SAS ile Azure Content Delivery Network kullanma

  • Makale

Önemli

Microsoft tarafından sunulan Azure CDN Standard (klasik) 30 Eylül 2027'de kullanımdan kaldırılacaktır. Hizmet kesintisini önlemek için, 30 Eylül 2027'ye kadar Azure CDN Standard'ı Microsoft (klasik) profillerinden Azure Front Door Standard veya Premium katmanına geçirmeniz önemlidir. Daha fazla bilgi için bkz . Microsoft'tan Azure CDN Standard (klasik) kullanımdan kaldırma.

Edgio'dan Azure CDN 4 Kasım 2025'te kullanımdan kaldırılacaktır. Hizmet kesintisini önlemek için iş yükünüzü bu tarihten önce Azure Front Door'a geçirmeniz gerekir. Daha fazla bilgi için bkz . Edgio'dan Azure CDN kullanımdan kaldırma hakkında SSS.

Azure Content Delivery Network için içeriği önbelleğe almak için kullanılacak bir depolama hesabı ayarladığınızda, varsayılan olarak depolama kapsayıcılarınızın URL'lerini bilen herkes karşıya yüklediğiniz dosyalara erişebilir. Depolama hesabınızdaki dosyaları korumak için depolama kapsayıcılarınızın erişimini genelden özele ayarlayabilirsiniz. Ancak, bunu yaparsanız, hiç kimse dosyalarınıza erişemez.

Özel depolama kapsayıcılarına sınırlı erişim vermek istiyorsanız Azure Depolama hesabınızın Paylaşılan Erişim İmzası (SAS) özelliğini kullanabilirsiniz. Bir SAS, hesap anahtarınızı açığa çıkarmadan Azure Depolama kaynaklarınıza kısıtlı erişim hakları veren bir URI'dir. Depolama hesabı anahtarınız ile güvenmediğiniz ancak belirli depolama hesabı kaynaklarına erişim yetkisi vermek istediğiniz istemcilere bir SAS sağlayabilirsiniz. Paylaşılan Erişim İmzası URI'sini bu istemcilere dağıtarak, onlara belirli bir süre boyunca bir kaynağa erişim izni verirsiniz.

SAS ile bloba erişim için başlangıç ve bitiş süreleri, izinler (okuma/yazma) ve IP aralıkları gibi çeşitli parametreler tanımlayabilirsiniz. Bu makalede SAS'nin Azure Content Delivery Network ile nasıl kullanılacağı açıklanmaktadır. SAS hakkında daha fazla bilgi için, bunun nasıl oluşturulacağı ve parametre seçenekleri için bkz . Paylaşılan erişim imzalarını (SAS) kullanma.

Azure Content Delivery Network'u depolama SAS'siyle çalışacak şekilde ayarlama

SAS'yi Azure Content Delivery Network ile kullanmak için aşağıdaki iki seçenek önerilir. Tüm seçenekler, çalışan bir SAS oluşturduğunuzu varsayar (önkoşullara bakın).

Önkoşullar

Başlamak için bir depolama hesabı oluşturun ve ardından varlığınız için bir SAS oluşturun. İki tür depolanmış erişim imzası oluşturabilirsiniz: hizmet SAS'i veya hesap SAS'i. Daha fazla bilgi için bkz . Paylaşılan erişim imzası türleri.

SAS belirtecini oluşturduktan sonra, URL'nize ekleyerek ?sv=<SAS token> blob depolama dosyanıza erişebilirsiniz. Bu URL aşağıdaki biçime sahiptir:

https://<account name>.blob.core.windows.net/<container>/<file>?sv=<SAS token>

Örneğin:

https://democdnstorage1.blob.core.windows.net/container1/demo.jpg?sv=2017-07-29&ss=b&srt=co&sp=r&se=2038-01-02T21:30:49Z&st=2018-01-02T13:30:49Z&spr=https&sig=QehoetQFWUEd1lhU5iOMGrHBmE727xYAbKJl5ohSiWI%3D

Parametreleri ayarlama hakkında daha fazla bilgi için bkz . SAS parametresi konuları ve Paylaşılan Erişim İmzası parametreleri.

