Qrator filtrēšanas tīkla konfigurācijas pārvaldības sistēma

TL; DR: Mūsu iekšējā tīkla konfigurācijas pārvaldības sistēmas QControl klienta-servera arhitektūras apraksts. Tas ir balstīts uz divu slāņu transporta protokolu, kas darbojas ar gzip pakotiem ziņojumiem bez dekompresijas starp galapunktiem. Izplatītie maršrutētāji un galapunkti saņem konfigurācijas atjauninājumus, un pats protokols ļauj instalēt lokalizētus starprelejus. Sistēma ir veidota pēc principa diferenciālā dublēšana (“recent-stable”, paskaidrots tālāk) un izmanto JMESpath vaicājumu valodu kopā ar Jinja veidņu dzinēju, lai renderētu konfigurācijas failus.

Qrator Labs pārvalda globāli izplatītu uzbrukumu mazināšanas tīklu. Mūsu tīkls darbojas pēc anycast principa, un apakštīkli tiek reklamēti, izmantojot BGP. Tā kā BGP anycast tīkls fiziski atrodas vairākos Zemes reģionos, mēs varam apstrādāt un filtrēt neleģitīmu trafiku tuvāk interneta kodolam - 1. līmeņa operatoriem.

No otras puses, būt ģeogrāfiski sadalītam tīklam nav viegli. Saziņa starp tīkla klātbūtnes punktiem ir ļoti svarīga, lai drošības pakalpojumu sniedzējam būtu konsekventa visu tīkla mezglu konfigurācija, tos savlaicīgi atjauninot. Tāpēc, lai patērētājam nodrošinātu visaugstāko iespējamo pamatpakalpojumu līmeni, mums bija jāatrod veids, kā droši sinhronizēt konfigurācijas datus dažādos kontinentos.

Iesākumā bija Vārds. Tas ātri kļuva par sakaru protokolu, kam nepieciešams atjauninājums.

QControl pastāvēšanas stūrakmens un vienlaikus galvenais iemesls ievērojama laika un resursu tērēšanai šāda veida protokola izveidei ir nepieciešamība iegūt vienu autoritatīvu konfigurācijas avotu un galu galā sinhronizēt mūsu klātbūtnes punktus. ar to. Pati krātuve bija tikai viena no vairākām prasībām QControl izstrādes laikā. Turklāt mums bija nepieciešama arī integrācija ar esošajiem un plānotajiem pakalpojumiem klātbūtnes punktos (POP), viedās (un pielāgojamās) datu validācijas metodes, kā arī piekļuves kontrole. Turklāt mēs vēlējāmies kontrolēt šādu sistēmu, izmantojot komandas, nevis veicot failu modifikācijas. Pirms QControl dati uz klātbūtnes punktiem tika nosūtīti gandrīz manuāli. Ja kāds no klātbūtnes punktiem nebūtu pieejams un mēs to vēlāk aizmirsām atjaunināt, konfigurācija netiks sinhronizēta un mums būs jātērē laiks, lai to atjaunotu un palaistu.

Rezultātā mēs nonācām pie šādas shēmas:

Konfigurācijas serveris ir atbildīgs par datu validāciju un uzglabāšanu; maršrutētājam ir vairāki galapunkti, kas saņem un pārraida konfigurācijas atjauninājumus no klientiem un atbalsta komandām uz serveri un no servera uz klātbūtnes punktiem.

Interneta savienojuma kvalitāte joprojām ir ļoti atšķirīga visā pasaulē — lai ilustrētu šo punktu, apskatīsim vienkāršu MTR no Prāgas, Čehijas līdz Singapūrai un Honkongai.

MTR no Prāgas uz Singapūru

Tas pats ar Honkongu

Liels latentums nozīmē mazāku ātrumu. Turklāt ir pakešu zudums. Kanāla platums nekompensē šo problēmu, kas vienmēr ir jāņem vērā, veidojot decentralizētas sistēmas.

Pilna klātbūtnes punkta konfigurācija ir ievērojams datu apjoms, kas ir jānosūta daudziem adresātiem, izmantojot neuzticamus savienojumus. Par laimi, lai gan konfigurācija nepārtraukti mainās, tas notiek nelielos soļos.

