阿里雲全站加速DCDN重磅升級

相比傳統CDN加速，全站加速DCDN具有更廣闊的應用場景。在當下企業全面數字化的程式中，為了更全面地滿足廣大企業客戶的個性化加速需求，全站加速DCDN從簡單開通到個性化定製、從內容分發到安全防護，對客戶側的使用體驗進行了全域性梳理和全鏈路優化，全站加速產品功能得到極大增強和完善。12月1日14:00，全站加速DCDN集中升級釋出，四位產品專家線上解讀了邊緣程式、資料日誌、邊緣安全背後的技術與應用。

全站加速DCDN產品服務原理

全站加速DCDN（Dynamic Route for Content Delivery Network）是阿里雲自主研發的產品，在提供靜態內容分發服務的基礎上，進一步提供了動態加速、TCP和UDP四層加速、邊緣解除安裝以及邊緣安全防護等能力，使用者可以快速地將安全、中心解除安裝等能力下沉到全站加速的全球節點上。同時，針對業務的發展和全鏈路異常分析，實現全過程的實時掌握。在傳統內容全站分發加速服務的基礎上，增加邊緣安全防護能力提升整體訪問安全，實現業務的進一步提效。

此次的釋出阿里雲將更注重於三個方向：第一，在考慮安全與分發並重的場景下，如何去確保安全又能夠更有效的提高整體的訪問服務。第二，如何在邊緣側增加解除安裝能力，將中心的能力，比如安全和流量向邊緣進一步的解除安裝。第三，在前面兩個維度之上，基於資料分發的需求，如何進行智慧化的資料運維。

阿里雲產品專家寒豐介紹到：在使用者訪問到達阿里雲全站加速產品後，進入的第一層是邊緣性安全防護，比如基於DDoS的聯動、頻次控制、區域封禁、流量管理，這些都是基於內容和應用的安全防護上的前置；在內容經過安全的清洗之後，進入到加速節點上，DCDN能夠去將中心能力向邊緣進行輕量的解除安裝，比如邊緣渲染、邊緣程式、灰度釋出等，同時在傳統內容分發服務上，更傾向於在邊緣中實現自閉環的管理服務，在整體的邊緣計算服務之後，依然可以利用原有的動靜態分發服務能力向後流轉，利用動態的全網探測能力根據不同條件進行決策，實現傳輸路徑最匹配使用者的回源策略。同時，加強源站管理方面，不僅基於多源管理，也配備容災管理以及源站的防護；在全鏈路的管理上，將資料分析服務能力也一併提升，基於全鏈路採集進行全網的日誌分析，進而去簡化和提高運維效率。這是阿里雲全站加速產品服務的原理圖。

本次釋出分為三塊內容，第一是基於邊緣的輕量計算的解除安裝，第二塊是基於邊緣安全防護的提升，第三是基於日誌去構建資料分析服務的能力。

邊緣程式（ER）：讓計算更靠近您的使用者

本次釋出會對阿里雲CDN的EdgeRoutine邊緣程式進行了詳細解讀。EdgeRoutine是一個執行在CDN邊緣節點上的JavaScript程式碼執行環境，使用者可以將JS程式碼上傳至EdgeRoutine，即可在全球的CDN邊緣節點上執行，相當於使用者在全球各地擁有了大量微型伺服器去就近地服務各地的使用者。

阿里雲高階產品經理黎鶴表示：EdgeRoutine具備CDN的彈性排程、低成本、低延時的特性，同時也兼顧Serverless簡單易用的特性。

一、彈性排程

部署在EdgeRoutine的JS程式碼將執行在遍佈全球各地的CDN節點上。使用者的請求將就近訪問CDN節點。當某個區域使用者請求突增，CDN系統會將請求排程至周邊節點，自動彈性擴容，使用者無需為每一次可能的業務突增而擔心計算資源不夠的問題。比如下圖左側的示例，當杭州使用者發起請求，就近排程至杭州的CDN節點；當杭州使用者的請求突增，排程自動將請求分散排程至杭州周邊的嘉興湖州等區域的CDN節點；而杭州使用者的請求進一步突增，排程自動將請求分散排程至更遠的無錫上海等區域的CDN節點。阿里雲CDN有2800+節點遍佈全球，形成一張巨大的排程網路，自動彈性排程。

二、低成本

我們看一下計算的發展史，其實從某種維度來看的話，是對資源的隔離和複用的一個發展史。最早的物理機，到一臺物理機被隔離成N臺的虛擬機器，再到雲端計算及容器化技術，虛擬機器上又可以隔離出N個不同執行環境，整個過程中，使用者隔離不斷細化，單位硬體裝置能夠做到更高複用，將資源複用做到極致，給使用者帶來價效比更高的按量付費服務。這也是EdgeRoutine能為大家帶來更低成本的價值的原因。

