Az Azure Content Delivery Network használata SAS-vel

  • Cikk

Amikor beállít egy tárfiókot az Azure Content Delivery Network számára a tartalom gyorsítótárazásához, alapértelmezés szerint bárki, aki ismeri a tárolók URL-címét, hozzáférhet a feltöltött fájlokhoz. A tárfiók fájljainak védelméhez beállíthatja a tárolók nyilvánosról privátra való elérését. Ha azonban így tesz, senki sem férhet hozzá a fájljaihoz.

Ha korlátozott hozzáférést szeretne biztosítani a privát tárolókhoz, használhatja az Azure Storage-fiók közös hozzáférésű jogosultságkód (SAS) funkcióját. A SAS olyan URI, amely az Azure Storage erőforrásainak korlátozott hozzáférési jogosultságát biztosítja anélkül, hogy közzétenné a fiók kulcsát. SAS-t biztosíthat azoknak az ügyfeleknek, akikben nem bízik meg a tárfiók kulcsával, de akiknek delegálni szeretné a hozzáférést bizonyos tárfiók-erőforrásokhoz. Ha megosztott hozzáférésű jogosultságkód URI-t oszt ki ezeknek az ügyfeleknek, hozzáférést biztosít számukra egy adott ideig egy erőforráshoz.

Sas esetén a blobhoz való hozzáférés különböző paramétereit határozhatja meg, például a kezdési és a lejárati időpontokat, az engedélyeket (olvasási/írási) és az IP-tartományokat. Ez a cikk az SAS és az Azure Content Delivery Network használatát ismerteti. További információ az SAS-ről, beleértve annak létrehozását és paraméterbeállításait: Megosztott hozzáférésű jogosultságkódok (SAS) használata.

Az Azure Content Delivery Network beállítása a storage SAS használatára

Az SAS azure Content Delivery Network-szel való használatához az alábbi két lehetőség ajánlott. Minden beállítás azt feltételezi, hogy már létrehozott egy működő SAS-t (lásd az előfeltételeket).

Előfeltételek

Első lépésként hozzon létre egy tárfiókot, majd hozzon létre egy SAS-t az objektumhoz. Kétféle tárolt hozzáférési aláírást hozhat létre: egy szolgáltatás SAS-t vagy egy fiók SAS-t. További információ: A közös hozzáférésű jogosultságkódok típusai.

Miután létrehozott egy SAS-jogkivonatot, az URL-címhez fűzve ?sv=<SAS token> elérheti a blobtároló-fájlt. Ennek az URL-címnek a formátuma a következő:

https://<account name>.blob.core.windows.net/<container>/<file>?sv=<SAS token>

Példa:

https://democdnstorage1.blob.core.windows.net/container1/demo.jpg?sv=2017-07-29&ss=b&srt=co&sp=r&se=2038-01-02T21:30:49Z&st=2018-01-02T13:30:49Z&spr=https&sig=QehoetQFWUEd1lhU5iOMGrHBmE727xYAbKJl5ohSiWI%3D

A paraméterek beállításával kapcsolatos további információkért tekintse meg az SAS-paraméterek szempontjait és a közös hozzáférésű jogosultságkód paramétereit.

Képernyőkép a tartalomkézbesítési hálózat SAS-beállításairól.

1. lehetőség: Sas használata az Azure Content Delivery Networkből a blobtárolóba való továbbítással

Ez a beállítás a legegyszerűbb, és egyetlen SAS-jogkivonatot használ, amelyet az Azure Content Delivery Network továbbít a forráskiszolgálónak.

  1. Válasszon ki egy végpontot, válassza a Gyorsítótárazási szabályokat, majd a Lekérdezési sztring gyorsítótárazási listájában válassza az összes egyedi URL gyorsítótárazása lehetőséget.

    Képernyőkép a tartalomkézbesítési hálózat gyorsítótárazási szabályairól.

  2. Miután beállította az SAS-t a tárfiókban, az SAS-jogkivonatot a tartalomkézbesítési hálózati végponttal és a forráskiszolgáló URL-címeivel kell használnia a fájl eléréséhez.

    Az eredményként kapott tartalomkézbesítési hálózati végpont URL-címe a következő formátumú: https://<endpoint hostname>.azureedge.net/<container>/<file>?sv=<SAS token>

    Példa:

    https://demoendpoint.azureedge.net/container1/demo.jpg?sv=2017-07-29&ss=b&srt=c&sp=r&se=2027-12-19T17:35:58Z&st=2017-12-19T09:35:58Z&spr=https&sig=kquaXsAuCLXomN7R00b8CYM13UpDbAHcsRfGOW3Du1M%3D

  3. A gyorsítótár időtartamának finomhangolása gyorsítótárazási szabályok használatával vagy fejlécek hozzáadásával Cache-Control a forráskiszolgálón. Mivel az Azure Content Delivery Network az SAS-jogkivonatot egyszerű lekérdezési sztringként kezeli, ajánlott eljárásként olyan gyorsítótárazási időtartamot kell beállítania, amely az SAS lejárati ideje alatt vagy előtt jár le. Ellenkező esetben, ha egy fájl gyorsítótárazása hosszabb ideig történik, mint az SAS aktív, előfordulhat, hogy a fájl elérhető az Azure Content Delivery Network forráskiszolgálójáról az SAS lejárati ideje leteltét követően. Ha ez a helyzet áll fenn, és a gyorsítótárazott fájlt elérhetetlenné szeretné tenni, a gyorsítótárból való törléshez végre kell hajtania egy törlési műveletet a fájlon. Az Azure Content Delivery Network gyorsítótár-időtartamának beállításáról további információt az Azure Content Delivery Network gyorsítótárazási viselkedésének szabályozása gyorsítótárazási szabályokkal című témakörben talál.

