更大的延遲問題。為瞭解決這一問題,該網站選擇了ESA加速訪問OSS 方案,以最低成本實現資源的快速存取,同時通過WAF、DDoS等安全防護功能,全面提升使用者體驗和網站安全性。
方案介紹
將靜態資源儲存在OSS私人Bucket中,然後通過ESA加速訪問。當用戶端使用者發起請求時,ESA會根據網域名稱自動選擇最快的邊緣節點。如果該節點已緩衝使用者所需資源,則直接將資源返回給使用者;如果節點沒有緩衝,則向來源站點請求資源返回給使用者,並將資源緩衝到該節點供後續使用。
注意事項
首次使用該功能時,需要一鍵開啟預設權限原則。開啟後,ESA產品將獲得對您同帳號下OSS產品的所有Bucket的唯讀存取權限(使用STS臨時令牌,不支援PUT等寫入或刪除操作)。
如果您選擇配置永久安全性權杖,請在申請時限制該令牌對OSS Bucket進行PUT等寫入或刪除操作的許可權。配置RAM使用者訪問OSS的許可權請參見降低因帳號密碼泄露帶來的未授權訪問風險。
授權成功並開啟了加速網域名稱的私人Bucket回源功能後,您可以通過該加速網域名稱訪問私人Bucket內的所有資源。請根據實際業務情況謹慎決策。如果私人Bucket內容不適合作為ESA加速的回源內容,請勿授權或開啟此功能。
如果您的網站有被攻擊的風險,請購買高防服務,並謹慎授權或開啟私人Bucket回源授權功能。
ESA回源OSS私人Bucket功能與OSS的靜態網站託管功能的預設首頁配置存在衝突,需要同時使用這兩個功能時,請參見開啟私人OSS Bucket回源後,訪問網域名稱提示“You are forbidden to list buckets”錯誤。
開啟了私人Bucket回源功能後,ESA節點將會在回源請求中添加名為“Authorization”的Header,其值為OSS私人Bucket鑒權簽名資訊。注意,回源OSS的單個請求不能同時在Header以及URL請求參數中攜帶簽名,否則會導致OSS鑒權失敗。
前提條件
網站接入
將網站的主網域名稱(例如:example.com)接入ESA後,可對該主網域名稱及其所有子網域名稱進行加速和管理。
步驟一:添加網站
步驟二:驗證網域名稱歸屬權
首次將網域名稱添加到ESA時,為了確認您對網域名稱的所有權,您需要先完成網域名稱歸屬權驗證。
在網站概覽頁面,複製ESA為您產生的記錄類型、主機記錄和記錄值。
登入Alibaba Cloud DNS控制台,在左側功能表列選擇。
在權威網域名稱頁簽中找到目標網域名稱(如
example.com),單擊操作列的解析設定。單擊添加記錄,按照步驟一中複製的內容填寫相關參數,然後單擊確定。
記錄類型:
TXT主機記錄:
_esaauth解析請求來源:預設
記錄值:
verify_3***9e1TTL:10(推薦)
返回ESA控制台,進入目標網站概況頁面,單擊點擊驗證。
查看驗證結果時,如果系統提示驗證成功,則說明驗證已通過。
添加網域名稱並解析
為了實現加速,需將加速網域名稱添加在ESA中,然後通過雲解析平台進行解析。以網域名稱images.example.com、OSS私人Bucket地址bucket***aliyuncs.com為例進行說明。在實際操作中,請將樣本中的網域名稱、Bucket 地址替換為您需要加速的真實網域名稱和地址。
步驟一:在ESA中添加網域名稱
您需通過添加DNS記錄的方式,將加速網域名稱、OSS私人Bucket地址等資訊配置在ESA伺服器中,以擷取CNAME值。
在ESA控制台,選擇網站管理,在網站列單擊目標網站。
在左側導覽列選擇,單擊添加記錄。根據如下資訊填寫記錄參數,然後單擊下一步。
記錄類型:CNAME。
主機記錄:
images。代理程式狀態:開啟代理加速。
記錄值:選擇 OSS。
回源類型:選擇私人訪問-同帳號。
授權:預設自動授權訪問同帳號 OSS 的私人 Bucket。
OSS地址:選擇
bucket***aliyuncs.com。TTL:預設自動。
選擇圖片視頻,單擊完成。
在 CNAME設定精靈中複製主機記錄、記錄值,前往Alibaba Cloud DNS控制台添加 CNAME 類型的解析記錄。
步驟二:解析網域名稱
在ESA中擷取對應的CNAME值後,您需要在Alibaba Cloud DNS平台添加相應的CNAME記錄。當使用者訪問加速網域名稱時,請求會通過Alibaba Cloud DNS平台解析到對應的ESA邊緣節點,從而實現加速代理服務。
在Alibaba Cloud DNS控制台的權威網域名稱解析頁面,單擊目標網域名稱(如
example.com)操作列的解析設定。單擊添加記錄,按照在ESA中複製的主機記錄、記錄值填寫參數,然後單擊確定。
