Портал Rcloud
Дерево страниц
Перейти к концу метаданных
Переход к началу метаданных

Инструкция по настройке

Для организации трансляции по протоколу MPEG-TS необходимо указать точки организации стыка Вашего потока с потоком через сервера 3data, для этого заполните форму "Опишите возможные точки организации стыка (город, датацентр)".

После этого нужно выбрать протоколы раздачи: RTMP, HLS, MPEG-DASH, MSS или Low Latency Streaming.

Транскодирование потока

При включении данной опции на Ваш выбор предоставляется несколько пакетов для преобразования потока в несколько качеств воспроизведения видео.

Дополнительные настройки

Поддержка HTTPS

Активируйте услугу, если Вам понадобится HTTPS протокол. HTTPS представляет собой расширение стандартного протокола HTTP для поддержки шифрования в целях повышения безопасности.

SSL-сертификат

Можно активировать услугу, если необходимо использовать SSL-сертификат. Вы можете использовать существующий сертификат или выпустить новый.

Плеер

Активируйте данную услугу, если Вам необходим многофункциональный HTML5 плеер.

Авторизация
Локальная авторизация

Описание логики работы:

Авторизация запросов пользователей выполняется исключительно в сети CDN, внешние ресурсы не используются. Решение о доступе к потоку принимается средствами нашей сети на основе критериев, обозначенных владельцем контента:

  1. Секретный ключ. Проверяется, что ссылка сформирована именно владельцем контента.
  2. URI запрашиваемого потока. Проверяется, что ссылка была сформирована именно для этого потока.
  3. IP-адрес пользователя (опционально). Проверяется, что поток запрошен именно с того IP-адреса, для которого была сформирована ссылка. Вы можете отключить проверку, выбрав опцию "Не учитывать IP адрес".
  4. Время окончания действия ссылки (опционально). Вы можете отключить проверку, выбрав опцию "Не ограничивать по времени".

В момент обращения пользователя к защищённому потоку владельцу контента необходимо сформировать специальную ссылку.

Пример ссылки с локальной авторизацией:

http://example.a.trbcdn.net/md5(HucJ8tJFjy97yuox2OycOQ,1704067200)/path/to/stream/playlist.m3u8

Ссылка содержит авторизационный параметр md5(<md5 hash>[,<expires>]) в пути:

  • <md5 hash> — хэш MD5 в формате Base64 for URL, сгенерированный на основе секретного ключа, URI запрошенного потока, IP-адреса пользователя (опционально) и времени жизни ссылки (опционально);
  • <expires> — время окончания действия ссылки в формате POSIX time (необязательный параметр).

При обращении к контенту с использованием сгенерированной ссылки, CDN вычисляет значение MD5 и сравнивает его с полученным. Если значение MD5 не совпадает, то пользователю возвращается ответ с кодом 403 Forbidden (запрет на воспроизведение).

Если текущее время превышает значение <expires>, то пользователю возвращается ответ с кодом 410 Gone (целевой ресурс больше недоступен).

Алгоритм генерации MD5-хэша (<md5_hash>) для подписи ссылок:

  • Формируем строку для подписи <secret_word><path_to_stream><ip><expire_time>. Элементы <ip> и/или <expire_time> не добавляются в строку для подписи, если в настройках локальной авторизации указано Не учитывать IP адрес и/или Не ограничивать по времени.
  • Генерируем base64_url через base64_url(md5(<строка для подписи>)).
  • Формируем подпись <md5 hash>, выполняя следующие замены в base64_url:
    • символ = заменяем на пустую строку ''
    • символ + заменяем на -
    • символ / заменяем на _
  • Формируем ссылку, используя полученную подпись <md5 hash>.


Обратите внимание

  1. Доменная часть URI при вычислении хэша не используется
  2. Можно подписывать часть пути (например, для /path/to/stream можно подписать сам поток, /path/to, /path)
  3. При генерации MD5 в URL не должно быть символов в формате urlencode, а должны быть исходные символы: кириллица, пробелы, проценты и т.д. Запрашивать с этим хешом необходимо кодированный вариант URL.
  4. Хэш MD5, вычисленный для HTTP, является базовым для данного потока, то есть один и тот же хэш будет использован для ссылок на поток по протоколам HTTP и HTTPS, несмотря на то что URI для разных протоколов может немного отличаться.


