Sháraigh trácht dlisteanach ar líonra DDoS-Guard le déanaí céad gigabuit in aghaidh an tsoicind. Faoi láthair, gineann seirbhísí gréasáin cliant 50% dár dtrácht ar fad. Is iomaí sin na mílte fearann, an-difriúil agus i bhformhór na gcásanna a éilíonn cur chuige aonair.
Anseo thíos tá an chaoi a ndéanaimid bainistiú ar nóid tosaigh agus eisímid deimhnithe SSL do na céadta mílte láithreán.
Tá sé éasca tosaigh a bhunú do shuíomh amháin, fiú do shuíomh an-mhór. Glacann muid nginx nó haproxy nó lighttpd, é a chumrú de réir na dtreoracha agus déan dearmad faoi. Más gá dúinn rud éigin a athrú, déanaimid athlódáil agus déanaimid dearmad arís.
Athraíonn gach rud nuair a phróiseálann tú líon mór tráchta ar an eitilt, meastóireacht a dhéanamh ar dhlisteanacht na n-iarratas, compress agus taisce ábhar úsáideora, agus ag an am céanna paraiméadair a athrú arís agus arís eile in aghaidh an tsoicind. Ba mhaith leis an úsáideoir an toradh a fheiceáil ar gach nód seachtrach díreach tar éis dó na socruithe ina chuntas pearsanta a athrú. Is féidir le húsáideoir na mílte (agus uaireanta na mílte) fearann a íoslódáil le paraiméadair phróiseála tráchta aonair tríd an API. Ba cheart go n-oibreodh sé seo go léir láithreach i Meiriceá, agus san Eoraip, agus san Áise - níl an tasc is fánach, ag smaoineamh go bhfuil roinnt nóid scagacháin scartha go fisiciúil i Moscó amháin.
Cén fáth go bhfuil go leor nóid iontaofa móra ar fud an domhain?
-
Cáilíocht na seirbhíse do thrácht na gcliant - ní mór iarratais ó SAM a phróiseáil i SAM (lena n-áirítear ionsaithe, parsáil agus aimhrialtachtaí eile), agus gan iad a tharraingt go Moscó nó an Eoraip, rud a mhéadaíonn an mhoill phróiseála gan choinne.
-
Ní mór trácht ionsaithe a bheith logánta - is féidir le hoibreoirí idirthurais díghrádú le linn ionsaithe, agus is minic a sháraíonn méid na n-ionsaithe 1Tbps. Ní smaoineamh maith é trácht ionsaithe a iompar thar naisc thrasatlantacha nó trasáiseacha. Bhí fíor-chásanna againn nuair a dúirt oibritheoirí Shraith-1: “Tá líon na n-ionsaithe a fhaigheann tú contúirteach dúinn.” Sin an fáth a nglacaimid le sruthanna isteach chomh gar dá bhfoinsí agus is féidir.
-
Riachtanais dochta maidir le leanúnachas seirbhíse - níor cheart go mbeadh ionaid ghlantacháin ag brath ar a chéile nó ar imeachtaí áitiúla inár saol atá ag athrú go tapa. Ar ghearr tú an chumhacht chuig na 11 urlár go léir de MMTS-9 ar feadh seachtaine? - fadhb ar bith. Ní bheidh cliant aonair nach bhfuil nasc fisiciúil aige sa suíomh áirithe seo ag fulaingt, agus ní bheidh seirbhísí gréasáin ag fulaingt in imthosca ar bith.
Conas seo go léir a bhainistiú?
Ba cheart cumraíochtaí seirbhíse a dháileadh ar na nóid tosaigh go léir chomh tapa agus is féidir (go hidéalach láithreach). Ní féidir leat cumraíochtaí téacs a thógáil agus a atógáil agus na deamhan a atosú ag gach athrú - coinníonn an nginx céanna próisis ag múchadh (an t-oibrí ag múchadh) ar feadh cúpla nóiméad eile (nó b'fhéidir uaireanta má bhíonn seisiúin fhada gréasáin ann).
Agus an chumraíocht nginx á athlódáil, tá an pictiúr seo a leanas gnáth go leor:
Ar úsáid cuimhne:
Itheann oibrithe d'aois suas cuimhne, lena n-áirítear cuimhne nach mbraitheann go líneach ar líon na gceangal - is gnáth é seo. Nuair a dhúntar naisc cliant, saorfar an chuimhne seo.
Cén fáth nach raibh sé seo ina cheist nuair a bhí nginx díreach ag tosú? Ní raibh aon HTTP/2, aon WebSocket, aon naisc ollmhór a choinneáil beo fada. Is HTTP/70 é 2% dár dtrácht gréasáin, rud a chiallaíonn naisc an-fhada.