三、易用（Serverless特性）

傳統的應用搭建的流程，使用者需要去購買伺服器，還需要去運維上面的系統，然後才進行整個開發應用的部署，持續去優化服務效能，需要非常龐大的團隊協同。Serverless意味著使用者不需要再去關注底層的基礎設施，只需要關注核心的業務程式碼，上傳你的程式碼就完成了整個部署。後端的這些資源是完全自動、彈性伸縮的，可以幫助使用者原來縮減運維成本。基於EdgeRoutine的應用構建方式也是如此，只需要在第一次使用時候進行簡單的安裝配置，即可專注開發業務程式碼，直接上傳部署即可。

四、超低延時

在邊緣上直接去處理客戶端的請求，跟在中心處理，肯定是會大幅縮短網路鏈路，這樣減少了網路傳輸的延時風險。同時，EdgeRoutine採用Chromium V8輕量隔離技術，冷啟動時間幾乎可忽略。

基於以上價值特性，EdgeRoutine可以適用於圖文頁面渲染、灰度/AB測試、海量日誌的清洗和匯聚、源站可用性健康檢查、IoT場景資料清洗、GEO打點，甚至託管個人站點等各類場景，具有非常大的想象和應用空間。

實時日誌，助力運維管理提效

全站加速DCDN是集合靜態加速、動態加速、邊緣安全、邊緣程式等能力為一體的產品。在廣大開發者使用產品的過程中，日誌是不可或缺的工具。怎麼樣提升日誌生產的及時性，提升基於日誌的分析效率至關重要。
全站加速DCDN實時日誌和日誌服務SLS進行深度聯動，在全站加速全球節點生產的日誌資料將會被實時採集並投遞到SLS進行儲存。SLS提供了強大的資料分析能力，可以幫助開發者對日誌進行實時、精細化、靈活定製的消費日誌資料。今天，使用者在全站加速的控制檯，即可一站式的整合這些能力。

產品專家簡億表示：這次全站加速DCDN釋出的實時日誌由3大核心特性。分別是高時效性、按需配置和精細化分析。

一、高時效性

相比傳統的離線日誌，具有實時生產，實時投遞的特性，同時提供了更加豐富的日誌欄位，能夠幫助開發者快速洞悉業務。

二、按需配置

允許開發者僅是選擇有必要的日誌欄位進行採集、投遞和儲存，並且可以自定義日誌的取樣率，減少資料的使用成本。

三、精細化分析

實時日誌投遞任務在被建立的同時，我們在SLS預置了豐富的資料視覺化分析看板，同時也可以使用SQL語句對日誌進行定向分析。

接下來，產品專家簡億就基於這些特性，為大家分享兩個實戰案例。

實踐一：基於實時日誌快速定位問題的實踐

當使用者使用實時日誌服務時，阿里雲已經為使用者預置提供了豐富的業務分析維度。使用者可以通過視覺化的看板直觀的看到業務中潛在風險，如請求突增、使用者IP訪問次數異常、錯誤狀態比例擴大等問題。使用者可以進一步定義這些指標，也可以設定合理的告警策略，來完善問題發現的機制。更細粒度的，使用者可以直接使用SQL語句來實時分析某個具體使用者的訪問情況。

實踐二：精細化分析實踐：廣告投放效果補充分析

目前實時日誌預置的分析看板的分析粒度，可以細化到具體的域名、URL甚至具體使用者IP維度。且提供了10+分析看板供做分析。例如分析某個廣告投放頁面，活動頁面通常是一個具體的URL，此時就可以基於此URL分析訪問趨勢、地理分佈、來源分佈等資訊，作為廣告投放效果的重要補充資料。

關於如何使用全站加速的實時日誌服務，使用者可以登陸全站加速控制檯開通實時日誌服務。開發者無需繁瑣的配置，即可快速構建DCDN的實時日誌服務。

在接下來的時間裡，阿里雲將會進一步增強全站加速DCDN的實時日誌服務。除了目前已經支援採集和投遞的訪問日誌外，還將會進一步支援回源日誌的採集與投遞，以及邊緣程式的日誌採集於投遞。當一個使用者的請求向邊緣節點發起訪問，經過邊緣程式做業務處理，再到回源，每個環節產生的日誌將通過一個唯一標識的traceid進行連線。幫助使用者的業務在DCDN這個環節實現全鏈路分析，提升問題的發現和定位效率。

邊緣安全，讓Web加速有保障

在數字化時代，業務上雲已是大勢所趨。然而，隨著越來越多的業務上雲，網路攻擊事件層出不窮，網路的安全環境日益惡化，這些攻擊事件嚴重危及了客戶線上業務的穩定性、可用性和資料安全。單純加速服務已經不能滿足行業和業務的需求。讓我們來看一下各個行業對自身業務安全的關注點和主訴求：