Пример генерации ссылки:

  1. Есть следующие входные данные:

    • Секретный ключ: zah5Mey9Quu8Ea1k
    • IP-адрес пользователя: 1.2.3.4
    • URI потока: http://example.a.trbcdn.net/path/to/stream/playlist.m3u8
    • Время окончания действия ссылки: 1704067200

  2. Формируем строку для подписи <secret_word><path_to_stream><ip><expire_time>. Допустим, что мы учитываем и IP адрес, и время окончания действия ссылки.

    Тогда строка для подписи выглядит так: zah5Mey9Quu8Ea1k/path/to/stream1.2.3.41704067200

  3. Формируем подпись <md5 hash>:

    Пример на PHP:

    $ php -r 'print str_replace("=", "",strtr(base64_encode(md5("zah5Mey9Quu8Ea1k/path/to/stream1.2.3.41704067200", TRUE)), "+/", "-_")) . "\n";'
HucJ8tJFjy97yuox2OycOQ


    Пример на Python:

    #!/usr/bin/python3
import base64
import hashlib

secret_word = 'zah5Mey9Quu8Ea1k'
path = '/path/to/stream'
ip_address = '1.2.3.4'
expiration_timestamp = 1704067200

def generate_local_signature(secret_word, path, ip_address=None, timestamp=None):
    string_to_sign = f'{secret_word}{path}'
    if ip_address is not None:
        string_to_sign = f'{string_to_sign}{ip_address}'
    if timestamp is not None:
        string_to_sign = f'{string_to_sign}{timestamp}'

    hashed_string = hashlib.md5(string_to_sign.encode()).digest()
    decoded_base64_string = base64.b64encode(hashed_string).decode()
    local_signature = decoded_base64_string.replace('+', '-').replace('/', '_').replace('=', '')
    return local_signature

print(generate_local_signature(secret_word, path, ip_address, expiration_timestamp))
# HucJ8tJFjy97yuox2OycOQ


  4. Итоговая ссылка:

    http://example.a.trbcdn.net/md5(HucJ8tJFjy97yuox2OycOQ,1704067200)/path/to/stream/playlist.m3u8

Внешняя авторизация

Внешняя авторизации предназначена для возможности ограничения доступа к потоку с произвольной логикой, описанной в вашем скрипте авторизации.

Решение о доступе к потоку принимается на основе ответа вашего скрипта, ссылку на который Вы указываете в личном кабинете при создании/редактировании ресурса.

Если от скрипта авторизации пришел ответ со статусом 200, то доступ к потоку разрешен. В противном случае - доступ запрещен.

Авторизационному скрипту передаются следующие заголовки:

  • Host: содержит имя домена, для которого предназначен запрос;
  • X-Request-URI: содержит URI запрашиваемого потока;
  • X-Forwarded-For: содержит реальный IP-адрес пользователя, который запрашивает поток;
  • X-Remote-Addr: содержит IP-адрес пользователя, который запрашивает поток, или прокси-сервера.
DVR

Необходимо активировать эту опцию, если Вам нужно использовать функцию навигации по эфиру (DVR).

Запись потока

Активируйте эту функцию, если Вам нужно сохранить запись потока.

Домены, запросы с которых нужно разрешить (CORS)

CORS - совместное использование ресурсов между разными источниками — технология современных браузеров, которая позволяет предоставить веб-страницам доступ к ресурсам другого домена.

Вы можете выбрать из нескольких опций: разрешить для всех, запретить для всех, а также добавить список доверенных доменов.

Ограничения раздачи
Описание

В этом разделе Вы можете установить ограничения раздачи контента в зависимости от страны и региона, IP адреса, referer или User-Agent

Процесс конфигурации модуля
  1. Активируйте нужный Вам вид ограничения и выберите правило по умолчанию (запрещено или разрешено).
  2. Добавьте исключения из правила по умолчанию. Для гео ограничений также выберите правило для самого исключения. Таким образом Вы можете, например, запретить трафик для всей страны, при этом разрешить для отдельного региона.
  3. При необходимости задайте интервалы времени действия правила. Интервалы не должны пересекаться.
  4. Возможно добавить несколько различных правил каждого вида, при условии что их временные интервалы не пересекаются.
  • Нет меток