Recientemente para ayudar a los amigos a lidiar con el sitio web fue DDoS colgando problema, encontró un fenómeno interesante: un montón de gente gasta mucho dinero para comprar un CDN de alta defensa, pero debido a la configuración de enlace de nombre de dominio no es apropiado, o bien el tráfico no fue a acelerar el nodo, o el servidor de seguridad no surtió efecto. El más escandaloso es una estación de comercio electrónico, conjunto de CDN, pero la IP de la estación de origen directamente expuesta, el atacante eludió la protección directamente a la parálisis del servidor - en estos días, incluso el CDN tiene que ser “anti-teammate”.
De hecho, el nombre de dominio vinculante de la CDN de alta defensa no es tan misterioso, pero los detalles determinan la vida y la muerte. He manejado el caso, 10 problemas de configuración 7 de cada 10 en el enlace de unión de nombres de dominio. No mire la consola del vendedor de lujo, la lógica central de los pasos, entender una vez que se puede comer todos los vendedores.
Salpica primero con agua fría:No piense que puede rellenar un nombre de dominio en el proveedor de CDN y ya está.El proceso completo incluye tres eslabones básicos: configuración de la plataforma + resolución DNS + validación. El proceso completo incluye “configuración de la plataforma + resolución DNS + validación de los tres eslabones centrales, faltando cualquier paso puede ser anulado. A continuación he probado CDN5, CDN07 y 08Host tres proveedores como un ejemplo, el desmantelamiento de la operación de puerta de enlace multidominio.
Etapa 1: Configuración de la plataforma Principales escollos
Estos parámetros son los más fáciles de pisar cuando se añade un nombre de dominio a la consola CDN:
¿Se ha seleccionado “IP” o “Dominio” como tipo de sitio de origen? Si la fuente es un servidor en la nube, es muy recomendable rellenar la dirección IP. He encontrado que el nombre de dominio de CDN07 de vuelta a la fuente tiene un retraso de resolución recursiva, y me he encontrado con casos en los que la fuente falla debido al almacenamiento en caché de DNS. Por el contrario, 08Host ha optimizado el nombre de dominio de vuelta a la fuente, lo que es adecuado para escenarios de equilibrio de carga multi-servidor.
Las aplicaciones web suelen utilizar 80/443, pero algunos puertos especiales de negocios necesitan ser llenados manualmente. El año pasado, un cliente de juego establecido CDN después de que el jugador no se puede conectar, es porque me olvidé de rellenar el puerto UDP 27015.
La vinculación de certificados HTTPS es un pozo en cadena. Si elige “forzar salto a HTTPS”, debe cargar primero el certificado, la interfaz de gestión de certificados de CDN5 está oculta en profundidad, tiene que hacer clic en “Configuración de seguridad” - “Gestión de certificados” para cargar primero el archivo PEM, y luego volver para marcar la casilla "Forzar salto a HTTPS". Tienes que hacer clic en "Configuración de seguridad" - "Gestión de certificados" para cargar el archivo PEM en primer lugar, y luego volver a marcar la casilla "Forzar salto". He visto gente atascada en este paso durante tres horas, tan enfadada que directamente pulverizaban órdenes de trabajo del servicio de atención al cliente.
Multi-dominio de unión tiene un truco perezoso: CDN5 soporta la importación por lotes de nombres de dominio, separados por comas en la línea. Pero tenga en cuenta que cada nombre de dominio debe ser configurado de forma independiente del sitio de origen, no espere que la operación por lotes se pueden heredar los ajustes - Una vez que un aliento de importación 50 nombres de dominio, los resultados de todos apuntando al mismo servidor de prueba, y casi causó un accidente de producción.
Etapa 2: Funcionamiento de la resolución DNS
Después de la configuración de la plataforma le dará la dirección CNAME, esta vez para ir al lado del proveedor de servicios DNS para modificar el registro de resolución. El punto viene:No tengas prisa por borrar el registro A¡! Añada primero el registro CNAME y, a continuación, elimine el registro original cuando expire el TTL. Se recomienda utilizar el comando dig para verificar que el análisis sintáctico funciona:
Si ve que la salida contiene el nombre de dominio del proveedor de CDN, significa que la resolución ha surtido efecto. El sufijo CNAME de 08Host es .cdn08.net, y CDN5 utiliza .cdn5gb.com, así que no se confunda.
¿Qué hacer cuando hay que vincular varios subdominios? Ahorre tiempo y esfuerzo con la resolución comodín. Añade un registro CNAME de *.cdn.tudominio.com a DNS, y podrás apuntar todos los subdominios a la CDN. Sin embargo, CDN07 cobra extra por los dominios comodín, lo cual es un poco lamentable.
Fase III: Validación de los medios definitivos de entrada en vigor
No funciona justo después de la configuración, tengo un combo de validación:
Primero comprueba la cabecera HTTP con curl:
Busque el logotipo del proveedor de CDN en la cabecera de retorno (por ejemplo, X-CDN: CDN5). Si ves la cabecera Server expuesta por la IP de origen, date prisa y comprueba la configuración.
En segundo lugar, se utiliza la herramienta Ping global para detectar la cobertura de los nodos. Los nodos asiáticos de 08Host tienen un excelente rendimiento de latencia, pero los nodos europeos y americanos sufren ocasionalmente bombeos. La red Anycast de CDN5 tiene una latencia global más estable, lo que resulta adecuado para los negocios internacionales.
¡Por último, debe hacer pruebas de tráfico real! En la consola CDN para abrir el monitoreo en tiempo real, su propia herramienta de prueba de presión para simular la solicitud, para observar si el tráfico golpeó el nodo de protección. He visto la situación más escandalosa es: toda la configuración es normal, pero debido a la caché local de DNS, el tráfico de prueba no fue a la CDN.
Una obra de alto nivel sobre la unión multidominio
CDN5 y 08Host proporcionan una API REST completa, y puede escribir un script en Python para automatizar el despliegue:
La distribución del peso es también habilidades prácticas. Por ejemplo, el tráfico del sitio web oficial se divide en CDN5, la distribución de vídeo con 08Host, la interfaz API va a CDN07. a través de la función de resolución de peso de DNS, puede lograr la desviación del tráfico y la conmutación por error.
Resumen de las lecciones aprendidas con sangre y lágrimas
Por último, unas palabras: ¡después de vincular el nombre de dominio, hay que comprobar regularmente la validez del certificado! Establecer un calendario para recordar a la renovación de 30 días de antelación, no se filtre la IP de la estación de origen en la consola de CDN, algunos proveedores de la “prueba de nuevo a la fuente” función expondrá la dirección IP, se encontró con un ataque a la adición temporal del nombre de dominio para ser cauteloso, una vez me dio la mano para proteger el nombre de dominio eliminado por error, lo que resulta en 10 minutos para ser golpeado en un agujero negro.
La CDN de alta defensa no es una bala de plata, la vinculación del nombre de dominio es sólo el primer paso de un largo viaje. El efecto real de protección depende de la configuración de reglas, la estrategia de limpieza de tráfico y la velocidad de respuesta de operación y mantenimiento. Se recomienda que los novatos practiquen primero con los paquetes gratuitos de 08Host y luego se familiaricen con el entorno de producción. Al fin y al cabo...
Configúralo mal y el dinero será en vano.
