對服務(wù)可控性及可用性有較高要求的開發(fā)者可以視項(xiàng)目的具體情況接入第三方 CDN 服務(wù)。 這篇指南簡要介紹了配置 CDN 的具體步驟。

接入第三方 CDN 的使用場景

下面我們列舉了一些常見的接入第三方 CDN 的使用場景，供大家參考：

• 加速靜態(tài)資源訪問+通常 CDN 對靜態(tài)資源的加速效果比較顯著。如果你想要為部署在云引擎上的純靜態(tài)站點(diǎn)接入第三方 CDN，那么也可以考慮直接使用云引擎內(nèi)置的加速節(jié)點(diǎn)功能，配置更加方便。+
• 加速動態(tài)請求訪問+由于每個(gè)動態(tài)請求都需要回源（CDN 轉(zhuǎn)發(fā)客戶端請求至源站，收到源站響應(yīng)再發(fā)給客戶端），因此 CDN 對動態(tài)請求的加速效果一般沒有那么明顯。當(dāng)然，全國各地、各運(yùn)營商的線路千差萬別，接入第三方 CDN 后在個(gè)別線路上可能會有顯著的加速效果，這也取決于具體的第三方 CDN 對不同線路的優(yōu)化情況。需要注意的是，許多 CDN 供應(yīng)商提供的產(chǎn)品會有靜態(tài) CDN 和動態(tài) CDN 的區(qū)分，這種情況下請選擇為動態(tài)請求優(yōu)化的產(chǎn)品。+
• 加速境外訪問+我們推薦主要面向境外用戶的應(yīng)用使用 LeanCloud 國際版，國際版的機(jī)房在海外，境外用戶訪問較快。同時(shí)面向境內(nèi)外用戶的應(yīng)用，可以考慮在華北節(jié)點(diǎn)或華東節(jié)點(diǎn)創(chuàng)建應(yīng)用，然后接入第三方 CDN 緩解境外用戶訪問緩慢的問題。當(dāng)然，這需要開發(fā)者挑選一家境內(nèi)外節(jié)點(diǎn)豐富、回源 LeanCloud 華北或華東節(jié)點(diǎn)速度較快、支持動態(tài)請求的第三方 CDN 服務(wù)商。同時(shí)面向境內(nèi)外用戶，且希望境外用戶能有更優(yōu)訪問速度的商用版用戶，可以提工單聯(lián)系我們開通專線。一般來說，相比通過公網(wǎng)回源 LeanCloud 華北或華東節(jié)點(diǎn)的第三方 CDN，專線能更好地優(yōu)化境外用戶訪問速度。不過，在訪問量較小的情況下，專線的成本比較高。+
• 緩解 DDoS 攻擊+除了部署在云引擎上的純靜態(tài)站點(diǎn)以外，我們推薦每個(gè)應(yīng)用使用獨(dú)立 IP。每一個(gè)獨(dú)立 IP 默認(rèn)提供了 2 Gbps 的防護(hù)帶寬，可以防護(hù)小規(guī)模的攻擊。在遇到更大規(guī)模攻擊的情況下，我們也可以協(xié)助你接入第三方清洗服務(wù)。取決于攻擊的類型，接入 CDN 也可以對 DDoS 攻擊起到不同程度的緩解作用。許多 CDN 供應(yīng)商還提供專門的防 DDoS 附加功能（通常成本較高），可以應(yīng)對大規(guī)模的 DDoS 攻擊。

準(zhǔn)備工作

在選定符合需要的第三方 CDN 供應(yīng)商后，請準(zhǔn)備一個(gè)已備案的域名，并規(guī)劃好供客戶端訪問的子域名和作為回源 Host 的域名：

