Настройка ресурсов Anycast CDN
Многие дополнительные настройки доступны через API. Не нашли то, что вам нужно? - Спросите техподдержку!
По каждому ресурсу Anycast CDN вам доступна такая информация и настройки:
- Просмотр общей информации
- Просмотр статистики
- Управление доменами
- Конфигурация отдачи контента
- Доступ и защита контента
- Антихотлинкинг
- Кеш и настройки кеширования
¶ Список ресурсов
Чтобы просмотреть список ваших Anycast CDN ресурсов, детальные сведения о каждом из них, проверить или изменить настройки выбранного ресурса, перейдите к разделу CDN resources (CDN-ресурсы).
Здесь вы можете просмотреть все свои ресурсы, либо отобразить некоторые из них на основе ID, имени, источника, домена или текущего статуса, воспользовавшись фильтром в заглавие страницы.
.png)
Если фильтр оставить пустым, все ваши ресурсы будут отображены в формате списка, по каждому из них сразу доступна информация о связанных доменах, источника каждого ресурса, его статусе и дате последнего обновления, как показано выше.
Нажмите на наименование столбца в заглавии списка, чтобы отсортировать ресурсы по соответствующей категории для удобства использования.
Чтобы отобразить полную информацию по определенному ресурсу и получить доступ к его настройкам, нажмите на его название в списке.
В результате вы перейдете на страницу выбранного Anycast CDN ресурса, где будут доступны следующие вкладки:
- Overview — обзорные данные ресурса и виджеты общей статистики
- Statistics — развернутая статистика ресурса с фильтрами по периодам и доменам
- Domains — страница настройки доменов ресурса
- Preferences — страница настроек отдачи контента
- Access Protection — страница настройки безопасности
- Manage Cache — страница настройки кеширования
¶ Общая информация о ресурсе
Вы можете просмотреть общую информацию выбранного Anycast CDN ресурса на вкладке Overview:
В разделе общей информации вам доступны такие данные о выбранном ресурсе:
- ID — внутренний идентификатор ресурса
- System domain — домен, созданный системой для доступа к файлам ресурса
- Resource origin — директория ресурса, http/https ссылка, адрес источника или бакет
- Created — дата и время создания ресурса
- Updated — дата и время последнего обновления ресурса
В правой части отображены виджеты статистики по данному ресурсу:
Обратите внимание, виджеты будут отображать информацию по мере сбора статистики об использовании ресурса. Сразу после создания ресурса виджеты будут пустыми.
- Cache hits — количество обращений к файлу кешированному CDN
- Non-cache hits — количество обращений к файлу отсутствующему в кеше CDN, спроксированных CDN на источник
- Plain traffic — статистика HTTP-трафика по ресурсу
- HTTPS traffic — статистика HTTPS-трафика по ресурсу
Ознакомьтесь детальнее с методологиями подсчета трафика и бендвича в статье о калькуляции трафика.
¶ Статистика ресурса
На вкладке Statistics (Статистика) можно увидеть детализированные данные по потреблению трафика, среднему показателю бендвича, занятому объему кеша и хитам(обращениям к файлу).
По умолчанию, статистика отображена за текущий месяц. Более детальная статистика доступна на Dashboard (Обзорная панель) администратора Anycast CDN.
На графике трафика подана информация с разбивкой на обычный(HTTP) и HTTPS-трафик. Гибридный график совмещает данные по трафику и хитам.
Более подробно о подсчета бендвича по 95 перцентилю читайте статье о калькуляции трафика.
При помощи фильтра-календаря вы можете задать определенный период отображения статистики, как показано ниже.
¶ Респонс коды
.png)
Респонс коды демонстрируют результаты обработки запросов пользователей и доставке вашего контента. Ниже приводится объяснение каждого риспонс кода:
MISS: Кэш CDN не содержал запрошенного файла, поэтому CDN обратилась за ним к ориджину и кэшировали для последующего использования.
