Récemment, j'ai aidé des amis à résoudre le problème de l'accrochage DDoS de leur site web et j'ai découvert un phénomène intéressant : beaucoup de gens dépensent beaucoup d'argent pour acheter un CDN à haute défense, mais la configuration de la liaison du nom de domaine n'est pas appropriée, soit le trafic n'a pas accéléré le nœud, soit le pare-feu n'a pas eu d'effet. Le cas le plus scandaleux est celui d'une station de commerce électronique, équipée d'un CDN, mais dont l'IP de la station source est directement exposée, l'attaquant ayant contourné la protection pour paralyser directement le serveur - de nos jours, même le CDN doit être “anti-témoin”.
En fait, la liaison de nom de domaine du CDN de haute défense n'est pas si mystérieuse, mais les détails déterminent la vie et la mort. J'ai traité le cas, 10 problèmes de configuration 7 sur 10 dans le lien de liaison de nom de domaine. Ne regardez pas la console du fournisseur fantaisiste, la logique de base des étapes, comprendre une fois que vous pouvez manger tous les fournisseurs.
Lancez d'abord un jet d'eau froide :Ne pensez jamais qu'il vous suffit d'indiquer un nom de domaine au fournisseur de CDN pour en finir !Le processus complet comprend trois liens essentiels : configuration de la plate-forme + résolution DNS + validation. Le processus complet comprend “la configuration de la plateforme + la résolution DNS + la validation des trois maillons essentiels, toute étape manquante pouvant être renversée”. Ci-dessous, j'ai testé CDN5, CDN07 et 08Host, trois fournisseurs, à titre d'exemple, pour démanteler le fonctionnement de la porte de liaison multi-domaine.
Étape 1 : Configuration de la plate-forme Principaux écueils
Ces paramètres sont les plus faciles à utiliser lors de l'ajout d'un nom de domaine à la console CDN :
Quel est le type de site source “IP” ou “Domaine” ? Si la source est un serveur cloud, il est fortement recommandé d'indiquer l'adresse IP. J'ai constaté que le nom de domaine de CDN07 vers la source a un délai de résolution récursif, et j'ai rencontré des cas où la source échoue en raison de la mise en cache DNS. Au contraire, 08Host a optimisé le nom de domaine vers la source, ce qui convient aux scénarios d'équilibrage de charge multi-serveurs.
Les applications web utilisent généralement 80/443, mais certains ports commerciaux spéciaux doivent être renseignés manuellement. L'année dernière, un client de jeu a mis en place un CDN après que le joueur ne puisse pas se connecter, c'est parce que j'ai oublié de remplir le port UDP 27015.
La liaison du certificat HTTPS est une chaîne. Si vous choisissez “force jump to HTTPS”, vous devez d'abord télécharger le certificat, l'interface de gestion des certificats de CDN5 est profondément cachée, vous devez cliquer sur “Security Configuration” - “Certificate Management” pour télécharger d'abord le fichier PEM, puis revenir pour cocher la case "Force Jump to HTTPS". Vous devez cliquer sur "Configuration de la sécurité"-"Gestion des certificats" pour télécharger le fichier PEM, puis revenir pour cocher la case "Forcer le saut". J'ai vu des personnes bloquées à cette étape pendant trois heures, tellement en colère qu'elles ont directement pulvérisé les bons de travail du service clientèle.
La liaison multi-domaine a une astuce paresseuse : CDN5 prend en charge l'importation par lots de noms de domaine, séparés par des virgules sur la ligne. Mais notez que chaque nom de domaine doit être configuré indépendamment du site source, ne vous attendez pas à ce que l'opération par lots puisse être héritée des paramètres - j'ai une fois un souffle d'importation de 50 noms de domaine, les résultats de tous pointant vers le même serveur de test, et a presque causé un accident de production.
