1.
准备与前提
登录腾讯云控制台,完成企业认证与实名认证。准备好域名(确保域名注册和WHOIS信息合规)、源站IP/域名、TLS证书或准备申请证书,以及明确目标国家/地区的合规要求(当地法律、数据驻留等)。
2.
创建项目与绑定域名
在控制台创建项目后进入“云加速/CDN”->“域名管理”->“添加域名”,填写加速域名、业务类型(静态/动态/下载等)、接入区域选择“全球/境外区域”。点击下一步填写源站信息(IP或源站域名)并保存。
3.
源站配置与回源策略
在域名详情->源站配置,添加主备源站、回源协议(HTTP/HTTPS)、回源端口和回源Host。推荐开启HTTPS回源并配置证书验证参数;设置回源重试与超时(建议10s超时、3次重试),并启用健康检查。
4.
HTTPS证书与加密策略
如需HTTPS,选择“证书管理”申请免费证书或上传第三方证书(PEM格式私钥+证书)。在加速域名->HTTPS配置启用证书,选择最小TLS版本(建议TLS1.2以上)并启用现代加密套件、OCSP stapling与HSTS按需配置。
5.
缓存与回源规则细化
配置缓存规则(按路径、文件后缀、参数忽略等),设置边缘缓存时间(Cache-Control/Expires),启用按需刷新与预热。对于动态接口设置不缓存或短缓存并开启源站直连白名单。
6.
接入DNS与CNAME解析
在DNS服务商处将加速域名CNAME到腾讯云提供的域名,确保DNS TTL合理(发布期可设低TTL)。检查DNS解析在全球节点是否生效,可用nslookup/dig验证解析结果。
7.
开启WAF与规则调优
在安全产品->WAF为该域名开通托管模式,选择拦截级别、启用常用规则库(SQLi、XSS、RCE)。先观察日志在“防护策略”中设为“监控”模式一段时间,再逐步切换到拦截并针对误报调优自定义规则。
8.
DDoS防护与流量管控
为海外服务开通高防或基础防护策略,设置清洗阈值、速率限制(每IP请求/秒)和连接数限制。结合地理封禁(GeoIP)按需限制高危国家访问,并配置告警阈值与自动化响应脚本。
9.
访问控制与鉴权
启用Referer防盗链、URL防盗链(鉴权Token)、IP黑白名单及频率限制。对API接口使用签名鉴权、对文件下载使用短期签名URL,防止直接暴露源站地址。
10.
日志落地与审计合规
开启访问日志写入COS或CLS,配置至少90天或依法规要求的保留周期。日志应包含请求IP、UA、时间、请求URL、返回码与WAF触发规则,用于事故追溯与合规审计。
11.
监控、告警与故障演练
配置监控项:流量、QPS、命中率、回源错误率、WAF拦截次数、清洗事件。设置告警通知到值班群并定期做DNS/切换/回源故障演练,记录SOP并复盘。
12.
验证与常用检查命令
用curl与openssl验证:curl -I -H "Host: yourdomain.com" https://加速域名;openssl s_client -connect 加速域名:443 -servername yourdomain.com 检查证书链与协商协议;用dig/nslookup验证CNAME与解析。
13.
合规注意点与地域策略
确认目标国家的数据驻留要求,必要时将源站或日志存储设为该区域。避免托管违法内容,保存备案/许可文件副本并在合规检查中提供必要材料。
14.
问:部署海外CDN最容易忽略的合规点是什么?
答:常忽略的是目标国家对数据跨境和日志保留的要求,以及源站或第三方服务是否符合当地隐私法,建议提前与法务确认并将日志存储/备份策略调整到合规区域。
15.
问:如何排查HTTPS证书在海外节点不生效问题?
答:先用openssl s_client检查握手与证书链,确认加速域名绑定了正确证书并已生效;在控制台查看证书状态,清理CDN缓存并在多个区域测试以排除节点同步延迟。
16.
问:WAF与DDoS如何做到既防护又不误伤正常用户?
答:建议先启用监控模式观察攻击特征,逐步启用拦截并结合自定义白名单与频率阈值调优;对异常流量采用分级防护(限速→挑战→清洗),并保留回退方案。