R\u00e9cemment, plusieurs amis de grandes usines sont venus me voir et m'ont pos\u00e9 la m\u00eame question : un CDN \u00e0 haute d\u00e9fense peut-il \u00eatre d\u00e9ploy\u00e9 \u00e0 titre priv\u00e9 ? Pour \u00eatre honn\u00eate, si cette question m'avait \u00e9t\u00e9 pos\u00e9e il y a cinq ans, j'aurais r\u00e9pondu \u201cn'y pensez pas, allez dormir\u201d. Mais la situation de l'\u00e9poque et celle d'aujourd'hui sont compl\u00e8tement diff\u00e9rentes.<\/p>\n
Lorsque le CDN haute d\u00e9finition \u00e9tait essentiellement un produit standardis\u00e9, les ressources du n\u0153ud du fournisseur de services \u00e9taient emball\u00e9es dans des paquets \u00e0 vendre, vous acceptiez soit le paquet entier, soit un autre paquet. Mais aujourd'hui, ce n'est plus la m\u00eame chose, j'ai d\u00e9couvert que le march\u00e9 a \u00e9t\u00e9 divis\u00e9 en deux voies tr\u00e8s diff\u00e9rentes - le mod\u00e8le de nuage public et le mod\u00e8le priv\u00e9, comme la diff\u00e9rence entre une vitesse automatique et une vitesse manuelle, chacune avec ses propres sc\u00e9narios d'application.<\/p>\n
Commen\u00e7ons par un cas r\u00e9el. L'ann\u00e9e derni\u00e8re, un client financier a \u00e9t\u00e9 frapp\u00e9 par un DDoS et n'a pas pu prendre soin de sa propre vie, le trafic de pointe s'est pr\u00e9cipit\u00e9 \u00e0 800G ou plus. Il a utilis\u00e9 un CDN bien connu dans le nuage public, les r\u00e9sultats de l'autre partie lui ont directement demand\u00e9 de nettoyer le trafic, l'entreprise a \u00e9t\u00e9 sauv\u00e9e, mais le d\u00e9lai est mont\u00e9 en fl\u00e8che jusqu'\u00e0 plus de 300 ms, le t\u00e9l\u00e9phone de l'utilisateur a presque explos\u00e9. Plus tard, j'ai appris que les pools de ressources du cloud public donnent la priorit\u00e9 aux clients VIP lorsqu'ils sont confront\u00e9s \u00e0 de grosses attaques, et que les clients ordinaires doivent faire la queue et attendre la programmation.<\/p>\n
C'est le c\u0153ur du probl\u00e8me - le CDN de haute d\u00e9fense dans le nuage public est essentiellement un pool de ressources partag\u00e9es multi-locataires, et il est in\u00e9vitable qu'il y ait une ru\u00e9e vers les ressources lorsqu'une attaque se produit. Ne regardez pas l'engagement du fournisseur de services pour la protection de la valeur du ciel, vraiment au moment critique, vos priorit\u00e9s commerciales peuvent ne pas \u00eatre aussi bonnes que la porte d'\u00e0 c\u00f4t\u00e9 pour le paquet annuel de millions de grands clients.<\/p>\n
Le CDN priv\u00e9 \u00e0 haute d\u00e9fense est une solution d'une toute autre dimension. En termes simples, les n\u0153uds CDN sont d\u00e9ploy\u00e9s directement dans votre propre salle de serveurs ou dans un centre d'h\u00e9bergement d\u00e9sign\u00e9, et toutes les ressources informatiques, de bande passante et de protection sont exclusives. C'est comme si vous alliez au cin\u00e9ma sans vous soucier que quelqu'un prenne place \u00e0 c\u00f4t\u00e9 de vous ou que votre voisin vous tartine de pop-corn.<\/p>\n
Mais ne croyez pas que \u201cle d\u00e9ploiement priv\u00e9 convient \u00e0 toutes les entreprises\u201d, ce genre de conneries. J'ai vu le cas le plus pitoyable, celui d'une entreprise de commerce \u00e9lectronique de taille moyenne qui, apr\u00e8s avoir \u00e9cout\u00e9 les boniments des vendeurs, s'est lanc\u00e9e \u00e0 corps perdu dans le CDN privatis\u00e9, ce qui lui a co\u00fbt\u00e9 huit cent mille euros au d\u00e9part, et qui doit ensuite payer des frais de maintenance annuels de 40%. Finalement, il s'est av\u00e9r\u00e9 que son activit\u00e9 n'est m\u00eame pas \u00e0 la hauteur du besoin de ressources exclusives, et qu'il ne fait que d\u00e9penser de l'argent pour acheter un confort psychologique.<\/p>\n