BYPASS: CDN пропустила запрос в обход кэша на ориджин в соответствии с директивами оригинального сервера или определенными правилами ресурса.
HIT: CDN раздала запрошенный контент непосредственно из кэша.
EXPIRED: С ориджина был запрошен свежий контент, поскольку кэшированный файл устарел или превысил свой TTL.
REVALIDATED: Перед раздачей контента CDN проверила свежесть кэшированного файла без полной повторной загрузки с ориджина.
STALE: Хотя кэшированный файл устарел, контент был отдан пользователю, из-за недоступности или ошибки ориджина; как только ориджин станет доступен, CDN закеширует свежий файл.
UPDATING: Файл устарел, в момент запросаб CDN загружала свежую версию файла с ориджина в следствие предыдущего запроса устаревшего файла.
¶ Домены ресурса
Информация о доменах ресурса отображена на вкладке Domains:
Здесь можно увидеть два типа доменов:
- System domain — автоматически создан системой для доступа к файлам ресурса
- User domains — домены, самостоятельно добавляемые пользователем, для доступа к файлам ресурса
¶ Управление доменами
Вы можете добавлять, удалять и настраивать пользовательские домены. При нажатии кнопки Add user domain (Добавить пользовательский домен) появится диалог создания нового домена:
Укажите доменное имя третьего порядка или ниже.
Далее выберите из выпадающего списка SSL–сертификат, который хотите применить к домену:
- Let’s Encrypt certificate (auto) — автоматически созданный провайдером
- Custom certificate (user) — добавленный пользователем сертификат
Если желаемого SSL–сертификата в списке нет, его необходимо добавить, чтобы применить к новому домену. Для этого в выпадающем списке сертификатов нажмите Add new SSL-certificate (добавить новый SSL-сертификат).
Также у вас есть возможность одномоментно добавить пул своих доменов, для этого воспользуйтесь кнопкой ADD BULK и укажите все домены данного ресурса.
Здесь вы можете массово выпустить для всех добавляемых доменов сертификат Let’s Encrypt, либо применить уже сущетсвующие и подгруженные в пользовательскую панель сертификаты.
Для подтверждения добавления пула доменов, нажмите Add User Domains.
¶ Добавление SSL-сертификата
При выборе опции Add new SSL certificate (Добавить новый SSL сертификат) в выпадающем списке, вы перейдете в раздел SSL certificates пользовательской панели, для добавления нового сертификата.
Только после ввода всех необходимых данных и их сохранения, сертификат станет доступным для выбора в выпадающем списке.
После нажатия кнопки Add domain (Добавить домен) — ресурсу будет добавлен домен с предустановленными настройками (по умолчанию). Кнопка Cancel — отменяет добавление пользовательского домена.
¶ Конфигурация отдачи контента
На вкладке Preferences (предпочтения) для каждого ресурса вы можете в любой комбинации настроить такие параметры:
.png)
Обратите внимание, использование ориджин-шилда приведет к возрастанию CDN-трафика.
¶ Origin shield
Активируйте использование ориджин-шилда, включив настройку Use origin shield. При включенном ориджин-шилде, только шилд-сервер будет обращаться к вашему источнику (ориджин-серверу) для формирования у себя CDN-кеша, остальные CDN-серверы будут обращаться уже к шилд-серверу, чтобы формировать свой кеш. Таким образом снижается нагрузка на ориджин.
Вам доступны для выбора два варианта шилдов:
¶ ☑ Auto (Origin-based)
Опция auto означает, что в качестве шилда CDN установит сервер, расположенный ближе всего к вашему ориджин-серверу.
¶ ☑ Custom (Multi-shield)
Опция custom позволяет CDN задействовать разные шилд-серверы для разных географических локаций. При включенной опции расположение доступных шилд-серверов будет отображено в пользовательской панели.
Таким образом снизится количество запросов непосредственно к источнику и нагрузка на ваши ориджин-серверы. Локация ориджин-шилда по умолчанию определяется автоматически.
