Giunsa namo paglusot ang Great Chinese Firewall (Bahin 3)

Hello!
Ang tanan nga maayong mga istorya matapos. Ug ang among istorya bahin sa kung giunsa namon nahimo ang usa ka solusyon aron dali nga maipasa ang Chinese Firewall dili eksepsiyon. Busa, ako nagdali sa pagpaambit kaninyo sa kataposang usa, ang kataposang bahin sa niini nga hilisgutan.

Sa miaging bahin naghisgot kami bahin sa daghang mga bangko sa pagsulay nga among nahimo ug kung unsa ang mga sangputanan nga ilang gihatag. Ug nag-settle mi kung unsay nindot idugang CDN! para sa viscosity sa among scheme.

Isulti ko kanimo kung giunsa namon gisulayan ang Alibaba Cloud CDN, Tencent Cloud CDN ug Akamai, ug kung unsa ang among natapos. Ug siyempre, atong i-summarize.

Alibaba Cloud CDN

Gi-host kami sa Alibaba Cloud ug gigamit ang IPSEC ug CEN gikan kanila. Makataronganon nga sulayan una ang ilang mga solusyon.

Ang Alibaba Cloud adunay duha ka matang sa produkto nga mahimong mohaum kanato: CDN и DCDN. Ang una nga kapilian usa ka klasiko nga CDN alang sa usa ka piho nga domain (subdomain). Ang ikaduha nga kapilian nagbarug alang sa Dinamikong Ruta para sa CDN (Gitawag ko kini nga dinamikong CDN), mahimo kini sa Full-site mode (alang sa mga wildcard nga domain), kini usab nag-cache sa static nga sulud ug nagpadali sa dinamikong sulud sa kaugalingon, nga mao, ang dinamika sa panid ma-load usab pinaagi sa taghatag. paspas nga mga network. Importante kini alang kanamo, tungod kay sa batakan ang among site mao ang dinamiko, kini naggamit sa daghang mga subdomain, ug kini mas sayon ​​sa pag-set up sa usa ka CDN kausa alang sa "asterisk" - *.semrushchina.cn.

Nakita na namo kini nga produkto sa unang mga yugto sa among proyekto sa China, apan wala pa kini nagtrabaho, ug ang mga developers misaad nga ang produkto sa dili madugay mahimong magamit sa tanan nga mga kustomer. Ug iyang gibuhat.

Sa DCDN mahimo nimong:

• i-configure ang pagtapos sa SSL gamit ang imong sertipiko,
• makahimo sa pagpadali sa dinamikong sulod,
• flexible nga pag-configure sa caching sa mga static nga file,
• limpyohan ang cache,
• pasulong nga mga socket sa web,
• makahimo sa compression ug bisan sa HTML Beautifier.

Sa kinatibuk-an, ang tanan parehas sa mga hamtong ug dagkong CDN providers.

Human matino ang Origin (ang dapit diin moadto ang CDN edge servers), ang nahabilin mao ang paghimo ug CNAME para sa asterisk, nga nagpunting all.semrushchina.cn.w.kunluncan.com (kini nga CNAME nadawat sa Alibaba Cloud console) ug ang CDN molihok.

Base sa mga resulta sa pagsulay, kini nga CDN nakatabang kaayo kanamo. Ang mga estadistika gipakita sa ubos.

desisyon
Uptime
Median
75 Porsiyento
95 Porsiyento

Cloudflare
86.6
18s
30s
60s

IPsec
99.79
18s
21s
30s

CEN
99.75
16s
21s
27s

CEN/IPsec + GLB
99.79
13s
16s
25s

Ali CDN + CEN/IPsec + GLB
99.75
10s
12.8s
17.3s

Maayo kaayo kini nga mga resulta, labi na kung imong itandi kini sa kung unsa ang mga numero sa sinugdanan. Apan nahibal-an namon nga ang pagsulay sa browser sa American nga bersyon sa among website nga www.semrush.com nagdagan gikan sa USA sa aberids nga 8.3s (usa ka gibanabana nga kantidad). Adunay lawak alang sa kalamboan. Dugang pa, adunay mga tagahatag usab sa CDN nga makapaikag nga sulayan.

Mao nga hapsay kami nga nagpadayon sa lain nga higante sa merkado sa China - Tencent.

Tencent Cloud

Ang Tencent nagpalambo lang sa iyang panganod - kini makita gikan sa gamay nga gidaghanon sa mga produkto. Samtang gigamit kini, gusto namon nga sulayan dili lamang ang ilang CDN, apan usab ang ilang imprastraktura sa network sa kinatibuk-an:

• naa ba silay susama sa CEN?
• Giunsa pagtrabaho ang IPSEC alang kanila? Dali ra ba, unsa ang oras sa pag-up?
• naa ba silay Anycast?

