Origin-сервер — исходный сервер с оригинальным содержимым сайта или приложения. Термин используется в контексте CDN: CDN-узлы (PoP — Points of Presence) раздают кешированные копии, а при cache miss запрашивают контент у origin. Origin-сервер может быть любым: VPS, выделенный сервер, балансировщик нагрузки, S3-бакет.
Как работает
Схема работы с CDN: пользователь запрашивает https://site.com/image.jpg → DNS резолвится на IP CDN-сервера в ближайшей точке присутствия → CDN проверяет кеш → если кеш есть (cache hit): отдаёт файл из кеша (задержка 5–50 мс) → если кеша нет (cache miss): CDN запрашивает origin-сервер, кеширует ответ, отдаёт пользователю (задержка = время до origin + кеширование).
Настройка origin в CDN: обычно URL (доменное имя или IP) + порт + протокол. Заголовки Cache-Control и Expires, которые origin возвращает, определяют TTL (время жизни) в кеше CDN. Cache-Control: max-age=86400 — кешировать 24 часа. Cache-Control: no-store — CDN не кеширует, всегда запрашивает origin.
Shield (Origin Shield) — дополнительный слой кеширования между CDN PoP и origin. Множество CDN-узлов обращаются к одному Shield-серверу, а не напрямую к origin — это снижает нагрузку на origin в сотни раз при высоком трафике. Используется Cloudflare, Fastly, Akamai.
История
Концепция origin-сервера возникла с появлением первых CDN в конце 1990-х: Akamai основана в 1998 году, CDN Networks — в 2000-х. Термин origin зафиксирован в HTTP/1.1 (RFC 2616, 1999): «origin server» — сервер, на котором проживает или создаётся данный ресурс. В HTTP/2 (RFC 7540, 2015) термин сохранён.
Origin-сервер: защита IP и конфигурация
Главная задача при использовании CDN — скрыть реальный IP origin-сервера. Если IP известен, атакующий может обходить CDN/WAF и атаковать сервер напрямую. Меры защиты: настроить firewall на origin принимать трафик только с IP-адресов CDN-провайдера (Cloudflare публикует списки: cloudflare.com/ips/), включить Authenticated Origin Pulls — nginx на origin проверяет клиентский SSL-сертификат CDN.
Настройка nginx для работы за CDN: реальный IP клиента передаётся в заголовке X-Forwarded-For или CF-Connecting-IP (Cloudflare). Без правильной конфигурации логи будут содержать IP CDN-ноды вместо IP клиента: set_real_ip_from
На что обращать внимание
Origin-сервер должен быть защищён от прямого обращения пользователей в обход CDN (особенно при DDoS-защите через CDN). Способы защиты: firewall (разрешить только IP CDN-провайдера), Nginx-правило с проверкой заголовка X-Forwarded-For. Cloudflare предоставляет список IP своих серверов через https://www.cloudflare.com/ips/.
При использовании S3 как origin для статики: настроить публичный доступ к бакету или presigned URLs, настроить CORS-заголовки для кросс-доменных запросов к CDN.
Origin-сервер и безопасность
Origin-сервер должен быть защищён от прямого доступа: файрвол блокирует всё, кроме IP-адресов CDN. Ротация IP origin-сервера при DDoS — стандартная практика. nginx на origin должен принимать только запросы с X-Forwarded-For от доверенных CDN-прокси. S3-бакет может выступать origin-сервером для CDN — без необходимости в выделенном сервере. VPS как origin: используйте fail2ban для защиты от прямых атак на origin-IP, который злоумышленники могут определить через DNS history или SSL-сертификаты.