對(duì)象存儲(chǔ)和高防CDN實(shí)現(xiàn)分析揭秘,高防cdn通過什么方式防御

對(duì)象存儲(chǔ)和高防御CDN實(shí)施的分析和揭示

分享一個(gè)關(guān)于對(duì)象存儲(chǔ)和高安全性CDN結(jié)合的話題。一般來(lái)說，公有云廠商除了提供對(duì)象存儲(chǔ)服務(wù)之外，還會(huì)提供一些增值服務(wù)，適用于不同的應(yīng)用場(chǎng)景。你什么意思

對(duì)象存儲(chǔ)本質(zhì)上解決了海量存儲(chǔ)的問題，但是數(shù)據(jù)不僅要可靠地存儲(chǔ)，而且在大多數(shù)情況下還要經(jīng)過處理才有價(jià)值。所以一般公有云廠商也會(huì)提供數(shù)據(jù)處理服務(wù)，比如圖像處理、縮略圖像、音視頻轉(zhuǎn)碼、視頻切幀等。

其次，數(shù)據(jù)訪問也有特殊要求，比如一次上傳，多次下載，所以CDN服務(wù)要配合使用，因?yàn)楦甙踩訡DN的下載流量會(huì)低于下載對(duì)象存儲(chǔ)服務(wù)的成本。

什么是CDN內(nèi)容分發(fā)網(wǎng)絡(luò)，本質(zhì)上是部署在全球的邊緣服務(wù)器，提供就近訪問數(shù)據(jù)的體驗(yàn)，有效減輕數(shù)據(jù)服務(wù)器的后端壓力。

在技術(shù)實(shí)現(xiàn)上，CDN實(shí)際上是后端服務(wù)器的緩存代理。

示意圖:

公有云廠商在提供對(duì)象存儲(chǔ)服務(wù)的同時(shí)，也會(huì)提供cdn服務(wù)。因?yàn)檫@兩個(gè)服務(wù)是一體的，一起操作自然方便。

數(shù)據(jù)上傳:

數(shù)據(jù)上載對(duì)象存儲(chǔ)服務(wù)的域名(端點(diǎn))；

數(shù)據(jù)下載:

數(shù)據(jù)下載可以取對(duì)象存儲(chǔ)服務(wù)的域名；

也可以下載cdn域名；

對(duì)象在打開cdn后存儲(chǔ)使用cdn服務(wù)的客戶端的域名請(qǐng)求數(shù)據(jù)。如果數(shù)據(jù)不在cdn服務(wù)中，cdn服務(wù)將自動(dòng)使用對(duì)象將桶域名存儲(chǔ)回源，并將數(shù)據(jù)拉至cdn緩存。之后，所有的壓力都卸在了cdn服務(wù)上。因此，從上面的描述中，我們?cè)俅握J(rèn)識(shí)到cdn實(shí)際上是后端存儲(chǔ)服務(wù)的一個(gè)簡(jiǎn)單的緩存代理。如果業(yè)務(wù)要使用cdn，需要指定cdn服務(wù)的域名和對(duì)象存儲(chǔ)的域名，并在cdn服務(wù)中配置映射關(guān)系(這一步其實(shí)是公有云廠商在做)。上傳數(shù)據(jù)使用對(duì)象存儲(chǔ)域名，讀取數(shù)據(jù)使用cdn域名。

cdn回源使用方案

當(dāng)cdn用戶請(qǐng)求失敗時(shí)，需要回到源端和后端拉取數(shù)據(jù)。所以不知道大家有沒有想過，CDN是用什么樣的方案來(lái)加快數(shù)據(jù)采集的速度。(因?yàn)镾3協(xié)議是授權(quán)驗(yàn)證，也就是數(shù)字簽名，S3 v4協(xié)議會(huì)在數(shù)字身份驗(yàn)證中給主機(jī)簽名，也就是一般情況下cdn不能直接轉(zhuǎn)發(fā))。一般來(lái)說，對(duì)象存儲(chǔ)服務(wù)和cdn的協(xié)同實(shí)現(xiàn)有三種解決方案:

預(yù)簽名

授權(quán)閱讀

公眾閱讀

預(yù)簽名

預(yù)簽也叫預(yù)簽。在這個(gè)方案中，客戶端已經(jīng)充分準(zhǔn)備了簽名，所有的簽名元素和驗(yàn)證都在查詢url中。在這個(gè)場(chǎng)景中，Cdn實(shí)際上是一個(gè)純粹的轉(zhuǎn)發(fā)代理。但是，presign有一個(gè)限制，只能使用S3 V2版本簽名，因?yàn)閏dn返回源時(shí)主機(jī)會(huì)發(fā)生變化，v4版本簽名會(huì)由主機(jī)會(huì)簽，所以這種情況下簽名驗(yàn)證會(huì)失敗。

策略授權(quán)方案

這是一般的方式。S3桶支持細(xì)粒度的權(quán)限分配，即策略策略。它允許將各種操作權(quán)限分配給各種指定的對(duì)象。

在公有云上，用戶申請(qǐng)cdn服務(wù)的資源，主要做幾個(gè)配置(公有云廠商幫你搞定):

提供CDN域名和Bucket域名的映射關(guān)系

服務(wù)和CDN之間的身份驗(yàn)證模式

公有云廠商也會(huì)授予業(yè)務(wù)端讀取cdn服務(wù)的桶。這樣，當(dāng)cdn未命中，cdn返回源時(shí)，可以用自己的賬號(hào)向?qū)ο蟠鎯?chǔ)服務(wù)請(qǐng)求數(shù)據(jù)(因?yàn)閏dn加速啟動(dòng)時(shí)，已經(jīng)通過策略授權(quán)給CDN，所以可以讀取數(shù)據(jù))。

公眾閱讀計(jì)劃

S3桶可以配置為公共閱讀，也稱為匿名訪問。任何客戶端都可以通過curl直接獲取數(shù)據(jù)，所以cdn自然可以獲取數(shù)據(jù)。這是一個(gè)特殊的方案，我們通常不這么做。這種方法可想而知，適用場(chǎng)景有限，因?yàn)闊o(wú)法保證數(shù)據(jù)安全。

特別聲明：以上文章內(nèi)容僅代表作者本人觀點(diǎn)，不代表ESG跨境電商觀點(diǎn)或立場(chǎng)。如有關(guān)于作品內(nèi)容、版權(quán)或其它問題請(qǐng)于作品發(fā)表后的30日內(nèi)與ESG跨境電商聯(lián)系。