Atong tan-awon kini nga mga pangutana nga gilain.

Analogue CEN

Adunay produkto si Tencent Cloud Connect Network (CCN), nga nagtugot kanimo sa pagkonektar sa mga VPC gikan sa lainlaing mga rehiyon, lakip ang mga rehiyon sa sulod ug gawas sa China. Ang produkto naa na karon sa internal nga beta, ug kinahanglan nimo nga maghimo usa ka tiket nga naghangyo nga makonektar niini. Nahibal-an namon gikan sa suporta nga ang mga global nga account (wala kami maghisgot bahin sa mga lungsuranon sa China o ligal nga entidad) dili makaapil sa programa sa pagsulay sa beta ug, sa kinatibuk-an, magkonektar sa usa ka rehiyon sa sulod sa China sa usa ka rehiyon sa gawas. 1-0 pabor kang Ali Cloud

IPSEC

Ang kinahabagatan nga rehiyon sa Tencent kay mao ang Guangzhou. Nagtigom mi ug tunnel ug gikonektar kini sa rehiyon sa Hong Kong sa GCP (unya kini nga rehiyon magamit na). Ang ikaduhang tunel sa Ali Cloud gikan sa Shenzhen ngadto sa Hong Kong gipataas usab sa samang higayon. Kini nahimo nga pinaagi sa Tencent network ang latency sa Hong Kong sa kasagaran mas maayo (10ms) kay sa gikan sa Shenzhen ngadto sa Hong Kong ngadto sa Ali (120ms - unsa?). Apan wala kini makapadali sa trabaho sa site nga nagtumong sa pagtrabaho pinaagi sa Tencent ug kini nga tunel, nga sa iyang kaugalingon usa ka talagsaon nga kamatuoran ug sa makausa pa nagpamatuod sa mosunod: latency - alang sa China kini dili usa ka timailhan nga tinuod nga bili pagtagad sa sa diha nga pagpalambo sa usa ka solusyon alang sa pagpasa sa Chinese firewall.

Anycast Internet Acceleration

Ang laing produkto nga nagtugot kanimo sa pagtrabaho pinaagi sa anycast IP mao ang AIA. Apan dili usab kini magamit sa mga global nga account, mao nga dili nako isulti kanimo ang bahin niini, apan nahibal-an nga adunay ingon nga produkto mahimong mapuslanon.

Apan ang pagsulay sa CDN nagpakita sa pipila ka makapaikag nga mga resulta. Ang CDN ni Tencent dili mahimo sa usa ka bug-os nga site, sa piho nga mga dominyo lamang. Naghimo kami og mga domain ug nagpadala og trapiko ngadto kanila:

Kini nahimo nga kini nga CDN adunay mosunod nga function: Pag-optimize sa Trapiko sa Cross Border. Kini nga bahin kinahanglan nga makunhuran ang gasto kung ang trapiko moagi sa firewall sa China. Ingon Sinugdanan Ang IP address sa Google GLB (GLB anycast) gipiho. Sa ingon, gusto namon nga pasimplehon ang arkitektura sa proyekto.

Ang mga resulta maayo kaayo - sa lebel sa Ali Cloud CDN, ug sa pipila ka mga dapit mas maayo pa. Nakurat kini, tungod kay kung malampuson ang mga pagsulay, mahimo nimong biyaan ang usa ka hinungdanon nga bahin sa imprastraktura, tunnels, CEN, virtual machine, ug uban pa.

Wala kami nagmaya sa dugay nga panahon, tungod kay usa ka problema ang gipadayag: ang mga pagsulay sa Catchpoint napakyas alang sa Internet provider nga China Mobile. Gikan sa bisan unsang lokasyon nakadawat kami usa ka timeout pinaagi sa CDN ni Tencent. Ang korespondensiya sa teknikal nga suporta wala mosangpot sa bisan unsa. Gisulayan namo nga sulbaron kini nga problema sulod sa mga usa ka adlaw, apan walay nahimo.

Naa ko sa China nianang higayuna, apan wala ko makit-an ang publiko nga Wi-Fi sa network sa kini nga provider aron personal nga mapamatud-an ang problema. Kung dili ang tanan tan-awon nga paspas ug maayo.
Bisan pa, tungod sa kamatuoran nga ang China Mobile usa sa tulo ka pinakadako nga operator, napugos kami sa pagbalik sa trapiko sa Ali CDN.
Apan sa kinatibuk-an, kini usa ka makapaikag nga solusyon nga angayan nga mas taas nga pagsulay ug pagsulbad sa kini nga problema.

