Anoche, volv\u00ed a quedarme despierto hasta las 3 de la ma\u00f1ana, porque la CDN de alta defensa que utilizamos de repente tuvo un ataque. La monitorizaci\u00f3n de fondo es todo alarma roja, las quejas de los usuarios como copos de nieve vuelan. Hoy en d\u00eda, incluso la CDN, que afirma tener una disponibilidad del 99,99%, puede darte un espect\u00e1culo de \u201cevaporaci\u00f3n\u201d, lo que realmente impide que los hackers eviten a los compa\u00f1eros de equipo.<\/p>\n
Para ser honesto, alta defensa CDN inestabilidad nodo esta cosa, he pisado el hoyo que algunas personas han escrito el c\u00f3digo son m\u00e1s. Algunos proveedores de servicios que soplan por las nubes, realmente se encontr\u00f3 con el tr\u00e1fico m\u00e1s, el nodo se derrumb\u00f3 m\u00e1s r\u00e1pido que el papel mach\u00e9. El a\u00f1o pasado, he utilizado un CDN07, por lo general tan estable como el perro viejo, un ataque CC directamente acostado, el tiempo de respuesta de 200ms se dispar\u00f3 a 20 segundos, la llamada telef\u00f3nica del cliente casi golpe\u00f3 nuestro tel\u00e9fono fijo.<\/p>\n
No te apresures a rega\u00f1ar primero al proveedor de servicios, la raz\u00f3n de la inestabilidad del nodo puede ser m\u00e1s complicada de lo que crees. Yo lo resumo as\u00ed: fluctuaciones de la red troncal (sobre todo en nodos intercontinentales), bombeo del ISP local, tr\u00e1fico DDoS que excede la capacidad de limpieza del nodo, certificados SSL mal configurados, o quiz\u00e1 incluso un aire acondicionado estropeado en la sala de servidores; de hecho, me he encontrado con un proveedor que sobrecalent\u00f3 y degrad\u00f3 nodos debido a un fallo del aire acondicionado.<\/p>\n
La semana pasada para ayudar a los amigos comprobar un caso es particularmente t\u00edpico: con un conocido CDN5 proveedor, de repente se encontr\u00f3 que la latencia del nodo de Asia oriental se dispar\u00f3. Comprobaci\u00f3n MTR, encontr\u00f3 que el nodo en s\u00ed no es un problema, es un punto de salto de enrutamiento intermedio bombardeado. En este momento usted rega\u00f1ar al proveedor de CDN es in\u00fatil, la gente no puede controlar la ruta del operador.<\/p>\n
Lo primero que hay que hacer es determinar el alcance del problema. No esperes tontamente a que el proveedor de servicios responda, utiliza primero las herramientas para solucionarlo t\u00fa mismo:<\/p>\n
Si observas que los usuarios de una zona concreta acceden al sitio de forma an\u00f3mala, es probable que haya un problema con el punto POP local. No te f\u00edes del panel de control en este punto: las p\u00e1ginas de estado de algunos proveedores siempre dir\u00e1n \u201ctodo va bien\u201d, lo cual es menos fiable que una previsi\u00f3n meteorol\u00f3gica.<\/p>\n
El a\u00f1o pasado sufr\u00ed una p\u00e9rdida con 08Host. Su p\u00e1gina de estado estaba en verde, pero en realidad el nodo del sur de China se hab\u00eda bloqueado durante media hora. Entonces aprend\u00ed a ser inteligente y utilic\u00e9 UptimeRobot para cotejar m\u00e1s de 20 puntos de monitorizaci\u00f3n, que es m\u00e1s sensible que la propia monitorizaci\u00f3n del proveedor de servicios.<\/p>\n
El procedimiento de oro tras descubrir una anomal\u00eda en un nodo: \u00a1activar inmediatamente el nodo de reserva! Una CDN fiable debe soportar el equilibrio de carga multinodo. Nuestra pr\u00e1ctica es que el tr\u00e1fico habitual va al nodo principal, y cambia autom\u00e1ticamente al nodo de reserva cuando se detectan anomal\u00edas. Perm\u00edtame mostrarle una configuraci\u00f3n real:<\/p>\n
Cuidado con el par\u00e1metro BACKUP - es la \u00faltima l\u00ednea de defensa. Cuando todos los nodos CDN se cuelguen, el tr\u00e1fico volver\u00e1 a su propio servidor. Puede que no sea capaz de soportar el tr\u00e1fico pesado, pero al menos garantiza que el negocio no se caiga por completo.<\/p>\n
Cambiar de nodo es s\u00f3lo una soluci\u00f3n de emergencia, el problema fundamental sigue siendo encontrar al proveedor de servicios. Pero la forma de comunicarse tiene sus propias reglas. No se limite a decir \u201csu nodo se cuelga\u201d, los ingenieros son los m\u00e1s molestos con este tipo de descripci\u00f3n vaga. Prepara una plantilla de informe de aver\u00eda, cada vez que se cuelgue directamente:<\/p>\n
Lo he probado y he encontrado que si usted toma los datos al servicio al cliente, la velocidad de procesamiento puede ser m\u00e1s de tres veces m\u00e1s r\u00e1pido. CDN07 caso la semana pasada, desde el informe para resolver s\u00f3lo 18 minutos - porque sus ingenieros echar un vistazo a los datos para localizar directamente el problema de enlace de peering Shanghai Mobile.<\/p>\n
Las soluciones a largo plazo tienen que empezar desde el principio de la selecci\u00f3n para evitar riesgos. Ahora elegir CDN debo mirar tres indicadores: redundancia de nodos (al menos 2 nodos disponibles en cada regi\u00f3n), el n\u00famero de enlaces BGP (para determinar las capacidades de optimizaci\u00f3n de rutas), capacidad de limpieza (no creer en el valor te\u00f3rico, para ver el rendimiento del ataque real).<\/p>\n
