Cette page présente un rapport d'évaluation authentique sur l'intégration du CDN Fastly. Les tests ont commencé après l'achèvement de l'intégration DNS et l'activation des domaines commerciaux réels. L'évaluation se concentre sur deux capacités essentielles :Performances d'accélération CDN 与 Capacité d'atténuation des attaques DDoS,
Le processus de test, les outils et les résultats sont tous reproductibles.
I. Environnement de test et informations de base
| Projet | Explication |
|---|---|
| Fournisseur de services testé | CDN Fastly |
| Fête de test | L'équipe chargée des tests de sécurité réseau de ce site |
| Méthode d'accès | Enregistrements DNS CNAME pointant vers les nœuds périphériques Fastly |
| Environnement du serveur d'origine | Nginx (centre de données américain) |
| Contenu du test | Test de résistance aux attaques DDoS / Test d'accélération de l'accès mondial |
II. Sélection du forfait Fastly et modèle de facturation
| Projet | Explication |
|---|---|
| Modèle de facturation | Paiement à l'utilisation (en fonction du volume de trafic et du nombre de requêtes) |
| frais minimum | Pas de frais mensuels fixes ; les frais sont calculés en fonction de l'utilisation réelle. |
| Cycle d'essai | 30 jours |
| Trafic réel pendant la période d'essai | Environ 620 gigaoctets |
| Coûts pendant la période d'essai | Environ 95 dollars américains (principalement pour le trafic nord-américain et européen) |
La structure tarifaire de Fastly est plus sensible au trafic et au volume de requêtes, ce qui la rend plus adaptée aux projets exigeant des performances et une stabilité élevées, avec un budget contrôlé.
III. Méthodologie de test des performances d'accélération CDN
Les tests d'accélération CDN se concentrent principalement sur le temps de résolution DNS, le temps d'établissement de la connexion TLS, le temps jusqu'au premier octet (TTFB) et la durée globale de réponse. L'outil de test utilisé est boucle Nœuds de détection multirégionaux.
curl -o /dev/null -s -w \ DNS : %{time_namelookup}s\n Connexion : %{time_connect}s\n TLS : %{time
" DNS : %{time_namelookup}s\nConnexion : %{time_connect}s\nTLS : %{time_appconnect}s\nTTFB : %{time_starttransfer}s\nTotal : %{time_total}s\nHTTP : %{http_code}\n " \
https://fastly-test.example.com/static/test.jpg
IV. Résultats des tests d'accélération CDN
| Zone de test | DNS(s) | Temps jusqu'au premier octet (secondes) | Total(s) | Codes d'état HTTP |
|---|---|---|---|---|
| États-Unis d'Amérique (États-Unis) | 0,004 | 0,082 | 0,108 | 200 |
| Allemagne (DE) | 0,006 | 0,094 | 0,121 | 200 |
| Singapour (SG) | 0,011 | 0,138 | 0,176 | 200 |
En termes de résultats, Fastly affiche un avantage certain en matière de faible latence en Europe et en Amérique du Nord, tandis que ses nœuds asiatiques présentent une latence légèrement plus élevée, même si les fluctuations globales restent minimes.
V. Plan de test de résistance aux attaques DDoS
Les tests DDoS doivent être effectués avec le CDN déjà en place, en mettant l'accent sur l'observation de la disponibilité du service et des changements dans la charge du serveur d'origine pendant l'attaque.
| Élément de test | Explication |
|---|---|
| Type d'attaque | Inondation TCP SYN / Inondation HTTP GET |
| Outil de test | hping3 / wrk / ab |
| Taux de requêtes maximal | HTTP environ 1 200 requêtes par seconde |
| Débit maximal de paquets | Environ 50 000 PPS |
VI. Résultats des tests d'attaque DDoS
| Phase de test | HTTP 200 | HTTP 403 / 429 | CPU du serveur d'origine | Disponibilité du service |
|---|---|---|---|---|
| Avant l'attaque | 99,91 % TP3T | 0% | 12% | 100% |
| Sous le feu des critiques | 92,41 téraoctets | 7.11 TP3T | 18% | 99,11 TP3T |
| Après l'attaque | 99,81 térapétagrammes | 0,21 téraoctet | 13% | 100% |
Au cours de l'attaque, un grand nombre de requêtes anormales ont été interceptées et renvoyées par les nœuds périphériques Fastly.
403 / 429 Code d'état,
La charge du serveur d'origine n'a pas augmenté de manière significative, ce qui indique que le CDN a réussi à absorber le trafic lié à l'attaque.
VII. Accès au cache et vérification des nœuds
curl -I https://fastly-test.example.com/static/test.jpg
HTTP/2 200 x-cache : HIT x-served-by : cache-fra19145-FRA fastly-debug : true
L'en-tête indique que la requête a atteint le cache du nœud périphérique Fastly sans être récupérée depuis l'origine, confirmant ainsi l'efficacité de la stratégie de mise en cache et d'accélération.
VIII. Conclusions
Sur la base de la connectivité réelle et des résultats des tests, FastlyAccélération de l'accès à haute simultanéité 与Atténuation des attaques DDoS à moyenne échelle Performe de manière constante sur scène.