Akamai

Ang katapusan nga CDN provider nga among gisulayan mao Akamai. Kini usa ka dako nga tighatag nga adunay network sa China. Siyempre, dili kami makalapas niini.

Gikan sa sinugdanan, miuyon kami sa Akamai alang sa usa ka panahon sa pagsulay aron among mabalhin ang domain ug makita kung giunsa kini molihok sa ilang network. Akong ihulagway ang resulta sa tanan nga pagsulay sa porma sa "Unsa ang akong nagustohan" ug "Unsa ang dili nako gusto," ug ihatag ko usab ang mga resulta sa pagsulay.

Ang akong nagustohan:

• Ang mga lalaki gikan sa Akamai makatabang kaayo sa tanan nga mga pangutana ug miuban kanamo sa tanan nga mga yugto sa pagsulay. Kanunay kaming naningkamot sa pagpauswag sa usa ka butang sa among kiliran. Naghatag sila og maayong teknikal nga tambag.
• Ang Akamai mga 10-15% nga mas hinay kaysa sa among solusyon pinaagi sa Ali Cloud CDN. Unsa ang impresibo mao nga sa Origin for Akamai among gipiho ang IP address sa GLB, nagpasabut nga ang trapiko wala moagi sa among solusyon (potensyal nga mahimo namon biyaan ang bahin sa imprastraktura). Apan sa gihapon, ang mga resulta sa pagsulay nagpakita nga kini nga solusyon mas grabe pa kay sa atong kasamtangan nga bersyon (comparative resulta sa ubos).
• Gisulayan ang Origin GLB ug Origin sa China. Ang duha ka mga kapilian halos pareho.
• Adunay Sigurado nga Ruta (awtomatikong pag-optimize sa ruta). Mahimo nimong i-host ang usa ka butang sa pagsulay sa Origin, ug ang mga server sa Akamai Edge mosulay sa pagkuha niini (regular nga GET). Alang sa kini nga mga hangyo, ang katulin ug uban pang mga sukatan gisukod, kung diin gi-optimize sa network sa Akamai ang mga ruta aron ang trapiko mas paspas alang sa among site ug klaro nga ang pagpagana sa kini nga bahin adunay kusog nga epekto sa katulin sa site.
• Ang pag-bersiyon sa configuration sa web interface kay cool. Mahimo nimo itandi ang mga bersyon, tan-awa ang diff. Tan-awa ang nangaging mga bersyon.
• Mahimo nimong ilunsad ang usa ka bag-ong bersyon una lamang sa Akamai Staging network - ang parehas nga network sa produksiyon, kini nga paagi dili makaapekto sa tinuod nga mga tiggamit. Alang sa kini nga pagsulay, kinahanglan nimo nga ipanglimbong ang mga rekord sa DNS sa imong lokal nga makina.
• Kusog kaayo nga tulin sa pag-download pinaagi sa ilang network alang sa dagkong mga static nga mga file, ug, dayag, bisan unsang ubang mga file. Ang usa ka file gikan sa "bugnaw" nga cache makuha sa daghang mga higayon nga mas paspas kaysa sa parehas nga file gikan sa "bugnaw" nga cache sa Ali CDN. Gikan sa "init" nga cache, ang katulin parehas na, plus o minus.

Ali CDN nga pagsulay:

root@shenzhen1:~# curl -o /dev/null -w@curl_time https://en.semrushchina.cn/my_reports/build/scripts/simpleInit.js?v=1551879212
  % Total    % Received % Xferd  Average Speed   Time    Time     Time  Current
                                 Dload  Upload   Total   Spent    Left  Speed
100 5757k    0 5757k    0     0   513k      0 --:--:--  0:00:11 --:--:--  526k
time_namelookup:  0.004286
time_connect:  0.030107
time_appconnect:  0.117525
time_pretransfer:  0.117606
time_redirect:  0.000000
time_starttransfer:  0.840348
----------
time_total:  11.208119
----------
size_download:  5895467 Bytes
speed_download:  525999.000B/s

Pagsulay sa Akamai:

root@shenzhen1:~# curl -o /dev/null -w@curl_time https://www.semrushchina.cn/my_reports/build/scripts/simpleInit.js?v=1551879212
  % Total    % Received % Xferd  Average Speed   Time    Time     Time  Current
                                 Dload  Upload   Total   Spent    Left  Speed
100 5757k    0 5757k    0     0  1824k      0 --:--:--  0:00:03 --:--:-- 1825k
time_namelookup:  0.509005
time_connect:  0.528261
time_appconnect:  0.577235
time_pretransfer:  0.577324
time_redirect:  0.000000
time_starttransfer:  1.327013
----------
time_total:  3.154850
----------
size_download:  5895467 Bytes
speed_download:  1868699.000B/s

