Recientemente, varios amigos que hacen los juegos y las finanzas corrió a mí y me preguntó, diciendo que el negocio de la empresa fue golpeada por DDoS arriba y abajo, y consideró en la CDN de alta defensa, pero una comprobación de la cotización de AWS directamente confundido - este precio al final para evitar ataques o para atacar a mi cartera?
Para ser sincero, también me quedé boquiabierto cuando vi por primera vez los precios de AWS Shield Advanced. La cuota fija mensual comienza en 3.000 dólares, sin incluir las cuotas de limpieza de tráfico y escalado elástico. En una ocasión, un cliente recibió 300 Gbps, y cuando la factura se disparó a cinco cifras ese mes, los financieros casi pensaron que habían sido víctimas de una estafa de una multinacional de telecomunicaciones.
No te asustes antes.La alta defensa AWS es cara, pero hay que entender su lógica de precios. Es como comprar un seguro. Sueles pensar que estás pagando por nada, pero no sabes si merece la pena hasta que pasa algo. Sus precios se dividen en tres niveles ocultos: la cuota de protección básica es como un ticket de entrada, la cuota de limpieza de datos es el dinero del vino y la cuota de expansión empresarial es simplemente la tasa de descorche.
Lo más lamentable que he encontrado en la vida real es la tasa de ampliación flexible. Muchos vendedores no toman la iniciativa de decirte que cuando el ataque supera la capacidad de la protección básica que has comprado, el exceso se cobra por etapas. El año pasado para ayudar a una central a hacer pruebas de estrés, un ataque simulado de 800Gbps duró media hora, sólo la cuota de expansión es suficiente para comprar un servidor.
Una operación más chabacana es la facturación asociada a recursos. En cuanto pones tu negocio detrás de un ELB o CloudFront, Shield cobra automáticamente la protección de esos recursos. Una vez cometí un desliz y activé la protección para el ELB de mi entorno de pruebas, y a final de mes descubrí que me habían cobrado 800 dólares extra: ¿cuántas tazas de café da para comprar?
Por otra parte, los nodos de limpieza global de AWS son realmente dominantes. Distribuidos en 16 centros regionales de programación de tráfico, el máximo visto para aliviar 2,3Tbps de casos. Especialmente para las empresas internacionales, la velocidad de respuesta de los nodos europeos y americanos no es ni media estrella más rápida que la de los proveedores nacionales. Pero si sus usuarios se encuentran principalmente en el territorio, esto es gastar dinero para comprar la soledad.
Ahora echa un vistazo a los jugadores nacionales. Por ejemplo, el antiguo CDN5, sus paquetes de alta defensa en casa son mucho más sustanciales:
Lo más crítico es que los proveedores nacionales suelen utilizar el modelo ”garantizado + elástico”. Como la línea BGP de CDN07, normalmente 100G de protección garantizada, se expande automáticamente a nivel T cuando se encuentra con grandes ataques de tráfico, sólo de acuerdo con la facturación real del tráfico de ataque. La última vez, una plataforma de préstamos en línea fue golpeado, 3 horas para llevar 400G ataque, y, finalmente, sólo pagó más de 800 tasas de expansión.
Otra ventaja oculta es la velocidad de respuesta de los nodos nacionales. La latencia de los nodos de 08Host en China Oriental puede situarse en 15 ms, mientras que los nodos de AWS Hong Kong suelen superar los 50 ms. No mire sólo unas pocas decenas de milisegundos de diferencia, en el juego y escenarios de comercio en tiempo real es un mundo de diferencia entre lag y suavidad.
Pero no creas en las tonterías de la ”protección ilimitada”. Un fabricante se jacta de tráfico ilimitado no capped, realmente se encontró con más de 800G ataque directamente a usted agujero negro durante tres horas. Más tarde me enteré de que la esquina del contrato está escrito ”más de 1Tbps ataque tiene derecho a iniciar la fusión de emergencia” - para decirlo en términos humanos es tirar directamente el cable de red.
Hagamos ahora una comparación rigurosa. Supongamos que respondemos a un ataque sostenido de 200 Gbps durante 2 horas, limpiando un tráfico de unos 180 TB:
La diferencia es suficiente para comprar otro clúster de copia de seguridad. Sin embargo, preste atención al consumo oculto de los proveedores nacionales: por ejemplo, la protección de CC para comprar paquetes de reglas, análisis de registros cargos separados, limitaciones de llamadas API y así sucesivamente. Una vez que un cliente debido a los ataques de CC desencadenó 20 millones de solicitudes de verificación, un cargo adicional de más de 10.000 tasas de consulta.
Mi consejo en el mundo real es que si la base de usuarios se encuentra principalmente en el extranjero, el uso de AWS Shield con CloudFront es un verdadero ahorro de tiempo, especialmente para escenarios que requieren aceleración global. Pero asegúrese de configurar alertas de costes y, preferiblemente, de adquirir un plan de ahorro por adelantado; no me pregunte cómo lo sé.
Las empresas puramente nacionales eligen directamente a los proveedores locales más rentables. Como el programa híbrido de 08Host es muy interesante: por lo general utilizan su aceleración CDN, programar automáticamente al nodo de alta defensa cuando se produce un ataque. Recientemente para ayudar a una plataforma en vivo para desplegar este programa, el coste medio mensual es inferior a AWS 62%, la latencia también se reduce en 40%.
Por último, revelar un secreto de la industria: muchos fabricantes nacionales de líneas BGP son en realidad alquilados del mismo grupo de salas de servidores. Pero CDN5 ha construido dos grandes centros de limpieza en China Oriental y China Meridional, y el efecto medido de los ataques contra el agotamiento de conexiones es más de tres veces mayor que el de los proveedores que alquilan líneas. Hoy en día, incluso las CDN tienen que ”prevenir a sus compañeros de equipo”.
De hecho, la elección de alta defensa es como un cinturón de seguridad, no cuanto más caro mejor, pero para que coincida con la escena del negocio. Las clases financieras eligen la protección de nivel T no es suave, las empresas ordinarias con el paquete 200G más la expansión elástica es más económico. Lo más importante es hacer ensayos ofensivos y defensivos de antemano - muchos fracasos no son la protección, pero las estrategias de cambio no se han ensayado.
La próxima vez que vea una factura en la nube por las nubes, no se precipite al dolor de la carne, calcule primero la pérdida de tiempo de inactividad de su negocio durante una hora. Una vez ayudé a un cliente de comercio electrónico a hacer unos cálculos: el coste de transportar un ataque de 500 G no es suficiente para pagar la pérdida de 10 minutos de inactividad del servidor. Esta es la verdad sobre la rentabilidad de la CDN de alta defensa.