Aujourd'hui, sur le march\u00e9, certains fournisseurs de services prennent en charge le d\u00e9ploiement priv\u00e9, mais la mani\u00e8re d'y parvenir est tr\u00e8s diff\u00e9rente. Par exemple, CDN5 s'est engag\u00e9 dans un programme mat\u00e9riel et logiciel tout-en-un, vous permettant directement d'envoyer quelques serveurs personnalis\u00e9s ; CDN07 est un mod\u00e8le de licence purement logicielle, vous permettant de d\u00e9ployer votre propre mat\u00e9riel ; 08Host est encore plus absolu, engag\u00e9 dans un mod\u00e8le de nuage hybride, g\u00e9n\u00e9ralement avec le nuage public, le moment cl\u00e9 pour activer le shunt du n\u0153ud priv\u00e9.<\/p>\n
En ce qui concerne la mise en \u0153uvre technique, le plus grand casse-t\u00eate pour moi est la question de la synchronisation des n\u0153uds. La configuration du CDN du cloud public est globalement synchronis\u00e9e, mais les d\u00e9ploiements priv\u00e9s doivent s'occuper eux-m\u00eames de la synchronisation des donn\u00e9es. Je me souviens qu'une fois sur une plateforme vid\u00e9o pour effectuer la migration, le simple fait de rafra\u00eechir la configuration du cache m'a presque fait planter :<\/p>\n
Il ne s'agit l\u00e0 que de la synchronisation de base de la configuration ; en cas de r\u00e9paration urgente d'une vuln\u00e9rabilit\u00e9, tous les n\u0153uds doivent faire l'objet d'une mise \u00e0 jour en continu. Une fois que la vuln\u00e9rabilit\u00e9 de Log4j a \u00e9clat\u00e9, l'\u00e9quipe s'est rendue du jour au lendemain dans plus de 40 n\u0153uds priv\u00e9s du monde entier pour appliquer des correctifs, l'op\u00e9ration et la maintenance du fr\u00e8re ont presque d\u00e9missionn\u00e9 sur le champ.<\/p>\n
La configuration de la politique de s\u00e9curit\u00e9 est \u00e9galement un travail technique. Alors que les CDN en nuage public sont g\u00e9n\u00e9ralement dot\u00e9s d'une interface graphique qui permet de pointer et de cliquer, les d\u00e9ploiements priv\u00e9s doivent souvent ignorer directement les fichiers de configuration :<\/p>\n
Pour \u00eatre honn\u00eate, les exigences de ce type de configuration pour l'\u00e9quipe d'exploitation et de maintenance sont sup\u00e9rieures de plus d'un ordre de grandeur. Auparavant, un client pensait que tout irait bien s'il achetait un CDN privatis\u00e9, et en cons\u00e9quence, \u00e0 cause de la mauvaise configuration qui a conduit \u00e0 l'interception erron\u00e9e d'utilisateurs normaux, l'UV a directement chut\u00e9 de 30%.<\/p>\n
Encore une fois, il y a la question du co\u00fbt. Le CDN en nuage public est g\u00e9n\u00e9ralement factur\u00e9 en fonction du volume de trafic et peut \u00e9galement faire l'objet de remises. Mais le d\u00e9ploiement priv\u00e9 de l'investissement initial peut \u00eatre effray\u00e9 \u00e0 mort - le devis d'un fournisseur que j'ai vu, le prix de d\u00e9part d'un seul n\u0153ud est de 500 000, sans compter les co\u00fbts de la bande passante. La bande passante est la vraie grosse t\u00eate, une bande passante exclusive de 100G en frais annuels suffit \u00e0 soutenir plusieurs \u00e9quipes de recherche et d\u00e9veloppement.<\/p>\n
Toutefois, pour les entreprises ayant des besoins r\u00e9els, ces intrants valent la peine d'\u00eatre sacrifi\u00e9s. Une soci\u00e9t\u00e9 de jeux en ligne a privatis\u00e9 le CDN, la latence est pass\u00e9e de 180 ms \u00e0 40 ms, le taux de plainte des joueurs a directement baiss\u00e9 de 70%. Le plus critique est de faire face \u00e0 des attaques DDoS, il n'est plus n\u00e9cessaire que d'autres clients s'emparent des ressources, leur propre strat\u00e9gie de nettoyage peut \u00eatre enti\u00e8rement contr\u00f4l\u00e9e.<\/p>\n
Aujourd'hui, le d\u00e9ploiement priv\u00e9 des fournisseurs de services se divise grosso modo en trois cat\u00e9gories : premi\u00e8rement, les fournisseurs traditionnels de s\u00e9curit\u00e9 r\u00e9seau, tels que CDN5, l'avantage est que les capacit\u00e9s de s\u00e9curit\u00e9 de la pr\u00e9cipitation sont profondes, mais le degr\u00e9 de flexibilit\u00e9 est presque significatif ; deuxi\u00e8mement, le fournisseur de services en nuage au nom de CDN07, la pile technologique est nouvelle, mais il est facile de lier l'\u00e9cologique ; troisi\u00e8mement, 08Host, ce type de fournisseurs CDN professionnels, rentables, mais la r\u00e9ponse du service peut \u00eatre un demi temps plus lent.<\/p>\n