Namatikdan namon nga ang sitwasyon sa pananglitan sa ibabaw nagdepende sa lainlaing mga hinungdan. Sa panahon sa pagsulat niini nga punto, ako midagan pag-usab sa pagsulay. Ang mga resulta alang sa duha nga mga plataporma gibanabana nga parehas. Gisultihan kami niini nga ang Internet sa China, bisan alang sa dagkong mga operator ug cloud provider, lahi ang pamatasan matag karon ug unya.

Sa miaging punto, magdugang ako usa ka dako nga dugang alang sa Akamai: kung si Ali nagpakita sa parehas nga mga pagkidlap sa taas nga pasundayag ug ubos kaayo nga pasundayag (kini magamit sa Ali CDN, Ali CEN, ug Ali IPSEC), unya Akamai, matag higayon, bisan unsa pa. kung giunsa nako pagsulay ang ilang network, ang tanan nagtrabaho nga stable.
Ang Akamai adunay daghang sakup sa China ug nagtrabaho pinaagi sa daghang mga tagahatag.

Ang dili nako ganahan:

• Dili ko ganahan sa web interface ug sa paagi sa pagtrabaho niini - kini dili maayo. Apan sa batakan naanad ka niini (tingali).
• Ang mga resulta sa pagsulay mas grabe kaysa sa among site.
• Adunay daghang mga sayup sa panahon sa mga pagsulay kaysa sa among site (uptime sa ubos).
• Wala kami kaugalingon nga DNS server sa China. Busa adunay daghang mga sayop sa mga pagsulay tungod sa DNS pagsulbad sa timeout.
• Wala sila naghatag sa ilang mga IP range -> walay paagi sa pagparehistro sa husto set_real_ip_from sa among mga server.

Mga Sukatan (~3626 midagan; tanang sukatan gawas sa Uptime, sa ms; estadistika sa usa ka yugto sa panahon):

CDN Provider
Median
75%
95%
tubag
Tubag sa Webpage
Uptime
DNS
Sumpaysumpaya
maghulat
load
SSL

AliCDN
9195
10749
17489
1,715
10,745
99.531
57
17
927
479
200

Akamai
9783
11887
19888
2,352
11,550
98.980
424
91
1408
381
50

Pag-apod-apod pinaagi sa Porsiyento (sa ms):

Porsyento
Akamai
AliCDN

10
7,092
6,942

20
7,775
7,583

30
8,446
8,092

40
9,146
8,596

50
9,783
9,195

60
10,497
9,770

70
11,371
10,383

80
12,670
11,255

90
15,882
13,165

100
91,592
91,596

Ang konklusyon mao kini: ang kapilian sa Akamai mabuhi, apan wala maghatag sa parehas nga kalig-on ug katulin sama sa among kaugalingon nga solusyon inubanan sa Ali CDN.

Gamay nga mga nota

Ang ubang mga gutlo wala maapil sa istorya, apan gusto ko nga mosulat usab mahitungod niini.

Beijing + Tokyo ug Hong Kong

Sama sa akong giingon sa ibabaw, gisulayan namon ang usa ka IPSEC tunnel sa Hong Kong (HK). Apan gisulayan usab namo ang CEN ngadto sa HK. Gamay ra ang gasto niini, ug naghunahuna ko kung giunsa kini molihok tali sa mga lungsod nga adunay gilay-on nga ~100 km. Kini nahimo nga makapaikag nga ang latency tali sa mga lungsod mao ang 100ms nga mas taas kaysa sa among orihinal nga bersyon (sa Taiwan). Ang katulin, kalig-on mas maayo usab alang sa Taiwan. Ingon usa ka sangputanan, mibiya kami sa HK ingon usa ka backup nga rehiyon sa IPSEC.

Dugang pa, gisulayan namon nga i-install ang mosunud nga pag-install:

• pagtapos sa mga kliyente sa Beijing,
• IPSEC ug CEN sa Tokyo,
• sa Ali CDN ang server sa Beijing gipaila nga gigikanan.

Kini nga laraw dili kaayo lig-on, bisan kung sa mga termino sa katulin kini sa kasagaran dili ubos sa among solusyon. Mahitungod sa tunnel, nakakita ko og mga putol-putol nga pagtulo bisan sa CEN, nga unta lig-on. Busa, mibalik kami sa daan nga laraw ug gibungkag kini nga dula.