08Host ha hecho un buen trabajo en esta \u00e1rea, desplegando m\u00e1s de 3 nodos en cada regi\u00f3n y utilizando diferentes proveedores de salas de servidores para diferentes nodos. Incluso si una sala de servidores tiene un problema, los dem\u00e1s nodos pueden seguir cubiertos. Aunque el precio es m\u00e1s caro, es mucho m\u00e1s rentable que la p\u00e9rdida de tiempo de inactividad de la empresa.<\/p>\n
Otro consejo: haga simulacros de fallo con regularidad. Cada mes, elija un periodo de baja actividad, simule manualmente el fallo de un nodo y compruebe si el proceso de conmutaci\u00f3n es fluido. No espere a que algo vaya mal s\u00f3lo para descubrir que el nodo de reserva est\u00e1 configurado con un certificado SSL incorrecto - he visto este tipo de error de bajo nivel m\u00e1s de una vez.<\/p>\n
Por \u00faltimo, un hecho s\u00f3lido: no hay CDN 100% estable. fuerte como Cloudflare tambi\u00e9n tienen tiempo de inactividad. La clave es tener un sistema completo de recuperaci\u00f3n de desastres. Ahora estamos desplegando una arquitectura de tres niveles: CDN5 para la aceleraci\u00f3n del front-end y la prevenci\u00f3n de DDoS, CDN07 para el equilibrio de carga global y, por \u00faltimo, 08Host como soluci\u00f3n de respaldo. Aunque el coste es un poco m\u00e1s elevado, en los dos \u00faltimos a\u00f1os nunca hemos sufrido una interrupci\u00f3n de la actividad por problemas con la CDN.<\/p>\n
Recuerde, una CDN de alta defensa no consiste s\u00f3lo en comprar un servicio y listo. Hay que vigilarlo constantemente, probarlo con regularidad y establecer planes de contingencia. Los que dicen \u201ccompre una alta defensa para estar tranquilo\u201d, o son est\u00fapidos o son malos. Se supone que la seguridad de la red es una guerra de ataque y defensa, los nodos estables de hoy pueden derrumbarse ma\u00f1ana, mantente alerta m\u00e1s que nada.<\/p>\n
La pr\u00f3xima vez que te encuentres con un bombeo de nodo, en primer lugar tomar una respiraci\u00f3n profunda, y luego seguir este proceso: monitoreo y posicionamiento \u2192 nodos de conmutaci\u00f3n \u2192 recopilaci\u00f3n de datos \u2192 en contacto con los vendedores. No se apresure a cambiar ciegamente la configuraci\u00f3n, una vez que mi colega se desliz\u00f3 y cortar todo el tr\u00e1fico al nodo de espera, los resultados de ese nodo no est\u00e1 configurado para proteger las reglas, directamente cepillado 500G tr\u00e1fico ...... ese es el verdadero desastre.<\/p>\n
Compruebe ahora la configuraci\u00f3n de su CDN. \u00bfHay alguna configuraci\u00f3n de conmutaci\u00f3n autom\u00e1tica? \u00bfSe han probado los nodos de respaldo? \u00bfSe han le\u00eddo y entendido los t\u00e9rminos del SLA del proveedor de servicios? Estos deberes normalmente no se hacen, pasa algo, s\u00f3lo puedes arrodillarte y suplicar.<\/p>","protected":false},"excerpt":{"rendered":"
Anoche, volv\u00ed a quedarme despierto hasta las 3 de la ma\u00f1ana, porque la CDN de alta defensa que utilizamos de repente tuvo un ataque. La monitorizaci\u00f3n de fondo es todo alarma roja, las quejas de los usuarios como copos de nieve vuelan. En estos d\u00edas, incluso el CDN, que afirma 99,99% disponibilidad, puede darle un espect\u00e1culo de \u201cevaporaci\u00f3n\u201d, lo que realmente impide que los hackers para evitar que los compa\u00f1eros de equipo. Para ser honesto, alta defensa CDN inestabilidad nodo este asunto, he pisado el hoyo que algunas personas han escrito el c\u00f3digo son m\u00e1s. Algunos proveedores de servicios que soplan por las nubes, realmente se encontr\u00f3 con el tr\u00e1fico m\u00e1s, el nodo se derrumb\u00f3 m\u00e1s r\u00e1pido que el papel mach\u00e9. El a\u00f1o pasado, he utilizado un CDN07, por lo general tan estable como el perro viejo, un ataque CC directamente acostado, el tiempo de respuesta de 200ms se dispar\u00f3 a 20 segundos, la llamada telef\u00f3nica del cliente casi golpe\u00f3 nuestro tel\u00e9fono fijo. No se apresure a rega\u00f1ar al proveedor de servicios, la raz\u00f3n de la inestabilidad del nodo puede ser m\u00e1s complicada de lo que piensa. Yo siempre<\/p>","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"","sticky":false,"template":"","format":"gallery","meta":{"_seopress_robots_primary_cat":"","_seopress_titles_title":"","_seopress_titles_desc":"","_seopress_robots_index":"","footnotes":""},"categories":[150],"tags":[],"collection":[],"class_list":["post-998","post","type-post","status-publish","format-gallery","hentry","category-updates","post_format-post-format-gallery"],"_links":{"self":[{"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/posts\/998","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/comments?post=998"}],"version-history":[{"count":1,"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/posts\/998\/revisions"}],"predecessor-version":[{"id":1127,"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/posts\/998\/revisions\/1127"}],"wp:attachment":[{"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/media?parent=998"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/categories?post=998"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/tags?post=998"},{"taxonomy":"collection","embeddable":true,"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/collection?post=998"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}