Je recommande g\u00e9n\u00e9ralement aux clients de se concentrer sur plusieurs indicateurs : la performance des n\u0153uds (capacit\u00e9 de traitement des requ\u00eates par seconde), la pr\u00e9cision de la protection (taux de faux positifs), l'\u00e9volutivit\u00e9 (possibilit\u00e9 d'expansion rapide) et, le plus important, le temps de r\u00e9ponse de l'assistance \u00e0 l'exploitation et \u00e0 la maintenance. J'ai vu un fournisseur s'engager \u00e0 fournir une assistance 7 \u00d7 24 heures, mais en cas de panne, il faut attendre 2 heures avant que quelqu'un ne r\u00e9ponde, et le directeur technique du client a failli mettre la salle des serveurs au point.<\/p>\n
Les mod\u00e8les de d\u00e9ploiement sont \u00e9galement tr\u00e8s sp\u00e9cifiques. Le d\u00e9ploiement hors ligne pur convient aux entreprises dont les donn\u00e9es sont extr\u00eamement sensibles, mais les mises \u00e0 jour sont difficiles ; le d\u00e9ploiement hybride est plus pratique, les donn\u00e9es cl\u00e9s \u00e9tant localis\u00e9es et les mises \u00e0 jour des r\u00e8gles \u00e9tant envoy\u00e9es depuis le nuage par un canal crypt\u00e9. Un projet gouvernemental d'informatique en nuage utilise un mod\u00e8le hybride, qui r\u00e9pond aux exigences d'\u00e9galit\u00e9 de protection et permet un acc\u00e8s rapide aux mises \u00e0 jour des renseignements sur les menaces.<\/p>\n
De nos jours, m\u00eame les CDN doivent \u201cpr\u00e9venir les co\u00e9quipiers\u201d. Certains fournisseurs de services affirment que le d\u00e9ploiement est priv\u00e9, mais ils volent secr\u00e8tement les donn\u00e9es pour les renvoyer dans le nuage. Par cons\u00e9quent, avant de signer le contrat, assurez-vous de laisser le service juridique d\u00e9finir clairement les termes du contrat, en particulier la propri\u00e9t\u00e9 des donn\u00e9es et l'autorit\u00e9 d'audit de l'exploitation et de la maintenance de ces deux \u00e9l\u00e9ments, sinon cela revient \u00e0 d\u00e9penser de l'argent pour se creuser un foss\u00e9.<\/p>\n
Enfin, pour dire la v\u00e9rit\u00e9 : un CDN privatis\u00e9 \u00e0 haute s\u00e9curit\u00e9, c'est comme avoir un garde du corps priv\u00e9, c'est effectivement s\u00fbr et exclusif, mais le co\u00fbt n'est pas \u00e0 la port\u00e9e de l'entreprise moyenne. D'apr\u00e8s mon exp\u00e9rience, \u00e0 moins qu'au moins deux des trois conditions suivantes ne soient remplies, il n'est vraiment pas n\u00e9cessaire d'envisager la privatisation : le trafic quotidien moyen est sup\u00e9rieur \u00e0 1 To, l'activit\u00e9 concerne des donn\u00e9es sensibles, l'entreprise a d\u00e9j\u00e0 subi des attaques DDoS de plus de 500G.<\/p>\n
J'ai oubli\u00e9 de mentionner le point le plus critique - le vivier de talents. Pour se lancer dans le CDN priv\u00e9, il faut au moins deux ing\u00e9nieurs principaux charg\u00e9s de l'exploitation et de la maintenance, qui doivent \u00e0 la fois comprendre le r\u00e9seau et la s\u00e9curit\u00e9 et \u00eatre capables d'effectuer des r\u00e9glages. Le cas le plus tragique est celui d'une entreprise qui a d\u00e9ploy\u00e9 un CDN priv\u00e9 pour dix millions d'euros et qui, finalement, parce que personne ne s'occupera de l'exploitation et de la maintenance, ne peut que laisser les ing\u00e9nieurs d'origine op\u00e9rer \u00e0 distance, ce qui \u00e9quivaut \u00e0 d\u00e9penser des millions de dollars par an pour \u00e9lever une \u00e9quipe invisible.<\/p>\n
