ProHoster > Blog > Rêveberî > Me çawa ji Firewallê Çînî ya Mezin şikand (Beş 3)

Me çawa ji Firewallê Çînî ya Mezin şikand (Beş 3)

Hello!
Hemû çîrokên xweş bi dawî dibin. Û çîroka me ya li ser ka me çawa çareseriyek peyda kir ku zû ji Firewall-a Chineseînî derbas bibe ne îstîsna ye. Ji ber vê yekê, ez lez dikim ku ya dawî bi we re parve bikim, beşa dawî li ser vê mijarê.

Di beşa paşîn de me li ser gelek beşên testê yên ku em derketine û wan çi encam dane axivîn. Û em li ser tiştên ku dê xweş be ku lê zêde bikin rûniştin CDN! ji bo vîskozîteyê di nexşeya me de.

Ez ê ji we re vebêjim ka me çawa Alibaba Cloud CDN, Tencent Cloud CDN û Akamai ceriband, û me bi çi re bi dawî kir. Û bê guman, em kurt bikin.

Me çawa ji Firewallê Çînî ya Mezin şikand (Beş 3)

Alibaba Cloud CDN

Em li Alibaba Cloud têne mêvandar kirin û ji wan IPSEC û CEN bikar tînin. Dê mentiqî be ku pêşî li çareseriyên wan biceribînin.

Alibaba Cloud du celeb hilber hene ku dibe ku li gorî me be: CDN и DCDN. Vebijarka yekem CDNek klasîk e ji bo domanek taybetî (subdomain). Vebijarka duyemîn radiweste Rêya Dînamîk ji bo CDN (Ez jê re dibêjin CDN dînamîk), ew dikare di moda Tev-malperê de were çalak kirin (ji bo domên hovane), ew di heman demê de naveroka statîk vedişêre û naveroka dînamîkî li ser xwe bilez dike, yanî dînamîkên rûpelê jî dê bi navgîniya pêşkêşker ve were barkirin. torên bi lez. Ev ji bo me girîng e, ji ber ku di bingeh de malpera me dînamîk e, ew gelek subdomain bikar tîne, û hêsantir e ku meriv CDN-ê carekê ji bo "stêrk" - *.semrushchina.cn saz bike.

Me berê jî ev hilber di qonaxên pêşîn ên projeya xweya Chineseînî de dîtibû, lê wê hingê ew hîn nexebitî, û pêşdebiran soz da ku hilber dê di demek nêzîk de ji hemî xerîdaran re peyda bibe. Û wî kir.

Di DCDN de hûn dikarin:

  • bi sertîfîkaya xwe bidawîbûna SSL-ê mîheng bike,
  • lezkirina naveroka dînamîkî çalak bike,
  • cachkirina pelên statîk bi nermî mîheng bike,
  • cache paqij bike,
  • soketên webê yên pêş,
  • kompresyon û tewra HTML Beautifier çalak bike.

Bi gelemperî, her tişt wekî mezinan û pêşkêşkerên mezin ên CDN-ê ye.

Piştî ku Origin (cihê ku dê pêşkêşkerên qiraxa CDN-ê biçin) hate destnîşan kirin, ya ku dimîne ev e ku meriv ji bo stêrkê CNAME-yek biafirîne, referans bike. all.semrushchina.cn.w.kunluncan.com (ev CNAME di konsolê Alibaba Cloud de hate wergirtin) û CDN dê bixebite.

Li ser bingeha encamên testê, ev CDN gelek alîkariya me kir. Statîstîk li jêr têne nîşandan.

biryar
Uptime
Median
75 Ji sedî
95 Ji sedî

CloudFlare
86.6
18s
30s
60s

IPsec
99.79
18s
21s
30s

CEN
99.75
16s
21s
27s

CEN / IPsec + GLB
99.79
13s
16s
25s

Ali CDN + CEN / IPsec + GLB
99.75
10s
12.8s
17.3s

Vana encamên pir baş in, nemaze heke hûn wan bi hejmarên destpêkê re bidin ber hev. Lê me dizanibû ku ceribandina gerokê ya guhertoya Amerîkî ya malpera me www.semrush.com ji Dewletên Yekbûyî bi navînî 8.3s (nirxek pir nêzîk) dimeşe. Cihê pêşveçûnê heye. Digel vê yekê, di heman demê de pêşkêşkerên CDN jî hebûn ku ceribandina balkêş bûn.

Ji ber vê yekê em bi rêkûpêk di bazara Chineseînî de berbi dêwek din ve diçin - Tencent.

