ご利用のサイトが公開されていない場合、CDN が到達できるが、静的アセットにのみアクセスしてそれらをキャッシュできるようにする必要があります。これを実施する方法は、使用しているロード バランサと Web アプリケーション ファイアウォールによって異なります。詳細なガイダンスについては、ご利用のロード バランサとファイアウォールのマニュアルを参照してください。 

インターネット向けロード バランサの追加

インターネット向けロード バランサをセットアップに追加します。これはプライマリ ロード バランサに追加されます。CDN は、このロード バランサとやり取りする唯一のエンティティです。次の内容を推奨します。

• HTTPS を有効にします。このロード バランサからのトラフィックはパブリック インターネット経由で送信され、暗号化される必要があります。
• HTTP/1.1 を有効にします。現在、キャッシング プロキシと CDN は送信元への転送時に HTTP/2 を正常に (あるいはまったく) 処理できません。
• AWS デプロイの場合、インターネット向けのアプリケーション ロード バランサをセットアップします。

インターネット向けロード バランサのためのファイアウォール ルールの更新

プライマリ ロード バランサとは異なり、CDN がキャッシュ可能なデータのみを取得できるようにインターネット向けロード バランサをロックダウンする必要があります。ファイアウォール ルールを次のように構成することをおすすめします。

1. 構成は"/s/"で始まるパスの要求のみを許可します。アプリケーションがコンテキスト パスを使用してデプロイされている場合 (例: yoursite.com/wiki または yoursite.com/jira)、これをパスに含める必要があります。他の要求はすべてブロックされる必要があります。 
2. 許可される HTTP メソッドを GET、HEAD、OPTIONS に制限することもできます。

AWS デプロイの場合、アプリケーション ロード バランサに接続された Web アプリケーション ファイアウォールで Web アクセス コントロール リスト (Web ACL) を構成します。"URI" に "文字列一致条件" を適用する条件を使用します。 

セットアップが安全かどうかを確認するには、以下の手動テストを実施します。

1. https://internet-facing-proxy/ の GET は "403 FORBIDDEN" を返す必要があります。
2. https://internet-facing-proxy/s の GET は "403 FORBIDDEN" を返す必要があります。
3. https://internet-facing-proxy/s/ の GET は "404 NOT FOUND" を返す必要があります。
4. https://internet-facing-proxy/s/ の GET は "403 FORBIDDEN" を返す必要があります。
5. https://internet-facing-proxy/s/../s/ の GET は "404 NOT FOUND" を返す必要があります。