多级 CDN 搭配,干活不累

客户端 IP> 白山云 CDN> 华为云 CDN> 腾讯云 EO> 中国联通智慧云 WAF> 宝塔 WAF> 源站 " 多层架构模式,结合华为云、腾讯云等主流云服务商的实践,以下是完整的配置方案:

一、整体架构配置流程

层级

组件

配置要点

联动关系

1

客户端 IP

用户终端访问入口

通过 DNS 解析进入 CDN 网络

2

白山云 CDN

配置智能路由策略
设置边缘缓存规则 (静态资源缓存 12h)
启用 Brotli 压缩

第一层流量分发,屏蔽恶意 IP

3

华为云 CDN

配置二级缓存
设置回源协议 (HTTPS)
绑定 WAF 回源 IP 白名单

承接白山云未命中请求
向腾讯云 EO 转发动态请求

4

腾讯云 EO

配置动态加速路由
设置 TCP 优化参数
绑定联通 WAFIP 白名单

专线连接保障低延迟

5

中国联通智慧云 WAF

配置 CC 防护规则
设置 SQL 注入 /XSS 防护
开启 DDoS 联动防护

过滤穿透 CDN 的攻击流量

6

宝塔 WAF

配置自定义规则集
设置目录保护 (禁用 autoindex)
限制敏感路径访问

最后一道应用层防护

7

源站服务器

配置访问限制 (仅允许宝塔 WAFIP)
设置资源防盗链
启用日志审计

业务系统最终承载节点

二、关键配置细节

  1. DNS 解析配置

    # 域名解析记录示例
www.example.com.     CNAME    cdn.baishan.com.
cdn.baishan.com.    CNAME    cdn.huaweicloud.com.

    需在域名注册商处设置智能解析,国内用户优先指向白山云 CNAME

  2. CDN 联动配置

    • 白山云 CDN 控制台: 

      back_source:
  - type: secondary
    address: cdn.huaweicloud.com
    ports: [80, 443]
security:
  ip_blacklist: /path/to/blacklist.txt

    • 华为云 CDN 需添加腾讯云 EO 作为特殊回源节点

  3. WAF 白名单设置

    # 中国联通WAF配置片段
location / {
    allow 120.202.0.0/16;  # 腾讯云EOIP段
    allow 100.80.0.0/12;    # 华为云CDNIP段
    deny all;
}

    宝塔 WAF 需类似配置仅允许联通 WAFIP 访问

  4. 源站安全加固

    # iptables规则示例
iptables -A INPUT -p tcp --dport 443 -s 192.168.1.100 -j ACCEPT  # 宝塔WAFIP
iptables -A INPUT -p tcp --dport 443 -j DROP

三、监控与优化建议

  1. 智能调度策略

    • 根据华为云监控数据自动切换 CDN 提供商

    • 当白山云节点延迟 >200ms 时切换至华为云 CDN

  2. 安全日志聚合

    # 日志收集方案
CDN访问日志 -> ELK集群
WAF攻击日志 -> Splunk分析
宝塔日志 -> 本地syslog服务器

    需关联分析多层级日志

  3. 故障转移机制

    • 当联通 WAF 不可达时,腾讯云 EO 直连宝塔 WAF

    • 配置华为云 CDN 的备用回源路径

该配置模式通过多层异构防护实现了:

  • 性能优化:白山云(边缘节点)+ 华为云(骨干网)+ 腾讯 EO(专线)三级加速

  • 安全纵深防御:CDN 基础过滤→联通 WAF 专业防护→宝塔 WAF 最后校验

  • 高可用保障:多 CDN 厂商冗余 + 智能故障切换

实际部署时需根据业务流量特征调整各层级的缓存策略和防护阈值。建议参考华为云《WAF 与 CDN 联合部署指南》进行压力测试。

#个人
多级 CDN 搭配,干活不累
https://uniomo.com/archives/duo-ji-cdn-da-pei-gan-huo-bu-lei
作者
雨落秋垣
发布于
2025年08月20日
许可协议