Web HighLoad - wéi mir Traffic fir Zéngdausende vun Domänen verwalten

Legitim Traffic am DDoS-Guard Netz huet viru kuerzem honnert Gigabits pro Sekonn iwwerschratt. De Moment gëtt 50% vun all eisem Traffic duerch Client Webservicer generéiert. Dëst si vill Zéngdausende vun Domainen, ganz ënnerschiddlech an déi meeschte Fäll erfuerderen eng individuell Approche.

Ënnert dem Schnëtt ass wéi mir Frontnoden verwalten an SSL Zertifikater fir Honnerte vun Dausende vu Site ausginn.

Eng Front fir ee Site opzestellen, och eng ganz grouss, ass einfach. Mir huelen nginx oder haproxy oder lighttpd, konfiguréieren et no de Guiden a vergiessen et. Wa mir eppes musse änneren, maache mir e Reload a vergiessen erëm.

Alles ännert sech wann Dir grouss Volumen vum Traffic op der Flucht veraarbecht, d'Legitimitéit vun Ufroen evaluéiert, de Benotzerinhalt kompriméiert a cache, a gläichzäiteg Parameteren e puer Mol pro Sekonn änneren. De Benotzer wëll d'Resultat op all externen Wirbelen direkt gesinn nodeems hien d'Astellungen a sengem perséinleche Kont geännert huet. E Benotzer kann och e puer dausend (an heiansdo zéngdausende) Domainen mat individuellen Trafficveraarbechtungsparameter iwwer d'API eroflueden. All dëst soll och direkt an Amerika funktionnéieren, an Europa, an Asien - d'Aufgab ass net déi trivialst, wann Dir bedenkt datt et eleng zu Moskau e puer kierperlech getrennt Filtratiounsknäppchen sinn.

Firwat ginn et vill grouss zouverlässeg Wirbelen ronderëm d'Welt?

• Qualitéit vum Service fir Client Traffic - Ufroe vun den USA mussen an den USA veraarbecht ginn (och fir Attacken, Parsing an aner Anomalien), an net op Moskau oder Europa gezunn, onberechenbar d'Veraarbechtungsverzögerung erhéijen.

• Attackeverkéier muss lokaliséiert ginn - Transitoperateure kënne während Attacken ofbauen, de Volume vun deem dacks méi wéi 1Tbps ass. Den Attackeverkéier iwwer transatlantesch oder transasiatesch Linken transportéieren ass keng gutt Iddi. Mir hate richteg Fäll wou Tier-1 Bedreiwer gesot hunn: "De Volume vun Attacken déi Dir kritt ass geféierlech fir eis." Dofir akzeptéiere mir erakommen Streams sou no wéi méiglech un hir Quellen.

• Strikt Ufuerderunge fir d'Kontinuitéit vum Service - Botzzentren sollen weder vuneneen nach vun lokalen Eventer an eiser séier verännerter Welt ofhänken. Hutt Dir d'Kraaft op all 11 Stäck vum MMTS-9 fir eng Woch ofgeschnidden? - kee Problem. Net een eenzege Client deen keng kierperlech Verbindung op dëser bestëmmter Plaz huet wäert leiden, a Webservicer wäerten ënner kengen Ëmstänn leiden.

Wéi all dëst ze managen?

Servicekonfiguratiounen solle sou séier wéi méiglech op all Frontnoden verdeelt ginn (ideal direkt). Dir kënnt net nëmmen Textkonfiguratiounen huelen an nei opbauen an d'Dämonen bei all Ännerung nei starten - deeselwechten nginx hält Prozesser ofgeschalt (Aarbechter ausschalten) fir e puer méi Minutten (oder vläicht Stonnen wann et laang Websocket Sessiounen sinn).

Wann Dir d'nginx Konfiguratioun nei lued, ass dat folgend Bild ganz normal:

Op Erënnerung Benotzen:

Al Aarbechter iessen Erënnerung, dorënner Erënnerung datt net linear vun der Unzuel vun Verbindungen hänkt - dat ass normal. Wann Client Verbindungen zougemaach ginn, gëtt dës Erënnerung befreit.

Firwat war dëst net en Thema wann nginx just ugefaang huet? Et gouf keen HTTP/2, kee WebSocket, keng massiv laang halen-lieweg Verbindungen. 70% vun eisem Webverkéier ass HTTP/2, dat heescht ganz laang Verbindungen.

