Улуу Кытай брандмауэрин кантип талкаладык (3-бөлүк)

Силерге тынчтык болсун!
Бардык жакшы окуялар аягы менен бүтөт. Кытай брандмауэринен тез өтүү үчүн чечимди кантип тапканыбыз тууралуу биздин окуя да четте калбайт. Ошондуктан, мен сиздер менен акыркысын бөлүшүүгө шашыламын, акыркы бөлүгү Бул тема боюнча.

Мурунку бөлүктө биз ойлоп тапкан көптөгөн тесттик отургучтар жана алар кандай жыйынтыктарды бергени жөнүндө сүйлөштүк. Анан эмнени кошсок жакшы болот деп чечтик CDN! биздин схемага илешкектүүлүк үчүн.

Мен Alibaba Cloud CDN, Tencent Cloud CDN жана Akamai кантип сынаганыбызды жана эмне менен аяктаганыбызды айтып берем. Анан, албетте, жалпылап көрөлү.

Alibaba Cloud CDN

Биз Alibaba Булутунда жайгашканбыз жана алардан IPSEC жана CEN колдонобуз. Адегенде алардын чечимдерин сынап көрүү логикалык болмок.

Alibaba Cloud бизге ылайыктуу эки түрү бар: ИНК и DCDN. Биринчи параметр белгилүү бир домен үчүн классикалык CDN (субдомен). Экинчи параметр турат CDN үчүн динамикалык маршрут (Мен аны динамикалык CDN деп атайм), аны Толук сайт режиминде иштетүүгө болот (жапайы белги домендери үчүн), ал ошондой эле статикалык мазмунду кэштейт жана динамикалык мазмунду тездетет, башкача айтканда, баракчанын динамикасы провайдер аркылуу да жүктөлөт. тез тармактар. Бул биз үчүн маанилүү, анткени биздин сайт негизинен динамикалуу, ал көптөгөн субдомендерди колдонот жана CDNди "жылдызча" үчүн бир жолу коюу ыңгайлуу - *.semrushchina.cn.

Биз бул продуктуну кытайлык долбоордун мурунку этаптарында көргөнбүз, бирок андан кийин ал иштей элек болчу жана иштеп чыгуучулар продукт жакында бардык кардарларга жеткиликтүү болот деп убада кылышкан. Жана ал кылды.

DCDNде сиз:

• сертификатыңыз менен SSL токтотууну конфигурациялаңыз,
• динамикалык мазмундун тездетилишин камсыз кылуу,
• статикалык файлдардын кэштерин ийкемдүү конфигурациялоо,
• кэшти тазалоо,
• алдыга желе розеткалары,
• кысуу жана ал тургай HTML Beautifier иштетүү.

Жалпысынан алганда, баары чоңдор жана чоң CDN провайдерлери менен бирдей.

Origin (CDN жээк серверлери бара турган жер) көрсөтүлгөндөн кийин, жылдызча үчүн CNAME түзүү гана калды. all.semrushchina.cn.w.kunluncan.com (бул CNAME Alibaba Cloud консолунда кабыл алынган) жана CDN иштейт.

Тесттин жыйынтыгы боюнча, бул CDN бизге көп жардам берди. Статистика төмөндө көрсөтүлгөн.

чечим
Uptime
медианасы
75 пайыз
95 пайыз

Cloudflare
86.6
18
30
60

IPsec
99.79
18
21
30

CE
99.75
16
21
27

CEN/IPsec + GLB
99.79
13
16
25

Али CDN + CEN/IPsec + GLB
99.75
10
12.8
17.3

Бул абдан жакшы натыйжалар, айрыкча, сиз аларды башында кандай сандар менен салыштырсаңыз. Бирок биз www.semrush.com веб-сайтыбыздын америкалык версиясынын серепчи тести АКШдан орточо 8.3 секундада (абдан болжолдуу маани) иштей турганын билчүбүз. жакшыртууга орун бар. Мындан тышкары, сыноо үчүн кызыктуу болгон CDN провайдерлери да бар болчу.

Ошентип, биз кытай рыногундагы башка гигантка акырындык менен өтүп жатабыз - Tencent.

Tencent Cloud

Tencent жаңы гана булутту иштеп чыгууда - муну аз сандагы өнүмдөрдөн көрүүгө болот. Аны колдонуп жатып, биз алардын CDNин гана эмес, бүтүндөй тармактык инфраструктурасын да сынагыбыз келди:

• аларда CENге окшош нерсе барбы?
• IPSEC алар үчүн кандай иштейт? Ал тезби, иштөө убактысы кандай?
• аларда Anycast барбы?

