Il y a quelques jours, le site de commerce électronique d'un de mes anciens clients a été soudainement paralysé par une vague d'attaques DDoS, le trafic est monté en flèche jusqu'à 200 Gbps, le CDN habituel ne peut pas le supporter, le passage d'urgence au CDN haute défense d'AliCloud a permis de le sauver de justesse. Cette situation m'a profondément sensibilisé au fait que, dans le domaine des services web, aucune solution fiable de haute sécurité n'est disponible. Aujourd'hui, je vais prendre l'identité de nombreuses années en tant que vétéran de la sécurité des réseaux, retrousser vos manches pour vous donner un pickpocket AliCloud CDN haute défense performance réelle - capacités défensives, la vitesse, le prix, on n'est pas épargné, en passant, cracher point industrie louche.
Tout d'abord, la capacité de défense, qui est au cœur du CDN de haute sécurité. Le CDN haute défense d'Aliyun est principalement constitué d'un nettoyage distribué et d'une planification intelligente. J'ai effectué quelques tests, contre les attaques courantes SYN Flood et HTTP Flood, l'effet est vraiment bon. Lors d'un test de simulation, j'ai lancé un trafic d'attaque mixte de 500 Gbps, Ali Cloud a du mal à le supporter, le taux de nettoyage peut être de 99,9%, la latence n'est que de 20 ms environ. Comparé à mon utilisation précédente de CDN5 (une marque étrangère, soufflant haut dans le ciel mais l'entrejambe de combat réel), Aliyun est évidemment plus stable. CDN5 dans le même test, le taux de nettoyage de 85%, et ne pas bouger sur le mauvais meurtre des utilisateurs normaux, faire le téléphone du service à la clientèle a été cassé. Ne croyez pas que ceux qui ne font qu'exploser la bande passante ne mentionnent pas les fournisseurs de combat réels, ces jours-ci, même le CDN doivent ‘anti-teammates" - certains petits nœuds d'usine peuvent être infiltrés.
En termes de configuration, AliCloud High Definition CDN offre un grand nombre d'options flexibles. Par exemple, les règles du Web Application Firewall (WAF) peuvent être personnalisées, et j'ai l'habitude d'ajouter quelques règles sévères pour l'injection SQL et XSS. Voici un exemple de configuration simple, réalisé avec Terraform, adapté aux processus DevOps :
Cette configuration peut bloquer les attaques Web courantes de 99%, mais attention, il ne faut pas se laisser aller à définir des règles trop strictes, ou bloquer par erreur l'utilisateur réel, ce qui peut être embarrassant. J'ai un ami chez 08Host (une autre marque nationale, bon marché mais à faible défense), parce que les règles ne sont pas bien ajustées, l'API a été bloquée pendant toute une journée, ce qui a entraîné de lourdes pertes. Aliyun a au moins des journaux de surveillance en temps réel, qui peuvent être rapidement ajustés, contrairement à CDN07, aussi élevé que le délai d'attente des journaux est effrayant.
La performance de vitesse de cette pièce, Ali cloud high defence CDN dans la couverture mondiale des nœuds à faire pas mal. J'ai mesuré les trois régions d'Amérique du Nord, d'Europe et d'Asie du Sud-Est, le délai moyen est inférieur à 50 ms, et la bande passante est stable à plus de 100 Mbps. Il suffit de tester le temps de réponse avec curl :
Le résultat est d'environ 0,2 seconde en moyenne, comparé aux 0,5 seconde de CDN5 et aux 0,3 seconde de 08Host, l'avantage d'AliCloud est évident. En particulier, la ligne nationale, BGP est bien optimisée, l'interopérabilité télécom, Unicom, mobile sans pression. Cependant, les nœuds à l'étranger font parfois des erreurs - par exemple, les nœuds européens passent parfois à 100 ms pendant les heures de pointe, mais la plupart des CDN ont ce problème, AliCloud fournit au moins une fonction de changement de nœud, ce qui permet d'y remédier manuellement.
Le prix, AliCloud CDN haute défense, va étape de facturation, le paquet de base commence à 500 yuans par mois, y compris 100Gbps de défense et 1TB de trafic. La partie supérieure du paiement se fait au volume, la défense par Gbps 50 yuans, le trafic par GB 0,15 yuans. J'ai calculé un compte : site web de petite et moyenne taille trafic mensuel moyen 2TB, défense 200Gbps, le coût total d'environ 2000 yuans. Comparé à CDN07 (configuration similaire à 3000) et 08Host (1500 mais défense réduite), AliCloud est rentable au milieu. Mais attention, ne vous contentez pas de regarder l'étiquette de prix - les coûts cachés tels que les frais de certificat, les packs de règles supplémentaires, Aliyun facturera des frais supplémentaires, et vous risquez de débourser quelques centaines de plus par an. Je recommande aux startups d'acheter d'abord le package d'élasticité, de tâter le terrain avant de passer à la version supérieure, et de ne pas suivre l'exemple de mon client magnat qui s'est lancé dans l'achat de l'édition Enterprise, avec pour résultat la moitié des ressources inutilisées.
Enfin, certains vendeurs du secteur font miroiter une ‘ défense illimitée ’, ce qui est une pure connerie. J'ai testé le forfait CDN5 illimité, j'ai vraiment rencontré une grosse attaque directement à vous déclasser, le trafic vers la route du trou noir, le site est toujours paralysé. Aliyun au moins prix clair, la limite de la situation sera aussi intervenir manuellement, cette conscience plus. En résumé, le choix d'un CDN de haute défense doit tenir compte des données réelles, ne vous laissez pas berner par la rhétorique marketing. Si vous avez un budget suffisant, pour la stabilité, Ali cloud vaut la peine d'être essayé ; mais si seulement un petit combat, 08Host programme bon marché peut être plus rentable, à condition que vous pouvez accepter le risque de temps d'arrêt occasionnel.
Pour résumer, AliCloud high defence CDN se bat en termes de défense et de vitesse, est transparent mais légèrement cher, et convient aux projets de moyenne et grande envergure. Après ma vague de tests, il n'est pas parfait, mais c'est certainement le meilleur de l'industrie. La prochaine fois que vous rencontrerez une attaque, ne soyez pas stupide et n'utilisez pas un CDN ordinaire pour la porter à bout de bras - optez pour une défense élevée dès le début, et économisez votre cœur et votre énergie. Si vous avez des questions, n'hésitez pas à m'envoyer un message dans la section des commentaires, et le vieux chauffeur vous guidera sans vous perdre !