Revenons donc \u00e0 la question initiale : les CDN de haute d\u00e9fense prennent-ils en charge les d\u00e9ploiements priv\u00e9s ? La r\u00e9ponse est oui, mais tout comme pour l'achat d'une voiture de sport personnalis\u00e9e, vous devez avoir les moyens de payer et d'avoir une \u00e9quipe. Si vous \u00eates toujours partag\u00e9 sur la privatisation, ma suggestion est de trouver CDN07 de tels fournisseurs de services pour essayer une solution de nuage hybride, comme le volume d'affaires jusqu'\u00e0 envisager compl\u00e8tement priv\u00e9. 08Le programme d'\u00e9lasticit\u00e9 de l'h\u00f4te est \u00e9galement bon pour soutenir la migration en douceur du nuage public au d\u00e9ploiement priv\u00e9, afin d'\u00e9viter un investissement unique est trop grand.<\/p>\n
Apr\u00e8s tout, les affaires ne sont pas une course aux armements, la solution la plus appropri\u00e9e est la meilleure. Parfois, le CDN en nuage public ajoute quelques couches suppl\u00e9mentaires de strat\u00e9gie de s\u00e9curit\u00e9, ce qui permet d'obtenir des r\u00e9sultats inattendus, il n'est vraiment pas n\u00e9cessaire d'exclure ces deux mots et de courir aveugl\u00e9ment apr\u00e8s le succ\u00e8s. \u00c9conomiser de l'argent pour embaucher quelques ing\u00e9nieurs en s\u00e9curit\u00e9 suppl\u00e9mentaires, peut-\u00eatre plus que n'importe quel programme haut de gamme sont utiles.<\/p>","protected":false},"excerpt":{"rendered":"
R\u00e9cemment, plusieurs amis de grandes usines sont venus me voir et m'ont pos\u00e9 la m\u00eame question : un CDN \u00e0 haute d\u00e9fense peut-il \u00eatre d\u00e9ploy\u00e9 \u00e0 titre priv\u00e9 ? Pour \u00eatre honn\u00eate, si cette question m'avait \u00e9t\u00e9 pos\u00e9e il y a cinq ans, j'aurais r\u00e9pondu \u201cn'y pensez pas, allez dormir\u201d. Mais la situation de l'\u00e9poque et celle d'aujourd'hui sont compl\u00e8tement diff\u00e9rentes. \u00c0 l'\u00e9poque, le CDN haute d\u00e9finition \u00e9tait essentiellement un produit standardis\u00e9, les ressources du n\u0153ud du fournisseur de services \u00e9taient emball\u00e9es dans des paquets \u00e0 vendre, vous acceptiez le paquet complet ou vous demandiez des conseils. J'ai constat\u00e9 que le march\u00e9 a \u00e9t\u00e9 divis\u00e9 en deux voies tr\u00e8s diff\u00e9rentes : le mode \"nuage public\" et le mode \"priv\u00e9\", comme la diff\u00e9rence entre une vitesse automatique et une vitesse manuelle, chacune ayant ses propres sc\u00e9narios d'application. Commen\u00e7ons par un cas r\u00e9el. L'ann\u00e9e derni\u00e8re, un client du secteur financier a \u00e9t\u00e9 victime d'un DDoS et n'a pas pu prendre soin de lui-m\u00eame, et le trafic de pointe a atteint plus de 800G. Un CDN en nuage public bien connu a \u00e9t\u00e9 utilis\u00e9, et le r\u00e9sultat a \u00e9t\u00e9 que l'autre partie a \u00e9t\u00e9 victime d'un DDoS.<\/p>","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"","sticky":false,"template":"","format":"gallery","meta":{"_seopress_robots_primary_cat":"","_seopress_titles_title":"","_seopress_titles_desc":"","_seopress_robots_index":"","footnotes":""},"categories":[150],"tags":[],"collection":[],"class_list":["post-935","post","type-post","status-publish","format-gallery","hentry","category-updates","post_format-post-format-gallery"],"_links":{"self":[{"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/posts\/935","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/comments?post=935"}],"version-history":[{"count":1,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/posts\/935\/revisions"}],"predecessor-version":[{"id":1191,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/posts\/935\/revisions\/1191"}],"wp:attachment":[{"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/media?parent=935"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/categories?post=935"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/tags?post=935"},{"taxonomy":"collection","embeddable":true,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/collection?post=935"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}