Lorsque j'ai rejoint l'industrie pour la première fois, j'ai également pensé que le CDN à haute défense n'était pas seulement destiné à mener des attaques DDoS, mais aussi à trouver une large bande passante, une valeur de défense de haut niveau, et que ce n'était pas la fin de l'affaire ? Jusqu'à ce qu'une fois, au milieu de la nuit, le message texte de l'alarme nous réveille, le délai d'exécution monte en flèche jusqu'à 3 000 ms, les plaintes des utilisateurs s'envolent comme des flocons de neige - pour découvrir que la distribution du nœud de cette question peut vraiment tuer.
Le client est une société de commerce électronique à l'étranger, qui utilise un CDN bon marché, appelé "Global 500 nodes". Habituellement, il n'y a pas de problème, mais une nuit, il a soudainement subi une attaque par inondation TCP, le trafic provenant principalement d'Europe de l'Est et d'Amérique du Sud. En conséquence, dans les "nœuds globaux" du CDN, 80% est encombré dans plusieurs grandes villes d'Europe et des États-Unis, et il n'y a pas de nœud périphérique en Amérique du Sud, de sorte que tout le trafic circule autour des États-Unis et retourne ensuite vers la salle des serveurs de Miami. Le retard a directement explosé, la stratégie de défense n'est pas encore entrée en vigueur, la liaison a d'abord été bloquée à l'heure de pointe du matin sur le quatrième périphérique nord.
Aujourd'hui, même les CDN doivent "défendre leurs coéquipiers". Vous pensez acheter une défense, mais en fait, derrière le combat se cache la qualité des nœuds et la logique de distribution. La distribution des nœuds n'est pas seulement "combien de points", mais "où sont les points", "comment se connecter" et "qui a la priorité". Si vous ne comprenez pas cela, la vitesse sera faible pour tirer l'entrejambe, et la défense sera vaine.
Parlons d'abord du niveau de défense. Les attaques DDoS sont aujourd'hui de plus en plus régionalisées, comme le reflet UDP en Asie du Sud-Est, la machine marionnette CC en Europe de l'Est. Si votre CDN ne nettoie pas les nœuds dans la zone dense de la source de l'attaque, le trafic devra faire un détour à travers le continent, le délai montera en flèche, sans parler du fait que le milieu de la région peut également passer par une partie de l'infrastructure du réseau est pauvre, le taux de perte de paquets du ciel direct.
J'ai testé une petite usine CDN, revendiquant 300 nœuds, les résultats du Moyen-Orient ont été frappés, le trafic tout autour du nettoyage de Francfort. La latence est passée de 150 ms à 800 ms, le taux de retransmission TCP de plus de 15%. Les utilisateurs pensaient que le serveur s'était effondré, en fait, c'était la distribution des nœuds qui était au plus bas.
Le niveau de vitesse est beaucoup plus évident. La distance physique détermine la limite inférieure du délai, la densité des nœuds détermine la limite supérieure de la congestion. Par exemple : les utilisateurs à Pékin, les nœuds de bordure du CDN à Shanghai, une latence d'environ 30 ms ; mais si le nœud est seulement à Los Angeles, la transmission par fibre optique devra être plus de 120 ms, plus les sauts de routage BGP, occasionnellement sur les 200 ms. N'oublions pas que le navigateur pour charger une page peut impliquer des dizaines de requêtes, chacune lente de 50 ms, l'expérience globale est une grande différence.
Ne croyez pas à ces conneries d'"accélération globale". Sans nœuds localisés, ce ne sont que des conneries. En particulier pour la vidéo, les jeux, la communication en temps réel, la différence de délai entre 50 ms et 100 ms peut être directement perçue par les utilisateurs.
Les différences entre les nœuds nationaux et internationaux constituent un gouffre encore plus grand. L'environnement des réseaux nationaux est particulier, le croisement des opérateurs (Telecom/Unicom/Mobile) est comme le croisement des provinces, sans parler du mur d'interférences. Un bon CDN national doit avoir un accès BGP multi-opérateurs, voire un triple play. Mais beaucoup de CDN étrangers en Chine ne sont connectés qu'à un opérateur télécom ou Unicom, et l'accès des utilisateurs mobiles est directement bloqué.
Les nœuds européens et américains d'AWS CloudFront ou de Cloudflare sont vraiment puissants, mais une fois en Asie du Sud-Est, en Amérique latine et en Afrique, ils ne sont peut-être pas aussi bons que certains fournisseurs qui se concentrent sur les marchés émergents, tels que les nœuds indiens et brésiliens de CDN07, la couverture des FAI locaux directement connectés à 90% ou plus, et la latence est réduite à moins de 50 ms.
Comment puis-je savoir si la répartition des nœuds est logique ? Il n'est absolument pas possible de se contenter de regarder les images promotionnelles du fabricant. J'utilise généralement deux méthodes terrestres : l'une consiste à effectuer son propre test de latence, l'autre à examiner le traçage des routes (traceroute). Par exemple, pour tester l'expérience d'accès des utilisateurs en Asie du Sud-Est, vous pouvez utiliser CloudPing depuis Singapour, Jakarta, Bangkok et d'autres endroits pour mesurer le délai de retour à la source.