Sa ubos mao ang mga estadistika sa latency tali sa lain-laing mga rehiyon alang sa lain-laing mga channel. Tingali adunay interesado niini.

IPsec
Ali cn-beijing <—> GCP asia-northeast1 — 193ms
Ali cn-shenzhen <—> GCP asia-east2 — 91ms
Ali cn-shenzhen <—> GCP us-east4 — 200ms

CEN
Ali cn-beijing <—> Ali ap-northeast-1 — 54ms (!)
Ali cn-shenzhen <—> Ali cn-hongkong — 6ms (!)
Ali cn-shenzhen <—> Ali us-east1 — 216ms

Kinatibuk-ang impormasyon bahin sa Internet sa China

Isip dugang sa mga problema sa Internet nga gihulagway sa sinugdanan, sa unang bahin sa artikulo.

• Ang Internet sa China kusog kaayo sa sulod.
  • Ang konklusyon gihimo base sa pagsulay sa publiko nga mga Wi-Fi network sa lainlaing mga lokasyon diin kini nga mga network gigamit sa daghang mga tawo.
  • Ang katulin sa pag-download ug pag-upload sa mga server sa sulod sa China mga 20 Mbit/s ug 5-10 Mbit/s, matag usa.
  • Ang katulin sa mga server sa gawas sa China gamay ra, wala’y 1 Mbit/s.
• Ang Internet sa China dili kaayo lig-on.
  • Usahay ang mga site mahimong dali nga magbukas, usahay hinay (sa parehas nga oras sa adlaw sa lainlaing mga adlaw), kung dili mabag-o ang pag-configure. Among naobserbahan kini sa pananglitan sa semrushchina.cn. Mahimo kini nga ipahinungod sa Ali CDN, nga nagtrabaho usab niini nga paagi ug depende sa oras sa adlaw, posisyon sa mga bituon, ug uban pa.
• Ang Mobile Internet halos bisan asa 4G o 4G+. Kuhaa kini sa subway, mga elevator - sa laktud, bisan asa.
• Usa kini ka mito nga ang mga tiggamit sa China nagsalig lang sa mga domain sa .cn zone. Natun-an namon kini direkta gikan sa mga tiggamit.
  • Makita nimo kung giunsa http://baidu.cn i-redirect sa www.baidu.com (sa mainland China usab).
• Daghang mga kahinguhaan ang gibabagan. Primitive: google.com, Facebook, Twitter. Apan daghang mga kapanguhaan sa Google ang nagtrabaho (siyempre, dili sa tanan nga Wi-Fi ug VPN wala gigamit (sa kilid sa router usab, sigurado kana).
• Daghang "teknikal" nga mga dominyo sa gibabagan nga mga korporasyon nagtrabaho usab. Nagpasabot kini nga dili nimo kinahanglan nga kanunay nga walay pagpugong nga putlon ang tanan nga Google ug uban pang daw gibabagan nga mga kapanguhaan. Kinahanglan nimong pangitaon ang pipila ka lista sa gidili nga mga dominyo.
• Sila adunay tulo lamang ka nag-unang Internet operators: China Unicom, China Telecom, China Mobile. Adunay mas gagmay pa, apan ang ilang bahin sa merkado dili kaayo hinungdanon

Bonus: katapusan nga diagram sa solusyon

Ang resulta

Usa ka tuig ang milabay sukad sa pagsugod sa proyekto. Nagsugod kami sa kamatuoran nga ang among site sa kasagaran nagdumili sa pagtrabaho nga normal gikan sa China, ug ang GET curl lang nga 5.5 segundos.

Dayon, uban niini nga mga timailhan sa unang solusyon (Cloudflare):

desisyon
Uptime
Median
75 Porsiyento
95 Porsiyento

Cloudflare
86.6
18s
30s
60s

Sa kadugayan naabot namo ang mosunod nga mga resulta (statistika sa miaging bulan):

desisyon
Uptime
Median
75 Porsiyento
95 Porsiyento

Ali CDN + CEN/IPsec + GLB
99.86
8.8s
9.5s
13.7s

Sama sa imong nakita, wala pa kami nakakab-ot sa 100% nga oras sa pag-uptime, apan adunay usa ka butang, ug dayon isulti namon kanimo ang mga resulta sa usa ka bag-ong artikulo :)

Respeto sa mga nagbasa sa tulo ka bahin hangtod sa katapusan. Nanghinaut ko nga nakaplagan nimo kining tanan nga makapainteres sama sa akong gibuhat sa dihang gibuhat ko kini.

PS Nauna nga mga bahin

Bahin sa 1
Bahin sa 2

Source: www.habr.com