.png)
Чтобы выбрать желаемую локацию шилд-сервера вручную, активируйте использование ориджин-шилда, выберите опцию Custom, как показано выше и активируйте более подходящий по географии шилд из предложенных.
¶ Поддержка IPv6
По разным данным, от 97% до 99% запросов придут по протоколу IPv4.
Разрешите передачу контента пользователям по протоколу IPv6. При включенной настройке, пользователь сможет получить доступ к вашему контенту по более продвинутому сетевому протоколу IPv6, пришедшему на смену IPv4.
Данная настройка, кроме прочего, может устранить некоторые проблемы соединения. Так IPv6 лучше совместим с мобильными сетями и более отказоустойчив.
Для включения поддержки IPv6 для данного ресурса, переведите соответствующий переключатель в активное положение, как показано ниже.
.png)
¶ HTTP-to-HTTPS
На изображении выше в настройках активирована автоматическая переадресация пользователя с HTTP на HTTPS. Эта настройка обеспечивает более высокий уровень конфиденциальности и защиты пользователя. Обратите внимание, по умолчанию данная настройка отключена.
Данная настройка является обязательной для SEO-оптимизации веб-страницы.
HTTPS по умолчанию использует шифрование при обмене информацией между пользователем и сервером, гарантируя, что третьи стороны не смогут декодировать транзакцию даже если любым образом смогут ее перехватить.
¶ Проксируемые форматы
По умолчанию функция отключена и список форматов пуст.
Если содержимое в директории ваших ресурсов разнообразное и не все необходимо раздавать через CDN, задайте здесь типы файлов, которые будут раздаваться через CDN, как показано ниже:
.png)
Другие расширения CDN кешировать не будет. При запросе форматов файлов, не указаны в списке, CDN будет возвращать 403 ошибку.
При активации данной настройки, список указанных вами расширений перезаписывает дефолтный список проксируемых расширений.
¶ Предпочтительная IP-версия
Вы можете выбрать предпочтительную IP-версию подключения к ориджину (IPv4 или IPv6) для внешнего URL, как показано ниже.
.png)
В случае если предпочтительный протокол не может быть применен из-за конфигурации сети, настроек оборудования или других факторов, соединение будет установлено по поддерживаемой версии протокола.
Внеся необходимые изменения в конфигурацию, нажмите Сохранить изменения (Save Changes).
Чтобы включить или отключить любой из параметров, переместите соответствующий переключатель в активное или неактивное положение. Статус каждого параметра, On или Off, отображается справа от его названия.
Также на этой вкладке вы можете просмотреть и отредактировать источник ресурса, заданный при его создании.
Внеся необходимые изменения в конфигурацию ресурса, нажмите Save changes(сохранить изменения).
¶ Настройки доступа и защиты
На вкладке Access Protection (настройки доступа), вы можете ограничить нежелательный доступ определенных пользователей к вашему контенту через CDN.
Ниже перечисленные настройки, помимо HSTS, помогут вам ограничить нежелательные действия, в том числе попытки хотлинка.
.png)
Чтобы включить или отключить любую из настроек защиты, переведите соответствующий переключатель в активное или неактивное положение. Статус каждой из настроек, On или Off, отображается справа от его названия.
¶ Проверка реферера
Referrer settings: Здесь вы можете задать список доменов, которым автоматически будет разрешен / запрещен доступ к данному ресурсу.
При использовании “белого” списка, вы можете ограничить трафик для запросов с отсутствующим реферером. Ваши пользовательские домены автоматически будут иметь доступ.
Пустые, стертые брандмауэром или прокси рефереры, разрешены по умолчанию. Вы можете перезаписать это поведение, включив блокировку по соответствующим параметрам на вкладке Allowlist, выделенным ниже:
.png)
Для рефереров-субдоменов Google (google.* и *.google.com) можно использовать wildcard-значение.
