對象存儲和高防CDN實現分析揭秘,高防cdn通過什么方式防御

對象存儲和高防御CDN實施的分析和揭示

分享一個關于對象存儲和高安全性CDN結合的話題。一般來說，公有云廠商除了提供對象存儲服務之外，還會提供一些增值服務，適用于不同的應用場景。你什么意思

對象存儲本質上解決了海量存儲的問題，但是數據不僅要可靠地存儲，而且在大多數情況下還要經過處理才有價值。所以一般公有云廠商也會提供數據處理服務，比如圖像處理、縮略圖像、音視頻轉碼、視頻切幀等。

其次，數據訪問也有特殊要求，比如一次上傳，多次下載，所以CDN服務要配合使用，因為高安全性CDN的下載流量會低于下載對象存儲服務的成本。

什么是CDN內容分發網絡，本質上是部署在全球的邊緣服務器，提供就近訪問數據的體驗，有效減輕數據服務器的后端壓力。

在技術實現上，CDN實際上是后端服務器的緩存代理。

示意圖:

公有云廠商在提供對象存儲服務的同時，也會提供cdn服務。因為這兩個服務是一體的，一起操作自然方便。

數據上傳:

數據上載對象存儲服務的域名(端點)；

數據下載:

數據下載可以取對象存儲服務的域名；

也可以下載cdn域名；

對象在打開cdn后存儲使用cdn服務的客戶端的域名請求數據。如果數據不在cdn服務中，cdn服務將自動使用對象將桶域名存儲回源，并將數據拉至cdn緩存。之后，所有的壓力都卸在了cdn服務上。因此，從上面的描述中，我們再次認識到cdn實際上是后端存儲服務的一個簡單的緩存代理。如果業務要使用cdn，需要指定cdn服務的域名和對象存儲的域名，并在cdn服務中配置映射關系(這一步其實是公有云廠商在做)。上傳數據使用對象存儲域名，讀取數據使用cdn域名。

cdn回源使用方案

當cdn用戶請求失敗時，需要回到源端和后端拉取數據。所以不知道大家有沒有想過，CDN是用什么樣的方案來加快數據采集的速度。(因為S3協議是授權驗證，也就是數字簽名，S3 v4協議會在數字身份驗證中給主機簽名，也就是一般情況下cdn不能直接轉發)。一般來說，對象存儲服務和cdn的協同實現有三種解決方案:

預簽名

授權閱讀

公眾閱讀

預簽名

預簽也叫預簽。在這個方案中，客戶端已經充分準備了簽名，所有的簽名元素和驗證都在查詢url中。在這個場景中，Cdn實際上是一個純粹的轉發代理。但是，presign有一個限制，只能使用S3 V2版本簽名，因為cdn返回源時主機會發生變化，v4版本簽名會由主機會簽，所以這種情況下簽名驗證會失敗。

策略授權方案

這是一般的方式。S3桶支持細粒度的權限分配，即策略策略。它允許將各種操作權限分配給各種指定的對象。

在公有云上，用戶申請cdn服務的資源，主要做幾個配置(公有云廠商幫你搞定):

提供CDN域名和Bucket域名的映射關系

服務和CDN之間的身份驗證模式

公有云廠商也會授予業務端讀取cdn服務的桶。這樣，當cdn未命中，cdn返回源時，可以用自己的賬號向對象存儲服務請求數據(因為cdn加速啟動時，已經通過策略授權給CDN，所以可以讀取數據)。

公眾閱讀計劃

S3桶可以配置為公共閱讀，也稱為匿名訪問。任何客戶端都可以通過curl直接獲取數據，所以cdn自然可以獲取數據。這是一個特殊的方案，我們通常不這么做。這種方法可想而知，適用場景有限，因為無法保證數據安全。

特別聲明：以上文章內容僅代表作者本人觀點，不代表ESG跨境電商觀點或立場。如有關于作品內容、版權或其它問題請于作品發表后的30日內與ESG跨境電商聯系。