通过NS和CNAME两种接入方式,将站点接入边缘安全加速 ESA,实现对站点的统一管理,同时获得全站加速、边缘计算及安全防护等能力。
操作流程
将域名接入ESA的完整流程如下:
添加站点:在ESA控制台添加待接入站点的根域名,选择加速区域和接入方式(NS或CNAME),订购套餐。
开启安全防护:配置SSL证书保障数据传输加密,启用WAF和DDoS防护。
优化性能:配置缓存加速、资源压缩和网络优化,提升站点访问速度。
验证并启用站点:完成DNS配置,将流量切换到ESA节点。
验证加速生效:确认站点流量已通过ESA加速。
前提条件
请您确保已完成阿里云账号注册(PC端)或账号注册(阿里云App端),并进行实名认证。
请您确保已准备好接入ESA的域名。
请您确保已准备好源站服务器且已搭建网站。
若域名刚完成工信部 ICP 备案,由于监管部门信息同步及阿里云系统拉取需要周期,建议在备案成功 8 小时后再尝试在 ESA 新增站点,以免系统误报"域名未备案"。
若源站为阿里云 ECS,域名必须在阿里云完成 ICP 备案接入。若未接入备案,HTTP 访问将被拦截并跳转至备案页面,HTTPS 访问可能因回源阻断报错 525。
第一步:站点接入
在开始站点接入前,需先将待接入站点的根域名添加至ESA中。
在ESA控制台,选择站点管理,单击新增站点。
在输入站点页面输入待接入站点的根域名(例如
example.com),单击下一步。
建议优先使用根域名(例如
example.com)作为站点名称,以便统一管理该域名下的所有子域名。站点添加完成后,可在 ESA 控制台的DNS管理页面为www.example.com、api.example.com等各子域名分别添加解析记录,按需开启代理加速。若仅需加速特定子域名,也可直接以子域名(例如
www.example.com)作为站点接入,不会对现有业务产生负面影响。如需添加根域名站点但担心影响现有解析配置,可通过 TXT 验证方式添加站点,不影响主域名的原有解析。在选择区域和接入方式页面,根据需要选择加速区域和接入方式,单击下一步。
选择加速区域
根据选择的区域分配ESA节点,为该区域的用户提供安全加速服务。
加速区域
说明
中国内地
ESA将为站点分配中国内地的节点资源,提供安全与加速服务。选择该区域加速时,域名需完成工信部ICP备案。
全球
ESA将为站点分配全球节点资源,提供全球范围的安全与加速服务。选择该区域加速时,域名需完成工信部ICP备案。
全球(不包含中国内地)
ESA将为站点分配除中国内地外的节点资源,提供安全与加速服务。选择该区域加速时,域名无需进行工信部ICP备案。
选择接入方式
ESA提供了NS和CNAME两种接入方式,可根据实际需求选择合适的接入方式:
接入方式
说明
适用场景
优势
NS接入
将域名解析完全托管至ESA,实现DNS解析与加速一体化管理。
新注册的域名,未配置任何DNS解析。
首次使用CDN类加速服务。
需要一站式DNS托管和流量管理。
完全由ESA接管DNS解析,实现统一管理。
支持智能路由、全局流量调度。
简化运维,提升安全性和加速效果。
CNAME接入
域名解析通过DNS服务商完成,ESA提供域名加速和集中管理能力。
更熟悉传统CDN类产品。
仅需部分业务接入ESA,保持原有解析架构。
灵活接入,不影响现有DNS配置。
可针对特定子域名加速。
CNAME 接入核心规则
选择 CNAME 接入方式前,请了解以下重要规则:
CNAME 记录值不可通用:ESA 为每个接入域名生成唯一的 CNAME 记录值,不同域名的 CNAME 值不可互换使用。配置时必须使用 ESA 控制台为该域名专属生成的 CNAME 值。
不支持跨域名 CNAME 解析:不支持将未接入 ESA 的域名直接 CNAME 解析到已接入 ESA 的域名。若多个域名(如主域名与子域名、或不同业务域名)均需 ESA 加速,必须在 ESA 中分别作为独立站点或独立 DNS 记录进行配置。
加速范围差异:NS 接入默认管理整个根域名及其所有子域名;CNAME 接入仅加速在 DNS 服务商处实际配置了 ESA CNAME 记录的特定子域名,未配置的子域名不会自动获得加速。
多域名同源站支持:多个不同域名可绑定到同一源站服务器,互不影响,无需额外配置。
在选择套餐类型页面,可以通过新购套餐和绑定已购套餐两种方式选择合适的套餐,按照控制台指引完成套餐订购。
新购套餐
在新购套餐页面根据实际需要选择合适的套餐。
绑定已购套餐
如果当前已购买套餐,可在已购套餐页签中选择该套餐进行绑定。
FAQ:已购买的 CDN/DCDN 资源包能否用于 ESA?