2. lehetőség: Tartalomkézbesítési hálózati biztonsági jogkivonat hitelesítésének használata újraírási szabálysal

Az Azure Content Delivery Network biztonsági jogkivonat-hitelesítésének használatához rendelkeznie kell egy Azure CDN Premium-fiókkal az Edgio-profilból . Ez a beállítás a legbiztonságosabb és testreszabható. Az ügyfélhozzáférés a biztonsági jogkivonaton beállított biztonsági paramétereken alapul. Miután létrehozta és beállította a biztonsági jogkivonatot, minden tartalomkézbesítési hálózati végpont URL-címére szükség van. Az URL-átírási szabály miatt azonban nem szükséges az SAS-jogkivonat a tartalomkézbesítési hálózati végponton. Ha az SAS-jogkivonat később érvénytelenné válik, az Azure Content Delivery Network nem tudja újraértékelni a tartalmat a forráskiszolgálóról.

  1. Hozzon létre egy Azure Content Delivery Network biztonsági jogkivonatot , és aktiválja azt a tartalomkézbesítési hálózati végpont és elérési út szabálymotorjának használatával, ahol a felhasználók hozzáférhetnek a fájlhoz.

    A biztonsági jogkivonat végpontjának URL-címe a következő formátumú:

    https://<endpoint hostname>.azureedge.net/<container>/<file>?<security_token>

    Példa:

    https://sasstoragedemo.azureedge.net/container1/demo.jpg?a4fbc3710fd3449a7c99986bkquaXsAuCLXomN7R00b8CYM13UpDbAHcsRfGOW3Du1M%3D

    A biztonsági jogkivonat-hitelesítés paraméterbeállításai eltérnek az SAS-jogkivonat paraméterbeállításaitól. Ha a biztonsági jogkivonat létrehozásakor a lejárati időt választja, akkor azt az SAS-jogkivonat lejárati idejével megegyező értékre kell állítania. Ez biztosítja, hogy a lejárati idő kiszámítható legyen.

  2. A szabálymotor használatával hozzon létre egy URL-átírási szabályt, amely engedélyezi az SAS-jogkivonat hozzáférését a tároló összes blobjához. Az új szabályok propagálása akár 4 órát is igénybe vehet.

    Az alábbi MINTA URL-átírási szabály egy reguláris kifejezésmintát használ egy rögzítési csoporttal és egy sasstoragedemo nevű végponttal:

    Forrás:

    (container1/.*)

    Destination:

    $1&sv=2017-07-29&ss=b&srt=c&sp=r&se=2027-12-19T17:35:58Z&st=2017-12-19T09:35:58Z&spr=https&sig=kquaXsAuCLXomN7R00b8CYM13UpDbAHcsRfGOW3Du1M%3DKépernyőkép a tartalomkézbesítési hálózat URL-átírási szabályáról – balra.Képernyőkép a tartalomkézbesítési hálózat URL-átírási szabályáról – jobbra.

  3. Ha megújítja az SAS-t, győződjön meg arról, hogy frissíti az URL-átírási szabályt az új SAS-jogkivonattal.

SAS-paraméterekkel kapcsolatos szempontok

Mivel az SAS-paraméterek nem láthatók az Azure Content Delivery Networkben, az Azure Content Delivery Network nem tudja módosítani a kézbesítési viselkedését ezek alapján. A megadott paraméterkorlátozások csak azOkra a kérelmekre vonatkoznak, amelyeket az Azure Content Delivery Network a forráskiszolgálóra küld, az ügyféltől az Azure Content Delivery Network felé irányuló kérésekre nem. Ezt a különbséget fontos figyelembe venni az SAS-paraméterek beállításakor. Ha ezekre a speciális képességekre van szükség, és a 2. lehetőséget használja, állítsa be a megfelelő korlátozásokat az Azure Content Delivery Network biztonsági jogkivonatára.

SAS-paraméter neve Leírás
Kezdő Az az idő, amikor az Azure Content Delivery Network hozzá tud férni a blobfájlhoz. Az óraeltérés miatt (amikor az órajel különböző időpontokban érkezik a különböző összetevőkhöz), válasszon egy 15 perccel korábbi időpontot, ha azt szeretné, hogy az eszköz azonnal elérhető legyen.
Vége Az az idő, amely után az Azure Content Delivery Network már nem fér hozzá a blobfájlhoz. Az Azure Content Delivery Network korábban gyorsítótárazott fájljai továbbra is elérhetők. A fájl lejárati idejének szabályozásához állítsa be a megfelelő lejárati időt az Azure Content Delivery Network biztonsági jogkivonatán, vagy törölje az objektumot.
Engedélyezett IP-címek Opcionális. Ha az Edgio-ból származó Azure CDN-t használ, ezt a paramétert az Edgio Edge Server IP-tartományaiból az Azure Content Delivery Networkben definiált tartományokra állíthatja be.
Engedélyezett protokollok A fiók SAS-jével küldött kéréshez engedélyezett protokollok. A HTTPS-beállítás használata ajánlott.

Következő lépések

Az SAS-ről az alábbi cikkekben talál további információt:

A jogkivonat-hitelesítés beállításával kapcsolatos további információkért tekintse meg az Azure Content Delivery Network-eszközök jogkivonat-hitelesítéssel való védelmét ismertető témakört.