Pour les plus impitoyables, allez directement au script pour simuler des demandes géographiques multiples :
L'exécution vous montrera quels sont les nœuds qui fluctuent et quelle est la latence élevée. Si vous constatez une augmentation soudaine de la latence dans une certaine zone, cela signifie que les nœuds sont peu nombreux ou que la ligne est dégradée.
Le traçage d'itinéraires est plutôt un miroir qui permet de repérer les démons. Par exemple, utilisez la commande suivante :
Examinez le nombre de sauts et l'attribution d'IP dans le résultat. Si vous constatez que le trafic va de Singapour aux États-Unis et revient au Japon, adressez-vous directement au fournisseur de CDN et tapez sur la table - il est temps d'optimiser l'algorithme de planification des itinéraires.
Un cas classique a été rencontré sur le terrain : Un client du secteur des jeux utilise un CDN rentable avec un nombre de nœuds effroyablement élevé, mais les utilisateurs sud-américains ne cessent de se plaindre de décalage. Une vérification par traceroute a permis de constater que la demande de l'utilisateur brésilien était acheminée vers Miami, puis de Miami vers Sao Paulo par le câble sous-marin. Plus tard, le CDN5 a été modifié, les utilisateurs se trouvant directement à Sao Paulo, au Brésil, et à Buenos Aires, en Argentine, ont mis le bord du nœud, la latence est passée de 220 ms à 40 ms, et le joueur n'a jamais été réprimandé.
Passons maintenant à la sélection des fournisseurs. Les stratégies de nœuds des principaux CDN du marché sont en fait très différentes :
CDN5 est fort en Asie et en Amérique latine, en particulier en Asie du Sud-Est, la localisation est bien faite, comme Ho Chi Minh, au Vietnam, Jakarta, en Indonésie, où les villes de deuxième et troisième rangs ont des nœuds de pointe, adaptés aux entreprises d'outre-mer. Mais les nœuds européens sont relativement peu nombreux, si l'entreprise principale se trouve en Allemagne ou en Pologne, elle devra peut-être s'aligner sur l'autre pays d'origine.
CDN07 a des racines profondes en Europe et aux États-Unis, à Francfort, Londres, Amsterdam, ces endroits ont une forte capacité de nettoyage, des attaques anti-high-flow stables. Cependant, l'Afrique s'appuie essentiellement sur les nœuds sud-africains, et les utilisateurs nord-africains devront peut-être faire un détour par l'Europe.
08Host ce type de démarrage domestique, l'avantage est certainement l'intégration des trois réseaux, les nœuds BGP, l'expérience de l'accès national inter-transporteurs en douceur, et l'enregistrement, la conformité avec ces choses à s'inquiéter. Mais la ligne maritime repose principalement sur la location de salles de serveurs à l'étranger, l'Asie du Sud-Est est acceptable, et l'éloignement dépend des partenaires à donner ou à ne pas donner.
Et enfin, une conclusion approximative : La distribution des nœuds n'est pas seulement importante, elle est même plus importante que le pic de défense. En effet, la défense peut être temporairement étendue, mais la construction de nœuds est un investissement à long terme, et il est tout simplement trop tard pour faire un effort temporaire. Lors du choix d'un CDN, remettez directement une carte du monde au fournisseur, laissez-le indiquer l'emplacement spécifique de la salle, la capacité de la bande passante, la liste de la couverture des FAI. Une fois la liste établie, passez directement à l'étape suivante.
Un vrai conseil :Ne jamais économiser l'argent des nœuds. Le budget que vous économisez peut être perdu dans les plaintes des clients si vous avez une seule congestion de routage transocéanique. Les utilisateurs n'ont plus la patience d'attendre que vous "optimisiez la liaison", le retard de plus de 3 secondes se répercute directement dans le coin supérieur droit de la fourche. Il faut parfois dépenser plus de 20%, couvrir plus de nœuds de bordure 30%, en échange de l'amélioration de l'expérience de l'utilisateur et de la réduction des risques, le jeu en vaut absolument la chandelle.
D'ailleurs, méfiez-vous des fournisseurs qui proposent de nombreux "nœuds virtuels". Certains fournisseurs, afin d'annoncer des chiffres alléchants, virtualisent une machine physique en dizaines de "nœuds logiques", mais la bande passante de sortie réelle et la politique de routage sont exactement les mêmes. En cas d'attaque ou de pic de trafic, l'ensemble de la grappe virtuelle s'effondre. C'est vrai - une fosse, un nid.
En résumé (tsk, et AI sense), la distribution des nœuds de ce truc, c'est comme la réparation du réseau autoroutier. Ce n'est pas qu'un luxueux poste de péage, cela dépend du nombre de rampes, si l'intersection est bloquée ou non, et s'il y a un raccourci à prendre. S'engager dans la défense et l'accélération du réseau est essentiellement un combat avec les lois de la physique, et plus vous êtes proche de l'utilisateur, plus vous avez de chances de gagner.
La prochaine fois que vous choisirez un CDN à haute défense, demandez d'abord : "Votre nœud familial, est-il biologique ou adopté ?"