不能。ESA 与 CDN/DCDN 是相互独立的产品,资源包(流量包)不通用,使用 ESA 需购买 ESA 专用流量包或套餐。
若误购了 CDN/DCDN 资源包,可前往阿里云费用与成本控制中心申请退订。
若正在使用 DCDN,该产品已不建议继续使用,建议迁移至 ESA,参照本文档完成站点接入,以获得更完善的安全加速能力。
第二步:为站点开启安全防护
站点接入完成后,为站点配置安全防护,保障数据传输安全和业务稳定。
为了提升网站的数据传输安全和整体安全防护能力,您可以配置多种安全防护功能,例如SSL证书管理(确保数据传输加密)、DDoS防护(抵御流量攻击)以及Web应用防火墙(WAF,保护Web应用免受恶意攻击)。这些功能协同工作,帮助您构建更加安全可靠的网站环境。
接入基础配置说明
站点类型选择:配置站点时需选择站点类型(如网页浏览、大文件下载),该选项对实际业务运行无实质影响,后续可随时在DNS设置中修改,无需担心选错。
源站 IP 隐藏:接入 ESA 后,对外暴露的是 ESA 边缘节点 IP,可有效隐藏真实服务器 IP 地址,无需在 DNS 处进行额外的隐藏配置。
如需了解 ESA 各版本套餐的功能对比,请参考选择合适的套餐。
数据传输加密:保障客户端与服务器之间的安全通信(配置HTTPS证书)
数据传输加密是保障网络通信安全的关键措施,能够有效防止敏感数据在传输过程中被窃取或篡改。ESA在客户端与您的业务服务器之间提供全面的数据传输安全解决方案,确保数据在每个环节的安全性。
首先,ESA默认为您开启SSL/TLS加密功能,您可以申请并配置对应的SSL证书,以避免造成HTTPS业务中断。
此外,还可以通过ESA开启边缘TLS双向认证功能在客户端与ESA节点之间建立双向的身份验证机制,确保只有经过授权的客户端才能访问服务器。这种双向认证机制极大地提高了数据传输的安全性,有效防止了未经授权的访问和恶意攻击。
通过以上多层次的安全措施,确保您的业务数据在传输过程中免受各种网络威胁的侵害,为您的业务保驾护航。
异常访问防护:全面保障网站安全
异常访问防护是网站安全的重要组成部分,能够有效抵御恶意攻击,保障网站的稳定性和可用性,通过多种安全防护措施保障业务安全。
ESA通过原生WAF防护能力,结合预定义规则和自定义规则,对客户端的请求流量进行智能过滤,确保只有合法、干净的流量能够到达服务器,从而降低潜在的安全风险。还可根据实际需求开启防盗刷,有效防止资源被恶意刷取,保障服务稳定与安全。
在业务运行过程中,ESA通过安全分析和事件分析模块,实时收集并分析客户端请求数据,识别出异常行为。结合WAF的自定义规则,灵活配置拦截、挑战、重定向等多种防护措施,精准应对不同类型的攻击行为。
此外,ESA默认为您开启了DDoS基础防护功能,能够有效抵御大规模的DDoS攻击和CC攻击,保障网站在高流量攻击下的稳定运行。
通过这些多层次的防护措施,ESA不仅能够帮助您快速识别并阻止异常访问,还能在遭受复杂攻击时提供强有力的安全保障,全面护航您的网站安全。
第三步:提升站点的性能
安全配置就绪后,通过以下优化进一步提升站点访问速度和用户体验。
ESA通过图像自定义转换、资源压缩优化以及IPv6支持等技术,全面提升站点访问速度和网络性能,优化用户的访问体验。
配置缓存加速
通过配置站点缓存策略或创建缓存规则,将资源文件存储在ESA的边缘节点。当您发起文件请求时,边缘节点将直接响应,有效避免长链路回源,加快您获取最新文件的速度。