Clara Tencent

Tencent tenê ewrê xwe pêş dixe - ev ji hejmarek piçûk hilberan tê dîtin. Dema ku wê bikar tînin, me xwest ku ne tenê CDN-ya wan, lê di heman demê de binesaziya torê ya wan jî bi tevahî ceribandin:

  • wan tiştek mîna CEN heye?
  • IPSEC çawa ji wan re dixebite? Ma zû ye, dema xebatê çi ye?
  • wan Anycast heye?

Me çawa ji Firewallê Çînî ya Mezin şikand (Beş 3)

Werin em van pirsan ji hev cuda binerin.

Analogue CEN

Hilberek Tencent heye Cloud Connect Network (CCN), dihêle hûn VPC-ên ji herêmên cihêreng, tevî herêmên hundur û derveyî Chinaînê, ve girêdin. Hilber niha di beta navxweyî de ye, û hûn hewce ne ku bilêtek biafirînin ku tê xwestin ku hûn pê ve girêbidin. Em ji piştgirîyê fêr bûn ku hesabên gerdûnî (em ne li ser hemwelatiyên Chineseînî an saziyên qanûnî diaxivin) nikarin beşdarî bernameya ceribandina betayê bibin û, bi gelemperî, herêmek li hundurê Chinaînê bi herêmek derveyî ve girêdin. 1-0 di berjewendiya Alî Cloud de

IPsec

Herêma herî başûrê Tencent e Guangzhou. Me tunelek berhev kir û ew bi herêma Hong Kongê ya li GCP ve girêda (wê demê ev herêm berê peyda bûbû). Tunela duyemîn a li Ali Cloud ji Shenzhen heta Hong Kong jî di heman demê de hate rakirin. Derket holê ku bi riya tora Tencent derengiya li Hong Kongê bi gelemperî çêtir e (10ms) ji Shenzhen heya Hong Kong heya Ali (120ms - çi?). Lê vê yekê bi tu awayî lez neda xebata malperê ya ku bi mebesta xebata bi Tencent û vê tunelê re, ku bi serê xwe rastiyek ecêb bû û careke din ev yek îspat kir: dereng - ji bo Chinaînê ev ne nîşanek e ku bi rastî hêja ye. bala xwe didin dema ku çareseriyek ji bo derbaskirina dîwarê dîwarê çînî pêş dixin.

Leza Înternetê ya Anycast

Hilberek din a ku dihêle hûn bi rêya anycast IP-yê bixebitin ev e AIA. Lê ew ji hesabên gerdûnî re jî tune ye, ji ber vê yekê ez ê ji we re nebêjim, lê zanîna ku hilberek wusa heye dibe ku kêrhatî be.

Lê testa CDN hin encamên balkêş nîşan da. CDN-ya Tencent li ser malperek tevahî, tenê li ser domên taybetî nayê çalak kirin. Me domên çêkir û seyrûsefer ji wan re şand:

Me çawa ji Firewallê Çînî ya Mezin şikand (Beş 3)

Derket holê ku ev CDN fonksiyona jêrîn heye: Optimîzasyona Trafîka Cross Border. Pêdivî ye ku ev taybetmendî dema ku seyrûsefer di dîwarê dîwarê çînî re derbas dibe lêçûn kêm bike. Dema Reh Navnîşana IP ya Google GLB (GLB anycast) hate diyarkirin. Bi vî awayî, me xwest ku mîmariya projeyê hêsan bikin.

Encam pir baş bûn - di asta Ali Cloud CDN de, û li hin deveran hîn çêtir. Ev ecêb e, ji ber ku heke ceribandin serketî bin, hûn dikarin beşek girîng a binesaziyê, tunel, CEN, makîneyên virtual, hwd berdin.

Em demek dirêj şa nebûn, ji ber ku pirsgirêkek hate eşkere kirin: ceribandinên li Catchpoint ji bo pêşkêşvanê Înternetê China Mobile têk çûn. Ji her cihî me bi navgîniya CDN ya Tencent ve demek girt. Peywendiya bi piştgiriya teknîkî re negihîşt tiştek. Bi qasî rojekê me hewl da ku em vê pirsgirêkê çareser bikin, lê tiştek bi ser neket.

Ez wê gavê li Chinaînê bûm, lê nekarim Wi-Fi-ya giştî li ser tora vê peydakerê bibînim da ku pirsgirêk bi kesane verast bikim. Wekî din her tişt zû û baş xuya dikir.
Lêbelê, ji ber ku China Mobile yek ji sê operatorên herî mezin e, em neçar man ku seyrûseferê vegerînin Ali CDN.
Lê bi tevayî, ev çareseriyek balkêş bû ku ceribandina dirêjtir û çareserkirina vê pirsgirêkê heq dike.

