一、前言
大家好,我是尝试中成长的站长,前段时间,群友的cdn被刷爆了,这就引起了我的恐慌,我大概接入了3个域名和一个cos,要刷的话,可能会倾家荡产,国内的cdn比较便宜但是没有防护,国外的就比较贵,节点少,开了等于没开,但是他们是有防护的,盗刷应该不会这么严重,腾讯云其实也有一个类似的功能产品,scdn,有个问题,太贵啦,当时年少不懂事,测试给我花了30块,应该可以想象价格的高昂了吧。这次针对cdn的某些设置进行了一点点的优化,至少在你的网站被cc或者ddos时,自动关闭cdn,避免高昂的费用。
二、基础配置
一般大部分人都会选择根域名直接接入,然而这个在很多产商是不允许的(goddady,Google domain等等),涉及网络制定的规范问题(搜索dns解析cname为何不能直接接入根域名),不过也提供了一些替代性方案,dnspod是支持直接接入的,推测可能是采用替代性方案实现的,如果不支持,最简单的方案就是接入www子域名。
cdn配置一句话描述就是,添加域名产生cname记录,dns上面添加一条cdn cname记录到该域名上,申请ssl证书,添加到cdn上,等待cdn生效,cdn配置完毕。
- 加速区域:不说了,如果你认为你的主要客户是国外可以选择国外结点,不过这会导致一个问题,你需要清楚主要分布的区域并购买流量包,不然按需流量计费是比较贵的,cdn会帮你选择最佳结点,若你购买的套餐没有包括这个结点,你需要额外付费。所以保险起见还是选择国内比较好一点。
- 加速域名:国内的厂商必须备案才行,所以没有备案的朋友看到这里就可以结束了。
- cname:自动创建的,作为cname记录值
- 加速类型:应该是对不同类型的文件进行了优化,一般情况下选择网页小文件就ok
- ipv6访问:根据实际需求开启或者关闭,不过值得一提的就是,如果开启的话,就不能添加区域黑名单或者白名单了(根据ipv4地址进行限制)
接下来配置一下源站
一般情况下就是配置自有源即可,回源协议我是习惯选择https(和源站有关),这里补充一点,我们访问网站本质上就是协议+IP地址+端口访问的,请务必确保源站可以通过这种方式访问,否则cdn也是无法访问的。
三、访问控制
稍微配置一下可以减少一些cc和ddos的攻击,主要是对ip和流量进行控制
- 防盗链设置
加白比较容易,黑名单可能太多了,我自己是加了一些例如百度和必应谷歌等搜索引擎的域名进去,还有一些自己的友链啥的。
- ip黑白名单
这个一般是加黑,比如某台攻击你的机器,如果只是自己用的话也可以加白。
- ip访问qps
即控制每秒的请求数,一般情况下是不会有啥问题的,当然你的网站如果很大的话这个访问阈值就要调整了
- 高级配置
这个配置比较复杂暂时没有尝试过,总之就是更安全了。
- 下行限速配置
即获取资源的速度,一般情况下只有css,js,html等文件,几百k就行,也可以根据实际情况更改,比如站点有比较多的音乐资源啥的,可以一定程度上减少ddos时的损失。
- 境内访问端口
一般情况下80和443就行了,如果时采用8080端口访问可以开启(注意这里为cdn服务器上的,自己服务器的配置无效,看上去只能支持这三种端口,有兴趣的朋友可以试试其他端口)
- 区域访问控制
仅能控制ipv4的ip,设置区域白名单和黑名单达到控制的效果。(目前免费,不排除后面收费)
- 远程鉴权
即使用自己的服务器完成鉴权操作,需要自己写代码(比较复杂,企业级的网站可能有这个需求)。
四、缓存配置
- 缓存键规则配置(默认就行,跳过)
- 节点缓存过期配置
这个根据个人喜好配置,同时也决定着回源的频率,还有你的更新频率决定,我一般是一周更新一次,也可以写完强制更新
在域名管理那边找到强制更新的选项,需要五分钟左右进行同步(有点慢,其实是结点比较多可以理解)。
- 浏览器缓存
浏览器一般也会进行缓存的,这里配置的图片缓存策略,比如正在看这篇文章的朋友多次打开浏览器,不需要重复加载多次内容。
- 状态码缓存(不知道啥作用,跳过)
- http头部缓存(开启就完事了)
- 访问URL重写
类似伪静态或者起到防盗的作用,太麻烦了,跳过。
- 合并回源
类似主从从模式的回源,降低源站的压力
- 分片回源(一般是大文件才需要开启的,我们这里跳过)
- 回源HTTP请求头配置(默认就行)
- 回源跟随301/302配置(我这里是开启,提高用户的体验,减少一次重定向)
- 回源超时和url重写
目前站点还是挺快的,根据自己的需求配置
- 回源SNI配置
我的是小站绑定了好多个域名,所以需要开启这个设置,不会导致串站的情况。
五、HTTPS配置
- https服务(目前收费,不过是每个月300w次以上收费,一般个人博客达不到这个量)
- https配置(这里配置证书)
- HTTP 2.0配置(开启就行)
- 强制跳转
这个务必要开启,有个小锁会安心一点
- HSTS配置和TLS版本配置
我的配置是这个,开就完事了,不懂可以搜索一下
- OCSP装订配置(开启就完事了)
六、高级配置(最重点来了)
看之前务必看完腾讯云的这篇简介预防高额账单
- 自定义错误页面配置(可以不配置,只是会影响体验,建议配置成自己独有的404界面或者首页)
- 用量封顶配置
其实这个配置挺大了,平时一个月只有2g的用量,但还是以防万一,即时关闭cdn和加ip黑名单。
- SEO配置(开就完事了)
- HTTP响应头配置(没看懂,默认就行)
- 智能压缩
可以参考如下配置,主要是针对静态文件的配置
- 离线缓存
主站服务器宕机时保证,cdn还可以用,不过对于动态网站而言这个比较鸡肋,数据都是存数据库的,数据库一般在主站,所以主站服务器宕机,这个网站基本上也是不可用,可开可不开。(曾经开过,然后被缓存心态搞崩了,所以关了)
- POST请求大小配置
即上传数据之类的请求,可以根据自己的网站进行调整。
七、结语
之前在非主流论坛里面出现的各种盗刷,好多坛友都对国内cdn失去了信心,其实无论是从哪种角度,国内的cdn都是非常不错的,相信会越来越好的。