Trafîka rewa ya li ser tora DDoS-Guard di van demên dawî de ji sed gigabit di çirkeyê de derbas bû. Heya nuha, 50% ji hemî seyrûsefera me ji hêla karûbarên webê yên xerîdar ve têne çêkirin. Vana bi deh hezaran doman in, pir cûda ne û di pir rewşan de nêzîkatiyek kesane hewce dikin.
Li jêr qutkirinê ev e ku em çawa girêkên pêşiyê îdare dikin û ji bo bi sed hezaran malperan sertîfîkayên SSL derdixin.
Sazkirina pêşek ji bo yek malperê, hetta yek pir mezin, hêsan e. Em nginx an haproxy an lighttpd digirin, li gorî rêberan mîheng dikin û wê ji bîr dikin. Ger hewce be ku em tiştek biguhezînin, em ji nû ve barkirinek dikin û dîsa ji bîr dikin.
Dema ku hûn jimarên mezin ên seyrûseferê di firînê de pêvajo dikin, rewabûna daxwazan binirxînin, naveroka bikarhêner berhev bikin û cache bikin, û di heman demê de di her çirkeyê de çend caran parametreyan biguherînin, her tişt diguhere. Bikarhêner dixwaze piştî ku mîhengên di hesabê xweya kesane de guherand tavilê encam li ser hemî girêkên derveyî bibîne. Bikarhênerek di heman demê de dikare çend hezar (û carinan bi deh hezaran) domanan bi parametreyên pêvajoya seyrûsefera takekesî bi navgîniya API-yê dakêşîne. Pêdivî ye ku ev hemî tavilê li Amerîka, û li Ewrûpa, û li Asyayê jî bixebite - peywir ne ya herî piçûk e, ji ber ku li Moskowê tenê çend girêkên filtrasyonê yên bi fizîkî veqetandî hene.
Çima li çaraliyê cîhanê gelek girêkên pêbawer ên mezin hene?
-
Qalîteya karûbarê ji bo seyrûsefera xerîdar - daxwazên ji DY-ê hewce ne ku li DY-yê bêne pêvajo kirin (di nav de ji bo êrîş, parsandin û anomalîyên din), û neyên kişandin Moskow an Ewrûpa, bi rengek nebawer derengiya pêvajoyê zêde dike.
-
Pêdivî ye ku seyrûsefera êrîşê were herêmî kirin - operatorên veguhastinê dikarin di dema êrîşan de, ku qebareya wan bi gelemperî ji 1Tbps derbas dibe, hilweşînin. Veguheztina seyrûsefera êrîşê li ser girêdanên transatlantîk an transasian ne ramanek baş e. Dema ku operatorên Tier-1 digotin: "Hejmara êrîşên ku hûn distînin ji bo me xeternak e." Ji ber vê yekê em herikên hatinê bi qasî ku gengaz nêzî çavkaniyên wan dibin qebûl dikin.
-
Pêdiviyên hişk ên ji bo domdariya karûbarê - navendên paqijkirinê divê ne bi hev û ne jî bi bûyerên herêmî yên di cîhana meya ku bi lez diguhere ve girêdayî nebin. We hefteyekê elektrîkê ji hemî 11 qatên MMTS-9 qut kir? - bê pirsgirêkê. Ne yek xerîdarek ku di vê cîhê taybetî de têkiliyek laşî tune ye, dê zirarê nebîne, û karûbarên malperê dê di bin her şert û mercî de zirarê nebînin.
Meriv çawa van hemîyan birêve dibe?
Divê mîhengên karûbarê bi lez û bez (bi îdeal tavilê) li hemî girêkên pêşiyê bêne belav kirin. Hûn nekarin tenê mîhengên nivîsê bigirin û ji nû ve ava bikin û di her guhertinê de şeytan ji nû ve bidin destpêkirin - heman nginx pêvajoyên girtina (karker girtî) çend hûrdemên din dihêle (an jî dibe ku demjimêran ger danişînên dirêj ên websocketê hebin).
Dema ku veavakirina nginx ji nû ve dakêşin, wêneya jêrîn pir normal e:
Li ser karanîna bîranînê:
Karkerên kevin bîranînê dixwin, tevî bîranîna ku bi xêzikî ve girêdayî jimara girêdanan nîne - ev normal e. Dema ku girêdanên xerîdar têne girtin, ev bîranîn dê azad bibe.