Akamai

Pêşkêşvanê CDN-ya paşîn ku me ceriband bû Akamai. Ev pêşkêşkerek mezin e ku tora xwe li Chinaînê heye. Helbet me nikarîbû em jê derbas bibin.

Me çawa ji Firewallê Çînî ya Mezin şikand (Beş 3)

Ji destpêkê ve, me bi Akamai re ji bo heyamek ceribandinê li hev kir da ku em karibin domainê biguherînin û bibînin ka ew ê çawa li ser tora wan bixebite. Ez ê encama hemî ceribandinê di forma "Min jê hez kir" û "Min jê hez nekir" vebêjim, û ez ê encamên testê jî bidim.

Tiştê ku min jê hez kir:

  • Xortên ji Akamai di hemî pirsan de pir arîkar bûn û di hemî qonaxên ceribandinê de bi me re bûn. Me bi berdewamî hewl dida ku tiştek li ser milê xwe baştir bikin. Wan şîretên teknîkî yên baş dan.
  • Akamai bi riya Ali Cloud CDN ji çareseriya me bi qasî 10-15% hêdîtir e. Tiştê balkêş ev e ku di Origin ji bo Akamai de me navnîşana IP-ya GLB diyar kir, tê vê wateyê ku seyrûsefer di çareseriya me re derbas nebû (bi potansiyel em dikarin beşek ji binesaziyê biterikînin). Lê dîsa jî, encamên testê destnîşan kir ku ev çareserî ji guhertoya meya heyî xirabtir e (encamên berawirdî li jêr).
  • Hem Origin GLB û hem Origin li Chinaînê ceribandin. Her du vebijark bi qasî hev in.
  • Ð • n, Nûh * de Sure Route (optimîzasyona rêvekirina otomatîkî). Hûn dikarin li ser Origin objektek ceribandinê mêvandar bikin, û serverên Akamai Edge dê hewl bidin ku wê hildin (GET-a birêkûpêk). Ji bo van daxwazan, lez û metrîkên din têne pîvandin, li ser bingeha ku tora Akamai rêçikan xweş dike da ku seyrûsefer ji bo malpera me zûtir biçe û eşkere bû ku çalakkirina vê taybetmendiyê bi rastî bandorek xurt li leza malperê kir.
  • Guhertoya veavakirinê di navgîniya malperê de xweş e. Hûn dikarin ji bo guhertoyan Berawirdî bikin, li cihêrengiyê binêrin. Guhertoyên berê bibînin.
  • Hûn dikarin guhertoyek nû pêşî tenê li ser tora Akamai Staging derxînin - heman tora hilberînê, tenê bi vî rengî dê bandorê li bikarhênerên rastîn neke. Ji bo vê ceribandinê, hûn hewce ne ku tomarên DNS-ê li ser makîneya xweya herêmî bixapînin.
  • Leza dakêşana pir bilez di nav tora wan de ji bo pelên statîk ên mezin, û, xuya ye, pelên din. Pelek ji cache "sar" gelek caran zûtir ji heman pelê ji cache "sar" a Ali CDN tê derxistin. Ji cache "germ", lez jixwe heman e, plus an kêm.

Testa Ali CDN:

root@shenzhen1:~# curl -o /dev/null -w@curl_time https://en.semrushchina.cn/my_reports/build/scripts/simpleInit.js?v=1551879212
  % Total    % Received % Xferd  Average Speed   Time    Time     Time  Current
                                 Dload  Upload   Total   Spent    Left  Speed
100 5757k    0 5757k    0     0   513k      0 --:--:--  0:00:11 --:--:--  526k
time_namelookup:  0.004286
time_connect:  0.030107
time_appconnect:  0.117525
time_pretransfer:  0.117606
time_redirect:  0.000000
time_starttransfer:  0.840348
----------
time_total:  11.208119
----------
size_download:  5895467 Bytes
speed_download:  525999.000B/s