Étape 2 : Fonctionnement fauve de la résolution DNS
Après la configuration de la plate-forme, vous recevrez l'adresse CNAME, cette fois-ci pour aller du côté du fournisseur de services DNS pour modifier l'enregistrement de résolution. Le point est à venir :Ne vous empressez pas de supprimer l'enregistrement A! Ajoutez d'abord l'enregistrement CNAME, puis supprimez l'enregistrement original après l'expiration du TTL. Il est recommandé d'utiliser la commande dig pour vérifier que l'analyse fonctionne :
Si vous voyez que la sortie contient le nom de domaine du fournisseur CDN, cela signifie que la résolution a pris effet. Le suffixe CNAME de 08Host est .cdn08.net, et CDN5 utilise .cdn5gb.com, donc ne vous y trompez pas.
Que faire lorsque vous avez plusieurs sous-domaines à lier ? Gagnez du temps et de l'énergie avec la résolution par caractères génériques. Ajoutez un enregistrement CNAME de *.cdn.youdomain.com au DNS, et vous pourrez alors faire pointer tous les sous-domaines vers le CDN. Cependant, CDN07 facture un supplément pour les domaines wildcard, ce qui est un peu pitoyable.
Phase III : Validation des moyens ultimes d'entrée en vigueur
Il ne fonctionne pas immédiatement après la configuration, j'ai un combo de validation :
Vérifiez d'abord l'en-tête HTTP avec curl :
Recherchez le logo du fournisseur de CDN dans l'en-tête de retour (par exemple X-CDN : CDN5). Si vous voyez l'en-tête Server exposé par l'IP source, dépêchez-vous de vérifier la configuration.
Deuxièmement, l'outil Ping global est utilisé pour détecter la couverture des nœuds. Les nœuds asiatiques de 08Host ont d'excellentes performances en matière de latence, mais les nœuds européens et américains sont occasionnellement pompés. Le réseau Anycast de CDN5 a une latence globale plus stable, ce qui est adapté au commerce international.
Enfin, vous devez tester le trafic réel ! Dans la console du CDN, ouvrez la surveillance en temps réel, leur propre outil de test de pression pour simuler la demande, afin d'observer si le trafic atteint le nœud de protection. J'ai vu la situation la plus scandaleuse : toute la configuration est normale, mais à cause du cache local du DNS, le trafic de test n'est pas allé jusqu'au CDN.
Un jeu de haut niveau sur la liaison multidomaine
CDN5 et 08Host fournissent tous deux une API REST complète, et vous pouvez écrire un script en Python pour automatiser le déploiement :
La répartition du poids est également une compétence pratique. Par exemple, le trafic du site web officiel est divisé en CDN5, la distribution vidéo en 08Host, l'interface API en CDN07. Grâce à la fonction de résolution de poids du DNS, vous pouvez réaliser le détournement du trafic et le basculement.
Un résumé des leçons tirées du sang et des larmes
Enfin, je voudrais dire quelques mots : Après que le nom de domaine est lié, vous devez vérifier la validité du certificat régulièrement ! Établissez un calendrier pour rappeler le renouvellement 30 jours à l'avance ; ne laissez pas fuir l'IP de la station source dans la console CDN, certains fournisseurs de la fonction “test back to the source” exposeront l'adresse IP ; rencontré une attaque sur l'ajout temporaire du nom de domaine à être prudent, j'ai une fois serré ma main pour protéger le nom de domaine supprimé par erreur, résultant en 10 minutes d'être frappé dans un trou noir.
Le CDN haute défense n'est pas une solution miracle, lier le nom de domaine n'est que la première étape d'un long voyage. L'effet réel de la protection dépend de la configuration des règles, de la stratégie de nettoyage du trafic et de la vitesse de réponse de l'opération et de la maintenance. Il est recommandé aux débutants de s'entraîner d'abord avec les offres gratuites de 08Host, puis de se familiariser avec l'environnement de production. Après tout -
Si vous le configurez mal, l'argent n'aura servi à rien.
