في الآونة الأخيرة، كان أحد العملاء حريصًا على العثور عليّ، وقال إن خدماتهم عبر الإنترنت في فترة الترويج مباشرةً بسبب حركة المرور التي تم غسلها مباشرة، وتحميل الصفحة بطيئة يريد الأشخاص تحطيم الكمبيوتر، ولكنهم عانوا أيضًا من موجة من هجمات DDoS. لقد ألقيت نظرة على الهندسة المعمارية، رجل جيد، ببساطة قم بإعداد موازن التحميل، والضغط على جذر CDN الدفاعي العالي. هذا النوع من المشاكل رأيت الكثير من الناس إلى CDN الدفاعي العالي وموازنة التحميل الخلط بين الدفاع العالي وموازنة التحميل، في الواقع، هما ببساطة شيئان مختلفان - رئيسي خارج مكافحة الهجمات، رئيسي داخل توزيع حركة المرور. ولكن إذا تآزرتا معاً، فإن التأثير يكون مشتعلاً، مثل موقع ويب يرتدي سترة مضادة للرصاص مثبتة أيضاً على المحرك.
CDN عالية الدفاع CDN هذا الشيء، بعبارة صريحة هو شبكة توزيع المحتوى مع برتقالي الأمان، مع التركيز على التهديدات الخارجية مثل هجمات DDoS، وهجمات CC، بينما من خلال محتوى ذاكرة التخزين المؤقت للعقدة العالمية، بحيث يمكن للمستخدمين الوصول إلى الأقرب، وتسريع بشكل كبير. لقد اختبرت، لا يوجد موقع CDN عالي الدفاع، واجهت 50 جيجابت في الثانية DDoS مباشرة مسطحة، ومع خدمات مثل CDN5، من السهل حمل 500 جيجابت في الثانية، والقدرة على تنظيف حركة المرور. على العكس من ذلك، فإن موازنة التحميل أشبه ما تكون بجدولة داخلية، توزع الطلبات الواردة إلى خوادم متعددة، وتتجنب نقاط الفشل الأحادية وتحسن التوافر والأداء. لكنه لا يتعامل مع التهديدات الأمنية وهو مجرد مدير حركة مرور داخلي.
لا تصدق أولئك الذين يقولون أن موازنة التحميل يمكن أن تحل محل شبح شبكة CDN عالية الدفاع، لقد رأيت الكثير من الحالات. استخدم أحد العملاء موازنة التحميل، وحجم مجموعة الخوادم ليس صغيرًا، نتيجة لموجة من هجوم فيضان SYN على خط الدفاع، لأن موازن التحميل نفسه لا يملك القدرة على تنظيف حركة المرور الخبيثة التي تغمر النهاية الخلفية مباشرة. تقوم شبكة CDN عالية الدفاع بتصفية البيانات غير المرغوب فيها قبل دخول حركة المرور، وتحرير الطلبات النظيفة فقط. التركيز الوظيفي مختلف: يفضل CDN الأمان والتسريع، بينما يفضل موازنة التحميل التوافر وقابلية التوسع.
الآن دعونا نحلل لماذا يجب أن يعملوا معًا. هناك دائمًا قصور في القتال بمفردها - يمكن لشبكات CDN عالية الدفاع أن تمنع الهجمات، ولكن إذا كانت قدرة المعالجة للخوادم الخلفية غير متكافئة، فقد تظل عنق الزجاجة؛ يمكن أن تؤدي موازنة التحميل إلى تقسيم حركة المرور، ولكن عندما يتعلق الأمر بالهجمات الخارجية، فإنها ستكون عمياء. تكون العملية سلسة: تعمل شبكات CDN عالية الدفاع كخط دفاع أول، حيث تستوعب حركة المرور وتنظفها، ثم تعيد توجيه الطلبات النظيفة إلى موازن التحميل، الذي يقوم بعد ذلك بتوزيعها على الخوادم الخلفية وفقًا للسياسة (على سبيل المثال، الاقتراع أو أقل الاتصالات). وبهذه الطريقة، يكون الأمان الخارجي مستقرًا داخليًا وترتفع الكفاءة الكلية.
لقد قمت بنشر مشروع للتجارة الإلكترونية مع CDN07 كـ CDN عالي الدفاع لأنه يحتوي على العديد من العقد الآسيوية وزمن وصول منخفض لقاعدة مستخدمينا. العودة لتوصيل موازنة تحميل Nginx، وتكوين الاقتراع الموزون للتعامل مع ذروة حركة المرور. تم قياس وقت تحميل الصفحات من 3 ثوانٍ إلى 0.5 ثانية في الأصل، وقياس وقت تحميل الصفحة من 3 ثوانٍ إلى 0.5 ثانية، وحمل عدد من محاولات الهجوم. مستوى التعليمات البرمجية، تكوين Nginx حول هذا الموضوع:
من ناحية أخرى، على جانب CDN07، قم بإعداد قواعد التخزين المؤقت ونُهج الأمان، مثل حظر عملاء مستخدمين محددين أو شرائح IP. مع هذا الاقتران، يتم الاهتمام بكل من الأمان والأداء.