Келгиле, бул суроолорду өзүнчө карап көрөлү.

Аналогдук CEN

Tencent компаниясынын продукциясы бар Cloud Connect Network (CCN), ар кайсы аймактардан, анын ичинде Кытайдын ичиндеги жана сыртындагы аймактардан VPCлерди туташтырууга мүмкүндүк берет. Продукт азыр ички бета версиясында жана ага туташуу үчүн билет түзүшүңүз керек. Колдоодон биз глобалдык эсептер (биз кытай жарандары же юридикалык жактар ​​жөнүндө сөз кылбайбыз) бета тестирлөө программасына катыша албасын жана жалпысынан Кытайдын ичиндеги аймакты сырттагы аймак менен байланыштыра албасын билдик. 1-0 Али Cloud пайдасына

IPSEC

Тенценттин эң түштүк аймагы Гуанчжоу. Биз туннелди чогултуп, аны Гонконг аймагына GCPде туташтырдык (анда бул аймак мурунтан эле жеткиликтүү болуп калган). Шенженден Гонконгго чейин Али Булуттагы экинчи туннел да ошол эле учурда көтөрүлгөн. Tencent тармагы аркылуу Гонконгго кечигүү жалпысынан Шэньчжэнден Гонконгго чейин Алиге (10 мс - эмне?) караганда жакшыраак (120 мс) экени белгилүү болду. Бирок бул эч кандай түрдө Tencent жана бул туннел аркылуу иштөөгө багытталган сайттын ишин тездеткен жок, бул өзү укмуштуудай факт жана дагы бир жолу төмөнкүлөрдү далилдеди: кечигүү - Кытай үчүн бул чындап татыктуу көрсөткүч эмес. Кытай брандмауэринен өтүү үчүн чечимди иштеп чыгууда көңүл буруу.

Anycast Интернет ылдамдатуу

Anycast IP аркылуу иштөөгө мүмкүндүк берген дагы бир продукт АИА. Бирок ал глобалдык эсептер үчүн да жеткиликтүү эмес, ошондуктан мен бул тууралуу айтпай эле коёюн, бирок мындай продукт бар экенин билүү пайдалуу болушу мүмкүн.

Бирок CDN тести абдан кызыктуу жыйынтыктарды көрсөттү. Tencent's CDN толук сайтта иштетилбейт, белгилүү бир домендерде гана. Биз домендерди түзүп, аларга трафик жөнөттүк:

Бул CDN төмөнкү функцияга ээ экени белгилүү болду: Чек арадагы трафикти оптималдаштыруу. Бул функция трафик кытай брандмауэри аркылуу өткөндө чыгымдарды азайтышы керек. As келип чыгышы Google GLB (GLB anycast) IP дареги көрсөтүлгөн. Ошентип, биз долбоордун архитектурасын жөнөкөйлөтүү үчүн келген.

Натыйжалар абдан жакшы болду - Ali Cloud CDN деңгээлинде, ал эми кээ бир жерлерде андан да жакшы. Бул таң калыштуу, анткени тесттер ийгиликтүү өтсө, инфраструктуранын, туннелдердин, CENдин, виртуалдык машиналардын ж.б. олуттуу бөлүгүнөн баш тарта аласыз.

Биз көпкө кубанган жокпуз, анткени көйгөй ачыкка чыкты: China Mobile интернет провайдери үчүн Catchpoint тесттери өтпөй калды. Каалаган жерден биз Tencent's CDN аркылуу күтүү убактысын алдык. Техникалык колдоо менен кат алышуу эч нерсеге алып келген жок. Биз бул маселени бир суткага жакын чечүүгө аракет кылдык, бирок эч нерсе болгон жок.

Мен ошол учурда Кытайда болчумун, бирок көйгөйдү жеке текшерүү үчүн бул провайдердин тармагынан коомдук Wi-Fi таба алган жокмун. Болбосо баары тез жана жакшы көрүндү.
Бирок, China Mobile үч ири оператордун бири болгондугуна байланыштуу, биз трафикти Али CDNге кайтарууга аргасыз болдук.
Бирок, жалпысынан алганда, бул көйгөйдү узак сыноого жана оңдоого татыктуу болгон абдан кызыктуу чечим болду.

