ホストの操作

バックエンドまたはオリジンとも呼ばれるホストは、Web サイトまたはアプリケーションのコンテンツが含まれる Web サーバーまたはクラウドサービスです。例えばホストには、物理または仮想 Web サーバー、サービスとしてプラットフォーム上で実行されているアプリケーション、サーバーレスプラットフォームで実行されているサーバーレス機能、静的ストレージバケットなどがあります。

Fastly がコンテンツをキャッシュできるようにする前に、ホスト名または IP アドレスを指定して、Fastly サービス設定にホストを追加する必要があります。Fastly がユーザーからのリクエストを受信すると、ホストからオブジェクトを取得し、ユーザーにレスポンスを返します。

注意

ホストとして使用するために、サードパーティサービスを設定するための詳細な情報については、バックエンドテクノロジーとの統合に関する統合ガイドと開発者ドキュメントを参照してください。

設定前の注意点

ホストの操作を始める前に、コントロールパネルのコントロールサービスの操作方法についてご確認ください。

ホストの追加

Fastly サービス設定にホストを追加するには、以下の手順に従ってください。

  1. Fastly コントロールパネルにログインします。
  2. Home ページから、適切なサービスを選択します。検索ボックスで ID、名称、ドメインによる検索が行えます。
  3. Edit configuration をクリックし、アクティブなバージョンをクローンするオプションを選択します。
  4. Origins をクリックします。
  5. Create a host をクリックします。

    ホストの作成

  6. Hosts フィールドにはオリジンサーバーのホスト名または IP アドレスを入力します。ホスト名を入力すると、トランスポート・レイヤー・セキュリティ (TLS) が自動的に有効化され、ポート443が割り当てられます。 IP アドレスを入力すると TLS が無効化され、ポート80が割り当てられます。

  7. Add をクリックしてホストを追加します。

ホストの編集

ホストを作成したら、以下の手順に従って設定を編集することができます。

  1. Hosts のセクションで、編集するホストの隣にある鉛筆をクリックします。

    the Edit this host page

  2. 以下の要領で Edit this host 設定画面の各フィールドに入力します。

    • Name フィールドには、サーバーの名前を入力します (例:My Origin Server)。この名前は Fastly コントロールパネルに表示されます。

    • Address フィールドに、オリジンサーバーの IP アドレス (またはホスト名) を入力します。

      ホスト名の詳細については、証明書ホスト名と SNI ホスト名の値の違いを理解するを参照してください。

      トランスポート・レイヤー・セキュリティ (TLS)

  3. Transport Layer Security (TLS) 設定を以下のように設定します。

    • Enable TLS? オプションで、Fastly とオリジンとの接続を保護するために TLS を有効化する場合、デフォルトの Yes のままにします。TLS を有効化するには、オリジンサーバーに有効な SSL 証明書をインストールし、ファイアウォールのポート443 (または指定されたポート) を開く必要があります。TLS を使用しない場合は No を選択してください。

    • Verify certificate? オプションから、TLS 証明書の真正性を検証する場合は、デフォルトの Yes に設定します。No を選択すると証明書は検証されません。

      警告

      証明書を検証しない場合、中間者攻撃に対する脆弱性など、セキュリティに深刻な影響が及びます。証明書の検証を無効にする代わりに、CA 証明書のアップロードをご検討ください。

    • Certificate Hostname フィールドに TLS 証明書に紐付くホスト名を入力してください。この値は、発行された証明書によって証明書のコモンネーム (CN) もしくはサブジェクトの別名 (SAN) に対して照合されます。

    • (オプション) オリジンに複数の証明書を配置するために Server Name Indication (SNI) を使用している場合、SNI hostname フィールドに、オリジンへのリクエストに使用される別の証明書のホスト名を入力します。また、Match the SNI hostname to the Certificate hostname のチェックボックスを選択します。この情報は、TLS ハンドシェイクの際にサーバーにも送信されます。将来については、証明書ホスト名と SNI ホスト名の値の違いを理解するのガイダンスをご覧ください。

    • (オプション) 自己署名された証明書または主要なブラウザでは一般的に認識されていない認証機関 (CA) によって署名された証明書を使用している場合は、TLS CA certificate フィールドで PEM 形式の証明書を提供することをお勧めします。PEM 形式は次のようになります。