Test Akamai:

root@shenzhen1:~# curl -o /dev/null -w@curl_time https://www.semrushchina.cn/my_reports/build/scripts/simpleInit.js?v=1551879212
  % Total    % Received % Xferd  Average Speed   Time    Time     Time  Current
                                 Dload  Upload   Total   Spent    Left  Speed
100 5757k    0 5757k    0     0  1824k      0 --:--:--  0:00:03 --:--:-- 1825k
time_namelookup:  0.509005
time_connect:  0.528261
time_appconnect:  0.577235
time_pretransfer:  0.577324
time_redirect:  0.000000
time_starttransfer:  1.327013
----------
time_total:  3.154850
----------
size_download:  5895467 Bytes
speed_download:  1868699.000B/s

Me dît ku rewşa di mînaka li jor de bi faktorên cihêreng ve girêdayî ye. Di dema nivîsandina vê xalê de, min dîsa ceribandin. Encamên her du platforman bi qasî hev bûn. Ev ji me re vedibêje ku Înternetê li Chinaînê, tewra ji bo operatorên mezin û pêşkêşkerên ewr, dem bi dem cûda tevdigere.

Ji xala berê re, ez ê ji Akamai re plussiyek mezin lê zêde bikim: heke Alî pêlên wekhev ên performansa bilind û performansa pir kêm nîşan bide (ev ji Ali CDN, Ali CEN, û Ali IPSEC re derbas dibe), wê hingê Akamai, her dem, ne girîng e. ez çawa tora wan ceribandim, her tişt bi îstîqrar dixebite.
Akamai li Chinaînê gelek vegirtin heye û bi gelek pêşkêşvanan re dixebite.

Tiştê ku min jê hez nekir:

  • Ez ji navrûya malperê û awayê xebitandina wê hez nakim - ew qas xizan e. Lê di bingeh de hûn jê re (dibe).
  • Encamên testê ji malpera me xirabtir in.
  • Di dema ceribandinan de ji malpera me bêtir xeletî hene (demjimêra jêrîn).
  • Em li Chinaînê serverên xwe yên DNS-ê nînin. Ji ber vê yekê di ceribandinan de ji ber dema çareserkirina DNS-ê gelek xeletî hene.
  • Ew rêzikên IP-ya xwe peyda nakin -> rêyek tune ku merivên rast tomar bike set_real_ip_from li ser serverên me.

Metrics (~ 3626 rêve; hemî metrîk ji bilî Uptime, di ms; statîstîkên ji bo yek heyamê):

Pêşkêşker CDN
Median
75%
95%
Bersiv
Bersiva Malperê
Uptime
DNS
Bihevgirêdan
Payin
Gazîname
SSL

AliCDN
9195
10749
17489
1,715
10,745
99.531
57
17
927
479
200

Akamai
9783
11887
19888
2,352
11,550
98.980
424
91
1408
381
50

Belavkirin li gorî sedî (di ms):

Ji sedî
Akamai
AliCDN

10
7,092
6,942

20
7,775
7,583

30
8,446
8,092

40
9,146
8,596

50
9,783
9,195

60
10,497
9,770

70
11,371
10,383

80
12,670
11,255

90
15,882
13,165

100
91,592
91,596

Encam ev e: Vebijarka Akamai maqûl e, lê heman aramî û leza çareseriya me ya bi Ali CDN re peyda nake.

Notên piçûk

Di çîrokê de hin deq nehatin girtin, lê ez dixwazim li ser wan jî binivîsim.

Pekîn + Tokyo û Hong Kong

Wekî ku min li jor jî got, me tunelek IPSEC berbi Hong Kong (HK) ceriband. Lê me CEN ji HK re jî ceriband. Mesrefa wê hinekî kêmtir e, û ez meraq dikim ku ew ê çawa di navbera bajarên bi dûrahiya ~ 100 km de bixebite. Balkêş derket holê ku derengiya di navbera van bajaran de 100ms ji guhertoya meya orîjînal (ji Taywanê) mezintir e. Leza, aramî jî ji bo Taywanê çêtir bû. Wekî encamek, me HK wekî herêmek paşverû ya IPSEC hiştin.

Wekî din, me hewl da ku sazkirina jêrîn saz bikin:

  • qedandina xerîdaran li Pekînê,
  • IPSEC û CEN ji Tokyo,
  • di Ali CDN de servera li Pekînê wekî eslê xwe hate destnîşan kirin.

Ev nexşe ne ew qas aram bû, her çend di warê bilez de ew bi gelemperî ji çareseriya me ne kêmtir bû. Di derbarê tunelê de, min di heman demê de ji bo CEN-ê jî, ku diviya stabîl bûya, ketina navber dît. Ji ber vê yekê em vegeriyan plana berê û me ev sekn ji holê rakir.

Li jêr statîstîkên li ser derengiya di navbera herêmên cûda de ji bo kanalên cihê hene. Dibe ku kesek bi wê re eleqedar bibe.