Nesen stabils dizains

Var teikt, ka izplatīta tīkla izveide, pamatojoties uz pakāpenisku atjauninājumu principu, ir diezgan acīmredzams risinājums. Bet ar atšķirībām ir daudz problēmu. Mums ir jāsaglabā visas atšķirības starp atskaites punktiem, kā arī jāspēj tās nosūtīt atkārtoti, ja kāds palaida garām daļu datu. Katram galamērķim tie ir jāpiemēro stingri noteiktā secībā. Parasti vairāku galamērķu gadījumā šāda darbība var aizņemt ilgu laiku. Uztvērējam arī jāspēj pieprasīt trūkstošās daļas un, protams, centrālajai daļai uz šādu pieprasījumu ir jāatbild korekti, nosūtot tikai trūkstošos datus.

Rezultātā mēs nonācām pie diezgan interesanta risinājuma - mums ir tikai viens atsauces slānis, fiksēts, sauksim to par stabilu, un tam tikai viena atšķirība - nesen. Katrs nesenais ir balstīts uz pēdējo ģenerēto stabilu un ir pietiekams, lai atjaunotu konfigurācijas datus. Tiklīdz svaigais nesen sasniedz savu galamērķi, vecais vairs nav vajadzīgs.

Atliek tikai laiku pa laikam nosūtīt jaunu stabilu konfigurāciju, piemēram, tāpēc, ka nesen ir kļuvis pārāk liels. Svarīgi ir arī tas, ka mēs visus šos atjauninājumus izsūtām apraides/multiraides režīmā, neuztraucoties par atsevišķiem adresātiem un viņu spēju apkopot datu gabalus. Kad esam pārliecināti, ka ikvienam ir pareizais stallis, mēs nosūtām tikai jaunus nesenos. Vai ir vērts precizēt, ka tas darbojas? Darbojas. Stable tiek saglabāta kešatmiņā konfigurācijas serverī un adresātos, jaunākie tiek izveidoti pēc vajadzības.

Divlīmeņu transporta arhitektūra

Kāpēc mēs savu transportu veidojām divos līmeņos? Atbilde ir pavisam vienkārša – mēs vēlējāmies atsaistīt maršrutēšanu no augsta līmeņa loģikas, iedvesmojoties no OSI modeļa ar tā transporta un lietojumprogrammu slāņiem. Mēs izmantojām Thrift transporta protokola lomai un msgpack serializācijas formātu augsta līmeņa vadības ziņojumu formātam. Šī iemesla dēļ maršrutētājs (veic multicast/broadcast/relay) neskatās msgpack iekšpusē, neizpako un neiepako saturu atpakaļ un tikai pārsūta datus.

Thrift (no angļu valodas - “thrift”, izrunā [θrift]) ir saskarnes apraksta valoda, ko izmanto, lai definētu un izveidotu pakalpojumus dažādām programmēšanas valodām. Tā ir attālo procedūru izsaukumu (RPC) sistēma. Apvieno programmatūras cauruļvadu ar koda ģenerēšanas dzinēju, lai izstrādātu pakalpojumus, kas vairāk vai mazāk efektīvi un viegli darbojas starp valodām.

Mēs izvēlējāmies Thrift sistēmu RPC un daudzu valodu atbalsta dēļ. Kā parasti, vienkāršās daļas bija klients un serveris. Tomēr maršrutētājs izrādījās ciets rieksts, daļēji tāpēc, ka mūsu izstrādes laikā trūka gatava risinājuma.

Ir arī citas iespējas, piemēram, protobuf / gRPC, tomēr, kad mēs sākām savu projektu, gRPC bija diezgan jauns, un mēs neuzdrošinājāmies to pieņemt.

Protams, mēs varējām (un patiesībā vajadzēja) uzbūvēt savu velosipēdu. Būtu vienkāršāk izveidot protokolu tam, kas mums nepieciešams, jo klienta-servera arhitektūru ir salīdzinoši vienkārši ieviest, salīdzinot ar maršrutētāja izveidi vietnē Thrift. Vienā vai otrā veidā pastāv tradicionāla aizspriedumi pret pašrakstītiem protokoliem un populāru bibliotēku ieviešanu (laba iemesla dēļ); turklāt diskusiju laikā vienmēr rodas jautājums: "Kā mēs to pārnessim uz citām valodām?" Tāpēc mēs nekavējoties izmetām ideju par velosipēdu.