Akamai

Биз сынаган акыркы CDN провайдери болгон Akamai. Бул Кытайда өзүнүн тармагы бар чоң провайдер. Албетте, биз андан өтө алган жокпуз.

Доменди которуштуруп, алардын тармагында анын кантип иштей турганын көрүү үчүн биз эң башынан эле Акамай менен сыноо мезгилине макулдаштык. Мен бардык тестирлөөнүн жыйынтыгын "Мага эмне жакты" жана "Мага эмне жакпай калды" түрүндө сүрөттөп берем, ошондой эле тесттин жыйынтыгын берем.

Мага эмне жакты:

• Акамайдын балдары бардык суроолорго абдан жардам берип, тестирлөөнүн бардык баскычтарында бизди коштоп жүрүштү. Биз тынымсыз өзүбүз тараптан бир нерсени жакшыртууга аракет кылып жаттык. Алар жакшы техникалык кеңештерди беришти.
• Akamai Ali Cloud CDN аркылуу биздин чечимге караганда 10-15% жайыраак. Таң калыштуусу, Origin for Akamai программасында биз GLBнин IP дарегин көрсөттүк, башкача айтканда, трафик биздин чечимибизден өткөн жок (потенциалдуу биз инфраструктуранын бир бөлүгүн таштап коюшубуз мүмкүн). Бирок, дагы эле, тесттин натыйжалары бул чечим биздин учурдагы версиябыздан да жаман экенин көрсөттү (төмөндө салыштырмалуу натыйжалар).
• Origin GLB жана Origin Кытайда сыналган. Эки вариант тең болжол менен бирдей.
• бар Албетте Маршрут (автоматтык маршрутту оптималдаштыруу). Сиз Origin сайтында сыноо объектисин жайгаштырсаңыз болот жана Akamai Edge серверлери аны алууга аракет кылышат (кадимки GET). Бул суроо-талаптар үчүн ылдамдык жана башка көрсөткүчтөр өлчөнөт, анын негизинде Akamai тармагы каттамдарды оптималдаштырат, андыктан трафик биздин сайт үчүн ылдамыраак болот жана бул функцияны иштетүү чындап эле сайттын ылдамдыгына күчтүү таасир эткени анык болду.
• Веб интерфейсиндеги конфигурацияны версиялоо сонун. Сиз версияларды салыштырып, айырманы карасаңыз болот. Мурунку версияларды көрүү.
• Жаңы версияны алгач Akamai Staging тармагында чыгара аласыз - өндүрүш сыяктуу эле тармак, ушундай жол менен гана чыныгы колдонуучуларга таасир этпейт. Бул сыноо үчүн, сиз жергиликтүү машинаңыздагы DNS жазууларын бурмалашыңыз керек.
• Чоң статикалык файлдар жана, сыягы, башка файлдар үчүн тармак аркылуу өтө тез жүктөө ылдамдыгы. "Муздак" кэштен файл Али CDNдин "муздак" кэшинен бир эле файлга караганда бир нече эсе тезирээк чыгарылат. "Ысык" кэштен ылдамдык буга чейин эле бирдей, плюс же минус.

Али CDN тести:

root@shenzhen1:~# curl -o /dev/null -w@curl_time https://en.semrushchina.cn/my_reports/build/scripts/simpleInit.js?v=1551879212
  % Total    % Received % Xferd  Average Speed   Time    Time     Time  Current
                                 Dload  Upload   Total   Spent    Left  Speed
100 5757k    0 5757k    0     0   513k      0 --:--:--  0:00:11 --:--:--  526k
time_namelookup:  0.004286
time_connect:  0.030107
time_appconnect:  0.117525
time_pretransfer:  0.117606
time_redirect:  0.000000
time_starttransfer:  0.840348
----------
time_total:  11.208119
----------
size_download:  5895467 Bytes
speed_download:  525999.000B/s

Akamai тест:

root@shenzhen1:~# curl -o /dev/null -w@curl_time https://www.semrushchina.cn/my_reports/build/scripts/simpleInit.js?v=1551879212
  % Total    % Received % Xferd  Average Speed   Time    Time     Time  Current
                                 Dload  Upload   Total   Spent    Left  Speed
100 5757k    0 5757k    0     0  1824k      0 --:--:--  0:00:03 --:--:-- 1825k
time_namelookup:  0.509005
time_connect:  0.528261
time_appconnect:  0.577235
time_pretransfer:  0.577324
time_redirect:  0.000000
time_starttransfer:  1.327013
----------
time_total:  3.154850
----------
size_download:  5895467 Bytes
speed_download:  1868699.000B/s

Жогорудагы мисалдагы жагдай ар кандай факторлорго көз каранды экенин байкадык. Бул пунктту жазып жатканда, мен дагы бир жолу тесттен өттүм. Эки платформанын жыйынтыгы болжол менен бирдей болгон. Бул Кытайдагы интернет, атүгүл ири операторлор жана булут провайдерлери үчүн, мезгил-мезгили менен башкача иш алып барарын айтат.