通過這些行業的分析，我們可以看到他們將業務安全與web加速放在了同等重要地位，迫切需要一個全新的安全加速的解決方案。阿里雲政企安全加速就是這樣一種解決方案，它是阿里雲CDN 團隊攜手雲安全團隊共同打造的結合分發加速和邊緣安全的一站式服務。它能夠有效解決上述政府金融、傳媒和傳統企業針對內容分發安全和加速問題的一體化訴求，為他們的雲上業務保駕護航。

政企安全加速通過構建六個模組，打造了一個全方位的邊緣防護體系。首先，WAF 提供的是應用層的安全防護；DDoS防護提供的是網路層的安全解決方案；HTTPS證照實現了資料的加密傳輸，它做到了全鏈路的資料傳輸安全；同時，阿里雲積極參與全球級、國家級和行業級的各類認證專案，通過購買阿里雲的服務和產品，客戶可以非常方便的達到所在行業的監管與合規的要求；另外大流量攻擊旨在癱瘓客戶的網上業務，直接對它的品牌和營收造成很消極的影響，保障線上業務的高可用性是客戶的核心訴求。我們提供了多種高可用的技術方案；最後CDN節點間的一致性校驗技術，它能夠有效的防止內容被篡改。

上圖就上述六個模組詳細列出了它下面的功能項。這些功能的有機組合能夠實現模組預設的安全防護的目標。接下來高階產品專家草創就每一個模組進行了介紹。

網路層安全

網路的安全主要應對的是大流量攻擊的風險與威脅。在這一方面，全站加速DCDN 天然具備打散流量的特性，通過DNS 排程，把使用者的正常訪問與來自黑客的惡意訪問同時排程到附近的節點，由它產生服務，這樣做就避免攻擊集中於單點。另外，每個DCDN節點天然具備一定的抗攻擊能力，阿里雲DDoS檢測模組能夠智慧的識別攻擊特徵和感知攻擊的強度，當攻擊超過一定閾值的時候，排程系統可以把某一個區的流量排程到臨近的大容量的高防節點進行有效的流量清洗，清潔後的流量回注，全站加速DCDN 繼續使用它的加速服務。因此這是一套兩個產品聯動的方案，它做到了智慧識別，提供大容量的防護和清洗能力，並做到了流量的自動排程。

應用層安全

應用層安全主要是DCDN節點經過改造後，除了原有的加速能力，現在還提供原生的應用層的防護。它通過四個方面來實現：首先，訪問控制模組，訪問控制可以讓使用者通過自定義的防護規則精準匹配接入的請求，執行預設的動作，例如放行或者攔截。其次，頻次控制通過制定的防護規則，能夠有效抑制過於頻繁或者超量的終端使用者的請求，有效的保護原站的資源。第三，web 應用防火牆它能夠應對OWASP威脅，制定有效的內建規則，防範外部攻擊。同時針對剛發現的系統漏洞能夠及時開發並下發虛擬補丁，實現0-day的漏洞防護。第四，爬蟲管理模組，這個模組它能夠有效鑑別惡意的和良性的爬蟲，嚴控自動化工具所產生的對網站的訪問流量，做到防惡意刷量和保護使用者的賬戶安全。

通過這一套有機的模組組合，我們在DCDN的節點注入了全面的WAF 防護能力，能夠實現應用層的有效防護。

資料的安全傳輸和內容防篡改

首先眾所周知，CDN 是一個共享平臺，邊緣節點可以同時服務多個客戶的域名。如果客戶對他的業務非常關注，不希望受到其他客戶的影響，我們可以給他分配獨立的節點，做到有效的資源隔離。其次除了標準的HTTPS加密，全站加速DCDN也支援國家制定的國密演算法。它能夠在DCDN和源站間實現高效安全的加密傳輸。最後當內容在節點進行傳輸的時候，節點可以做互相性的一致性校驗，確保內容的完整性不被篡改。通過這一套有機的整合，全站加速給使用者提供了安全的資料傳輸方案，並對有需求的客戶提供獨享的資源。

邊緣服務的高可用性和合規認證

所謂的高可用就是保證在發生大規模攻擊的情況下，客戶線上業務能夠繼續可用，保持一定的穩定性，這是客戶的一個核心訴求。全站加速提供了多種手段保證原站的高可用，包括：源站的監控與告警，主備遠端情況下CDN自動的切換，DCDN的快取模式，災備站等多種高可用模式。

另一方面，阿里雲積極參與國家級全球級和行業級的認證專案，目前已經獲得了國內外共97項的合規資質，其中CDN相關資質有47項（等保三級，金融雲等保四級，可信雲，ISO27001系列，PCI DSS安全認證）。採購了阿里雲的服務和產品，客戶可以非常輕而易舉的做到了行業所在行業的合規與監管的要求。綜上所述，全站加速DCDN 融合了雲安全團隊先進的防護技術，打造了一套原生的防護體系。

阿里雲全站加速在使用者體驗上的升級優化遠遠不止以上內容，我們將會持續提供更好的體驗和更豐富的產品能力，幫助您在使用過程中更加簡單、易用、安全、高效！