Plus adapté aux projets exigeant des performances, une contrôlabilité et une observabilité des journaux plus élevées.
CDN FastlyFAQ sur l'utilisation et les tests
1. Combien de temps faut-il pour que Fastly CDN soit opérationnel après l'intégration ? Faut-il attendre la synchronisation du cache ?
Au cours du processus d'intégration proprement dit, la configuration CDN de Fastly prend effet très rapidement. Une fois que l'enregistrement CNAME du domaine a été mis à jour, les nœuds périphériques se propagent généralement en moins de Dans un délai de 1 à 2 minutes Vous pouvez désormais commencer à répondre aux demandes.
Il n'est pas nécessaire d'attendre de longs délais de synchronisation du cache, comme c'est le cas avec les CDN traditionnels.
2. Les services Fastly seront-ils affectés pour les utilisateurs réguliers lors d'une attaque DDoS ?
Lors de nos tests de résistance aux attaques DDoS, Fastly donne la priorité à l'identification du trafic anormal au niveau des nœuds périphériques et renvoie une réponse aux requêtes suspectes. 403 ou 429 Code d'état.
Les demandes normales des utilisateurs peuvent toujours être obtenues. HTTP 200 Réponse : La disponibilité globale du service est restée supérieure à 99,1 % pendant l'attaque.
3. Fastly pourrait-il transférer le trafic malveillant vers le serveur d'origine, risquant ainsi de le saturer ?
Au cours des tests, la majorité du trafic anormal a été absorbée au niveau des nœuds périphériques, sans augmentation significative de l'utilisation du processeur ou de la bande passante au niveau du serveur d'origine. À condition que la stratégie de mise en cache et les règles de sécurité par défaut soient correctement configurées, le serveur d'origine ne subit généralement pas directement le poids du trafic lié aux attaques à grande échelle.
4. Fastly inclut-il un WAF ? Peut-il se défendre contre les attaques sans acheter de produits supplémentaires ?
Fastly fournit par défaut Protection DDoS de base Grâce à ses capacités de nettoyage du trafic, il peut contrer les attaques courantes basées sur le trafic et les attaques simples au niveau de la couche applicative.
Toutefois, si vous avez besoin d'une protection granulaire au niveau des règles et de la couche applicative (par exemple contre les injections SQL ou les XSS), vous devrez toujours activer ou acheter séparément les produits WAF de Fastly.
5. Fastly est-il particulièrement efficace pour accélérer le contenu dynamique ?
Les atouts de Fastly en matière d'accélération du contenu dynamique se reflètent principalement dans :TTFB faible avec activation de la configuration en temps réel Pour les interfaces API et les sites Web dont le contenu change fréquemment, les capacités d'optimisation du chemin d'origine et de logique périphérique de Fastly offrent des avantages distincts par rapport aux CDN traditionnels.
Cependant, cela nécessite un certain niveau d'expertise en matière de configuration.
6. Pourquoi Fastly semble-t-il plus cher que certains autres CDN ?
Le modèle tarifaire de Fastly est basé sur le trafic réel et le volume de requêtes, sa base d'utilisateurs principale étant principalement composée d'entreprises et de scénarios à haute performance.
Bien que le prix unitaire puisse sembler relativement élevé pour les sites à faible trafic, dans les scénarios impliquant une forte concurrence et des taux d'accès élevés, la rentabilité globale n'est pas nécessairement inférieure à celle d'autres CDN.
7. Fastly convient-il aux blogs personnels ou aux petits sites web ?
Pour les blogs personnels dont le trafic est relativement faible, les avantages de Fastly ne sont pas évidents et les coûts sont relativement élevés.
Plus adapté aux scénarios exigeant des vitesses d'accès, une stabilité et une observabilité supérieures.Blogs techniques, services API ou projets commerciaux。
8. La configuration des règles de cache de Fastly est-elle complexe ? Existe-t-il des pièges courants pour les débutants ?
Les configurations de mise en cache et de règles de Fastly offrent une grande flexibilité, mais elles présentent une courbe d'apprentissage plus raide que les CDN traditionnels. Les problèmes courants incluent des paramètres TTL de cache inappropriés et l'incapacité à distinguer correctement les ressources dynamiques des ressources statiques. Il est recommandé de procéder à des tests approfondis avant le déploiement en production.
9. Lorsque des erreurs de configuration surviennent dans Fastly, la récupération est-elle simple ?
Fastly prend en charge la configuration de la gestion des versions, générant une nouvelle version à chaque modification. En cas de problème, cela permet un retour rapide aux versions antérieures, ce qui s'avère très pratique dans les applications réelles.
10. Fastly prend-il en charge l'analyse des journaux et l'attribution des attaques ?
Fastly fournit une fonctionnalité de streaming des journaux en temps réel qui permet d'exporter les journaux d'accès vers des plateformes de journalisation tierces afin d'analyser l'origine des attaques, les caractéristiques des requêtes et les taux de réussite. Cette fonctionnalité s'avère très utile pour les tests DDoS et les analyses de sécurité.