优化资源访问性能
通过启用和优化网站设置,ESA能够显著提升应用性能。具体而言,ESA采用多项先进技术对访问资源进行全面优化,包括设置图像转换、设置资源压缩以及配置协议优化。这些优化措施从多个维度提升了站点的访问速度,确保您能够更快地获取所需资源,从而提升整体体验。
优化网络性能
为了进一步提升网络传输速度,ESA提供了四重网络优化配置,从协议支持到通信方式全方位提升网络性能。
第四步:验证并启用站点
仅完成站点添加后并无加速和防护效果,需启用站点后方可使用ESA提供的服务。
本地测试加速域名
如果当前域名已承载业务,为保证DNS解析可以顺利切换而不影响现有业务,建议您先在本地测试加速域名,验证加速域名访问正常后,再正式启用站点。
验证NS方式接入的站点
通过NS方式接入的站点,在正式启用站点前可以如何提前验证服务是否正常?
如果您希望正式将服务切到ESA前做线上业务验证测试,可以选取不同的记录做测试验证:
仅DNS的记录:您可以dig您的记录并@ESA为您分配的NS记录(表示从指定的ESA NS服务器中获取DNS解析),并查看解析出的记录值是否和您在ESA上配置的记录值一致。供参考的命令行:
dig 仅DNS解析的记录 @ESA为您分配的NS,示例:
您可以从控制台站点概况获得ESA为您分配的NS:
开启代理加速的记录,暂不支持提前测试。
验证CNAME方式接入的站点
启用站点
以NS方式接入
步骤一:添加DNS记录
为了避免您现有的DNS记录失效导致业务中断,在修改DNS服务器之前,需要先在ESA中添加您现DNS服务商上的DNS记录。
批量导入多条DNS记录(推荐)
选择,单击导入。
在DNS文件导入界面,上传DNS记录文件。
如需将Cloudflare、阿里云DNS或腾讯云DNSPod的DNS记录迁移至ESA,请先在原DNS服务商处获取DNS记录文件,然后按照以下步骤上传文件。
根据需要选择Cloudflare、阿里云 DNS或腾讯云DNSPod,然后单击选择文件上传。
选择DNS记录文件并上传至ESA。
如需使用ESA模板手动填写DNS记录并完成导入,请按以下步骤上传文件。
选择模版导入,单击下载文件模版。
在文件模板中,按照模板格式修改DNS记录并保存。
单击选择文件上传,选择已保存的模板并完成上传。
在导入页面,检查并调整记录的配置情况。针对即将导入的DNS记录,ESA默认仅提供DNS解析服务,您可以在代理状态列为需要的记录打开ESA代理加速开关。
完成DNS记录调整后,单击确定导入,在记录界面查看到记录信息即表示已成功导入。
手动添加单条记录
选择,单击添加记录。
单击添加记录,在弹出的对话框中添加DNS记录,然后单击下一步。
示例:假设您的站点域名为
example.cn,现需为子域名www.example.cn的网页页面加速,源服务器的IP为198.2.XX.XX。以该信息为例,您可以参考下图进行配置,关于其他记录的详细配置说明可参见DNS相关参数介绍。根据您的业务选择合适的类型后,单击完成。
步骤二:修改DNS服务器,启用站点
完成DNS记录添加后,需要将您站点的原DNS服务器修改为ESA的DNS服务器。
在左侧导航栏,单击站点概况,单击
分别复制ESA为您提供的两个NS值。按照控制台的指引前往您的DNS服务商,修改DNS服务器,分别将两个ESA的NS值填入。
下面还为您提供了其他DNS服务商的DNS修改指南,如果不包含您DNS服务商的配置示例,请咨询该服务商。
GoDaddy
登录GoDaddy控制台。