¶ Географическое ограничение
Country protection: здесь вы можете указать список стран, для которых ваш контент будет доступен (Allowlist) либо список стран, пользователям из которых доступ к контенту будет закрыт (Blocklist). Для этого выберите все необходимые страны из выпадающего списка.
В зависимости от того, блеклист или белый список вы хотите задать, переключитесь между типом ограничения Blocklist или Allowlist, соответственно.
.png)
¶ Ограничение доступа по IP
IP protection: Как показано выше, здесь можно задать список разрешенних или запрещенных IP-адресов либо маску, разделяя их запятыми.
¶ HSTS
HTTP Strict-Transport-Security - механизм принудительного перехода с HTTP на HTTPS протокол. Вы можете указать период времени, на которое браузер пользователя запомнит эту настройку (в днях и часах), как показано ниже.
.png)
¶ CORS
Cross-Origin Resource Sharing - при активной настройке CORS, CDN использует дополнительный заголовок с вайлдкард значением, обеспечивая доступа к вашему ресурсу с несколькими ориджинами.
ccess-control-allow-origin: *
Настроив все необходимые параметры защиты, нажмите Save changes (сохранить изменения).
¶ Антихотлинкинг
Антихотлинкинг в первую очередь решает проблему горячих ссылок*, делая невозможным (или значительно усложняя) использование вашего контента на чужом сайте.
¶
*hotlinking - использование чужого контента на сайте или другой платформе без каких-либо прав на это, например, путем встраивания в HTML-код сайта тегов <img>, <video> или аналогичных, ссылающихся на контент другого сайта, с целью сэкономить на хостинге и заработать на чужом контенте.
.png)
¶ Подпись URL
Подписи URL - это ключевая функция обеспечения безопасности сайта, особенно для предотвращения хотлинка. Наш механизм схож с функцией «NGINX Securelink», но адаптирован к настройкам Anycast CDN.
Используя подпись URL, вы сможете:
- Проверять подлинность входящих запросов.
- Предотвратить доступ неавторизованных ресурсов, даже если они получат URL вашего файла.
- Ограничить время жизни ссылки точным периодом.
- Предотвратить обмен ссылками между пользователями, ограничив доступ определенным IP-адресом пользователя.
¶ Принцип работы подписи URL-адресов
Если включена функция подписи URL-адресов, каждый запрос содержимого должен содержать подпись, подтверждающую его авторизацию. Подпись генерируется с использованием определенного формата данных, хэшируется с помощью MD5 и проверяется логикой проверки CDN.
¶ Формат
Чтобы создать корректную подпись, используйте следующий формат данных перед применением алгоритма хэширования MD5:
$expiration_date$uri$client_address $signing_key
¶ Компоненты
$expiration_date: Временная метка истечения срока действия (в секундах или другом согласованном формате), которая ограничивает срок действия ссылки. По истечении этого времени ссылка становится недействительной.
$uri: Унифицированный идентификатор ресурса запрашиваемого ресурса.
$client_address: IP-адрес клиента, запрашивающего ресурс. Это привязывает подпись к конкретному клиенту, добавляя еще один уровень защиты.
$signing_key: секретный ключ, которым обмениваются сервер и генератор подписи. Этот ключ гарантирует, что только авторизованные стороны могут создавать действительные подписи.
¶ Параметры
Имя аргумента безопасной ссылки - обязательно, если опция включена. По умолчанию установлен алгоритм хэширования MD5.
Ключ подписи - ваш уникальный секретный ключ, используемый для генерации подписи и проверки ссылки. Является обязательным. Ожидается значение не более 10 буквенно-цифровых символов.
Проверять срок действия ссылки - произвольный параметр. Если включен, имитирует время жизни ссылки, добавляя к аргументу временную метку истечения срока действия. - boolean, по умолчанию true.
Аргумент Дата истечения - используется для отправки временной метки истечения срока действия в формате Unix-времени (секунды с 1970-01-01), по умолчанию - expires, проверка такая же, как и для аргумента Безопасная ссылка.