D'Léisung ass einfach - benotzt net nginx, verwalt keng Fronte baséiert op Textdateien, a schéckt sécher keng zipped Textkonfiguratiounen iwwer transpazifesch Kanäl. D'Kanäl sinn natierlech garantéiert a reservéiert, awer dat mécht se net manner transkontinental.

Mir hunn eisen eegene Front-Server-Balancer, d'Intern vun deenen ech an de folgenden Artikelen schwätzen. Den Haapt Saach datt et maache kann ass Dausende vun Konfiguratiounsännerungen pro Sekonn op der Flucht gëllen, ouni Neistart, Neiluede, plötzlech Erhéijung vum Erënnerungsverbrauch, an all dat. Dëst ass ganz ähnlech wéi Hot Code Reload, zum Beispill an Erlang. D'Daten ginn an enger geo-verdeelt Schlësselwäerter Datebank gespäichert an direkt vun de Frontaktuatoren gelies. Déi. Dir lued den SSL Zertifikat iwwer de Webinterface oder API zu Moskau erop, an an e puer Sekonnen ass et prett fir an eise Botzzenter zu Los Angeles ze goen. Wann e Weltkrich op eemol geschitt an den Internet op der ganzer Welt verschwënnt, wäerten eis Node weider autonom schaffen an de Split-Gehir reparéieren soubal ee vun den engagéierten Kanäl Los Angeles-Amsterdam-Moskau, Moskau-Amsterdam-Hong Kong- Los-Los gëtt verfügbar. Angeles oder op d'mannst ee vun de GRE Backup-Iwwerlagerungen.

Dëse selwechte Mechanismus erlaabt eis direkt Let's Encrypt Certificaten auszeginn an ze erneieren. Ganz einfach funktionnéiert et esou:

1. Soubal mir op d'mannst eng HTTPS-Ufro fir d'Domain vun eisem Client ouni Zertifika gesinn (oder mat engem ofgelaaften Zertifika), mellt den externen Node, deen d'Ufro ugeholl huet, dëst un d'intern Zertifizéierungsautoritéit.

   

2. Wann de Benotzer d'Emissioun vu Let's Encrypt net verbueden huet, generéiert d'Zertifizéierungsautoritéit e CSR, kritt e Confirmatiouns Token vum LE a schéckt se op all Fronten iwwer e verschlësselte Kanal. Elo kann all Node eng validéierend Ufro vum LE bestätegen.

   

3. An e puer Momenter kréie mir de richtege Zertifikat a private Schlëssel a schécken se op déiselwecht Manéier op d'Fronten. Erëm, ouni d'Dämonen nei ze starten

   

4. 7 Deeg virum Verfallsdatum gëtt d'Prozedur fir den Zertifikat erëm ze kréien

De Moment rotéiere mir 350k Certificaten an Echtzäit, komplett transparent fir d'Benotzer.

An den folgenden Artikelen vun der Serie wäert ech iwwer aner Features vun der Echtzäitveraarbechtung vu grousse Webverkéier schwätzen - zum Beispill iwwer d'Analyse vun RTT mat onkompletten Donnéeën fir d'Qualitéit vum Service fir Transitclienten ze verbesseren an allgemeng iwwer de Schutz vum Transitverkéier vu Terabit Attacken, iwwer d'Liwwerung an d'Aggregatioun vu Verkéiersinformatioun, iwwer WAF, bal onlimitéiert CDN a vill Mechanismen fir d'Inhaltsliwwerung ze optimiséieren.

Nëmme registréiert Benotzer kënnen un der Ëmfro deelhuelen. Umellen, wann ech glift.

Wat wëllt Dir als éischt wëssen?

• 14,3%Algorithmen fir d'Clustering an d'Analyse vun der Qualitéit vum Webverkéier <3

• 33,3%Interne vun DDoS-Guard7 Balancer

• 9,5%Schutz vun Transitstreck L3/L4 Verkéier2

• 0,0%Websäiten am Transitverkéier schützen0

• 14,3%Web Applikatioun Firewall 3

• 28,6%Schutz géint Parsing a Klick6

21 Benotzer hunn gestëmmt. 6 Benotzer hu sech enthalen.

Source: will.com