IPsec
Ali cn-pekin <—> GCP asya-bakurrojhilat1 - 193ms
Ali cn-shenzhen <—> GCP asya-rojhilat2 - 91ms
Ali cn-shenzhen <—> GCP us-rojhilat4 - 200ms

CEN
Ali cn-beijing <—> Ali ap-bakur-rojhilat-1 - 54ms (!)
Ali cn-shenzhen <—> Ali cn-hongkong — 6ms (!)
Ali cn-shenzhen <—> Ali us-rojhilat1 — 216ms

Agahiyên gelemperî li ser Înternetê li Çînê

Wekî pêvekek ji pirsgirêkên bi Înternetê re ku di destpêkê de, di beşa yekem a gotarê de hatî destnîşan kirin.

  • Înternetê li Chinaînê di hundurê de pir bilez e.
    • Encam li ser bingeha ceribandina torên Wi-Fi yên giştî li cîhên cihê ku ev tora ji hêla hejmareke mezin ve têne bikar anîn hate çêkirin.
    • Leza dakêşandin û barkirina pêşkêşkerên li hundurê Chinaînê bi rêzê bi rêzê 20 Mbit / s û 5-10 Mbit / s bû.
    • Leza pêşkêşkerên li derveyî Chinaînê bi tenê kêm e, ji 1 Mbit / s kêmtir e.
  • Înternetê li Çînê ne pir aram e.
    • Carinan malper dikarin zû vebin, carinan hêdî hêdî (di heman wextê rojê de di rojên cûda de), bi şertê ku veavakirin neguhere. Me bi mînaka semrûşçîna ev yek dît.cn. Ev dikare ji Ali CDN re were veqetandin, ku ew jî bi vî rengî dixebite û li gorî dema rojê, pozîsyona stêrkan, hwd.
  • Înterneta mobîl hema hema li her derê 4G an 4G+ ye. Wê di metro, asansoran de bigirin - bi kurtasî, li her derê.
  • Ev efsane ye ku bikarhênerên Çînî tenê bi domên li herêma .cn bawer dikin. Em vê yekê rasterast ji bikarhêneran fêr bûn.
    • Hûn dikarin çawa bibînin http://baidu.cn beralî bike www.baidu.com (li axa Chinaînê jî).
  • Bi rastî gelek çavkanî têne asteng kirin. Pêşîn: google.com, Facebook, Twitter. Lê gelek çavkaniyên Google dixebitin (bê guman, ne li ser hemî Wi-Fi û VPN nayê bikar anîn (li aliyê router jî, ew bê guman).
  • Gelek domên "teknîkî" yên pargîdaniyên astengkirî jî dixebitin. Ev tê vê wateyê ku divê hûn her gav bi bêserûberî hemî Google û çavkaniyên din ên xuya astengkirî qut nekin. Pêdivî ye ku hûn li hin navnîşek domên qedexe bigerin.
  • Ew tenê sê operatorên sereke yên Înternetê hene: China Unicom, China Telecom, China Mobile. Yên piçûktir jî hene, lê pişka wan a bazarê ne girîng e

Bonus: diyagrama çareseriya dawî

Me çawa ji Firewallê Çînî ya Mezin şikand (Beş 3)

Encam

Di ser destpêkirina projeyê re salek derbas bû. Me bi vê yekê dest pê kir ku malpera me bi gelemperî red kir ku bi gelemperî ji Chinaînê bixebite, û bi tenê GET curl 5.5 saniye girt.

Dûv re, bi van nîşanan di çareseriya yekem de (Cloudflare):

biryar
Uptime
Median
75 Ji sedî
95 Ji sedî

CloudFlare
86.6
18s
30s
60s

Em di dawiyê de gihîştin encamên jêrîn (îstatîstîkên meha dawî):

biryar
Uptime
Median
75 Ji sedî
95 Ji sedî

Ali CDN + CEN / IPsec + GLB
99.86
8.8s
9.5s
13.7s

Wekî ku hûn dikarin bibînin, me hîna nekariye ku em 100% dema xebatê bi dest bixin, lê em ê tiştek derxin holê, û dûv re em ê di gotarek nû de ji we re encaman vebêjin :)

Rêz ji kesên ku her sê beşan heta dawî xwendine. Ez hêvî dikim ku we ev hemî balkêş dît ku min dema ku min kir.

PS Parçeyên berê

Beşek 1
Beşek 2

Source: www.habr.com

Add a comment