Migration und Onboarding zu STACKIT CDN

Diese Anleitung erklärt Ihnen, wie Sie Traffic mittels STACKIT CDN lenken und verteilen können. Unabhängig davon, ob Sie eine neue Anwendung anbinden, von einem anderen CDN migrieren oder aktive produktive Workloads umziehen, helfen Ihnen die folgenden Phasen dabei, den Übergang reibungslos durchzuführen.

Phase 1: Vorbereitung

Bevor Sie DNS-Einträge ändern, bereiten Sie Ihren Origin-Server und Ihre STACKIT-Umgebung vor.

• Distribution erstellen: Erstellen Sie eine STACKIT-CDN-Distribution. Setzen Sie den Origin auf den DNS-Eintrag oder die IP-Adresse, die auf Ihren Origin-Server verweist.
• Allowlist aktualisieren: Falls Ihr Origin durch eine Firewall oder eine IP-Allowlist geschützt ist, fügen Sie die CIDR-Bereiche der STACKIT-CDN-PoP-Endpunkte Ihrer Allowlist hinzu. Dadurch wird sichergestellt, dass die CDN-Edge-Nodes Inhalte erfolgreich von Ihrem Origin abrufen können.

Das STACKIT-CDN-PoP-Netzwerk ist dynamisch, und die IP-Bereiche ändern sich, wenn das Netzwerk erweitert wird. Wir empfehlen Ihnen dringend, einen automatisierten Prozess einzurichten, zum Beispiel einen täglichen Cronjob, der die aktuellen IP-Bereiche abruft und mit Ihren Firewall-Regeln synchronisiert.

Phase 2: Konfiguration und Tests

Konfigurieren Sie Ihr CDN und Ihre Web Application Firewall (WAF) entsprechend Ihren Anforderungen. Bevor Sie Live-Traffic umleiten, testen Sie die von STACKIT verwaltete Domain, um das Verhalten zu prüfen.

Verwenden Sie die STACKIT CDN Logs, Ihre Origin-Logs und die Entwicklertools Ihres Browsers, um Folgendes zu prüfen:

• Zugriff: Stellen Sie sicher, dass Benutzer Ihren Origin über die CDN-verwaltete Domain erreichen können.
• Cache-Verhalten: Prüfen Sie, ob die erwarteten Cache-Hits und Cache-Misses auftreten.
• Weiterleitungen: Stellen Sie sicher, dass alle HTTP-/HTTPS-Weiterleitungen korrekt funktionieren.
• Header: Prüfen Sie, ob erforderliche HTTP-Header an den Origin weitergegeben werden und ob sensible oder eingeschränkte Header wie erwartet entfernt oder angepasst werden.
• Cookies: Stellen Sie sicher, dass notwendige Cookies korrekt weitergeleitet werden und den Cache nicht unbeabsichtigt umgehen.
• TLS-Versionen: Vergewissern Sie sich, dass die akzeptierten TLS-Versionen und Cipher Suites Ihren Sicherheitsanforderungen entsprechen.
• WAF-Regeln: Überwachen Sie blockierte, protokollierte und erlaubte Requests, um sicherzustellen, dass die WAF-Paranoia-Stufe passend ist und legitimen Traffic nicht blockiert.

Phase 3: DNS-Vorbereitung

Prüfen Sie, ob der DNS-Eintrag Ihrer Frontend-Domain korrekt zu einer IP-Adresse aufgelöst wird. Die aktuelle Weiterleitung können Sie mit Kommandozeilenwerkzeugen überprüfen.

Linux/macOS

Verwenden Sie den Befehl dig, um den A-Record zu prüfen:

dig @9.9.9.9 <your-managed-domain-id>.aa.cdn.onstackit.cloud. A

Windows

Verwenden Sie PowerShell, um den Namen aufzulösen:

Resolve-DnsName -Name <your-managed-domain-id>.aa.cdn.onstackit.cloud. -Type A -Server 9.9.9.9

DNS-Ausgabe verstehen

Wenn Sie die Domain abfragen, zeigt die Ausgabe den Pfad der DNS-Auflösung:

• @9.9.9.9: Der DNS-Resolver, den Sie verwenden, in diesem Fall Quad9.
• <your-managed-domain-id>.aa.cdn.onstackit.cloud.: Die Domain, die Sie abfragen.
• A: Der angefragte Record-Typ.

Beispiel für einen Auflösungspfad:

example.com. 30 IN CNAME <your-managed-domain-id>.aa.cdn.onstackit.cloud.
<your-managed-domain-id>.aa.cdn.onstackit.cloud. 3570 IN CNAME sit-cdn-<uuid>.b-cdn.net.
sit-cdn-<uuid>.b-cdn.net. 5 IN A 123.145.167.189

Abhängig von Ihrem Setup sehen Sie einen oder zwei CNAME-Hops, die letztlich zu einer b-cdn.net-Domain führen, die auf eine IP-Adresse verweist. Die zurückgegebene A-Record-IP gehört zu dem Point of Presence (PoP), der anhand Ihres geografischen Standorts und Ihrer aktivierten CDN-Regionen am nächsten liegt.

