Day 15:企业应用服务(DNS/SSL/CDN)
本文基于阿里云ACP云计算工程师认证课程内容整理,涵盖企业网站访问全链路:DNS域名解析原理、云解析DNS配置、SSL证书管理,以及CDN内容分发网络原理、配置与最佳实践。
一、企业应用访问全链路:DNS与域名系统
为什么需要域名
人类记忆域名(如www.aliyun.com)比IP地址(如119.75.217.109)容易得多。计算之间通过IP通信,但用户通过域名访问应用——这背后就是DNS(Domain Name System) 域名系统在起作用。
域名结构解析
以www.google.com为例:
| 层级 | 名称 | 说明 |
|---|---|---|
| 顶级域名(TLD) | .com |
由ICANN管理 |
| 二级域名 | google |
注册人可自定义 |
| 子域名/三级域名 | www |
主机记录,指向Web服务器 |
常见子域名用途:
mail.google.com→ Gmail邮件服务drive.google.com→ Google Drive云存储map.baidu.com→ 百度地图
HTTP vs HTTPS
| 协议 | 端口 | 加密 | 安全性 |
|---|---|---|---|
| HTTP | 80 | 明文传输 | 低,存在中间人攻击风险 |
| HTTPS | 443 | SSL/TLS加密 | 高,提供身份认证和隐私保护 |
HTTPS = HTTP + SSL,SSL证书在浏览器和网站之间建立加密通道。
SSL加密原理
SSL(Secure Sockets Layer)采用公钥密码体制:
- 网站向权威CA机构申请SSL证书(包含公钥和网站身份信息)
- 浏览器访问网站时,服务器发送证书
- 浏览器验证证书有效性,获取公钥
- 浏览器生成对称密钥,用公钥加密后发送
- 服务器用私钥解密,获取对称密钥
- 双方使用对称密钥加密通信
企业网站建设五步流程
域名注册认证 → 网站建设备案 → 配置域名解析 → 部署SSL证书 → 网站上线考试要点:域名由ICANN统一管理,国内由CNNIC负责.cn域名。完整的域名至少包含顶级域名和二级域名两部分。SSL证书提供加密传输和身份认证双重功能。
二、云解析DNS与数字证书管理服务
云解析DNS核心能力
云解析DNS 是阿里云提供的权威DNS解析管理服务,具备100%权威DNS解析可用性保障:
| 能力 | 说明 |
|---|---|
| 全球节点覆盖 | 20个DNS集群节点,覆盖6大运营商及88个国家/地区 |
| 高性能 | 每秒承受过亿次DNS查询 |
| 智能解析 | 根据用户地理位置返回最优IP |
| 高可用 | 99.99%解析可用性,首次解析5分钟生效 |
DNS解析记录类型
| 记录类型 | 用途 |
|---|---|
| A记录 | 将域名指向IPv4地址 |
| AAAA记录 | 将域名指向IPv6地址 |
| CNAME记录 | 将域名指向另一个域名(别名) |
| MX记录 | 邮件服务器记录 |
| TXT记录 | 文本记录,常用于验证和SPF |
| 显性URL/隐性URL | 页面转发 |
智能DNS解析原理
| 传统DNS | 智能DNS |
|---|---|
| 不判断访问者来源 | 判断访问者来源(运营商/地理位置) |
| 随机返回任一IP | 返回最优IP |
| 可能跨运营商访问,延迟高 | 就近访问,延迟低 |
示例:www.example.com配置联通、移动、电信三条A记录,智能DNS根据访问者线路返回对应IP。
DNS Cache(DNS缓存代理)
无需DNS系统迁移,即可享受阿里DNS基础设施:
- DDoS缓解:缓存DNS响应,保护权威DNS服务器
- 访问加速:全球节点就近接入
- 服务备份:权威DNS异常时,缓存期内继续服务
- 成本节省:自建DNS场景节省带宽成本
DNS + 全局流量管理GTM
DNS解析 + 健康检查 + 故障自动切换运营商多线接入场景:配置多个地址池,健康检查实时监测,故障时自动切换到备用地址池。
数字证书管理服务
阿里云数字证书管理服务提供SSL证书和私有证书的全生命周期管理:
| 功能 | 说明 |
|---|---|
| 证书申请 | 与CA机构直连,签发速度快 |
| 证书部署 | 支持CDN/SLB/WAF等15个云产品自动部署 |
| 证书托管 | 到期自动续费,避免证书过期 |
| 密钥保护 | 阿里云KMS加密存储私钥 |
SSL证书选型
| 证书类型 | 适用场景 | 认证强度 | 公信等级 |
|---|---|---|---|
| DV域名型 | 个人网站 | CA审核域名真实性 | 一般 |
| OV企业型 | 企业网站 | CA审核组织真实性 | 高 |
| EV企业增强型 | 大型企业/金融机构 | 严格认证 | 最高 |
加密算法选型
| 算法 | 特点 |
|---|---|
| RSA | 应用最广泛,兼容性最好 |
| ECC | 更先进,加密速度快、效率高、服务器资源消耗低 |
| SM2 | 国密算法,中国商用密码体系替代RSA |
考试要点:云解析DNS提供100%权威DNS可用性保障。智能DNS根据访问者来源返回不同IP,减少解析延迟。证书私钥由阿里云KMS加密存储。
