Halaltaccen zirga-zirgar ababen hawa a cibiyar sadarwa ta DDoS-Guard kwanan nan ya wuce gigabits ɗari a cikin daƙiƙa guda. A halin yanzu, kashi 50% na duk zirga-zirgar mu ana samar da su ta sabis na gidan yanar gizo na abokin ciniki. Waɗannan dubun dubatar yankuna ne, daban-daban kuma a mafi yawan lokuta suna buƙatar tsarin mutum ɗaya.
Ƙarƙashin yanke shine yadda muke sarrafa nodes na gaba da bayar da takaddun shaida na SSL don dubban daruruwan shafuka.
Kafa gaba don rukunin yanar gizo ɗaya, har ma da babba, yana da sauƙi. Muna ɗaukar nginx ko haproxy ko lighttpd, saita shi bisa ga jagororin kuma mu manta da shi. Idan muna buƙatar canza wani abu, muna sake yin lodi kuma mu sake mantawa.
Komai yana canzawa lokacin da kuke aiwatar da ɗimbin zirga-zirgar ababen hawa akan tashi, kimanta haƙƙin buƙatun, damfara da abun cikin mai amfani da cache, kuma a lokaci guda canza sigogi sau da yawa a sakan daya. Mai amfani yana son ganin sakamakon akan duk nodes na waje nan da nan bayan ya canza saituna a cikin asusun sa na sirri. Mai amfani kuma yana iya zazzage yankuna dubu da yawa (kuma wani lokacin dubun dubatar) tare da sigogin sarrafa zirga-zirga guda ɗaya ta hanyar API. Duk wannan kuma ya kamata a yi aiki nan da nan a Amurka, da Turai, da Asiya - aikin ba shine mafi mahimmanci ba, la'akari da cewa a cikin Moscow kadai akwai nau'ikan tacewa da yawa na jiki.
Me yasa akwai manyan nodes masu dogaro da yawa a duniya?
-
Ingancin sabis don zirga-zirgar abokin ciniki - buƙatun daga Amurka suna buƙatar sarrafa su a cikin Amurka (ciki har da hare-hare, ɓarna da sauran abubuwan da ba su dace ba), kuma ba a ja su zuwa Moscow ko Turai ba, ba zato ba tsammani ƙara jinkirin aiki.
-
Dole ne a keɓance zirga-zirgar kai hari - masu aikin jigilar kaya na iya ƙasƙanta yayin hare-hare, wanda yawansu yakan wuce 1Tbps. Yin jigilar zirga-zirgar kai hare-hare ta kan hanyoyin transatlantic ko transasian ba kyakkyawan ra'ayi bane. Muna da shari'o'i na gaske lokacin da masu aikin Tier-1 suka ce: "Yawan hare-haren da kuke karɓa yana da haɗari a gare mu." Shi ya sa muke karɓar rafukan da ke shigowa kusa da tushen su gwargwadon yiwuwa.
-
Maƙasudin buƙatu don ci gaba da sabis - wuraren tsaftacewa bai kamata su dogara ga juna ba ko kan al'amuran gida a cikin duniyarmu mai saurin canzawa. Shin kun yanke wuta zuwa duk benaye 11 na MMTS-9 na mako guda? - Babu matsala. Ba abokin ciniki ɗaya wanda ba shi da haɗin jiki a cikin wannan wuri na musamman da zai sha wahala, kuma ayyukan yanar gizon ba za su sha wahala ba a kowane yanayi.
Yadda za a sarrafa duk wannan?
Ya kamata a rarraba saitunan sabis zuwa duk nodes na gaba da sauri da sauri (da kyau nan take). Ba za ku iya ɗauka kawai da sake gina saitin rubutu da sake kunna daemons a kowane canji ba - nginx iri ɗaya yana ci gaba da rufewa (ma'aikaci yana rufewa) na 'yan mintuna kaɗan (ko watakila sa'o'i idan akwai dogayen zaman websocket).
Lokacin sake shigar da saitin nginx, hoto mai zuwa ya saba:
Akan amfani da ƙwaƙwalwar ajiya:
Tsofaffin ma'aikata suna cinye ƙwaƙwalwar ajiya, gami da ƙwaƙwalwar ajiya waɗanda ba ta layi ba ta dogara da adadin haɗin kai - wannan al'ada ce. Lokacin da haɗin gwiwar abokin ciniki ke rufe, wannan ƙwaƙwalwar za ta sami 'yanci.