• 供客戶端訪問的子域名，比如 foo.example.com，這個(gè)域名將作為最終提供服務(wù)的域名。多個(gè)云引擎分組需要分別準(zhǔn)備各自的子域名，多個(gè)應(yīng)用的 API 可以共用一個(gè)子域名。以下簡稱 CDN 域名。
• 在 LeanCloud 控制臺綁定的子域名，比如 bar.example.com。這個(gè)域名將作為回源 Host。多個(gè)云引擎分組、多個(gè)應(yīng)用的 API 都需要分別準(zhǔn)備各自的子域名作為回源 Host。如果是出于緩解 DDoS 攻擊的目的接入 CDN，可以考慮使用復(fù)雜的長隨機(jī)字符串（some-long-random-string.example.com），最大限度降低因回源 Host 泄露進(jìn)而導(dǎo)致回源 IP 泄露的風(fēng)險(xiǎn)。存在較小的可能性，在回源 Host 解析記錄存在期間，惡意攻擊者基于常用詞字典窮舉出子域名，并通過 DNS 查詢獲取回源 IP。以下簡稱回源域名。

API 與云引擎的 CDN 不能混用，需要分別配置，下面提到的所有概念如果沒有特殊說明，都不再區(qū)分 API 與云引擎服務(wù)。

向 LeanCloud 申請回源 IP

LeanCloud 華北節(jié)點(diǎn)需要進(jìn)行的設(shè)置如下：

• 申請獨(dú)立 IP 作為回源 IP
• 綁定回源域名

同一賬號下的多個(gè)應(yīng)用的 API 或者多個(gè)云引擎分組可以共用一個(gè) IP，但 API 與云引擎之間不能共用。 獨(dú)立 IP 可以直接在控制臺（賬號設(shè)置 > 獨(dú)立 IP）申請，如果當(dāng)前賬號已經(jīng)申請了獨(dú)立 IP，那么可以直接使用已有的獨(dú)立 IP。 但如果是出于緩解 DDoS 攻擊的目的接入第三方 CDN，那么建議專門申請 IP 以確?；卦?IP 的私密性，并特別注意不要泄露回源 IP。

在 LeanCloud 控制臺綁定作為回源域名（上一節(jié)例子中的 bar.example.com 或 some-long-random-string.example.com），其中，DNS 解析指向獨(dú)立 IP（回源 IP），SSL 選擇自動管理模式（如果你有自己的證書，也可以選擇手動模式，上傳證書）。等待綁定成功后前往第三方 CDN 供應(yīng)商處配置。

華東節(jié)點(diǎn)的流程與華北節(jié)點(diǎn)基本一致，只是目前還不支持在控制臺自動申請 IP，請通過工單系統(tǒng)提出申請。

配置 CDN

接下來請?jiān)?CDN 服務(wù)商處增加一個(gè) CDN。每個(gè)服務(wù)商提供的配置界面與文案會略有不同，如果對具體的配置項(xiàng)有疑問，可以聯(lián)系服務(wù)商的技術(shù)支持。需要對該 CDN 進(jìn)行如下配置：

• 域名與證書：準(zhǔn)備的最終提供服務(wù)的子域名（準(zhǔn)備工作一節(jié)例子中的 foo.example.com）與證書（許多 CDN 供應(yīng)商都可以自動申請證書），并按照提示配置對應(yīng)的 DNS 解析記錄。
• 回源 IP
• 回源 Host（回源域名）
• 回源協(xié)議（如有，選擇 https）

在配置完成之后，可以通過下面的請求驗(yàn)證配置的正確性：

• dig foo.example.com (應(yīng)該返回指向 CDN 的解析記錄，如果之前使用過這個(gè)域名，可能需要等待 DNS 解析記錄生效)
• 如果是 API 服務(wù)： https://foo.example.com/1.1/date（應(yīng)該每次都返回當(dāng)前的時(shí)間）
• 如果是云引擎服務(wù)： https://foo.example.com/__engine/1/ping 或 https://foo.example.com/ （參見關(guān)于云引擎健康監(jiān)測的說明）

如果是出于緩解 DDoS 攻擊的目的接入 CDN，在確認(rèn) CDN 工作正常后，可以移除回源域名的 DNS 解析記錄，降低回源 IP 的泄露風(fēng)險(xiǎn)（但不要在 LeanCloud 控制臺解綁回源域名，否則回源 Host 無法工作）。