İçerik teslim ağı SAS ayarlarının ekran görüntüsü.

1. Seçenek: Azure Content Delivery Network'ten doğrudan blob depolama ile SAS kullanma

Bu seçenek en basit seçenektir ve Azure Content Delivery Network'ten kaynak sunucuya geçirilen tek bir SAS belirteci kullanır.

  1. Bir uç nokta seçin, Önbelleğe alma kuralları'nı seçin ve ardından Sorgu dizesi önbelleğe alma listesinden Her benzersiz URL'yi önbelleğe al'ı seçin.

    İçerik teslim ağı önbelleğe alma kurallarının ekran görüntüsü.

  2. Depolama hesabınızda SAS'yi ayarladıktan sonra, dosyaya erişmek için içerik teslim ağ uç noktası ve kaynak sunucu URL'leriyle SAS belirtecini kullanmanız gerekir.

    Sonuçta elde edilen içerik teslim ağ uç noktası URL'si aşağıdaki biçime sahiptir: https://<endpoint hostname>.azureedge.net/<container>/<file>?sv=<SAS token>

    Örneğin:

    https://demoendpoint.azureedge.net/container1/demo.jpg?sv=2017-07-29&ss=b&srt=c&sp=r&se=2027-12-19T17:35:58Z&st=2017-12-19T09:35:58Z&spr=https&sig=kquaXsAuCLXomN7R00b8CYM13UpDbAHcsRfGOW3Du1M%3D

  3. Önbellek kurallarını kullanarak veya kaynak sunucuya üst bilgiler ekleyerek Cache-Control önbellek süresinde ince ayar yapın. Azure Content Delivery Network SAS belirtecini düz sorgu dizesi olarak değerlendirdiğinden, en iyi yöntem olarak SAS sona erme zamanından önce veya bu süreden önce süresi dolacak bir önbelleğe alma süresi ayarlamanız gerekir. Aksi takdirde, bir dosya SAS etkin olduğundan daha uzun bir süre boyunca önbelleğe alınırsa, SAS süre sonu dolduktan sonra dosyaya Azure Content Delivery Network kaynak sunucusundan erişilebilir olabilir. Bu durum oluşursa ve önbelleğe alınmış dosyanıza erişilemez hale getirmek istiyorsanız, önbellekten temizlemek için dosyada bir temizleme işlemi gerçekleştirmeniz gerekir. Azure Content Delivery Network'te önbellek süresini ayarlama hakkında bilgi için bkz . Önbelleğe alma kurallarıyla Azure Content Delivery Network önbelleğe alma davranışını denetleme.

2. Seçenek: Yeniden yazma kuralıyla içerik teslim ağı güvenlik belirteci kimlik doğrulamayı kullanma

Azure Content Delivery Network güvenlik belirteci kimlik doğrulamasını kullanmak için Edgio profilinden Azure CDN Premium'a sahip olmanız gerekir. Bu seçenek en güvenli ve özelleştirilebilir seçenektir. İstemci erişimi, güvenlik belirtecinde ayarladığınız güvenlik parametrelerini temel alır. Güvenlik belirtecini oluşturup ayarladıktan sonra, tüm içerik teslim ağ uç noktası URL'lerinde gereklidir. Ancak URL Yeniden Yazma kuralı nedeniyle içerik teslim ağ uç noktasında SAS belirteci gerekli değildir. SAS belirteci daha sonra geçersiz hale gelirse, Azure Content Delivery Network kaynak sunucudan içeriği yeniden doğrulayamaz.

  1. Azure Content Delivery Network güvenlik belirtecini oluşturun ve kullanıcılarınızın dosyaya erişebileceği içerik teslim ağı uç noktası ve yolu için kural altyapısını kullanarak etkinleştirin.