Dema ku nginx nû dest pê dikir çima ev ne pirsgirêkek bû? Ne HTTP/2, ne WebSocket, ne girêdanên dirêj-zindî yên girseyî tune bûn. 70% seyrûsefera malpera me HTTP/2 e, ku tê wateya girêdanên pir dirêj.
Çareserî hêsan e - nginx bikar neynin, pêşan li ser pelên nivîsê îdare nekin, û bê guman mîhengên nivîsa zipkirî li ser kanalên transpasîfîk neşînin. Kanal, bê guman, garantî û parastî ne, lê ew wan ji transparzemînê kêmtir nake.
Me xweya server-balansek pêşiyê heye, hundurê ku ez ê di gotarên jêrîn de qala wan bikim. Tişta sereke ku ew dikare bike ev e ku di firînê de bi hezaran guheztinên mîhengê di çirkeyê de, bêyî ji nû ve destpêkirin, barkirin, ji nişka ve zêdekirina mezaxtina bîranînê, û hemî tiştên din bicîh bîne. Ev pir dişibihe Hot Code Reload, mînakî li Erlang. Daneyên di databasek nirx-kîlîta-geo-belavkirî de têne hilanîn û tavilê ji hêla çalakvanên pêşîn ve têne xwendin. Ewan. hûn sertîfîkaya SSL-ê bi navgîniya webê an API-ya li Moskowê bar dikin, û di çend saniyan de ew amade ye ku biçe navenda meya paqijkirinê li Los Angeles. Ger ji nişka ve şerek cîhanî çêbibe û Înternet li çaraliyê cîhanê winda bibe, girêkên me dê bi rengek xweser bixebitin û mejiyê perçebûyî tamîr bikin ku yek ji kanalên diyarkirî Los Angeles-Amsterdam-Moskow, Moskow-Amsterdam-Hong Kong- Los-Los berdest dibe. Angeles an bi kêmî ve yek ji paşpirtikên GRE.
Vê heman mekanîzmayê dihêle ku em tavilê sertîfîkayên Let's Encrypt derxînin û nû bikin. Pir bi hêsanî bi vî rengî dixebite:
-
Mîna ku em bi kêmî ve daxwazek HTTPS-ê ji bo domaina muwekîlê xwe bê sertîfîka (an bi sertîfîkayek qediyayî) bibînin, girêka derveyî ku daxwaz qebûl kiriye vê yekê ji desthilatdariya pejirandina navxweyî re rapor dike.
-
Ger bikarhêner weşandina Let's Encrypt qedexe nekiriye, desthilatdariya pejirandinê CSR-ê çêdike, nîşanek pejirandî ji LE werdigire û li ser kanalek şîfrekirî ji hemî eniyan re dişîne. Naha her nodek dikare daxwazek pejirandinê ji LE piştrast bike.
-
Di çend kêliyan de, em ê sertîfîkaya rast û mifteya taybet bistînin û bi heman rengî bişînin eniyan. Dîsa, bêyî destpêkirina şeytan
-
7 roj beriya dema qedandinê, prosedûra ji nû ve wergirtina sertîfîkayê tê destpêkirin
Naha em 350k sertîfîkayên di demek rast de, ji bikarhêneran re bi tevahî zelal dizivirînin.
Di gotarên jêrîn ên rêzê de, ez ê li ser taybetmendiyên din ên pêvajoyek rastîn a seyrûsefera webê ya mezin biaxivim - mînakî, li ser analîzkirina RTT bi karanîna daneyên netemam ji bo baştirkirina kalîteya karûbarê ji bo xerîdarên transît û bi gelemperî di derbarê parastina seyrûsefera derbasbûnê de. êrîşên terabit, di derbarê radestkirin û berhevkirina agahdariya trafîkê de, di derbarê WAF, CDN-ya hema bêsînor û gelek mekanîzmayên ji bo xweşbînkirina radestkirina naverokê.
Tenê bikarhênerên qeydkirî dikarin beşdarî anketê bibin. ji kerema xwe.
Hûn dixwazin pêşî çi bizanibin?
-
14,3%Algorîtmayên ji bo komkirin û analîzkirina kalîteya seyrûsefera malperê<3
-
33,3%Navxweyî yên balansên DDoS-Guard7
-
9,5%Parastina trafîkê L3/L4 ya transît2
-
0,0%Parastina malperan li ser trafîka transît0
-
14,3%Serlêdana Web Firewall3
-
28,6%Parastina li hember parskirin û tikandinê6
21 bikarhêneran deng dan. 6 bikarhêner jî betal bûn.
Source: www.habr.com