      PEM フォーム証明書

  4. 高度な TLS オプションを適用するには、Advanced TLS options をクリックし、必要に応じて指定するオプションフィールドを決定します。これらのコントロールに関するより詳細な情報については、高度な TLS オプションをご覧ください。

  5. 以下の流れで残りの Create a host 設定を設定します。

    • (オプション) Shielding メニューから、シールド機能を有効化するために POP を選択します。詳細については、ガイドでオリジンシールドに関する項目を参照してください。
    • (オプション) Health check メニューから、このオリジンサーバーのヘルスチェックを選択します。 詳細については、ガイドに記載のヘルスチェックの使用に関する項目を参照してください。
    • (オプション) Auto load balance メニューから、Yes を選択してオリジンサーバーのロードバランシング機能を有効化します。詳細については、ガイドの負荷分散に関する項目を参照してください。
    • 負荷分散を有効化する場合、Weight フィールドに重みを入力します。
    • (オプション) Override host フィールドに、使用しているオリジンに基づいてオーバーライド Host ヘッダーのホスト名を入力します。このフィールドの値は、グローバルオーバーライドホスト構成を使用して設定したどの値よりも優先されます。サードパーティサービスの Host ヘッダーの例については、Host ヘッダーのオーバーライドに関するドキュメントをご覧ください。
注意

Fastly サービスを使用してオリジンで受信したホストヘッダーを上書きするには、ガイドに記載の上書きホストの指定を参照してくだ

さい。
  1. Advanced options をクリックすると、オプションのフィールドを変更できます (任意)。

    • (オプション) Maximum connection フィールドにバックエンドの接続最大数を入力します。オリジンを過負荷から保護するために、1キャッシュノードあたりの接続はデフォルトで200に制限されています。
    • (オプション) Connection timeout フィールドに、接続タイムアウトまでどのくらい待機するかをミリ秒単位で入力します。デフォルトは1000ミリ秒です。
    • (オプション) First byte timeout フィールドに、ファーストバイトタイムアウトまでどのくらい待機するかをミリ秒単位で入力します。デフォルトは15000ミリ秒です。
    • (オプション) Between bytes timeout フィールドに、バイト間の待機期間をミリ秒単位で入力します。デフォルトは 10000ミリ秒です。
  2. Update をクリックします。新しいオーバーライドホストは、Override host セクションの Show all details フィールドの下に表示され、VCL で以下のようなコードブロックがオリジンの設定に追加されます。

    1Backend F_Host_1 {
    2 .host = "..."; # IP or hostname
    3 .host_header = "example.com";
    4 .always_use_host_header = true;
    5 ...
    6}
  3. Activate をクリックして設定への変更をデプロイします。

高度な TLS オプション

Fastly とホスト間の接続で TLSを有効にした場合、Advanced TLS options リンクをクリックして、オプションの設定を設定することができます。

許容可能な TLS プロトコルバージョンの指定

オリジンサーバーが最新の TLSプロトコルバージョンをサポートしている場合は、Minimum TLS VersionMaximum TLS Version を設定することで、Fastly が接続に使用する TLS プロトコルをカスタマイズすることができます。オリジンがサポートしている場合は、両方ともに最新の TLS プロトコル (現在は1.3) を設定することをお勧めします。

指定したバージョンの TLS プロトコルをオリジンがサポートしているかを確認するには openssl コマンドを使用します。例:

$ openssl s_client -connect origin.example.com:443 -tls1_3

他のプロトコルバージョンをテストするには -tls1_3tls1_2tls1_1tls1_0 に置き換えます。Fastly は SSLv2 または SSLv3 に対応していません。

重要

Fastly は、セキュリティベストプラクティスに従って、デフォルトで TLS プロトコルのバージョン 1.3 を使用しているサーバーを有効にすることを推奨します。エッジノードから顧客のオリジンへのバックエンド接続では、オリジンサーバーで使用されているプロトコルバージョンに応じて、Fastly は TLS 1.3、1.2、1.1、および 1.0 をサポートしています。サーバーがサポートされている最新バージョンとして TLS 1.0 を選択した場合、Fastly は引き続き RFC 5246 の記述通り ServerHello メッセージに基づいて TLS 1.0 をサポートします。