Мурунку пунктка, мен Акамаи үчүн чоң плюс кошом: эгерде Али жогорку өндүрүмдүүлүктүн жана өтө төмөн өндүрүмдүүлүктүн окшош жаркылдаганын көрсөтсө (бул Али CDN, Ali CEN жана Али IPSECге тиешелүү), анда Акамаи, ар дайым, эч нерсеге карабай Мен алардын тармагын кантип сынайм, баары туруктуу иштейт.
Akamai Кытайда көп камтууга ээ жана көптөгөн провайдерлер аркылуу иштейт.

Мага жаккан жок:

• Мага веб-интерфейс жана анын иштөө ыкмасы жакпайт - ал абдан начар. Бирок негизинен көнүп каласың (балким).
• Сынактын жыйынтыгы биздин сайттан да начар.
• Тесттер учурунда биздин сайтка караганда көбүрөөк каталар бар (төмөндө иштөө убактысы).
• Кытайда өзүбүздүн DNS серверлерибиз жок. Демек, DNS чечүүчү таймауттан улам тесттерде көптөгөн каталар бар.
• Алар өздөрүнүн IP диапазондорун беришпейт -> туураларын каттоого эч кандай жол жок set_real_ip_from биздин серверлерде.

Метрикалар (~3626 чуркоо; Иштөө убактысынан башка бардык көрсөткүчтөр, мс менен; бир убакыт аралыгындагы статистика):

CDN камсыздоочу
медианасы
75%
95%
жооп
Веб баракчадагы жооп
Uptime
DNS
байланышуу
күтүү
жүк
SSL

AliCDN
9195
10749
17489
1,715
10,745
99.531
57
17
927
479
200

Akamai
9783
11887
19888
2,352
11,550
98.980
424
91
1408
381
50

Процентиль боюнча бөлүштүрүү (мс менен):

Пайыздык
Akamai
AliCDN

10
7,092
6,942

20
7,775
7,583

30
8,446
8,092

40
9,146
8,596

50
9,783
9,195

60
10,497
9,770

70
11,371
10,383

80
12,670
11,255

90
15,882
13,165

100
91,592
91,596

Жыйынтык мындай: Akamai варианты жашоого жөндөмдүү, бирок Али CDN менен бирге биздин өзүбүздүн чечимибиз сыяктуу туруктуулукту жана ылдамдыкты камсыз кылбайт.

Чакан ноталар

Кээ бир көз ирмемдер окуяга кирбей калган, бирок алар жөнүндө да жазгым келет.

Пекин + Токио жана Гонконг

Мен жогоруда айткандай, биз Гонконгго (HK) IPSEC туннелин сынап көрдүк. Бирок биз CENди HK үчүн да сынап көрдүк. Бул бир аз арзаныраак, мен ~100 км аралыктагы шаарлардын ортосунда кантип иштейт деп ойлонуп жаттым. Бул шаарлардын ортосундагы кечигүү биздин баштапкы версияга (Тайванга) караганда 100 мс жогору экени кызыктуу болду. Ылдамдык, туруктуулук Тайван үчүн да жакшыраак болчу. Натыйжада, биз HK резервдик IPSEC аймагы катары калдык.

Мындан тышкары, биз төмөнкү орнотууну орнотууга аракет кылдык:

• Пекинде кардарларды токтотуу,
• IPSEC жана CEN Токиого,
• Али CDNде Пекиндеги сервер келип чыгуучу катары көрсөтүлгөн.

Бул схема анчалык туруктуу эмес болчу, бирок ылдамдыгы боюнча ал жалпысынан биздин чечимибизден кем эмес болчу. Туннелге келсек, мен CEN үчүн үзгүлтүктүү тамчыларды көрдүм, алар туруктуу болушу керек болчу. Ошондуктан биз эски схемага кайрылып, бул инсценировканы демонтаждадык.

