Recientemente, muchos compañeros vinieron a preguntarme, ¿por qué el mismo CDN de alta defensa, la latencia de su sitio web sigue siendo alta, los incidentes de seguridad ocurren con frecuencia? Me volcó directamente una frase: su CDN tradicional ha sido durante mucho tiempo obsoleto, y ahora no combinan la computación de borde para jugar, simplemente llevar armadura corriendo - pesado y lento.
Hoy en día, los ataques DDoS comienzan en el nivel T sin moverse, y los ataques CC son como moscas alrededor. ¿Sólo confiar en el nodo central para llevar el tráfico? Por no mencionar el costo no puede soportar, el retraso puede dejar que los usuarios se quedan sin. He probado un programa tradicional, el ataque llegó, el nodo central directamente en un colador, los nodos de borde son todavía tranquilamente bebiendo té - en absoluto involucrado en la protección de la seguridad.
Lo más lamentable es que algunos vendedores presumen de “nodos globales”, de hecho, muchos nodos de borde simplemente no tienen potencia de cálculo, son puramente una estación de retransmisión de tráfico. El tráfico de ataque tiene que dar media vuelta al mundo para ser limpiado, y así volver al usuario cuando las flores amarillas estén frías. No crea a los que sólo venden ancho de banda a los proveedores de servicios CDN, ni siquiera saben distinguir entre edge computing y distribución de contenidos.
De hecho, el núcleo del problema es: la CDN tradicional a la seguridad y la presión de procesamiento se apilan en el nodo central, mientras que los nodos de borde están inactivos. Esto es como dejar que el guardia de seguridad de pie en la puerta de la sede de la empresa para comprobar todos los visitantes de la sucursal, la eficiencia no puede ser baja?
El año pasado, nuestra estación de comercio electrónico sufrió una pérdida. Durante el período de promoción de repente sufrió un ataque de CC, aunque el nodo central para llevar, pero todas las solicitudes tienen que volver a la fuente de la verificación, lo que resulta en los usuarios normales orden de retraso se disparó a más de 3 segundos, la pérdida directa de millones de pedidos. Más tarde, saqué los registros de tráfico para analizar y encontró que la solicitud 80% en realidad podría ser verificada en el nodo de borde.
La solución fiable consiste ahora en trasladar la capacidad de protección de la seguridad a los nodos periféricos. De este modo, cada nodo de borde dispone de una determinada potencia de cálculo y política de seguridad, cerca del procesamiento de solicitudes al mismo tiempo para completar la detección de seguridad. Equivale a asignar guardias de seguridad a cada punto de venta, lo que resulta rápido y seguro.
He comparado las soluciones de tres proveedores de servicios: CDN5 se centra en las capacidades de WAF de borde, CDN07 hace hincapié en la computación de la función de borde, y 08Host es un compromiso entre coste y rendimiento. Probado abajo encontró que la función de borde de CDN07 en el procesamiento de la lógica compleja en el mejor rendimiento, pero el precio también es realmente “hermoso”.
A la hora de aterrizar específicamente, recomiendo una estrategia de defensa por capas:
La primera capa realiza comprobaciones básicas en los nodos más periféricos, como la verificación humana y la comprobación de la reputación IP. Estas operaciones ligeras pueden realizarse íntegramente en el nodo más cercano al usuario y liberarse al siguiente nivel una vez superadas.
Aquí compartimos un ejemplo práctico de configuración, que se utiliza para filtrar inicialmente las IP maliciosas en los nodos periféricos:
El segundo nivel realiza la detección en profundidad en nodos de nivel regional, como la coincidencia de reglas WAF y el análisis de comportamiento. Los nodos de este nivel tienen más potencia de cálculo y pueden ejecutar algoritmos de seguridad más complejos.
La más importante es la tercera capa: sólo las peticiones que no pueden juzgarse en los nodos periféricos se reenvían al nodo central. Esto supone filtrar al menos 901 TP3T de solicitudes maliciosas, y la presión sobre la fuente se reduce directamente.
He probado esta arquitectura en 08Host, y la latencia se reduce directamente de 200ms a menos de 80ms. Especialmente en el sudeste asiático, debido a que los nodos de borde locales tienen la potencia de cálculo, la sensación del usuario es especialmente evidente.