記錄類型:
CNAME主機記錄:
images解析請求來源:預設
記錄值:
images.example.com.a1.initzz.comTTL:10(推薦)
等待幾分鐘後,返回ESA查看加速網域名稱是否生效。當CNAME狀態顯示為已配置時,加速生效。
步驟三:驗證加速效果
分別通過ESA加速網域名稱和Bucket網域名稱訪問同一個檔案,驗證ESA的加速效果。
結果表明,通過加速網域名稱訪問的載入時間為128ms,Bucket網域名稱訪問的載入時間為163ms,使用加速網域名稱訪問的速度比Bucket網域名稱訪問的速度提升約21%。
以上資料僅供參考,實際效果可能因網路環境、地理位置等因素而異,通常使用者距離邊緣節點較近或網路環境越好,加速效果越明顯。
ESA 加速網域名稱訪問效果圖
Bucket網域名稱訪問效果圖
為網站開啟安全防護
為了提升網站的資料轉送安全和整體安全防護能力,您可以配置多種安全防護功能,例如DDoS防護(抵禦流量攻擊)、Web Application Firewall(WAF,保護Web應用免受惡意攻擊)以及SSL認證管理(確保資料轉送加密)。這些功能協同工作,協助您構建更加安全可靠的網站環境。
異常訪問防護:全面保障網站安全
異常訪問防護是網站安全的重要組成部分,能夠有效抵禦惡意攻擊,保障網站的穩定性和可用性。ESA通過原生WAF防護能力,結合預定義規則和自訂規則,對用戶端的請求流量進行智能過濾,確保只有合法、乾淨的流量能夠到達伺服器,從而降低潛在的安全風險。還可根據實際需求開啟防盜刷,有效防止資源被惡意刷取,保障服務穩定與安全。
在業務運行過程中,ESA通過安全分析和事件分析模組,即時收集並分析用戶端請求資料,識別出異常行為。結合WAF的自訂規則,靈活配置攔截、挑戰、重新導向等多種防護措施,精準應對不同類型的攻擊行為。
此外,ESA預設為您開啟了DDoS基礎防護功能,能夠有效抵禦大規模的DDoS攻擊和CC攻擊,保障網站在高流量攻擊下的穩定運行。
通過這些多層次的防護措施,ESA不僅能夠協助您快速識別並阻止異常訪問,還能在遭受複雜攻擊時提供強有力的安全保障,全面護航您的網站安全。
資料轉送加密:保障用戶端與伺服器之間的安全通訊
資料轉送加密是保障網路通訊安全的關鍵措施,能夠有效防止敏感性資料在傳輸過程中被竊取或篡改。ESA在用戶端與您的商務服務器之間提供全面的資料轉送安全解決方案,確保資料在每個環節的安全性。
首先,ESA預設為您開啟SSL/TLS加密功能。SSL/TLS協議通過在用戶端與伺服器之間建立加密通道,保障資料在傳輸過程中的機密性和完整性。
為了進一步增強安全性,您可以申請免費的邊緣認證。通過部署邊緣認證,用戶端將使用HTTPS協議與ESA節點進行通訊,確保資料轉送不僅加密,還經過身分識別驗證,提升使用者對網站的信任。
此外,ESA支援開啟邊緣TLS雙向認證功能。這一功能通過在用戶端與ESA節點之間建立雙向的身分識別驗證機制,確保只有經過授權的用戶端才能訪問伺服器。這種雙向認證機制極大地提高了資料轉送的安全性,有效防止了未經授權的訪問和惡意攻擊。
通過以上多層次的安全措施,確保您的業務資料在傳輸過程中免受各種網路威脅的侵害,為您的業務保駕護航。
建議配置
ESA提供多項最佳化策略,包括資源訪問效能的提升、網路效能的最佳化以及快取命中率的增強,確保您享受更快、更穩定、更安全的訪問體驗。
最佳化資源訪問效能
通過啟用和最佳化網站設定,ESA能夠顯著提升應用效能。具體而言,ESA採用多項先進技術對訪問資源進行全面最佳化,包括映像自訂轉換、資源精簡瘦身以及傳輸協議升級。這些最佳化措施從多個維度提升了網站的訪問速度,確保您能夠更快地擷取所需資源,從而提升整體體驗。
最佳化網路效能
為了進一步提升網路傳輸速度,ESA提供了四重網路最佳化配置,從協議支援到通訊方式全方位提升網路效能。
IPv6 協議支援:全面相容IPv6協議,提升網路地址資源的利用率,最佳化網路連接效率。
WebSocket 低延遲通訊:採用WebSocket協議進行即時通訊,減少資料轉送延遲,提升即時應用的響應速度。
gRPC 高效服務互動:基於gRPC的高效通訊機制,提供低延遲、高輸送量的服務互動,適用於對效能要求極高的情境。
智能限流防過載:通過智能流量控制和負載平衡技術,避免網路擁塞和過載,確保在高並發情境下仍能保持穩定的網路傳輸速度。
提升快取命中率
為了提升資源訪問速度,ESA支援通過配置網站緩衝策略或建立緩衝規則,將常用資源檔儲存在邊緣節點。當使用者發起檔案請求時,邊緣節點會直接響應,避免了長鏈路回源請求,從而大幅縮短了資源載入時間。