使用内容分发网络(Content Delivery Network,CDN)加速对象存储(Cloud Object Storage,COS),可将存储桶中的内容进行大范围的下载、分发,特别是对于相同内容反复下载的使用场景。通过回源鉴权功能,可以实现使用 CDN 加速私有读存储桶中的内容。通过 CDN 鉴权功能,使内容只能被合法用户下载,避免开放下载可能造成的数据安全与流量成本等问题。
说明:用户开启 CDN 加速域名后,使用 CDN 加速域名进行数据的下载访问,将会产生 CDN 回源流量、CDN 流量,详情请参见 COS 作为 CDN 源站时产生的流量。
CDN 是在现有 Internet 中增加的一层新的网络架构,由遍布全球的高性能加速节点构成。这些高性能的服务节点都会按照一定的缓存策略存储您的业务内容,当您的用户向您的某一业务内容发起请求时,请求会被调度至最接近用户的服务节点,直接由服务节点快速响应,有效降低用户访问延迟,提升可用性。
CDN 会进行缓存和回源行为,即用户在访问某个 URL 的时候,如果被解析到的边缘节点没有命中需要响应的缓存内容,或者缓存已经到期,就会返回到源站去获取需响应的内容。
访问节点是用户创建存储桶时,依据存储桶的地域和名称,系统自动划分给存储桶的访问域名,可通过该域名访问存储桶中的数据。
开启静态网站功能后,您将额外获得一个静态网站的访问节点,用于呈现与默认访问节点表现不同的、特殊配置的响应内容。
用户可以通过管理以下两种域名来对 COS 进行加速访问:
说明:默认 CDN 加速域名和自定义 CDN 加速域名可统称为 CDN 加速域名。
将存储桶设置为允许公共访问,配置 CDN 回源到 COS 访问节点时,无需开启回源鉴权,CDN 边缘节点即可获取并缓存存储桶中的对象数据。
您仍然可以通过在 CDN 控制台开启 鉴权配置 有限度的保护存储桶中的数据,因为无论是否开启 CDN 中的该功能,知晓存储桶访问域名的用户仍可以访问到存储桶中的所有对象。对于不同 CDN 鉴权配置,域名对公有读存储桶的访问能力见下表:
CDN 鉴权配置 | CDN 加速域名访问 | COS 域名访问 | 常见场景 |
---|---|---|---|
关闭(默认) | 可访问 | 可访问 | 全站许可公共访问,通过 CDN 或源站均可访问 |
开启 | 需使用 URL 鉴权 | 可访问 | 对 CDN 访问开启防盗链,但不保护源站访问,不推荐 |
存储桶默认为私有读时,配置 CDN 回源到 COS 访问节点,CDN 边缘节点将无法获取和缓存任何数据。因此,需要将 CDN 服务身份加入到存储桶访问策略(Bucket Policy)中,并许可该身份可以执行以下操作:
在 CDN 控制台 和 COS 控制台 均提供了一键授权的功能,单击添加 CDN 服务授权即可完成。完成该操作后,需要开启「回源鉴权」选项,此时 CDN 边缘将会使用其服务身份访问 COS 中的数据。
注意:
- 如果存储桶被设置为私有读,则必须添加授权并开启回源鉴权,否则 COS 将拒绝访问。
- CDN 边缘会根据每个主账户生成一个服务账号,因此账户授权只对加速域名所属的主账户有效,跨账户绑定加速域名将会被拒绝访问。
添加 CDN 服务授权并开启回源鉴权后,CDN 边缘节点将可以直接获取并缓存数据,因此强烈建议在您有保护私有数据的需求时,开启 鉴权配置 保护存储桶中的数据。对于不同 CDN 鉴权配置,域名对私有读存储桶的访问能力见下表:
CDN 鉴权配置 | CDN 加速域名访问 | COS 域名访问 | 常见场景 |
---|---|---|---|
关闭(默认) | 可访问 | 需使用 COS 鉴权 | 可直接访问 CDN 域名,保护源站数据 |
开启 | 需使用 URL 鉴权 | 需使用 COS 鉴权 | 全链路保护访问,支持 CDN 鉴权防盗链 |
本页内容是否解决了您的问题?