La mejora de la seguridad es aún más sorprendente: antes había que gestionar cientos de miles de intentos de ataque al día, ahora 80% todos son interceptados en los nodos de borde. Lo mejor es que el coste del ancho de banda del servidor de origen se ha reducido en 60%, y por fin mi jefe ya no me persigue cada día por las facturas de ancho de banda.
Concretamente a nivel de código, las principales CDN soportan ahora funciones de borde. Por ejemplo, con la plataforma de computación de borde de CDN07, la protección dinámica puede lograrse de esta manera:
Nunca subestimes el poder de estas funciones de borde - los nodos de borde ahora tienen incluso mejor rendimiento de computación que algunos hosts de nube. He probado a ejecutar la detección WAF, la compresión de imágenes y las pruebas AB al mismo tiempo en un nodo de borde, y sigue siendo sólido como un perro viejo.
Por supuesto, hay escollos en el proceso de migración. El mayor problema es la gestión del estado: los nodos periféricos no tienen estado y necesitan compartir datos con la ayuda del almacenamiento distribuido. Recomiendo utilizar un clúster Redis para la sincronización de estados, lo que añade un poco de latencia pero es mucho mejor que volver al origen.
Otro punto delicado es la dificultad de depuración. Con tantos nodos de borde, es difícil localizar el problema. Mi experiencia es enterrar los puntos de monitorización en cada función de borde y rastrear toda la cadena de peticiones con un requestId único. De esta forma, no importa por qué nodo pase la solicitud, se puede localizar rápidamente el problema.
Tampoco hay que preocuparse por el coste. Aunque el precio unitario del edge computing es ligeramente superior, el coste global es bastante reducido. Gracias a la reducción del tráfico de retorno y a la presión del nodo central, el cálculo global puede ahorrar unos 30%. Especialmente en los servicios de tráfico pesado, como vídeo y juegos, el efecto de ahorro es aún más evidente.
Hace poco ayudamos a una empresa de juegos con una migración, y su latencia global media bajó de 142 ms a 67 ms, y la rotación de jugadores se redujo directamente en 181 TP3 T. La seguridad es aún más espectacular, ya que el coste de un ataque DDoS se ha multiplicado por diez: ahora los atacantes tienen que atacar cientos de nodos de borde al mismo tiempo para ser eficaces.
El 5G y el crecimiento explosivo de los dispositivos IoT harán que todas las necesidades informáticas migren a los bordes. Si no te subes a bordo ahora, puedes quedarte obsoleto más adelante.
Para ser sinceros, la selección de tecnología es muy importante. Si el negocio se desarrolla principalmente en Asia-Pacífico, la ventaja de cobertura de CDN5 es obvia; si se necesita una potente potencia de cálculo, la ecología de funciones edge de CDN07 es la más completa; si se persigue la rentabilidad, el paquete de 08Host es realmente concienzudo. Lo mejor es hacer primero una prueba PoC a pequeña escala, no seguir ciegamente el viento.
Por último, me gustaría compartir una historia real: el año pasado, una empresa fue golpeada por un DDoS de 300Gbps, debido a la protección centralizada tradicional, todo el servicio estuvo caído durante 12 horas. Más tarde, después de migrar a la arquitectura de protección de borde, la misma escala de ataque no se sentía en absoluto - el tráfico en el nodo de borde se diluyó y se disolvió. El jefe me envió especialmente un sobre rojo para darme las gracias, diciendo que debería haber sabido que tenía que haber utilizado esta solución antes.
Ahora mi principio de diseño de arquitectura está claro: nunca volver a la fuente si se puede procesar en el borde, y nunca centralizar si se puede proteger en el borde. No se trata sólo de baja latencia y alta seguridad, sino también de una importante reducción de costes. ¿Por qué no?
Sinceramente, ver cómo los tiempos de respuesta de las peticiones pasan de tres dígitos a dos dígitos y cómo los incidentes de seguridad se reducen de docenas al día a casi cero es más una sensación de logro que otra cosa. ¿No es la mejor parte de ser un técnico ver que tu arquitectura realmente produce valor?
La próxima vez que alguien te diga que las CDN solo sirven para acelerar, échale en cara este artículo: estamos en 2024 y no puede haber nadie que no sepa que una CDN de alta seguridad debe combinarse con edge computing, ¿verdad?