常見問題

我已經(jīng)在使用 LeanCloud 綁定的自有域名，可以不換域名切換到基于 CDN 的方案嗎

可以。你可以用現(xiàn)在已經(jīng)綁定的二級域名作為 CDN 的域名，所有配置的方法都與上述一致。完成配置后將該域名 DNS CNAME 記錄從指向 LeanCloud 切換到指向 CDN，即可完成切換。需要特別注意 CDN 提供商有可能會需要驗(yàn)證 DNS CNAME 記錄后才能完成配置，那樣可能無法避免切換時(shí)的服務(wù)中斷，請向 CDN 服務(wù)商咨詢解決方案。另外要注意的是，在切換了 DNS 記錄后，LeanCloud 上綁定的域名的證書將無法自動續(xù)期。

CDN 緩存了動態(tài)的資源

請檢查 CDN 的緩存控制相關(guān)的配置，建議設(shè)置為「遵循相關(guān) header」，對于 API 服務(wù)可以直接設(shè)置為「均不緩存」。有部分服務(wù)商還會提供「忽略 URL 中的參數(shù)」的功能，請確保該功能是關(guān)閉的。

跨域訪問出現(xiàn)異常

如果你的應(yīng)用是 WebApp，在訪問 CDN 域名的 API 服務(wù)的時(shí)候出現(xiàn)了 CORS 相關(guān)的異常，請先通過下面的命令檢查返回的 Header 中是否有正確的 CORS 相關(guān)的 header（access-control-allow-origin，access-control-allow-methods 與 access-control-allow-headers）：

curl 'https://example.yourdomain.com/1.1/ping' \
    -X OPTIONS -H 'Access-Control-Request-Method: GET' \
    -H 'Access-Control-Request-Headers: content-type,x-lc-id,x-lc-prod,x-lc-session,x-lc-sign,x-lc-ua' \
    -H 'Origin: http://localhost' -i

如果沒有正確的響應(yīng)或者 header 不正確，請檢查 CDN 的跨域訪問配置，以下是參考配置：

access-control-allow-origin: *
access-control-allow-methods: GET, HEAD, POST, PUT, DELETE, OPTIONS, PATCH
access-control-max-age: 86400
access-control-allow-headers: Content-Type, Origin, X-LC-Id, X-LC-Key, X-LC-Sign, X-LC-Session, X-LC-Prod, X-LC-UA, X-LC-IM-Session-Token

獲取客戶端 IP

配置了 CDN 后，因?yàn)樗姓埱髸?jīng)過 CDN 中轉(zhuǎn)，API 的請求日志、云函數(shù)中的 req.meta.remoteAddress 和云引擎中的 req.headers['x-real-ip'] 獲取到的將是 CDN 節(jié)點(diǎn)的 IP 而不是客戶端的實(shí)際 IP。

如果你的業(yè)務(wù)需要客戶端 IP 的話，可以參照 CDN 供應(yīng)商的文檔來從 Header 中（一般是 X-Forwarded-For）獲取實(shí)際 IP。注意因?yàn)?LeanCloud 的負(fù)載均衡總是會覆蓋 X-Real-IP 這個(gè)頭，所以如果 CDN 供應(yīng)商只在 X-Real-IP 上發(fā)送實(shí)際 IP 的話，目前確實(shí)沒有辦法獲得到這個(gè) IP。

CDN 域名和回源域名可以是同一個(gè)嗎

我們不推薦這樣配置。 由于 CDN 供應(yīng)商和 LeanCloud 的 IaaS 供應(yīng)商可能存在交叉，這樣配置有可能因?yàn)橛蛎涗洓_突導(dǎo)致域名綁定失敗。 另外，如果是出于緩解 DDoS 攻擊的目的接入 CDN，這樣配置的情況下，回源域名是公開的，在綁定域名、確認(rèn) CDN 正常工作的窗口期，攻擊者可以通過 DNS 查詢獲取回源 IP。 攻擊者獲知回源 IP 后，隨時(shí)可以繞過 CDN 直接攻擊源站。