許容可能な TLS 暗号スイートの指定

Fastly は、オリジンサーバーに接続する際に使用される OpenSSL 暗号スイートの設定をサポートしています。これにより、セキュリティプロパティとオリジンサーバーのサポートに基づいて特定の暗号スイートを有効化することができます。Ciphersuites 設定では、OpenSSL 形式の暗号リストを使用できます。Mozilla SSL Configuration Generator の詳細に従って、オリジンがサポートする最強の暗号スイートを使用することをお勧めします。

オリジンが指定された暗号スイートをサポートしているかを確認するには openssl コマンドを使用します。例:

$ openssl s_client -connect origin.example.com:443 -tls1_2 -cipher ECDHE-RSA-AES128-GCM-SHA256

テストするには -cipher ECDHE-RSA-AES128-GCM-SHA256 を暗号スイートに置き換えます。

TLS クライアント証明書とキーの指定

オリジンへの TLS 接続が Fastly からのものであり、ランダムな匿名のリクエストではないことを保証するために、クライアント証明書を使用してクライアントを検証するようオリジンを設定します。PEM 形式の証明書と秘密鍵を TLS client certificate のテキストボックスに貼り付けます。

重要

秘密鍵をパスフレーズで暗号化しないでください。

その後、クライアント証明書を必要とするバックエンドを構成し、署名済みの CA 証明書に対して検証します。その手順には次のようなものがあります。

Fastly では、相互 TLS 認証 (mTLS) によってオリジンへの接続を保護できます。

証明書ホスト名と SNI ホスト名の値の違いを理解する

証明書と SNI ホスト名の値の違いは以下のとおりです。

証明書ホスト名 (ssl_cert_hostname)。 このホスト名は、オリジンの証明書を検証します。これは常に必須です。この値は、証明書のコモンネーム (CN) または利用可能なサブジェクトの別名 (SAN) と一致する必要があります。VCL には ssl_cert_hostname として表示されます。SNI 証明書に影響が及ぶことはありません。この値は、Certificate hostname フィールドで設定できます。

SNI ホスト名 (ssl_sni_hostname)。 このホスト名は、TLS ハンドシェイクにどの証明書を使用すべきかを決定します。SNI は一般的に、オリジンが Amazon S3 などの共有ホストを使用している場合、またはオリジンで複数の証明書を使用している場合にのみ必要です。SNI は、接続にどの証明書を使用するかをオリジンサーバーに伝えます。この値は VCL で ssl_sni_hostname として表示されます。証明書の検証に影響が及ぶことはありません。

下表には、TLS の設定での証明書と SNI ホスト名値の設定と、その結果が示されています。

証明書ホスト名に次の値が含まれる場合SNI ホスト名に次の値が含まれている場合証明書検証の値SNI の値
www.example.comnothingwww.example.comnothing
www.example.comwww.example.orgwww.example.comwww.example.org

ssl_hostname値 (推奨されていない) について。 ssl_hostname 値は非推奨となり、ssl_cert_hostnamessl_sni_hostname に置き換わりました。代わりにこれら2つの値を使用してください。

重要

.host 値に IP アドレスを使用する場合 (証明書ホスト名に値を入力しない場合)、サービスのオリジンの TLS 設定で指定した証明書ホスト名が、コモンネーム (CN) あるいは利用可能なサブジェクトの別名 (SAN) のいずれにも一致しないため、エラーが生成されます。

ワイルドカード証明書の使用

ワイルドカード証明書を使用する場合、ワイルドカード証明書と一致する任意の SNI ホスト名が使用できます。SNI ホスト名は、RFC 6066 に準拠した完全修飾ドメイン名 (FQDN) である必要があります。

下表には、*.example.com のワイルドカード証明書で使用可能な証明書と SNI ホスト名のさまざまな組み合わせが示されています。

証明書ホスト名SNI ホスト名
www.example.comwww.example.com
live.example.comlive.example.com
*.example.comwww.example.com

証明書ホスト名を *.example.com に指定した場合、Fastly はそれをリテラルとして処理します。

今後の予定

サービス設定のバージョンの調整を続ける際、ドメインの設定ヘルスチェックの設定に関するドキュメントをご覧ください。


翻訳についての注意事項
このガイドは役に立ちましたか?

このフォームを使用して機密性の高い情報を送信しないでください。サポートが必要な場合は、サポートチームまでご連絡ください。このフォームは reCAPTCHA によって保護されており、Google のプライバシーポリシー利用規約が適用されます。