Fastly服务概述
Fastly提供以下服务,以优化和保护Adobe Commerce在云基础架构项目上的内容交付操作。 这些服务包含在云基础架构的Adobe Commerce中,无需支付额外费用。
-
内容交付网络(CDN) — 基于涂漆的服务,可在您设置的后端数据中心中缓存您的网站页面、资产、CSS等。 当客户访问您的网站和商店时,请求会点击Fastly以更快地加载缓存页面。 CDN服务提供以下功能:
-
缓存管理 — 将您的网站页面、资产、CSS等内容缓存在您为降低带宽负载和成本而设置的后端数据中心中
-
使用Fastly自定义VCL片段(符合Varnish 2.1)来修改缓存响应请求的方式
-
自定义Fastly超时设置,以防止批量操作请求出现503响应
-
-
安全性 — 为Adobe Commerce站点启用Fastly服务后,可以使用其他安全功能来保护您的站点和网络:
-
Web应用程序防火墙 (WAF) — 托管的Web应用程序防火墙服务,可提供PCI兼容的保护来阻止恶意流量,以免破坏云基础架构网站和网络上的生产Adobe Commerce。 WAF服务仅在专业和入门生产环境中可用。
-
分布式拒绝服务(DDoS)保护 — 内置的DDoS保护可抵御Ping of Death、Smurf攻击和其他基于ICMP的洪水攻击等常见攻击。
-
SSL/TLS证书 — Fastly服务需要SSL/TLS证书才能通过HTTPS提供安全流量。
Adobe Commerce为每个暂存和生产环境提供了一个经过域验证的Let's Encrypt SSL/TLS证书。 Adobe Commerce在Fastly设置过程中完成域验证和证书配置。
-
-
源遮蔽 — 防止流量绕过Fastly WAF并隐藏源服务器的IP地址,以保护它们免受直接访问和DDoS攻击。
默认情况下,云基础架构Pro Production项目上的Adobe Commerce上会启用源遮蔽。 要在云基础架构入门生产项目上的Adobe Commerce上启用源遮蔽,请提交Adobe Commerce支持票证。 如果您的流量不需要缓存,则可以自定义Fastly服务配置以允许请求绕过Fastly缓存。
-
图像优化 — 将图像处理和调整负载卸载到Fastly服务,以便服务器可以更高效地处理订单和转换。
-
Fastly CDN和WAF日志 — 对于云基础架构Pro项目上的Adobe Commerce,您可以使用New Relic日志服务来查看和分析Fastly CDN和WAF日志数据。
用于Magento2的Fastly CDN模块
云基础架构上Adobe Commerce的Fastly服务使用安装在以下环境中的Magento2]的[Fastly CDN模块: Pro Staging and Production, Starter Production (master分支)。
在初始配置或升级Adobe Commerce项目时,Adobe会在暂存和生产环境中安装最新版本的Fastly CDN模块。 当Fastly发布模块更新时,您会在管理员中收到有关环境的通知。 Adobe建议您更新环境以使用最新版本。 查看快速升级。
Fastly服务帐户和凭据
云基础架构项目上的Adobe Commerce未获得专用的Fastly帐户。 Fastly服务在向Adobe注册的集中帐户中进行管理,并且管理功能板仅供云支持团队访问。
相反,每个暂存和生产环境都具有唯一的Fastly凭据(API令牌和服务ID),以便从Commerce管理员配置和管理Fastly服务。 Fastly API可用于执行Fastly服务的高级管理,这需要凭据才能提交这些请求。
在项目配置期间,Adobe会将您的项目添加到云基础架构上Adobe Commerce的Fastly服务帐户,并将Fastly凭据添加到暂存环境和生产环境的配置。 查看获取Fastly凭据。
更改Fastly API标记
提交Adobe Commerce支持票证以更改Fastly API令牌凭据。 当您收到新令牌时,请更新您的暂存或生产环境以使用新令牌。
要更改Fastly API令牌凭据:
-
提交Adobe Commerce支持票证,请求新的Fastly API凭据。
在云基础架构项目ID和需要新凭据的环境中包含您的Adobe Commerce。
-
收到新API令牌后,请更新管理员中Fastly凭据配置中的API令牌值,或从Cloud Console 环境变量中更新。
-
更新凭据后,提交Adobe Commerce支持票证以删除旧的API令牌。
多个Fastly帐户和分配的域
Fastly只允许您将一个Apex域和关联的子域分配给一个Fastly服务和帐户。 如果您现有的Fastly帐户链接了用于Adobe Commerce网站的相同顶点和子域,则您有以下选项:
-
在云基础架构项目环境中为您的Adobe Commerce请求Fastly服务凭据之前,从现有帐户中删除Apex和子域。 请参阅Fastly文档中的使用域。
使用此选项将Apex域和所有子域链接到Adobe Commerce在云基础架构上的Fastly服务帐户。
-
提交Adobe Commerce支持票证以请求域委派,以便将Apex和子域链接到不同的帐户。
如果您的Apex域中包含Adobe Commerce和非Adobe Commerce站点的多个子域,并且您想要将这些子域关联到不同的Fastly帐户,请使用此选项。
请求域委派
方案1:
Apex域(testweb.com和www.testweb.com)链接到现有的Fastly帐户。 您在云基础架构项目上配置了Adobe Commerce,子域如下: mcstaging.testweb.com和mcprod.testweb.com。 您不希望将Apex域移动到云基础架构上Adobe Commerce的Fastly服务帐户。
提交[Fastly支持票证],请求将子域从现有Fastly帐户委派给云基础架构上Adobe Commerce的Fastly帐户。 在票证中包含您的Adobe Commerce项目ID。
委派完成后,可以将您的项目子域添加到云基础架构上Adobe Commerce的Fastly服务帐户。 查看获取Fastly凭据。
方案2:
Apex域(testweb.com和www.testweb.com)已链接到云基础架构Fastly服务帐户上的Adobe Commerce。 您要为其他Fastly帐户的service.testweb.com和product-updates.testweb.com子域管理Fastly服务。
提交Adobe Commerce支持票证,请求将云基础架构Fastly服务帐户上的Adobe Commerce中的子域委派给Fastly帐户。 在票证中包含Fastly帐户的服务ID。
DDoS保护
DDOS保护内置于Fastly CDN服务中。 一旦您为Adobe Commerce站点启用了Fastly服务,Fastly就会过滤所有Web和管理员流量以检测和阻止潜在的攻击。
-
对于针对第3层或第4层的攻击,Fastly服务会根据端口和协议过滤掉流量,仅检查HTTP或HTTPS请求。 ICMP 、 UDP和其他网络发起的攻击将在我们的网络边缘上删除。 这包括反射和放大攻击,它们使用SSDP或NTP等UDP服务。 通过提供这种级别的保护,我们有效地阻止了多种常见的攻击,如Ping of Death 、 Smurf攻击和其他基于ICMP的洪水。
Fastly在缓存层管理TCP级别的攻击。 此策略为每个客户端提供了必要的规模和环境,以应对SYN洪水攻击及其许多变体,包括TCP栈栈、资源攻击和Fastly系统中的TLS攻击。
-
Fastly还提供针对第7层攻击的保护。 如果您的商店遇到性能问题,并且您怀疑发生了7层DDoS攻击,请提交Adobe Commerce支持请求工单。 Adobe可以创建自定义规则并将其应用于Fastly服务,以根据标头、有效负载或标识攻击流量的属性组合检查和过滤恶意请求。 请参阅 Adobe Commerce帮助中心 中的检查DDoS攻击和如何阻止恶意流量。