三、CDN内容分发网络原理与阿里云CDN
为什么需要CDN
8秒定律:用户满意的网页打开时间在2秒以下,超过8秒会有30%用户放弃等待。
造成访问延迟的根本原因:物理距离和跨运营商网络。
CDN是什么
CDN(Content Delivery Network)内容分发网络:
- 在现有互联网基础上建立并覆盖在承载网之上的分布式边缘节点集群
- 将源站资源缓存到全球加速节点
- 用户请求就近获取缓存资源,无需回源
- 解决跨地域、跨运营商的网络性能问题
CDN核心价值
- 全网覆盖:全球70+国家和地区,150Tbps+带宽储备
- 就近访问:智能调度到最优节点,减少延迟
- 减轻源站压力:缓存命中率高,减少回源带宽消耗
- 安全防护:集成DDoS防护、WAF等安全能力
CDN加速原理
用户请求 → DNS智能调度 → 最优CDN边缘节点 ↓ 节点缓存命中 → 直接返回 ↓(未命中) 回源获取 → 缓存 → 返回CDN产品矩阵
| 产品 | 定位 |
|---|---|
| CDN | 静态内容加速,图文/下载/视频 |
| 全站加速DCDN | 静态+动态混合加速,TCP/UDP四层加速 |
| 安全加速SCDN | 加速+安全,带100万QPS防护能力 |
| PCDN | P2P+CDN混合,成本更低 |
| 视频直播/PCDN | 直播场景加速 |
CDN核心功能
| 功能 | 说明 |
|---|---|
| Range回源 | 部分请求回源,减少回源流量,提高缓存命中率 |
| HTTPS加速 | 客户端到CDN节点HTTPS加密 |
| HTTP/3加速 | 基于QUIC协议,效果更快更优 |
| 页面优化 | 资源压缩、HTML优化、图片处理 |
| 访问控制 | Referer防盗链、URL鉴权、IP黑白名单、UA黑白名单 |
考试要点:CDN通过将资源缓存到边缘节点实现就近访问,显著降低延迟。Referer是HTTP请求头的一部分,携带请求来源地址。URL鉴权比Referer防盗链安全性更高。
四、CDN配置实践与企业级应用场景
CDN使用全流程
开通CDN服务 → 添加加速域名 → 配置源站 → 配置缓存过期规则 → 配置HTTPS → 配置访问控制 → 测试验证配置源站
阿里云CDN支持多种源站类型:
| 源站类型 | 说明 |
|---|---|
| OSS域名 | 阿里云对象存储,推荐作为静态资源源站 |
| IP | 业务服务器公网IP |
| 源站域名 | 业务服务器域名 |
| 函数计算域名 | 阿里云FC |
支持配置主备源站,设置优先级和权重实现负载均衡。
HTTPS配置
客户端 → HTTPS(加密)→ CDN节点 → HTTPS(加密)→ 源站服务器CDN节点到源站服务器也需要支持HTTPS才能实现全链路加密。
访问控制配置
Referer防盗链
- 通过HTTP请求头的Referer字段识别请求来源
- 配置黑名单/白名单,允许或拒绝访问
- 白名单匹配则返回资源,否则返回403
URL鉴权
更安全的防盗方式,适用于安全密级较高的文件:
源站生成鉴权URL → 客户端使用鉴权URL请求 → CDN验证时间戳和签名 → 有效则放行IP黑白名单
限制或禁止特定IP访问,防止恶意IP盗刷和攻击。
CDN典型应用场景
场景一:网页站点加速
推荐搭配:ECS + OSS + CDN 解决问题:流量激增、跨运营商访问、服务器负载过高 优势:降低源站带宽成本,毫秒级响应场景二:下载加速
适用MP4、FLV视频或单个文件>20MB的大文件下载场景:
- 搭配OSS接入CDN,节约2/3回源带宽成本
- 支持Range回源,提高缓存命中率
场景三:视频点播
一站式音视频点播解决方案:
- 媒体转码 + OSS存储 + CDN分发 + 消息服务
- 支持防盗链和URL鉴权,保护版权
- 95%+缓存命中率,毫秒级响应
DCDN vs SCDN vs PCDN
| 产品 | 核心特点 | 适用场景 |
|---|---|---|
| DCDN | 静态+动态混合加速,TCP/UDP四层加速,WebSocket | 动静态混合业务 |
| SCDN | 100万QPS,频次控制+流量管理 | 防攻击、防盗刷 |
| PCDN | P2P+CDN,成本最低 | 视频点播、直播、大文件 |
ACP认证核心知识点速查
- DNS作用:将域名转换为IP地址,提供域名解析服务
- 云解析DNS:100%权威DNS可用性,智能解析(按运营商/地理位置)
- DNS记录类型:A(IPv4)、CNAME(别名)、MX(邮件)、TXT
- HTTP端口80,HTTPS端口443
- SSL证书类型:DV(域名型)、OV(企业型)、EV(增强型)
- CDN核心:就近获取缓存资源,减轻源站压力
- CDN加速原理:DNS调度 → 边缘节点 → 缓存命中/回源
- Referer防盗链:基于HTTP请求头来源识别
- URL鉴权:比Referer更安全,支持时间戳和签名验证
- Range回源:部分内容回源,提高缓存命中率
- 源站类型:OSS域名、IP、源站域名、函数计算
- 全站加速DCDN:支持动态加速,不只是静态缓存
企业应用服务综合架构
用户浏览器 ↓(域名解析) DNS智能解析 → 就近CDN节点 → 缓存资源/回源 → 源站服务器 ↓(HTTPS加密) SSL证书验证身份相关推荐: