La nuit derni\u00e8re, je suis rest\u00e9 \u00e9veill\u00e9 jusqu'\u00e0 3 heures du matin, juste parce que le CDN de haute d\u00e9fense que nous utilisions a soudainement eu un accident vasculaire c\u00e9r\u00e9bral. La surveillance en arri\u00e8re-plan est une alarme rouge, les plaintes des utilisateurs affluent comme des flocons de neige. De nos jours, m\u00eame le CDN, qui revendique une disponibilit\u00e9 de 99,99%, peut vous donner un spectacle d\u201c\u201d\u00e9vaporation\", ce qui emp\u00eache vraiment les pirates d'emp\u00eacher les co\u00e9quipiers.<\/p>\n
Pour \u00eatre honn\u00eate, l'instabilit\u00e9 du n\u0153ud CDN de haute d\u00e9fense, j'ai march\u00e9 sur la fosse que certaines personnes ont \u00e9crit le code sont plus. Certains fournisseurs de services soufflant le ciel, vraiment rencontr\u00e9 le trafic sur, le n\u0153ud s'est effondr\u00e9 plus vite que le papier m\u00e2ch\u00e9. L'ann\u00e9e derni\u00e8re, j'ai utilis\u00e9 un CDN07, habituellement aussi stable que le vieux chien, une attaque CC directement \u00e0 plat, le temps de r\u00e9ponse de 200 ms a grimp\u00e9 \u00e0 20 secondes, l'appel t\u00e9l\u00e9phonique du client a presque atteint notre ligne fixe.<\/p>\n
Ne vous empressez pas de r\u00e9primander le fournisseur de services en premier lieu, la raison de l'instabilit\u00e9 du n\u0153ud peut \u00eatre plus compliqu\u00e9e que vous ne le pensez. Je la r\u00e9sume comme suit : fluctuations de la dorsale du r\u00e9seau (en particulier les n\u0153uds intercontinentaux), pompage des FAI locaux, trafic DDoS d\u00e9passant la capacit\u00e9 de nettoyage du n\u0153ud, certificats SSL mal configur\u00e9s, ou peut-\u00eatre m\u00eame un climatiseur en panne dans la salle des serveurs - j'ai vraiment rencontr\u00e9 un fournisseur qui a surchauff\u00e9 et d\u00e9class\u00e9 des n\u0153uds en raison d'une d\u00e9faillance du climatiseur.<\/p>\n
La semaine derni\u00e8re, j'ai aid\u00e9 des amis \u00e0 v\u00e9rifier un cas particuli\u00e8rement typique : avec un fournisseur CDN5 bien connu, j'ai soudainement constat\u00e9 que la latence du n\u0153ud de l'Asie de l'Est avait grimp\u00e9 en fl\u00e8che. Apr\u00e8s v\u00e9rification par MTR, il s'est av\u00e9r\u00e9 que le n\u0153ud lui-m\u00eame n'\u00e9tait pas un probl\u00e8me, mais qu'il s'agissait d'un point de saut de routage interm\u00e9diaire qui avait \u00e9t\u00e9 endommag\u00e9. \u00c0 ce moment-l\u00e0, vous avez critiqu\u00e9 l'inutilit\u00e9 du fournisseur de CDN, les gens ne peuvent pas contr\u00f4ler le routage de l'op\u00e9rateur.<\/p>\n
La premi\u00e8re chose \u00e0 faire est de d\u00e9terminer l'ampleur du probl\u00e8me. N'attendez pas b\u00eatement que le fournisseur de services vous r\u00e9ponde, utilisez d'abord les outils pour r\u00e9soudre le probl\u00e8me vous-m\u00eame :<\/p>\n
Si vous constatez que les utilisateurs d'une zone particuli\u00e8re acc\u00e8dent au site de mani\u00e8re anormale, il est probable qu'il y ait un probl\u00e8me au niveau du point POP local. Ne vous fiez pas au panneau de contr\u00f4le \u00e0 ce stade - les pages d'\u00e9tat de certains fournisseurs diront toujours \u201ctout va bien\u201d, ce qui est moins fiable qu'une pr\u00e9vision m\u00e9t\u00e9orologique.<\/p>\n
J'ai subi une perte l'ann\u00e9e derni\u00e8re avec 08Host. Leur page d'\u00e9tat \u00e9tait toute verte, mais en fait le n\u0153ud de la Chine du Sud \u00e9tait en panne depuis une demi-heure. J'ai alors appris \u00e0 \u00eatre intelligent et j'ai utilis\u00e9 UptimeRobot pour mettre en place plus de 20 points de surveillance, ce qui est plus sensible que la propre surveillance du fournisseur de services.<\/p>\n
La proc\u00e9dure d'or apr\u00e8s la d\u00e9couverte d'une anomalie dans un n\u0153ud : activer imm\u00e9diatement le n\u0153ud de secours ! Un CDN fiable devrait prendre en charge l'\u00e9quilibrage de la charge entre plusieurs n\u0153uds. Dans notre pratique, le trafic habituel est dirig\u00e9 vers le n\u0153ud principal et bascule automatiquement vers le n\u0153ud de secours lorsque des anomalies sont d\u00e9tect\u00e9es. Laissez-moi vous montrer une configuration r\u00e9elle :<\/p>\n
Faites attention au param\u00e8tre BACKUP - c'est la derni\u00e8re ligne de d\u00e9fense. Si tous les n\u0153uds du r\u00e9seau de distribution de contenu (CDN) tombent en panne, le trafic sera renvoy\u00e9 vers votre propre serveur. Il ne sera peut-\u00eatre pas en mesure de supporter un trafic important, mais il permettra au moins d'\u00e9viter que l'entreprise ne s'arr\u00eate compl\u00e8tement.<\/p>\n
Le changement de n\u0153ud n'est qu'une solution d'urgence, le probl\u00e8me fondamental \u00e9tant toujours de trouver le fournisseur de services. Mais la mani\u00e8re de communiquer a ses propres r\u00e8gles. Ne vous contentez pas de dire \u201cvotre n\u0153ud est bloqu\u00e9\u201d, les ing\u00e9nieurs sont tr\u00e8s agac\u00e9s par ce genre de description vague. Pr\u00e9parez un mod\u00e8le de rapport d'incident, chaque fois qu'il est directement jet\u00e9 par-dessus bord :<\/p>\n
Je l'ai test\u00e9 et j'ai constat\u00e9 que si vous transmettez les donn\u00e9es au service client\u00e8le, la vitesse de traitement peut \u00eatre plus de trois fois sup\u00e9rieure. La semaine derni\u00e8re, CDN07 a r\u00e9solu le probl\u00e8me en 18 minutes seulement, parce que ses ing\u00e9nieurs ont examin\u00e9 les donn\u00e9es pour localiser directement le probl\u00e8me du lien de peering de Shanghai Mobile.<\/p>\n
Les solutions \u00e0 long terme doivent commencer d\u00e8s le d\u00e9but de la s\u00e9lection pour \u00e9viter les risques. Pour choisir un CDN, je dois maintenant examiner trois indicateurs : la redondance des n\u0153uds (au moins 2 n\u0153uds disponibles dans chaque r\u00e9gion), le nombre de liens BGP (pour d\u00e9terminer les capacit\u00e9s d'optimisation des routes), la capacit\u00e9 de nettoyage (ne pas croire \u00e0 la valeur th\u00e9orique, mais voir les performances de l'attaque r\u00e9elle).<\/p>\n
08Host a fait du bon travail dans ce domaine, en d\u00e9ployant plus de 3 n\u0153uds dans chaque r\u00e9gion et en utilisant diff\u00e9rents fournisseurs de salles de serveurs pour les diff\u00e9rents n\u0153uds. M\u00eame si une salle de serveurs a un probl\u00e8me, les autres n\u0153uds peuvent toujours \u00eatre couverts. Bien que le prix soit plus \u00e9lev\u00e9, il est beaucoup plus rentable que la perte d'un temps d'arr\u00eat de l'activit\u00e9.<\/p>\n
Voici un autre conseil : effectuez r\u00e9guli\u00e8rement des exercices de simulation de d\u00e9faillance. Chaque mois, choisissez une p\u00e9riode de faible affluence, simulez manuellement la d\u00e9faillance d'un n\u0153ud et v\u00e9rifiez que le processus de basculement se d\u00e9roule sans heurts. N'attendez pas que quelque chose se passe mal pour d\u00e9couvrir que le n\u0153ud de secours est configur\u00e9 avec le mauvais certificat SSL - j'ai vu ce genre d'erreur de bas niveau plus d'une fois.<\/p>\n
Enfin, un fait ind\u00e9niable : il n'existe pas de CDN 100% stable. Les CDN puissants comme Cloudflare connaissent \u00e9galement des temps d'arr\u00eat. La cl\u00e9 est de disposer d'un syst\u00e8me complet de reprise apr\u00e8s sinistre. Nous d\u00e9ployons actuellement une architecture \u00e0 trois niveaux : CDN5 pour l'acc\u00e9l\u00e9ration frontale et la pr\u00e9vention des attaques DDoS, CDN07 pour l'\u00e9quilibrage global de la charge, et enfin 08Host comme solution de secours. Bien que le co\u00fbt soit un peu plus \u00e9lev\u00e9, au cours des deux derni\u00e8res ann\u00e9es, nous n'avons jamais subi d'interruption d'activit\u00e9 due \u00e0 des probl\u00e8mes de CDN.<\/p>\n
N'oubliez pas qu'un CDN \u00e0 haute d\u00e9fense ne consiste pas simplement \u00e0 acheter un service et \u00e0 s'en contenter. Il faut surveiller en permanence, tester r\u00e9guli\u00e8rement et \u00e9tablir des plans d'urgence. Ceux qui disent \u201cachetez un CDN \u00e0 haute d\u00e9fense pour \u00eatre tranquille\u201d sont soit stupides, soit mauvais. La s\u00e9curit\u00e9 des r\u00e9seaux est cens\u00e9e \u00eatre une guerre d'attaque et de d\u00e9fense, les n\u0153uds stables d'aujourd'hui peuvent s'effondrer demain, il faut rester vigilant plus que tout.<\/p>\n
La prochaine fois que vous rencontrerez un n\u0153ud qui pompe, prenez d'abord une grande respiration, puis suivez ce processus : surveillance et positionnement \u2192 commutation des n\u0153uds \u2192 collecte de donn\u00e9es \u2192 contact avec les fournisseurs. Ne soyez pas press\u00e9 de changer aveugl\u00e9ment la configuration, une fois que mon coll\u00e8gue a gliss\u00e9 et a coup\u00e9 tout le trafic vers le n\u0153ud en attente, les r\u00e9sultats de ce n\u0153ud ne sont pas configur\u00e9s pour prot\u00e9ger les r\u00e8gles, directement bross\u00e9 500G trafic ...... c'est le vrai d\u00e9sastre.<\/p>\n
V\u00e9rifiez la configuration de votre CDN. Une commutation automatique a-t-elle \u00e9t\u00e9 mise en place ? Les n\u0153uds de sauvegarde ont-ils \u00e9t\u00e9 test\u00e9s ? Les conditions de l'accord de niveau de service du fournisseur de services ont-elles \u00e9t\u00e9 lues et comprises ? Ces devoirs ne sont g\u00e9n\u00e9ralement pas faits, il se passe quelque chose, vous ne pouvez que vous agenouiller et supplier.<\/p>","protected":false},"excerpt":{"rendered":"
La nuit derni\u00e8re, je suis rest\u00e9 \u00e9veill\u00e9 jusqu'\u00e0 3 heures du matin, juste parce que le CDN de haute d\u00e9fense que nous utilisions a soudainement eu un accident vasculaire c\u00e9r\u00e9bral. La surveillance en arri\u00e8re-plan est une alarme rouge, les plaintes des utilisateurs affluent comme des flocons de neige. De nos jours, m\u00eame le CDN, qui revendique une disponibilit\u00e9 de 99,99%, peut vous donner un spectacle d\u201c\u201d\u00e9vaporation\", ce qui emp\u00eache vraiment les pirates d'emp\u00eacher les co\u00e9quipiers. Pour \u00eatre honn\u00eate, l'instabilit\u00e9 du n\u0153ud CDN de haute d\u00e9fense, j'ai march\u00e9 sur la fosse que certaines personnes ont \u00e9crit le code sont plus. Certains fournisseurs de services soufflant le ciel, vraiment rencontr\u00e9 le trafic sur, le n\u0153ud s'est effondr\u00e9 plus vite que le papier m\u00e2ch\u00e9. L'ann\u00e9e derni\u00e8re, j'ai utilis\u00e9 un CDN07, habituellement aussi stable que le vieux chien, une attaque CC directement \u00e0 plat, le temps de r\u00e9ponse de 200 ms a grimp\u00e9 \u00e0 20 secondes, l'appel t\u00e9l\u00e9phonique du client a presque atteint notre ligne fixe. Ne vous empressez pas de r\u00e9primander le fournisseur de services, la raison de l'instabilit\u00e9 du n\u0153ud peut \u00eatre plus compliqu\u00e9e que vous ne le pensez. J'ai toujours<\/p>","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"","sticky":false,"template":"","format":"gallery","meta":{"_seopress_robots_primary_cat":"","_seopress_titles_title":"","_seopress_titles_desc":"","_seopress_robots_index":"","footnotes":""},"categories":[150],"tags":[],"collection":[],"class_list":["post-998","post","type-post","status-publish","format-gallery","hentry","category-updates","post_format-post-format-gallery"],"_links":{"self":[{"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/posts\/998","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/comments?post=998"}],"version-history":[{"count":1,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/posts\/998\/revisions"}],"predecessor-version":[{"id":1127,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/posts\/998\/revisions\/1127"}],"wp:attachment":[{"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/media?parent=998"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/categories?post=998"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/tags?post=998"},{"taxonomy":"collection","embeddable":true,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/collection?post=998"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}