配置专用源站身份验证

本页面简要介绍专用源站身份验证以及将其用于 Cloud CDN 的说明。

专用源站身份验证可让 Cloud CDN 长期访问私有 Amazon S3 存储桶或其他兼容的对象存储区。使用专用源站可防止客户端绕过 Cloud CDN 直接访问您的源站。

具有全球外部应用负载均衡器或传统应用负载均衡器的 Cloud CDN 均支持此功能。

专用源站身份验证是面向源站的,而签名网址签名 Cookie 是面向客户端的。您可以为相同的内容启用这两项。专用源站身份验证可限制对源站和内容的非 CDN 访问。签名网址和 Cookie 用于控制哪些用户可以访问 Cloud CDN。

准备工作

为专用源站配置身份验证

如需配置专用源站身份验证,请按照以下说明操作:

gcloud

  1. 将专用来源的后端配置导出到 使用 gcloud compute backend-services export 创建 YAML 文件 命令:

    gcloud compute backend-services export BACKEND_SERVICE_NAME \
       [--destination=DESTINATION]
    

    DESTINATION 替换为 YAML 文件的名称,例如 my-private-origin.yaml

  2. 如需使用 HMAC 密钥对后端请求进行身份验证,请在 backendServicessecuritySettings 部分中指定下列额外的配置选项:

    securitySettings:
      awsV4Authentication:
        accessKeyId: ACCESS_KEY_ID
        accessKey: ACCESS_KEY
        [accessKeyVersion: ACCESS_KEY_VERSION]
        originRegion: REGION
    …]
    

    替换以下内容:

    • ACCESS_KEY_ID:HMAC 访问密钥 ID
    • ACCESS_KEY:HMAC 访问密钥
    • ACCESS_KEY_VERSION(可选):唯一名称 可以用来表示密钥版本的
    • REGION:存储空间提供商的有效区域。对于 Amazon S3,此值不是 Google Cloud 区域。

    以下代码段显示了示例 my-private-origin.yaml 文件的内容:

     name: shopping-cart-services
     backends:
       - description: cart-backend-1
         group: 'https://www.googleapis.com/compute/v1/projects/my-project-id/global/networkEndpointGroups/my-network-origin-group'
     securitySettings:
       awsV4Authentication:
         accessKeyId: AKIDEXAMPLE
         accessKey: c4afb1cc5771d871763a393e44b703571b55cc28424d1a5e86da6ed3c154a4b9
         accessKeyVersion: prod-access-key-v1.2
         originRegion: us-east-2
    
  3. 如需更新专用源站,请将配置导入 管理后端服务 gcloud compute backend-services import 命令:

    gcloud compute backend-services import BACKEND_SERVICE_NAME \
       [--source=SOURCE]
    

    SOURCE 替换为 YAML 文件的名称。

API

要使用 HMAC 密钥对后端请求进行身份验证,请指定以下 其他配置选项的securitySettings部分 backendServices

使用 Method: backendServices.insertMethod: backendServices.update API 调用。

POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/backendServices
PUT https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/backendServices/BACKEND_SERVICE

将以下代码段添加到 JSON 请求正文:

securitySettings: {
  awsV4Authentication: {
    accessKeyId: ACCESS_KEY_ID,
    accessKey: ACCESS_KEY,
    [accessKeyVersion: ACCESS_KEY_VERSION],
    originRegion: REGION
  }
}

替换以下内容:

  • ACCESS_KEY_ID:HMAC 访问密钥 ID
  • ACCESS_KEY:HMAC 访问密钥
  • ACCESS_KEY_VERSION(可选):唯一名称, 可以用来表示密钥版本
  • REGION:存储空间提供商的有效区域。对于 Amazon S3,此值不是 Google Cloud 区域。

以下代码段显示了示例 JSON 请求正文的内容:

securitySettings: {
  awsV4Authentication: {
    accessKeyId: "AKIDEXAMPLE",
    accessKey: "c4afb1cc5771d871763a393e44b703571b55cc28424d1a5e86da6ed3c154a4b9",
    accessKeyVersion: "prod-access-key-v1.2",
    originRegion: "us-east-2"
  }
}

服务名称会自动设置为 s3 以创建签名。完成这些配置后,Cloud CDN 会为发送到您的源站的所有请求生成 HTTP 授权标头。

缓存经过私密身份验证的响应

您可能需要确保 Cloud CDN 缓存经过专用身份验证的内容。

为此,请设置缓存模式强制缓存所有内容并指定 TTL,以便通过 该来源会缓存起来

或者,如果您不想强制以相同的方式缓存所有内容, 将缓存模式更改为使用基于 Cache-Control 标头的来源设置缓存静态内容,并确保 Cache-Control 标头 正确设置。

后续步骤