选择My Products >Manage All,选择目标域名。
在Additional Settings下,单击Manage DNS,在Nameservers下,单击Change Nameservers。
选择Enter my own nameservers (advanced),输入边缘安全加速 ESA为您分配的DNS服务器名称,单击Save完成设置。
设置完成后,请耐心等待 DNS 服务器配置生效。
Namecheap
登录Namecheap控制台。
在域名页面,修改DNS服务器。
Name
登录Name控制台。
进入管理名称服务器页面。
Google Domains
单击 DNS > 域名服务器 > 更新名称服务器。
单击我已知悉。
完成NS服务器修改后,单击验证NS生效(NS的生效时间需要数分钟至48小时不等,如遇验证失败,请稍等再尝试或耐心等待系统检测自动生效),即可完成站点启用工作。站点激活后您也将收到邮件和站内信的提醒。
分别复制
以CNAME方式接入
步骤一:验证域名归属权
首次将域名添加到ESA后,为保证可以正常为您提供服务,您需要先完成域名归属权验证,验证通过后您再次添加该域名或子域名时,无需再次验证。
关于 TXT 验证记录的说明
添加用于所有权验证的 TXT 记录(主机记录:_esaauth)不会影响现有网站的访问和业务运行。流量仅在 CNAME 解析配置并生效后才会切换至 ESA,验证阶段不会改变任何现有 DNS 解析。
验证失败或点击无反应时的处理
若点击验证后无反应或提示 network error,请按以下步骤排查:
确认在 DNS 服务商处已正确配置 TXT 记录:主机记录为
_esaauth,记录值为 ESA 控制台显示的verify_xxx实际值(以控制台为准)。DNS 解析生效需要数分钟至数小时,配置完成后建议等待后重试。
确认 TXT 记录已在 DNS 服务商处保存成功,避免因配置未提交导致验证失败。
在左侧导航栏选择站点概况,单击
复制ESA为您提供的TXT记录。按照控制台的指引前往您的DNS服务商,将复制到的信息以TXT类型,一一对应添加至您的域名解析记录中。
下面还为您提供了其他DNS服务商的迁移指南,若仍无法找到对应的服务商,您需要咨询对应的DNS服务商。
Cloudflare
如果您的DNS服务商是Cloudflare,您可以根据以下步骤添加TXT记录。
进入DNS页面,单击添加记录,添加TXT记录。
单击保存,完成添加。
GCP
如果您的DNS服务商是GCP,您可以根据以下步骤添加TXT记录。
登录GCP控制台。
进入DNS页面,单击添加记录,添加TXT记录。
单击保存,完成添加。
AWS
如果您的DNS服务商是AWS,您可以根据以下步骤添加TXT记录。
登录AWS控制台。
进入DNS页面,单击添加记录,添加TXT记录。
单击保存,完成添加。
Dyn
如果您的DNS服务商是Dyn,您可以根据以下步骤添加TXT记录。
登录Dyn控制台。
进入DNS页面,单击添加记录,添加TXT记录。
单击Create Record,完成添加。
返回ESA控制台,单击点击验证,即可完成验证。
说明记录配置后可能需要数分钟至数小时后方可生效,如遇验证失败请稍等后再尝试。
步骤二:添加加速域名
当您完成了域名归属权认证后,通过以下两步即可为子域名成功配置ESA的代理加速服务。
在ESA中获取CNAME记录值