Проверка адреса клиента - произвольный параметр, проверяет, сгенерирована ли подпись URL для запрашивающего адреса. По умолчанию имеет значение active.
После того как вы настроили все необходимые параметры доступа, нажмите Сохранить изменения.
¶ Настройки кеширования ресурса
На вкладке Manage Cache вам доступна очистка кеша и настройка кеширования для ресурса, как показано ниже.
.png)
¶ Принудительная очистка кеша
Обратите внимание, очистка кеша временно увеличит нагрузку и трафик на ваш ориджин и снизит доступность вашего контента.
По умолчанию, Purge (принудительная очистка) кеша производится точечно, по конкретному пути (By path), чтобы очистить CDN-кеш вам нужно указать полный путь к файлам, по которым требуется очистка кеша, как на следующем примере:
.png)
Задав необходимые пути для очистки кеша, нажмите Purge Cache By Path. CDN быстрее обработает одну задачу с множеством путей для очистки, нежели соответствующее количество отдельных задач на очистку каждого отдельного пути.
Если есть необходимость очистить кеш по большому количеству ресурсов By Path, рекомендуем сделать это через API.
Если есть такая необходимость, CDN-кеш по ресурсу можно очистить полностью, для этого выберите Total (полная) в параметрах принудительной очистки кеша (Purge):
.png)
и нажмите Total Cache Purge.
¶ Кеширование ресурса
По умолчанию Anycast CDN кеширует ваши файлы и настройка Use CDN cache будет включена для ресурса. Если есть необходимость, кеширование ресурса можно отключить, переведя переключатель в неактивный статус (Off), как на изображении ниже:
.png)
При отключенном кешировании, CDN будет проксировать клиентские запросы непосредственно на источник.
Обратите внимание, отключение кеширования может привести к снижению доступности вашего контента и повышенной нагрузке на ваши серверы, так как весь трафик будет перенаправлен на источники.
¶ Время жизни кеша
В настройках кеширования ресурса вы можете определить следующие параметры:
TTL — время существования файла в кеше. По умолчанию все TTL составляют 2 дня. TTL не может превышать 365 дней. Задать настройки TTL можно в днях, часах, минутах и секундах.
- Inactive TTL определяет срок, по истечение которого будет удален кеш файла, к которому не было обращений.
- Active TTL — время до обновления файла. Определяет период, по прошествии которого файл будет перезапрошен с ориджин-сервера.
При этом, если файл на ориджин-сервере не обновлялся, перекешируются только хедеры и файл заново выкачиваться не будет. - Browser Active TTL определяет время, которое файл будет храниться в кеше браузера.
При этом CDN только возвращает хедеры, а браузер использует для файла собственный кеш соответственно полученным хедерам.
.png)
¶ Перезапись хедеров
Если при отдаче файлов ресурса, вы добавляете хедеры
- X-Accel-Expires
- Expires или
- Cache-Control
настройка Override by response header params позволит им переопределять заданные для ресурса параметры TTL.
По умолчанию хедерами управляет CDN, включите эту функцию, если необходимо наследовать хедеры ориджин-сервера.
При включении Override by response header params, заданные ранее параметры Active TTL (Update Time To Live) и Browser Active TTL для ресурса учитываться не будут.
¶ Другие настройки кеша
Min requests to cache — Здесь можно переопределить минимальное количество обращений к файлу, после которого CDN загрузит его в кеш. По умолчанию значение параметра — 1, максимальное — 10 запросов.
.png)
Cache gzipped content separately — При активации данной настройки, опираясь на Accept-Encoding: gzip хедер, gzip контент будет кеширваться отдельно от несжатого. По умолчанию настройка неактивна.
Truncate URL params — усечение параметров GET запроса из URL по умолчанию включено. В данной настройке необходимо указать расширения файлов, для которых будет происходить усечение. По умолчанию настройка активна для таких расширений: .jpg .jpeg .gif .png .tiff .bmp .svg. Задав другой список значений вы перезапишете его и усечение будет срабатывать только для указанных вами расширений.