Bevor Sie die finale Migration durchführen, reduzieren Sie die Time to Live (TTL) Ihrer bestehenden DNS-Einträge und warten Sie, bis die alte TTL abgelaufen ist. Wenn Ihre aktuelle TTL beispielsweise 86400 Sekunden (24 Stunden) beträgt, sollten Sie mindestens 24 Stunden warten, bevor Sie mit Phase 4 fortfahren. Eine TTL von 5 Minuten oder weniger ist sehr zu empfehlen, da sie Ihnen während der Umstellung mehr Flexibilität gibt und eine schnelle Rücknahme von Änderungen ermöglicht, falls dies erforderlich wird.

Phase 4: Umschaltung durchführen

Wählen Sie das Migrationsszenario, das zu Ihrer aktuellen Umgebung und Ihren Anforderungen an die Verfügbarkeit passt.

Produktive Workloads migrieren (ohne Downtime)

Verwenden Sie dieses Vorgehen, wenn Sie von einem anderen CDN migrieren oder besonders kritische produktive Lasten umziehen, bei denen eine Downtime nicht akzeptabel ist. Dafür müssen Sie ein benutzerdefiniertes Zertifikat bereitstellen.

1. Beschaffen Sie ein benutzerdefiniertes SSL-/TLS-Zertifikat für Ihre Frontend-Domain, zum Beispiel über Let’s Encrypt.

2. Erstellen Sie eine Datei payload.json, die Ihr Base64-kodiertes Zertifikat und den zugehörigen Schlüssel enthält. Setzen Sie das Flag skipDnsCheck, um die DNS-Validierung zu überspringen:

   {
     "certificate": {
       "type": "custom",
       "certificate": "<base64-encoded-PEM-certificate>",
       "key": "<base64-encoded-PEM-key>",
       "skipDnsCheck": true
     },
     "intentId": "<your-generated-uuid>"
   }

3. Verwenden Sie die STACKIT CLI, um Ihre Ziel-Frontend-Domain als benutzerdefinierte Domain hinzuzufügen, indem Sie die Payload an die API senden:

   stackit curl https://cdn.api.stackit.cloud/v1/projects/{projectId}/distributions/{distributionId}/customDomains/{domain} -X POST --data @./payload.json

4. Sobald die Domain und das benutzerdefinierte Zertifikat in STACKIT aktiv sind, ändern Sie Ihren DNS-CNAME-Record so, dass er auf die von STACKIT verwaltete Domain zeigt.

Von einem anderen CDN migrieren (Downtime akzeptiert)

Verwenden Sie dieses Vorgehen, wenn eine kurze Unterbrechung akzeptabel ist und STACKIT die SSL-/TLS-Zertifikate automatisch verwalten soll.

1. Ändern Sie den CNAME-Record Ihrer benutzerdefinierten Domain so, dass er auf Ihre von STACKIT CDN verwaltete Domain zeigt.

2. Warten Sie, bis sich der CNAME bis zu den Root-DNS-Servern propagiert hat. Das dauert in der Regel 10 bis 15 Minuten, kann abhängig von Ihrer bisherigen TTL jedoch bis zu 48 Stunden dauern.

3. Verwenden Sie dig oder Resolve-DnsName, um zu überprüfen, ob die Propagierung erfolgreich war.

4. Sobald die Propagierung abgeschlossen ist, erstellen Sie Ihre benutzerdefinierte STACKIT-Domain im Portal. STACKIT stellt das verwaltete Zertifikat dann automatisch bereit.

Eine neue Anwendung anbinden

Verwenden Sie dieses Vorgehen für neue Anwendungen, die noch keinen Live-Traffic empfangen.

1. Lassen Sie den CNAME-Record Ihrer Domain auf die von STACKIT verwaltete Domain zeigen.

2. Warten Sie auf die DNS-Propagierung.

3. Fügen Sie die benutzerdefinierte Domain im STACKIT Portal hinzu, um die Erstellung des verwalteten SSL-/TLS-Zertifikats auszulösen.

Phase 5: Nach der Migration und Bereinigung

Sobald sich Ihre DNS-Änderungen propagiert haben und STACKIT CDN Ihren Live-Traffic ausliefert, führen Sie die folgenden abschließenden Schritte durch:

1. Umschaltung überwachen: Beobachten Sie Ihre STACKIT CDN Logs und die Metriken Ihres Origin-Servers genau. Achten Sie auf unerwartete 5xx-Fehler, ungewöhnliche Traffic-Spitzen auf dem Origin, die auf niedrige Cache-Hit-Raten hindeuten, oder auf False Positives der WAF.

2. Zertifikate prüfen: Wenn Sie das Szenario mit akzeptierter Downtime oder das Onboarding-Szenario verwendet haben, prüfen Sie, ob STACKIT das verwaltete Let’s-Encrypt-Zertifikat erfolgreich ausgestellt und angewendet hat.

3. Alte Infrastruktur außer Betrieb nehmen: Sobald Sie sicher sind, dass die Migration stabil läuft und Ihre alte DNS-TTL weltweit vollständig abgelaufen ist, können Sie Ihre bisherige CDN-Distribution sicher herunterskalieren oder löschen.

Wenn während der Umschaltung kritische Probleme auftreten, können Sie den Traffic sofort zurückführen, indem Sie Ihre DNS-CNAME- oder A-Records wieder auf Ihren bisherigen CDN-Anbieter zeigen lassen. Da Sie die TTL in Phase 3 reduziert haben, wird dieses Rollback schnell propagiert.