Me yasa wannan bai kasance matsala ba lokacin da nginx ke farawa? Babu HTTP/2, babu WebSocket, babu doguwar haɗin kai mai rai. 70% na zirga-zirgar gidan yanar gizon mu shine HTTP/2, wanda ke nufin haɗin gwiwa mai tsayi sosai.
Maganinta mai sauƙi ne - kar a yi amfani da nginx, kar a sarrafa gaba bisa fayilolin rubutu, kuma tabbas kada ku aika jeri na rubutu na zipped akan tashoshi masu wucewa. Tashoshin, ba shakka, suna da garanti kuma an tanada su, amma hakan bai sa su zama ƙasa da ketare.
Muna da namu gaban uwar garken-balancer, wanda zan yi magana game da su a cikin labarai masu zuwa. Babban abin da zai iya yi shi ne amfani da dubunnan canje-canje na daidaitawa a kowane daƙiƙa akan tashi, ba tare da sake farawa ba, sake kunnawa, haɓaka kwatsam a cikin ƙwaƙwalwar ajiya, da duk wannan. Wannan yayi kama da Zazzage Code Sake lodi, misali a Erlang. Ana adana bayanan a cikin maɓalli mai ƙima na geo-rarraba kuma masu aikin gaba suna karantawa nan da nan. Wadancan. kuna loda takardar shaidar SSL ta hanyar yanar gizo ko API a Moscow, kuma a cikin ƴan daƙiƙa kaɗan ya shirya don zuwa cibiyar tsabtace mu a Los Angeles. Idan yakin duniya ya faru ba zato ba tsammani kuma Intanet ta ɓace a duk faɗin duniya, nodes ɗinmu za su ci gaba da yin aiki da kansu tare da gyara ɓarna-kwakwalwa da zaran ɗayan tashoshin sadaukarwa Los Angeles-Amsterdam-Moscow, Moscow-Amsterdam-Hong Kong- Los-Los ya zama samuwa. Angeles ko aƙalla ɗaya na GRE madadin overlays.
Wannan tsarin yana ba mu damar fitar da sabunta takaddun shaida na Mu Encrypt nan take. A sauƙaƙe yana aiki kamar haka:
-
Da zaran mun ga aƙalla buƙatun HTTPS guda ɗaya don yankin abokin cinikinmu ba tare da takaddun shaida ba (ko tare da takardar shedar ƙarewa), kumburin waje wanda ya karɓi buƙatun yana ba da rahoton hakan ga ikon takaddun shaida na ciki.
-
Idan mai amfani bai hana fitowar Mu Encrypt ba, hukumar ba da takaddun shaida ta samar da CSR, ta karɓi alamar tabbatarwa daga LE kuma ta aika zuwa duk gaba ta hanyar rufaffen tashoshi. Yanzu kowane kumburi zai iya tabbatar da ingantaccen buƙata daga LE.
-
A cikin ƴan lokuta kaɗan, za mu karɓi madaidaicin takardar shedar da maɓalli na sirri kuma mu aika zuwa gaba ta hanya ɗaya. Bugu da ƙari, ba tare da sake kunna daemons ba
-
Kwanaki 7 kafin ranar karewa, an ƙaddamar da hanya don sake karɓar takardar shaidar
A yanzu muna jujjuya takaddun shaida 350k a cikin ainihin lokaci, gabaɗaya ga masu amfani.
A cikin labaran da ke gaba na jerin, zan yi magana game da wasu fasalulluka na sarrafa-lokaci na manyan zirga-zirgar gidan yanar gizo - alal misali, game da nazarin RTT ta amfani da bayanan da ba su cika ba don haɓaka ingancin sabis na abokan ciniki da kuma gabaɗaya game da kare zirga-zirgar ababen hawa daga. hare-haren terabit, game da isarwa da tara bayanan zirga-zirga, game da WAF, kusan CDN mara iyaka da kuma hanyoyin da yawa don inganta isar da abun ciki.
Masu amfani da rajista kawai za su iya shiga cikin binciken. don Allah.
Me kuke so ku fara sani?
-
14,3%Algorithms don tari da kuma nazarin ingancin zirga-zirgar yanar gizo<3
-
33,3%Ciki na DDoS-Guard7 masu daidaitawa
-
9,5%Kariyar zirga-zirgar ababen hawa L3/L4
-
0,0%Kare gidajen yanar gizo akan zirga-zirgar ababen hawa0
-
14,3%Aikace-aikacen Yanar Gizo Firewall3
-
28,6%Kariya daga tantancewa da dannawa6
Masu amfani 21 sun kada kuri'a. Masu amfani 6 sun kaurace.
source: www.habr.com