Recientemente, un cliente estaba ansioso por encontrarme, dijo que sus servicios en línea en el período de promoción directamente por el tráfico lavado, carga de la página lenta gente quiere romper el equipo, sino que también sufrió una ola de ataques DDoS. Eché un vistazo a la arquitectura, buen tipo, simplemente configurar un equilibrador de carga, la presión sobre la raíz de la CDN de alta defensa. este tipo de problema que he visto un montón de gente a la CDN de alta defensa y el equilibrio de carga confundido, de hecho, son simplemente dos cosas diferentes - un principal fuera de los anti-ataques, un principal dentro de la distribución del tráfico. Pero si la sinergia de ellos, el efecto se fríe, como un sitio web que lleva un chaleco antibalas también instalado el motor.
CDN de alta defensa esta cosa, para decirlo sin rodeos es una red de distribución de contenido con un buff de seguridad, centrándose en las amenazas externas tales como ataques DDoS, ataques de CC, mientras que a través del contenido de caché de nodo global, para que los usuarios pueden acceder a la más cercana, acelerar significativamente. He probado, ningún sitio CDN de alta defensa, se encontró con un DDoS de 50Gbps directamente acostado, y con servicios como CDN5, fácil de llevar 500Gbps, la barra de capacidad de limpieza de tráfico. Por el contrario, el equilibrio de carga es más como un programador interno, la distribución de las solicitudes entrantes a múltiples servidores, evitando puntos únicos de fallo y mejorar la disponibilidad y el rendimiento. Pero no se ocupa de las amenazas a la seguridad y es puramente un gestor de tráfico interno.
No creas a los que dicen que el equilibrio de carga puede reemplazar el fantasma de alta defensa CDN, he visto demasiados casos. Un cliente utiliza el equilibrio de carga, el tamaño del clúster de servidor no es pequeño, el resultado de una ola de SYN Flood ataque en la línea de defensa, porque el equilibrador de carga en sí no tiene la capacidad de limpiar, el tráfico malicioso directamente abrumado el back-end. CDN de alta defensa es filtrar los datos basura antes de que entre el tráfico, y sólo liberar las solicitudes limpias. El enfoque funcional es diferente: la CDN favorece la seguridad y la aceleración, mientras que el equilibrador de carga favorece la disponibilidad y la escalabilidad.
Analicemos ahora por qué tienen que trabajar juntos. Luchar en solitario siempre tiene sus inconvenientes: las CDN de alta defensa pueden evitar los ataques, pero si la capacidad de procesamiento de los servidores back-end es desigual, puede seguir siendo un cuello de botella; el equilibrio de carga puede dividir el tráfico, pero cuando se trata de ataques externos, estará a ciegas. En concierto, el proceso es fluido: las CDN de alta defensa actúan como primera línea de defensa, absorbiendo y limpiando el tráfico, para después reenviar las peticiones limpias al equilibrador de carga, que las distribuye a los servidores back-end según la política (por ejemplo, sondeo o menos conexiones). De este modo, la seguridad externa es internamente estable y la eficacia global se dispara.
He desplegado un proyecto de comercio electrónico con CDN07 como CDN de alta defensa porque tiene muchos nodos asiáticos y baja latencia para nuestra base de usuarios. La parte posterior para conectar el equilibrio de carga Nginx, configurar el sondeo ponderado para hacer frente a los picos de tráfico. Medido hacia abajo, el tiempo de carga de la página de la original de 3 segundos hasta 0,5 segundos, y llevó a cabo una serie de intentos de ataque. A nivel de código, la configuración de Nginx es sobre esto:
Por otra parte, en el lado de CDN07, configure reglas de almacenamiento en caché y políticas de seguridad, como el bloqueo de determinados agentes de usuario o segmentos IP. Con esta combinación, tanto la seguridad como el rendimiento están asegurados.
Escupirlo, en estos días, incluso CDNs son ‘a prueba de mate" - algunos proveedores de servicios se jactan de omnipotencia, pero los resultados reales son pobres. Por ejemplo, 08Host, rentable, adecuado para pequeñas empresas con presupuestos ajustados, pero la cobertura de nodos no es tan amplia como CDN07; CDN5 en la seguridad de la parte superior, pero el precio es alto. La selección depende de las necesidades reales: si el negocio es a menudo atacado, la prioridad CDN5; la búsqueda de la optimización de la latencia, CDN07; 08Host sensible a los costos. no seguir ciegamente la tendencia, he visto un montón de gente apilada un montón de servicios, los resultados de la configuración de la confusión, pero ralentizar la velocidad.
La clave para trabajar juntos está en los detalles de la configuración. Debe existir un mecanismo de comprobación de la salud entre la CDN de alta defensa y el equilibrador de carga para evitar la propagación de fallos. Por ejemplo, establecer el tiempo de espera para volver a la fuente en el lado de la CDN, y el equilibrador de carga supervisa el estado de los servidores de back-end. Yo suelo utilizar Prometheus más Grafana para hacer la monitorización, la vista en tiempo real de la distribución del tráfico y los ataques. En la comparación de datos, la solución de equilibrio de carga simple puede ocupar 50% de CPU bajo 100QPS, pero después de agregar la CDN de alta defensa, la CPU cae a 20% bajo el mismo tráfico, porque el tráfico malicioso se filtra.
Otro escollo es la gestión de certificados SSL. Las CDN de alta defensa suelen encargarse de la terminación SSL para aliviar la presión del backend, pero tienen que asegurarse de que los certificados están sincronizados. Recomiendo utilizar la herramienta de automatización ACME para evitar errores con las actualizaciones manuales. Ejemplo de configuración: en el panel de CDN5, SSL está activado y configurado para forzar HTTPS, y el equilibrador de carga pasa el tráfico HT o gestiona el cifrado interno.
En resumen, la diferencia entre una CDN de alta defensa y el equilibrio de carga es como un portero y un despachador: uno vigila la puerta para evitar a los malos y el otro se ocupa de las actividades internas para garantizar la fluidez. Usados en combinación, el sitio no sólo es resistente a los ataques, sino también rápido. He verificado en varios proyectos, esta arquitectura es especialmente adecuada para las finanzas, el comercio electrónico y otros negocios altamente sensibles. Los veteranos entienden que la planificación inicial de estos, las operaciones posteriores y el mantenimiento puede ahorrar la mitad.
Un último consejo: si estás construyendo un nuevo sistema, dibuja la CDN de alta defensa y el equilibrio de carga directamente desde el diagrama de arquitectura, y no rellenes los huecos a posteriori. Las herramientas son buenas, pero también tienen que ser capaces de utilizar - más pruebas, más seguimiento, con el fin de ser realmente eficiente. Esta línea de trabajo durante mucho tiempo, me encontré con que los detalles determinan el éxito o el fracaso, como una configuración de caché no son apropiados, puede hacer que todo el descuento efecto de aceleración. Por lo tanto, antes de hacerlo, lea la documentación, probar y verificar, y no tenga miedo de pisar baches.