    Güvenlik belirteci uç noktası URL'si aşağıdaki biçime sahiptir:

    https://<endpoint hostname>.azureedge.net/<container>/<file>?<security_token>

    Örneğin:

    https://sasstoragedemo.azureedge.net/container1/demo.jpg?a4fbc3710fd3449a7c99986bkquaXsAuCLXomN7R00b8CYM13UpDbAHcsRfGOW3Du1M%3D

    Güvenlik belirteci kimlik doğrulaması için parametre seçenekleri SAS belirtecinin parametre seçeneklerinden farklıdır. Güvenlik belirteci oluştururken süre sonu kullanmayı seçerseniz, bunu SAS belirtecinin süre sonu süresiyle aynı değere ayarlamanız gerekir. Bunun yapılması, süre sonunun tahmin edilebilir olmasını sağlar.

  2. Kapsayıcıdaki tüm bloblara SAS belirteci erişimini etkinleştirmek üzere bir URL Yeniden Yazma kuralı oluşturmak için kural altyapısını kullanın. Yeni kuralların yayılması 4 saate kadar sürer.

    Aşağıdaki örnek URL Yeniden Yazma kuralı, yakalama grubu ve sasstoragedemo adlı bir uç nokta ile normal ifade deseni kullanır:

    Kaynak:

    (container1/.*)

    Hedef:

    $1&sv=2017-07-29&ss=b&srt=c&sp=r&se=2027-12-19T17:35:58Z&st=2017-12-19T09:35:58Z&spr=https&sig=kquaXsAuCLXomN7R00b8CYM13UpDbAHcsRfGOW3Du1M%3Dİçerik teslim ağı URL'si Yeniden yazma kuralının ekran görüntüsü - sol.İçerik teslim ağı URL'si Yeniden yazma kuralının ekran görüntüsü - sağ.

  3. SAS'yi yenilerseniz, URL Yeniden Yazma kuralını yeni SAS belirteci ile güncelleştirdiğinizden emin olun.

SAS parametresiyle ilgili dikkat edilmesi gerekenler

SAS parametreleri Azure Content Delivery Network tarafından görülemediğinden, Azure Content Delivery Network bunları temel alarak teslim davranışını değiştiremez. Tanımlanan parametre kısıtlamaları yalnızca Azure Content Delivery Network'un kaynak sunucuya yaptığı istekler için geçerlidir, istemciden Azure Content Delivery Network'e yapılan istekler için geçerli değildir. SAS parametrelerini ayarladığınızda bu ayrımı göz önünde bulundurmanız önemlidir. Bu gelişmiş özellikler gerekliyse ve Seçenek 2'yi kullanıyorsanız, Azure Content Delivery Network güvenlik belirtecinde uygun kısıtlamaları ayarlayın.

SAS parametre adı Açıklama
Başlangıç Azure Content Delivery Network'in blob dosyasına erişmeye başlayabildiği süre. Saat dengesizliği nedeniyle (saat sinyali farklı bileşenler için farklı zamanlarda geldiğinde) varlığın hemen kullanılabilir olmasını istiyorsanız 15 dakika önce bir saat seçin.
End Azure Content Delivery Network'in blob dosyasına erişemdiği süre. Azure Content Delivery Network'te önceden önbelleğe alınmış dosyalara hala erişilebilir. Dosyanın süre sonu süresini denetlemek için Azure Content Delivery Network güvenlik belirtecinde uygun süre sonu süresini ayarlayın veya varlığı temizleyin.
İzin verilen IP adresleri isteğe bağlı. Edgio'dan Azure CDN kullanıyorsanız , bu parametreyi Edgio Edge Sunucusu IP Aralıkları'ndan Azure Content Delivery Network'te tanımlanan aralıklara ayarlayabilirsiniz.
İzin verilen protokoller Hesap SAS'siyle yapılan bir istek için izin verilen protokoller. HTTPS ayarı önerilir.

Sonraki adımlar

SAS hakkında daha fazla bilgi için aşağıdaki makalelere bakın:

Belirteç kimlik doğrulamasını ayarlama hakkında daha fazla bilgi için bkz . Belirteç kimlik doğrulaması ile Azure Content Delivery Network varlıklarının güvenliğini sağlama.