オンラインHTTPSサービス/インバースエージェントLB/隠しトラフィックIP
ssl証明書は無料で申請します。
ssl for freeは無料で三ヶ月のssl証明書と更新サービスを提供してくれます。業務ドメイン名を記入し、検証ファイルを業務サーバにアップロードして、検証が成功したら相応の証明書を作成します。crtと秘密鍵。keyは一回でダウンロードして、再生成して、廃棄と更新サービスを提供します。
Nginx配置HTTPS/負荷バランス
以下のように設定します
注意:アップストリームにhash文を入れる。server文ではweightなど他のパラメータは書き込みできません。methodはhashアルゴリズムを使用しています。
全局がSCDNを加速するのはDDOS/CC攻撃に対抗できません。CDNに基づいて同時に上り要求を加速するだけです。より円滑で高速なネットワークチャネルを使用して、クライアントがサーバ側に送信する要求を送信し、動的データの要求に適合しています。
1、業務ドメイン名api.foo.comのSCDNルールを作成し、加速ドメイン名を獲得する。2、CNAMEは業務ドメイン名を対応するSCDN規則に提供される加速ドメイン名に解析する。3、ソース方式(業務ドメイン名|源局ドメイン名|カスタムドメイン名)を構成し、ここで業務ドメイン名を選択し、業務サーバも一致してこの業務ドメイン名を監督するべきです。4、HTTPSが申請の証明書を記入することと秘密鍵を設定してHTTPSアクセスを開いて、HTTP要求をHTTPSにリダイレクトするかどうかを設定することができます。
5、保存有効
このようなトラフィックドメイン名は、全局加速CDNに解析され、その後SCDNソース要求は、後方に隠されたサービスサーバに送信され、攻撃者は、実際のサービスサーバIPを発見することができない。
ssl for freeは無料で三ヶ月のssl証明書と更新サービスを提供してくれます。業務ドメイン名を記入し、検証ファイルを業務サーバにアップロードして、検証が成功したら相応の証明書を作成します。crtと秘密鍵。keyは一回でダウンロードして、再生成して、廃棄と更新サービスを提供します。
Nginx配置HTTPS/負荷バランス
以下のように設定します
注意:アップストリームにhash文を入れる。server文ではweightなど他のパラメータは書き込みできません。methodはhashアルゴリズムを使用しています。
upstream upstream_server_api {
#ip_hash; ip
#fair; ,
#--url_hash-- url hash , url
#hash $request_uri;
#hash_method crc32;
#--url_hash--
server 127.0.0.1:8081 weight=1 max_fails=3 fail_timeout=30s;# 1 3 30s
server 127.0.0.1:8082 weight=2 max_fails=3 fail_timeout=30s;# 2 3 30s
server 127.0.0.1:8083 backup;#
server 127.0.0.1:8084 down;#
}
server {
listen 443 ssl default;
server_name api.foo.com;
index index.html index.htm index.php;
root /home/wwwroot/web;
...
ssl on;
ssl_certificate /opt/nginx_ssl/certificate.crt;
ssl_certificate_key /opt/nginx_ssl/private.key;
ssl_session_timeout 5m;
ssl_protocols SSLv3 TLSv1;
ssl_ciphers ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP;
ssl_prefer_server_ciphers on;
...
# nginx location
#
location / {
try_files $uri $uri/ @loc_server_api;
}
# location
location @loc_server_api {
proxy_set_header Host $proxy_host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $remote_addr;
proxy_pass http://upstream_server_api;
}
location ~ .*\.(gif|jpg|jpeg|png|bmp|swf)$ {
expires 30d;
}
location ~ .*\.(js|css)?$ {
expires 12h;
}
location ~ /\. {
deny all;
}
}
リダイレクトhttpからhttpsが必要なら、次のような構成が使えます。server {
listen 80 default;
server_name api.foo.com;
# http https
return 301 https://api.foo.com;
}
設定を確認してサービスを再開すればいいです。nginx -t
systemctl restart nginx.service
阿里雲SCDNフルステーションを利用して、隠しサービスサーバIPを加速します。全局がSCDNを加速するのはDDOS/CC攻撃に対抗できません。CDNに基づいて同時に上り要求を加速するだけです。より円滑で高速なネットワークチャネルを使用して、クライアントがサーバ側に送信する要求を送信し、動的データの要求に適合しています。
1、業務ドメイン名api.foo.comのSCDNルールを作成し、加速ドメイン名を獲得する。2、CNAMEは業務ドメイン名を対応するSCDN規則に提供される加速ドメイン名に解析する。3、ソース方式(業務ドメイン名|源局ドメイン名|カスタムドメイン名)を構成し、ここで業務ドメイン名を選択し、業務サーバも一致してこの業務ドメイン名を監督するべきです。4、HTTPSが申請の証明書を記入することと秘密鍵を設定してHTTPSアクセスを開いて、HTTP要求をHTTPSにリダイレクトするかどうかを設定することができます。
5、保存有効
このようなトラフィックドメイン名は、全局加速CDNに解析され、その後SCDNソース要求は、後方に隠されたサービスサーバに送信され、攻撃者は、実際のサービスサーバIPを発見することができない。