Төмөндө ар кандай каналдар үчүн ар кайсы аймактардын ортосундагы кечигүү статистикасы келтирилген. Балким, кимдир бирөө ага кызыкдар.

IPsec
Али цн-пекин <—> GCP Азия-тундук-чыгыш1 — 193 мс
Али цн-шенжэнь <—> GCP Азия-чыгыш2 — 91 мс
Али цн-шенжен <—> GCP ус-чыгыш4 — 200 мс

CE
Али cn-beijing <—> Али ап-түндүк-чыгыш-1 — 54ms (!)
Али цн-шенжен <—> Али цн-хонконг — 6ms (!)
Али цн-шенжен <—> Али ус-чыгыш1 — 216 ​​мс

Кытайдагы интернет жөнүндө жалпы маалымат

Макаланын биринчи бөлүгүндө эң башында сүрөттөлгөн Интернет көйгөйлөрүнө кошумча катары.

• Кытайда интернет абдан ылдам.
  • Корутунду коомдук Wi-Fi тармактарын бул тармактарды көп адамдар колдонгон ар кандай жерлерде тестирлөөнүн негизинде жасалган.
  • Кытайдын ичиндеги серверлерге жүктөө жана жүктөө ылдамдыгы тиешелүүлүгүнө жараша 20 Мбит/сек жана 5-10 Мбит/сек болгон.
  • Кытайдан тышкары серверлердин ылдамдыгы 1 Мбит/сектен аз.
• Кытайда интернет өтө туруктуу эмес.
  • Кээде конфигурация өзгөрбөсө, сайттар тез, кээде жай (ар кандай күндөрдө күндүн бир убагында) ачылат. Биз муну semrushchina.cn мисалында байкадык. Муну Али CDN менен байланыштырууга болот, ал дагы ушундай жана күндүн убактысына, жылдыздардын абалына жана башкаларга жараша иштейт.
• Мобилдик Интернет дээрлик бардык жерде 4G же 4G+. Метродон, лифттерден - кыскасы бардык жерден кармагыла.
• Кытай колдонуучулары .cn аймагындагы домендерге гана ишенет деген миф. Муну биз түздөн-түз колдонуучулардан үйрөндүк.
  • Сиз кантип көрө аласыз http://baidu.cn www.baidu.com сайтына багыттоо (материктик Кытайда да).
• Көптөгөн ресурстар чындап эле бөгөттөлгөн. Примитив: google.com, Facebook, Twitter. Бирок көптөгөн Google ресурстары иштейт (албетте, бардык Wi-Fi жана VPN колдонулбайт (роутер тарапта да, бул анык).
• Бөгөттөлгөн корпорациялардын көптөгөн “техникалык” домендери да иштеп жатат. Бул Google жана башка бөгөттөлгөн ресурстарды ар дайым ойлонбой кесип салбаңыз дегенди билдирет. Сиз тыюу салынган домендердин кээ бир тизмесин издөө керек.
• Алардын үч гана негизги интернет оператору бар: China Unicom, China Telecom, China Mobile. Андан да кичинелери бар, бирок алардын базардагы үлүшү анча деле чоң эмес

Бонус: акыркы чечим диаграммасы

жыйынтык

Долбоор башталгандан бери бир жыл өттү. Биз биздин сайт Кытайдан адаттагыдай иштөөдөн баш тарткандыгы менен баштадык жана жөн гана GET curl 5.5 секундду алды.

Андан кийин, биринчи чечимде бул көрсөткүчтөр менен (Cloudflare):

чечим
Uptime
медианасы
75 пайыз
95 пайыз

Cloudflare
86.6
18
30
60

Акыры төмөнкү натыйжаларга жеттик (акыркы айдагы статистика):

чечим
Uptime
медианасы
75 пайыз
95 пайыз

Али CDN + CEN/IPsec + GLB
99.86
8.8
9.5
13.7

Көрүнүп тургандай, биз 100% иштөө убактысына жете алган жокпуз, бирок биз бир нерсе ойлоп табабыз, андан кийин биз жаңы макалада жыйынтыктар жөнүндө айтып беребиз :)

Үч бөлүгүн тең аягына чейин окугандарга таазим. Мунун баарын мен жасаганымдай кызыктуу болдуңуз деп үмүттөнөм.

PS Мурунку бөлүктөр

бөлүгү 1
бөлүгү 2

Source: www.habr.com