您需通过添加DNS解析记录的方式,将待加速域名的前缀、源服务器地址等信息配置在ESA服务器中,以获取CNAME记录值。
在左侧导航栏,选择。
在记录界面,通过手动或批量导入的方式添加DNS记录,并获取ESA提供的CNAME记录值。
手动添加单条记录
在记录界面,单击添加记录。
在添加记录界面,填入对应的信息。
示例:假设您的站点域名为
example.cn,现需为子域名www.example.cn的网页页面加速,源服务器的IP为198.2.XX.XX。以该信息为例,您可以参考下图进行配置,关于其他记录的详细配置说明可参见DNS相关参数介绍。单击下一步,根据您的业务选择合适的类型后,即可完成添加单条记录。
完成记录添加后,按照控制台指引,单击
复制ESA为您提供的用于指向边缘节点的CNAME记录值。
批量导入多条DNS记录
在记录界面,单击导入。
在导入界面,上传DNS记录文件。
如需将Cloudflare、阿里云DNS或腾讯云DNSPod的DNS记录迁移至ESA,请先在原DNS服务商处获取DNS记录文件,然后按照以下步骤上传文件。
根据需要选择Cloudflare、阿里云 DNS或腾讯云DNSPod,然后单击选择文件上传。
选择DNS记录文件并上传至ESA。
如需使用ESA模板手动填写DNS记录并完成导入,请按以下步骤上传文件。
选择模版导入,单击下载文件模版。
在文件模板中,按照模板格式修改DNS记录并保存。
单击选择文件上传,选择已保存的模板并完成上传。
在导入页面,检查并调整记录的配置情况,然后单击确定导入。
导入成功后,在DNS记录列表中单击CNAME列的
复制CNAME记录值。
重要通过文件批量导入 DNS 记录后,系统可能保留原 DNS 服务商的旧 CNAME 记录值。请务必手动检查所有 CNAME 记录,确认记录值已更新为 ESA 控制台为该域名分配的唯一 CNAME 值,否则代理加速将无法生效。
此外,ESA 支持通过控制台批量添加域名和 DNS 记录,可在DNS管理页面使用批量操作功能,提升配置效率。
复制
复制CNAME记录值。
在DNS服务商处添加CNAME记录
由于您的域名解析通过第三方DNS服务商管理,因此在ESA中获取CNAME值后,您需要在您的DNS服务商处添加相应的CNAME记录。当用户请求加速域名时,请求通过DNS服务商将解析到对应的ESA边缘节点,从而获得加速代理服务。
与验证域名归属权中的添加记录步骤一致,按照控制台的指引前往您的DNS服务商,将复制到的信息以CNAME类型,一一对应添加至您的域名解析记录中。
返回ESA控制台,选择,确认新添加记录的CNAME状态显示为已配置即可。
说明DNS记录配置后可能需要数分钟至数小时的生效时间,如遇验证失败请稍等后再尝试。
第五步:验证加速是否生效
站点完成ESA接入后,客户端发起的请求将被自动引导至最近的ESA节点上,您可通过检查IP来验证加速是否生效。
方法一:利用浏览器开发工具
选择一个开启了代理加速的DNS记录(未开启代理加速的DNS记录不会经过ESA边缘节点,不适用以下测试方法)进行测试。
在浏览器中访问当前站点的资源,例如:
https://api.example.com/test.txt,在浏览器中打开开发者工具,查看该请求指向的IP地址。使用IP归属工具查询IP是否属于ESA,如果查询结果为“是”,即代表当前站点已被ESA加速。
方法二:使用命令行检查
选择一个开启了代理加速的DNS记录进行测试。
未开启代理加速的DNS记录不会经过ESA边缘节点,不适用以下测试方法.