Msgpack ir līdzīgs JSON, taču ātrāks un mazāks. Tas ir binārs datu serializācijas formāts, kas ļauj apmainīties ar datiem starp vairākām valodām.

Pirmajā līmenī mums ir Thrift ar minimālo informāciju, kas nepieciešama, lai maršrutētājs varētu pārsūtīt ziņojumu. Otrajā līmenī ir iepakotas msgpack struktūras.

Mēs izvēlējāmies msgpack, jo tas ir ātrāks un kompaktāks salīdzinājumā ar JSON. Bet vēl svarīgāk ir tas, ka tas atbalsta pielāgotus datu tipus, ļaujot mums izmantot lieliskas funkcijas, piemēram, neapstrādātu bināro failu vai īpašu objektu nodošanu, kas norāda uz datu neesamību, kas bija svarīgi mūsu “nesen-stabila” shēmai.

JMESPath
JMESPath ir JSON vaicājumu valoda.
Tieši šādi izskatās apraksts, ko iegūstam no oficiālās JMESPath dokumentācijas, taču patiesībā tas sniedz daudz vairāk. JMESPath ļauj meklēt un filtrēt apakškokus patvaļīgā koka struktūrā un veikt izmaiņas datos. Tas arī ļauj pievienot īpašus filtrus un datu pārveidošanas procedūras. Lai gan, lai to saprastu, protams, ir vajadzīgas smadzeņu pūles.

Jinja
Dažiem patērētājiem mums ir jāpārvērš konfigurācija failā — tāpēc mēs izmantojam veidņu dzinēju, un Jinja ir acīmredzama izvēle. Ar tās palīdzību mēs ģenerējam konfigurācijas failu no veidnes un galamērķī saņemtajiem datiem.

Lai ģenerētu konfigurācijas failu, mums ir nepieciešams JMESPath pieprasījums, faila atrašanās vietas veidne FS un pašas konfigurācijas veidne. Šajā posmā ir arī ieteicams precizēt faila atļaujas. Tas viss tika veiksmīgi apvienots vienā failā - pirms konfigurācijas veidnes sākuma mēs ievietojām galveni YAML formātā, kas apraksta pārējo.

Piemēram:

---
selector: "[@][?@.fft._meta.version == `42`] | items([0].fft_config || `{}`)"
destination_filename: "fft/{{ match[0] }}.json"
file_mode: 0644
reload_daemons: [fft]
...
{{ dict(match[1]) | json(indent=2, sort_keys=True) }}


Lai izveidotu konfigurācijas failu jaunam pakalpojumam, mēs pievienojam tikai jaunu veidnes failu. Nav nepieciešamas nekādas izmaiņas avota kodā vai programmatūrā klātbūtnes punktos.

Kas ir mainījies kopš QControl darbības uzsākšanas? Pirmā un vissvarīgākā lieta ir konsekventa un uzticama konfigurācijas atjauninājumu piegāde visiem tīkla mezgliem. Otrkārt, mūsu atbalsta komanda, kā arī pakalpojuma patērētāji saņem jaudīgu rīku, lai pārbaudītu konfigurāciju un veiktu tajā izmaiņas.

Mēs to visu varējām izdarīt, izmantojot neseno stabilo atjaunināšanas shēmu, lai vienkāršotu saziņu starp konfigurācijas serveri un konfigurācijas adresātiem. Divslāņu protokola izmantošana, lai atbalstītu no satura neatkarīgu datu maršrutēšanas veidu. Veiksmīgi integrēts Jinja konfigurācijas ģenerēšanas dzinējs izplatītajā filtrēšanas tīklā. Šī sistēma atbalsta plašu konfigurācijas metožu klāstu mūsu izplatītajām un neviendabīgajām perifērijas ierīcēm.

Paldies par palīdzību materiāla rakstīšanā. VolanDamrods, serenheits, NēN.

Versija angļu valodā pastu.

Avots: www.habr.com