Is é an réiteach simplí - ná húsáid nginx, ná bainistigh aghaidheanna bunaithe ar chomhaid téacs, agus is cinnte nach seolann cumraíochtaí téacs zipped thar bhealaí traspacánta. Ar ndóigh, tá na cainéil ráthaithe agus forchoimeádta, ach ní fhágann sé sin nach bhfuil siad chomh tras-ilchríochach.
Tá ár n-cothromóir freastalaí tosaigh féin againn, a labhróidh mé faoi a chuid inmheánach sna hailt seo a leanas. Is é an rud is mó gur féidir leis a dhéanamh ná na mílte athruithe cumraíochta in aghaidh an tsoicind a chur i bhfeidhm ar an eitilt, gan atosú, athlódáil, méaduithe tobann ar thomhaltas cuimhne, agus sin go léir. Tá sé seo an-chosúil le Hot Code Reload, mar shampla in Erlang. Stóráiltear na sonraí i mbunachar sonraí geo-dáilte eochairluacha agus léann na gníomhaithe tosaigh iad láithreach bonn. Iad siúd. uaslódáil tú an deimhniú SSL tríd an gcomhéadan gréasáin nó API i Moscó, agus i gceann cúpla soicind tá sé réidh le dul chuig ár n-ionad glantacháin i Los Angeles. Má tharlaíonn cogadh domhanda go tobann agus go n-imíonn an tIdirlíon ar fud an domhain, leanfaidh ár nóid ag obair go neamhspleách agus deisiú an inchinn scoilte chomh luath agus a bheidh ceann de na bealaí tiomnaithe Los Angeles-Amstardam-Moscó, Moscó-Amsterdam-Hong Kong-. Tagann Los-Los ar fáil. Angeles nó ar a laghad ceann amháin de na forleagan cúltaca GRE.
Ligeann an mheicníocht chéanna seo dúinn deimhnithe Let's Encrypt a eisiúint agus a athnuachan láithreach. Go simplí oibríonn sé mar seo:
-
Chomh luath agus a fheicimid iarratas HTTPS amháin ar a laghad d’fhearann ár gcliant gan teastas (nó le deimhniú imithe in éag), tuairiscíonn an nód seachtrach a ghlac leis an iarratas é seo don údarás deimhniúcháin inmheánaigh.
-
Mura bhfuil cosc curtha ag an úsáideoir Let's Encrypt a eisiúint, gineann an t-údarás deimhniúcháin CSR, faigheann sé chomhartha deimhnithe ó LE agus cuireann sé chuig gach taobh é thar chainéal criptithe. Anois is féidir le haon nód iarratas bailíochtaithe ó LE a dhearbhú.
-
I gceann cúpla nóiméad, gheobhaidh muid an teastas ceart agus an eochair phríobháideach agus seolfaimid chuig an bhfronta é ar an mbealach céanna. Arís, gan na daemons a atosú
-
7 lá roimh an dáta éaga, tionscnaítear an nós imeachta chun an deimhniú a fháil arís
Faoi láthair táimid ag rothlú deimhnithe 350k i bhfíor-am, go hiomlán trédhearcach d'úsáideoirí.
Sna hailt seo a leanas den tsraith, labhróidh mé faoi ghnéithe eile a bhaineann le próiseáil fíor-ama ar thrácht gréasáin mór - mar shampla, faoi anailís a dhéanamh ar RTT ag baint úsáide as sonraí neamhiomlána chun cáilíocht na seirbhíse a fheabhsú do chliaint idirthurais agus go ginearálta maidir le trácht idirthurais a chosaint ó ionsaithe terabit, faoi sheachadadh agus comhiomlánú faisnéise tráchta, faoi WAF, CDN beagnach gan teorainn agus go leor meicníochtaí chun seachadadh ábhair a bharrfheabhsú.
Ní féidir ach le húsáideoirí cláraithe páirt a ghlacadh sa suirbhé. , le do thoil.
Cad ba mhaith leat a fháil amach ar dtús?
-
14,3%Algartam chun cáilíocht an tráchta gréasáin a bhraisliú agus a anailísiú<3
-
33,3%Inmheánach cothromóirí DDoS-Guard7
-
9,5%Cosaint ar thrácht idirthurais L3/L4
-
0,0%Láithreáin ghréasáin a chosaint ar thrácht idirthurais0
-
14,3%Balla Dóiteáin Feidhmchlár Gréasáin3
-
28,6%Cosaint ar pharsáil agus cliceáil6
Vótáil 21 úsáideoir. Staon 6 úsáideoir.
Foinse: will.com