Windows
打开cmd程序。
输入
nslookup -type=A 域名(例如nslookup -type=A test.example.com),获取解析后的IP地址。使用IP归属工具查询IP是否属于ESA。
如果查询结果为“是”,表示当前站点已被ESA加速。
Linux、macOS
打开终端。
输入
dig 域名(例如dig test.example.com),获取解析后的IP地址。使用IP归属工具查询IP是否属于ESA。
如果查询结果为“是”,表示当前站点已被ESA加速。
方法三:检查即时日志
即时日志暂不支持基础版套餐。若您的套餐为基础版,可选择方法一、二来验证,或升级套餐后使用方法三验证。
在ESA控制台选择站点管理,在站点列单击目标站点。
在左侧导航栏进入,单击开始监测进行日志收集。
如果查询到日志,代表当前站点已被ESA加速。
常见问题
ESA 新站点没有显示流量或无法访问,是否意味着接入配置失败?
新站点无流量或无法访问,通常不代表接入失败,请按以下步骤逐一排查:
确认 DNS 记录配置正确:登录 ESA 控制台,在DNS管理页面确认已为需要加速的域名添加了正确的 DNS 记录(A、AAAA 或 CNAME 类型)。
确认已开启代理加速开关:确认对应 DNS 记录的代理加速开关已开启。仅做 DNS 解析但未开启代理加速的记录不会产生 ESA 流量。
等待 DNS 生效:若站点已启用但仍无法访问,可能是解析尚未全网生效(通常需要数分钟至数小时)。可使用本地 Host 绑定测试节点 IP 的方式提前验证加速效果,无需等待 DNS 全网生效。
确认 CNAME 记录值正确(CNAME 接入时):确认在 DNS 服务商处配置的 CNAME 记录值与 ESA 控制台为该域名生成的唯一 CNAME 值一致,不同域名的 CNAME 值不可互换使用。
了解更多
除以上提升站点安全和性能的方式外,ESA还支持多种功能,包括缓存、边缘计算和 AI、规则、分析和日志及流量等,助力您全方位管理站点。
边缘计算
ESA通过函数和Pages、边缘容器和边缘存储这三个产品,为您提供了一种高效、灵活且低延迟的边缘计算解决方案。
函数和Pages是一站式全栈开发平台,通过深度集成 Git 工作流、全球边缘网络与智能构建系统,为企业及开发者提供从代码提交到全球分发的一站式部署解决方案。平台支持静态网站、单页应用SPA(Single-Page Application)、服务端渲染SSR(Server-Side Rendering)应用以及边缘函数(Edge Functions)等多种应用场景,满足从个人项目到企业级复杂架构的多样化部署需求。
边缘容器是一种部署在边缘节点上以容器应用为核心的高弹性、易运维的计算资源,通过全球部署和就近调度,简化协议处理,极大地减少了响应延迟。
边缘存储是一种Key-Value型的边缘存储服务,结合边缘函数可快速读取使用同节点的边缘存储数据,实现部署轻量型BaaS服务、API网关服务等。
自定义规则
根据业务需求,使用一致的基本语法和配置逻辑,在不同的产品功能(如缓存、重定向、压缩、回源、WAF等)中创建和部署条件规则,使您能够更灵活、更精确地控制各种配置策略的执行效果,从而实现更高效的管理和优化
分析和日志
ESA在处理业务请求时会生成实时流量数据和详细日志记录,这些数据可用于优化资源配置、快速定位并解决服务异常、生成实时监控指标,以及分析网络连接质量并进行性能测试,从而确保站点的稳定高效运营。
流量管控
ESA的边缘节点实时监控并智能调控数据流,通过优化流量分布策略,平衡多个源站的负载,显著降低链路延迟,同时提升业务的可用性和稳定性。