So sánh giữa AOP giữa Zone và Per-hosname

Tại sao phải cấu hình cả Zone-Level và Per-Hostname

Khi bật zone-level Authenticated Origin Pulls, tất cả các hostname trong zone sẽ chấp nhận bất kỳ client certificate nào do Cloudflare cấp.
Nhưng nếu bạn muốn enforce validation chặt chẽ hơn chỉ cho một số hostname cụ thể, bạn có thể cấu hình Per-Hostname Authenticated Origin Pulls để chỉ cho phép những hostname đó sử dụng một custom certificate (chứng chỉ riêng do bạn cung cấp).

⏩ Ví dụ:

Bạn có zone-level Authenticated Origin Pulls nhưng chỉ hostname secure.example.com cần dùng một client certificate tùy chỉnh thay vì chứng chỉ mặc định của Cloudflare.
Khi đó, bạn sẽ cấu hình Per-Hostname Authenticated Origin Pulls để chỉ cho phép secure.example.com sử dụng chứng chỉ mà bạn tải lên.

Khi bạn bật zone-level Authenticated Origin Pulls, Cloudflare sẽ gửi một client certificate đến origin, nhưng origin server của bạn phải tự kiểm tra chứng chỉ này.
Nếu một số hostname trong zone không được cấu hình để kiểm tra (enforce validation) trên origin server, thì chúng vẫn có thể nhận traffic từ Cloudflare mà không có xác thực nghiêm ngặt.
Khi bạn bật Per-Hostname Authenticated Origin Pulls, bạn có thể đảm bảo hostname cụ thể luôn thực hiện xác thực chặt chẽ.

⏩ Ví dụ:

Nếu bạn có nhiều origin server và muốn hostname A kết nối với origin A, hostname B kết nối với origin B với các chứng chỉ khác nhau, thì bạn cần dùng Per-Hostname Authenticated Origin Pulls.

⏩ Ví dụ:

secure.example.com kết nối đến origin A với một custom certificate.
cdn.example.com kết nối đến origin B với một chứng chỉ khác hoặc mặc định của Cloudflare.

Last updated 1 year ago