产品动态
安全公告
产品公告
对象存储类源站(例如:COS)配置实践
概述
对象存储类源站是指云存储服务厂商提供的基于对象存储的资源托管平台。对象存储天然具备高扩展性、低成本、可靠安全等多方面的优势,能够满足网站静态资源托管、上传文件存储备份、音视频、图片等海量数据的存储与访问需求。随着用户对高效访问体验的期待提升,单一依靠对象存储进行全球范围的数据分发,已难以匹配日益增长的业务需求。
腾讯云 EdgeOne 作为下一代的安全加速平台,支持将源站配置为对象存储类型,包括腾讯云 COS 以及兼容 AWS Signature V4 和 AWS Signature V2 授权的主流对象存储。结合对象存储与 EdgeOne,可以充分发挥两者的优势,实现更优的数据分发与管理能力:
1. 结合 EdgeOne 覆盖全球可用区的边缘节点。当用户访问静态资源、图片、视频等数据时,EdgeOne 可将对象存储上的内容缓存到离用户最近的边缘节点。这样,用户无需每次都回源拉取资源,极大缩短了访问时延,提升了访问速度和体验。
2. 静态文件可缓存至边缘节点,用户就近在节点内直接获取静态文件,大幅节省对象存储的下行流量。
3. 为访问域名提供更加丰富的安全防护能力,借助 EdgeOne 提供的包括 DDoS 攻击防护、WAF 防护及 Bot 管理,通过边缘过滤恶意流量,有效保护网站的安全运行。
4. 可通过自定义域名访问对象存储桶的资源,提升网站的品牌形象。
说明:
配置指南
准备工作
1. 准备一个域名,该域名用于接入 EdgeOne,接入后,后续可使用该域名访问对象存储桶的相关资源。该域名需参见 快速接入网站安全加速 中的接入站点部分,接入至腾讯云 EdgeOne 内。
2. 当前需要接入的对象存储桶访问地址,例如:
test-1234567890.cos.ap-guangzhou.myqcloud.com。操作步骤
步骤 1:添加加速域名并配置存储桶
1. 登录 边缘安全加速平台 EO 控制台,在左侧菜单栏中,进入服务总览,单击网站安全加速内需配置的站点。
2. 在左侧导航栏中,单击域名服务 > 域名管理 ,进入域名管理详情页面。
3. 单击添加域名,参考 域名各配置项说明 填写域名配置信息。不同类型的对象存储源站配置方式参考如下:
针对同账号下的腾讯云 COS 源站,回源配置可参考如下配置:
源站配置:选择为对象存储源站 > 腾讯云 COS,选择您需要使用的存储桶列表。
说明:
如果您当前通过子账号配置,请确保子账号具有读取 COS 存储桶列表(接口 cos:GetService)的相关权限。
默认情况下,EdgeOne 自动使用腾讯云 COS 的默认对象存储桶域名回源,如果您在对象存储内,将对象存储设置为静态网站,需要使用静态网站回源,可将对象存储切换为静态网站类型。如果您当前的对象存储域名已开启全球加速,如需使用全球加速域名回源 COS,在 EdgeOne 控制台内配置时,请参考使用配置其它账号下的腾讯云 COS 对象存储源站进行配置。
私有访问授权(默认关闭):如果对象存储的权限为私有读写,需打开私有访问授权。EdgeOne 会要求进行 Policy 权限授权,授权通过后,将在 COS 存储桶的 Policy 权限下同步添加一条策略,允许 EdgeOne 具有该存储桶所有文件的只读权限,包含 HeadObject、OptionsObject、GetObject 操作。
如果需要添加的腾讯云 COS 存储桶不在当前账号下,属于其它腾讯云账号,您可以参考如下配置添加:
源站配置:选择为对象存储源站 > S3 兼容,选择输入您当前的 腾讯云 COS 访问域名。
私有访问授权(默认关闭):如果您的 COS 存储桶已开启私有读写,则需要开启私有访问授权,在开启后,填写对应的鉴权版本、地域、Access Key ID 和 Secret Access Key。
鉴权版本:支持 AWS Signature V4 (推荐)和 AWS Signature V2 两种版本,选择任意一种即可,腾讯云 COS 均可以支持。
地域:填写当前 COS 桶所在地域。例如:
ap-shanghai。Access Key ID 和 Secret Access Key:即当前 COS 存储桶所在账号的 SecretID 和 SecretKey,可以在 API 密钥管理 中查看。
如果需要来源于其它云厂商的对象存储源站,您可以参考如下配置添加:
源站配置:选择为对象存储源站 > S3 兼容,选择输入您当前的需要配置的对象存储源站访问域名。
私有访问授权(默认关闭):如果您的对象存储桶已开启私有读写,则需要开启私有访问授权,在开启后,填写对应的鉴权版本、地域、Access Key ID 和 Secret Access Key。
鉴权版本:支持 AWS Signature V4 和 AWS Signature V2 两种版本,选择当前对象存储桶可支持的签名算法版本。
地域:填写当前云厂商的对象存储桶所在地域。例如:
us-east-1。Access Key ID 和 Secret Access Key:当前对象存储桶所使用的密钥 ID 和密钥 key 信息。
步骤 2:(可选)完成其它配置项
配置 HTTPS 证书
添加域名后,为了让域名具备 HTTPS 访问能力,还需要配置域名 HTTPS 证书,如果您当前已经有该加速域名的证书,您可参见 部署/更新 SSL 托管证书至 EdgeOne 进行配置。如果还没有证书,可使用由 EdgeOne 提供的免费证书,您可参见 通过 EdgeOne 免费证书快速实现 HTTPS 访问。
配置防盗链策略
在使用 EdgeOne 加速您的存储桶资源后,用户即可通过当前配置的加速域名直接访问存储桶路径下的所有资源,为了防止访问链接被恶意盗用,导致流量成本上涨,您可以在配置加速域名后,叠加防盗链策略,防止当前域名访问被滥用。详情可参见 EdgeOne 防盗链实践教程。
配置跨域响应
如果您此前在对象存储中配置了跨域响应(CORS)策略, 在通过 EdgeOne 加速后,需要在 EdgeOne 内配置相同的跨域规则,才能允许其它应用服务通过跨域访问当前的加速域名。详情可参见 跨域响应配置。
配置缓存策略
在经过 EdgeOne 加速后,默认情况下,如果未配置任何节点缓存策略,EdgeOne 将遵循默认缓存策略来缓存静态文件资源。针对对象存储桶的资源,为了进一步提升资源的缓存命中率,最大程度上节省源站的下行成本,并提升用户的访问体验,建议您在规则引擎内继续根据文件后缀或者其它条件配置自定义的缓存规则。详情可参见 节点缓存 TTL。
配置安全防护策略
步骤 3:测试验证
全部完成以上配置后,例如:存储桶文件的原链接是:
https://test-1234567890.cos.ap-guangzhou.myqcloud.com/test.jpg。您当前接入 EdgeOne 的加速域名使用的是 www.example.com。您可以替换存储桶的访问域名,通过访问:https://www.example.com/test.jpg 验证是否可以正常访问到原对象存储内的文件内容。域名的访问测试验证步骤可参见 验证业务访问。文档反馈