Questa pagina fornisce una panoramica dell'autenticazione dell'origine privata e le istruzioni per utilizzarla con Cloud CDN.
L'autenticazione dell'origine privata fornisce a Cloud CDN l'accesso a lungo termine delle risorse ai bucket Amazon S3 privati o ad altri archivi di oggetti compatibili. L'utilizzo di origini private impedisce ai client di bypassare Cloud CDN e di accedere direttamente alla tua origine.
Questa funzionalità è supportata per Cloud CDN con un bilanciatore del carico delle applicazioni esterno globale o un bilanciatore del carico delle applicazioni classico.
L'autenticazione dell'origine privata è per l'origine, mentre URL firmati e cookie firmati sono solo per il client. Puoi abilitare entrambi per gli stessi contenuti. L'autenticazione dell'origine privata limita l'accesso non CDN alle tue origini e ai tuoi contenuti. Gli URL firmati e i cookie controllano quali utenti possono accedere a Cloud CDN.
Prima di iniziare
Creare una chiave HMAC (Hash-based Message Authentication Code) per autenticare le richieste e associarla a un account di servizio. Prendi nota della chiave di accesso e del secret.
Consulta Accesso ad AWS utilizzando le credenziali AWS: accesso programmatico nella documentazione AWS.
Configura un bilanciatore del carico con il backend esterno.
Se il tuo archivio di oggetti prevede un determinato valore per l'intestazione
Host
della richiesta HTTP, assicurati che sia configurato nel servizio di backend. Se non configuri un'intestazione della richiesta personalizzata, il servizio di backend conserva l'intestazioneHost
che il client ha utilizzato per connettersi al bilanciatore del carico delle applicazioni esterno.Per la procedura di configurazione, consulta Utilizzo delle intestazioni delle richieste personalizzate. Per un esempio specifico, consulta Configurazione di un bilanciatore del carico con un backend esterno.
Se necessario, esegui l'aggiornamento alla versione più recente di Google Cloud CLI:
gcloud components update
Configura l'autenticazione per origini private
Per configurare l'autenticazione dell'origine privata, segui queste istruzioni:
gcloud
Esporta la configurazione del backend per la tua origine privata in un file YAML utilizzando il comando
gcloud compute backend-services export
:gcloud compute backend-services export BACKEND_SERVICE_NAME \ [--destination=DESTINATION]
Sostituisci
DESTINATION
con il nome del file YAML, ad esempiomy-private-origin.yaml
.Per autenticare le richieste di backend utilizzando la chiave HMAC, specifica queste opzioni di configurazione aggiuntive nella sezione
securitySettings
dibackendServices
:securitySettings: awsV4Authentication: accessKeyId: ACCESS_KEY_ID accessKey: ACCESS_KEY [accessKeyVersion: ACCESS_KEY_VERSION] originRegion: REGION …]
Sostituisci quanto segue:
ACCESS_KEY_ID
: l'ID della chiave di accesso HMACACCESS_KEY
: la chiave di accesso HMACACCESS_KEY_VERSION
(facoltativo): un nome univoco che puoi impostare per rappresentare la versione della chiaveREGION
: una regione valida per il tuo provider di archiviazione. Per Amazon S3, il valore non è una regione Google Cloud.
Il seguente snippet mostra i contenuti di un file
my-private-origin.yaml
di esempio:name: shopping-cart-services backends: - description: cart-backend-1 group: 'https://www.googleapis.com/compute/v1/projects/my-project-id/global/networkEndpointGroups/my-network-origin-group' securitySettings: awsV4Authentication: accessKeyId: AKIDEXAMPLE accessKey: c4afb1cc5771d871763a393e44b703571b55cc28424d1a5e86da6ed3c154a4b9 accessKeyVersion: prod-access-key-v1.2 originRegion: us-east-2
Per aggiornare l'origine privata, importa la configurazione nel servizio di backend utilizzando il comando
gcloud compute backend-services import
:gcloud compute backend-services import BACKEND_SERVICE_NAME \ [--source=SOURCE]
Sostituisci
SOURCE
con il nome del file YAML.
API
Per autenticare le richieste di backend utilizzando la chiave HMAC, specifica queste
opzioni di configurazione aggiuntive nella sezione securitySettings
di
backendServices
.
Usa la chiamata API Method: backendServices.insert
o Method: backendServices.update
.
POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/backendServices PUT https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/backendServices/BACKEND_SERVICE
Aggiungi il seguente snippet al corpo della richiesta JSON:
securitySettings: { awsV4Authentication: { accessKeyId: ACCESS_KEY_ID, accessKey: ACCESS_KEY, [accessKeyVersion: ACCESS_KEY_VERSION], originRegion: REGION } }
Sostituisci quanto segue:
ACCESS_KEY_ID
: l'ID della chiave di accesso HMACACCESS_KEY
: la chiave di accesso HMACACCESS_KEY_VERSION
(facoltativo): un nome univoco che puoi impostare per rappresentare la versione della chiaveREGION
: una regione valida per il tuo provider di archiviazione. Per Amazon S3, il valore non è una regione Google Cloud.
Lo snippet seguente mostra i contenuti del corpo di una richiesta JSON di esempio:
securitySettings: { awsV4Authentication: { accessKeyId: "AKIDEXAMPLE", accessKey: "c4afb1cc5771d871763a393e44b703571b55cc28424d1a5e86da6ed3c154a4b9", accessKeyVersion: "prod-access-key-v1.2", originRegion: "us-east-2" } }
Il nome del servizio viene impostato automaticamente su s3
per la creazione della firma.
Una volta definite queste configurazioni, Cloud CDN genera un'intestazione di autorizzazione HTTP per tutte le richieste alla tua origine.
Memorizza nella cache le risposte autenticate
Ti consigliamo di assicurarti che i contenuti autenticati privatamente vengano memorizzati nella cache da Cloud CDN.
Per farlo, imposta l'opzione Modalità cache su Forza memorizzazione nella cache di tutti i contenuti e specifica un TTL, in modo che tutti i contenuti pubblicati dall'origine vengano memorizzati nella cache.
In alternativa, se non vuoi forzare la memorizzazione nella cache di tutti i contenuti allo stesso modo, modifica la modalità cache in Utilizza l'impostazione dell'origine basata sulle intestazioni Cache-Control o su Memorizza nella cache i contenuti statici e assicurati che l'intestazione Cache-Control
sia impostata correttamente sui contenuti pubblicati dalla tua origine.