Global Acceleration提供資料轉送加密能力和容災能力,可有效防止資料在雲端的潛在安全風險。
資料轉送加密
綁定SSL認證安全訪問HTTPS網域名稱
為標準型Global Acceleration執行個體配置基於HTTPS協議的監聽時,需要添加伺服器SSL認證以確保您的業務受到加密保護並得到權威機構的身份認證。
建立HTTPS協議監聽時綁定的SSL認證為預設伺服器憑證。對於已建立完成的HTTPS協議監聽,您還可以綁定擴充認證。通過為HTTPS協議監聽配置擴充認證,可以將多個網域名稱關聯到同一個HTTPS協議監聽上,再配合基於網域名稱的轉寄策略可以將不同網域名稱的訪問請求轉寄至不同的虛擬終端節點群組,可實現加速訪問多個HTTPS網域名稱。
關於如何為Global AccelerationHTTPS協議監聽綁定認證,請參見綁定和管理憑證。
關於使用多認證加速訪問多個HTTPS網域名稱,請參見單個Global Acceleration執行個體加速訪問多個HTTPS網域名稱。
Global Acceleration中配置的認證用於加密從用戶端至Global Acceleration階段的資料。從Global Acceleration至後端伺服器階段的資料加密通過後端伺服器安裝的認證實現。Global Acceleration中配置的認證可以與後端伺服器安裝的認證相同。
使用TLS安全性原則提高HTTPS網站安全等級
為標準型Global Acceleration執行個體配置基於HTTPS協議的監聽時,支援選擇TLS安全性原則,可以提高您的業務安全性。
TLS安全性原則包含HTTPS可選的TLS協議版本和配套的密碼編譯演算法套件。TLS協議版本越高,HTTPS通訊的安全性越高,但是相較於低版本TLS協議,高版本TLS協議對瀏覽器的相容性較差。您可以根據需要選擇對應等級的TLS安全性原則。
關於Global Acceleration支援的TLS安全性原則,請參見TLS安全性原則說明。
如何選擇TLS安全性原則,請參見添加HTTP或HTTPS協議監聽。
備份與容災
多加速地區容災
預設情況下,Alibaba Cloud DNS為免費版,您需要將Alibaba Cloud DNS升級至企業標準版或企業旗艦版,才支援為不同省或市的終端使用者智能返回解析結果。智能DNS解析更多資訊,請參見智能解析;如何升級,請參見加速跨地區應用實現高可用容災。
Global Acceleration的CNAME網域名稱具有地區屬性(受加速地區配置影響),跨地區訪問會有失敗的可能。
例如,加速地區僅有海外地區(不包括中國香港)時,CNAME記錄無法在中國內地地區生效,會導致中國內地用戶端訪問失敗。您可以參考以下方案進行配置:
方案一:配置按地區線路智能解析,將來自海外的流量解析至GA的CNAME,將中國內地的流量直接解析至來源站點伺服器。
此時,海外流量會通過該海外加速地區的加速IP接入GA實現訪問加速;中國內地的流量直接存取來源站點服務,會受電訊廠商及國際鏈路的限制,也可能會出現延遲、丟包的問題。
方案二:為GA添加中國內地的加速地區,並通過預設線路解析到GA的CNAME。
GA會根據發起訪問的地區自動分配加速IP,即海外流量通過海外加速地區的加速IP接入GA,中國內地流量通過中國內地加速地區的加速IP接入GA。
需注意:加速地區包含中國內地地區,且業務流量是HTTP(S)時,需要對自有網域名稱進行ICP備案,否則無法實現訪問加速。
當您業務的用戶端涉及多個加速地區時,您可以為標準型Global Acceleration執行個體的CNAME配置智能DNS解析,智能DNS解析會判斷用戶端的來源,為不同地區的終端使用者智能返回不同的加速IP,降低解析時延,提升應用系統的訪問速度。當其中一個加速地區出現故障時,可以將訪問請求切換至其他距離使用者時延較低、位置較近的加速地區進入Global Acceleration網路中,實現加速地區間的故障容災。
如何配置CNAME解析,請參見配置CNAME。
Global Acceleration聯動DNS實現加速地區高可用容災,請參見加速跨地區應用實現高可用容災。
多終端節點群組及終端節點容災
您可以為Global Acceleration執行個體的終端節點群組開啟健全狀態檢查。開啟健全狀態檢查後,當某個終端節點健全狀態檢查出現異常時,Global Acceleration會自動將新的請求分發到其它健全狀態檢查正常的終端節點上;而當健全狀態檢查異常的終端節點恢複正常後,Global Acceleration會將該終端節點自動回復到請求服務中。
健全狀態檢查的配置,請參見開啟和管理健全狀態檢查。