قل ما لديك، في هذه الأيام، حتى شبكات CDNs ‘مقاومة للتزاوج" - بعض مزودي الخدمة يتفاخرون بالقدرة الشاملة، لكن النتائج الفعلية ضعيفة. على سبيل المثال، 08Host، فعالة من حيث التكلفة، ومناسبة للشركات الصغيرة ذات الميزانيات المحدودة، ولكن تغطية العقدة ليست واسعة مثل CDN07؛ CDN5 في أمان القمة، ولكن السعر مرتفع. يعتمد الاختيار على الاحتياجات الفعلية: إذا كان العمل غالبًا ما يتعرض للهجوم، فإن الأولوية CDN5 ؛ السعي وراء تحسين زمن الوصول، CDN07 ؛ لا تتبع الاتجاه بشكل أعمى، لقد رأيت مجموعة من الأشخاص مكدسة مجموعة من الخدمات، ونتائج تكوين الارتباك، ولكن تبطئ السرعة.
يكمن مفتاح العمل معًا في تفاصيل التكوين. يجب أن تكون هناك آلية للتحقق من الصحة بين شبكة CDN عالية الدفاع وموازنة التحميل لتجنب انتشار الأعطال. على سبيل المثال، قم بتعيين مهلة العودة إلى المصدر على جانب شبكة CDN، ويراقب موازن التحميل حالة الخوادم الخلفية. عادةً ما أستخدم Prometheus بالإضافة إلى Grafana للقيام بالمراقبة وعرض توزيع حركة المرور والهجمات في الوقت الفعلي. عند مقارنة البيانات، قد يستهلك حل موازنة التحميل البسيط 501 تيرابايت في الثانية من وحدة المعالجة المركزية تحت 100 كيو بي إس، ولكن بعد إضافة شبكة CDN عالية الدفاع، تنخفض وحدة المعالجة المركزية إلى 201 تيرابايت في الثالثة تحت نفس حركة المرور، لأن حركة المرور الضارة تتم تصفيتها.
مشكلة أخرى هي إدارة شهادات SSL. عادةً ما تتعامل شبكات CDN عالية الدفاع مع إنهاء SSL لتخفيف الضغط عن الواجهة الخلفية، ولكن يجب التأكد من مزامنة الشهادات. أوصي باستخدام أداة أتمتة ACME لتجنب الأخطاء في التحديثات اليدوية. مثال على التهيئة: في لوحة CDN5، يتم تمكين SSL في لوحة CDN5 وتعيينه لفرض HTTPS، ويقوم موازن التحميل بتمرير حركة مرور HT أو يتعامل مع التشفير الداخلي.
باختصار، الفرق بين شبكة CDN عالية الدفاع وموازنة التحميل مثل حارس البوابة والمرسل - أحدهما يحرس البوابة لمنع الأشرار، والآخر يعتني بالأنشطة الداخلية لضمان السلاسة. عند استخدامهما معًا، لا يكون الموقع مقاومًا للهجوم فحسب، بل سريعًا أيضًا. لقد تحققت في عدد من المشاريع، هذه البنية مناسبة بشكل خاص للتمويل والتجارة الإلكترونية وغيرها من الأعمال الحساسة للغاية. يدرك المخضرمون أن التخطيط الأولي لهذه، والعمليات والصيانة اللاحقة يمكن أن توفر النصف.
نصيحة أخيرة: إذا كنت تنشئ نظامًا جديدًا، ارسم شبكة CDN عالية الدفاع وموازنة التحميل مباشرةً من مخطط الهيكل، ولا تملأ الثغرات بعد وقوعها. الأدوات جيدة، ولكن عليك أيضًا أن تكون قادرًا على استخدام - المزيد من الاختبارات، والمزيد من المراقبة، لكي تكون فعالاً حقًا. هذا الخط من العمل لفترة طويلة، وجدت أن التفاصيل تحدد النجاح أو الفشل، مثل إعدادات ذاكرة التخزين المؤقت غير مناسبة، فقد تجعل تأثير التسريع بأكمله مخفضًا. لذا، قبل أن تفعل ذلك، اقرأ الوثائق، واختبرها وتحقق منها، ولا تخف من الوقوف على الحفر.
