Web HighLoad — kā mēs pārvaldām datplūsmu desmitiem tūkstošu domēnu

Leģitīmā trafika DDoS-Guard tīklā nesen pārsniedza simts gigabitus sekundē. Pašlaik 50% no visas mūsu trafika veido klientu tīmekļa pakalpojumi. Tie ir daudzi desmiti tūkstošu domēnu, kas ir ļoti atšķirīgi un vairumā gadījumu prasa individuālu pieeju.

Zemāk ir norādīts, kā mēs pārvaldām priekšējos mezglus un izsniedzam SSL sertifikātus simtiem tūkstošu vietņu.

Priekšpuses iestatīšana vienai vietnei, pat ļoti lielai, ir vienkārša. Mēs ņemam nginx vai haproxy vai lighttpd, konfigurējam to saskaņā ar ceļvežiem un aizmirstam par to. Ja mums kaut kas jāmaina, mēs veicam pārlādēšanu un atkal aizmirstam.

Viss mainās, kad lidojumā apstrādājat lielus trafika apjomus, novērtējat pieprasījumu likumību, saspiežat un saglabājat lietotāja saturu kešatmiņā un vienlaikus vairākas reizes sekundē maināt parametrus. Lietotājs vēlas redzēt rezultātu visos ārējos mezglos tūlīt pēc tam, kad viņš ir mainījis iestatījumus savā personīgajā kontā. Lietotājs var arī lejupielādēt vairākus tūkstošus (dažreiz desmitiem tūkstošu) domēnu ar atsevišķiem trafika apstrādes parametriem, izmantojot API. Tam visam nekavējoties vajadzētu darboties arī Amerikā, Eiropā un Āzijā - uzdevums nav pats triviālākais, ņemot vērā, ka Maskavā vien ir vairāki fiziski atdalīti filtrācijas mezgli.

Kāpēc visā pasaulē ir daudz lielu uzticamu mezglu?

• Pakalpojuma kvalitāte klientu trafikam - pieprasījumi no ASV ir jāapstrādā ASV (tostarp par uzbrukumiem, parsēšanu un citām anomālijām), nevis jāvelk uz Maskavu vai Eiropu, neprognozējami palielinot apstrādes aizkavi.

• Uzbrukuma trafikam jābūt lokalizētam – tranzīta operatori var degradēties uzbrukumu laikā, kuru apjoms bieži pārsniedz 1Tbps. Uzbrukuma satiksmes pārnešana pa transatlantiskajiem vai transāzijas savienojumiem nav laba ideja. Mums bija reāli gadījumi, kad 1. līmeņa operatori teica: "Jūsu saņemto uzbrukumu apjoms mums ir bīstams." Tāpēc mēs pieņemam ienākošās straumes pēc iespējas tuvāk to avotiem.

• Stingras prasības pakalpojumu nepārtrauktībai – uzkopšanas centriem nevajadzētu būt atkarīgiem ne viens no otra, ne vietējiem notikumiem mūsu strauji mainīgajā pasaulē. Vai uz nedēļu atslēdzāt strāvu visiem MMTS-11 9 stāviem? - nekādu problēmu. Necietīs neviens klients, kuram nav fiziska savienojuma šajā konkrētajā vietā, un tīmekļa pakalpojumi nekādā gadījumā necietīs.

Kā to visu pārvaldīt?

Pakalpojumu konfigurācijas ir jāizplata visiem priekšējiem mezgliem pēc iespējas ātrāk (ideālā gadījumā uzreiz). Jūs nevarat vienkārši pārbūvēt teksta konfigurācijas un pārstartēt dēmonus katrā izmaiņā — tas pats nginx aptur procesu slēgšanu (darbinieka izslēgšanu) vēl dažas minūtes (vai varbūt stundas, ja ir ilgas tīmekļa ligzdas sesijas).

Pārlādējot nginx konfigurāciju, šāds attēls ir diezgan normāls:

Par atmiņas izmantošanu:

Vecie strādnieki apēd atmiņu, tostarp atmiņu, kas nav lineāri atkarīga no savienojumu skaita - tas ir normāli. Kad klienta savienojumi tiek aizvērti, šī atmiņa tiks atbrīvota.

Kāpēc tā nebija problēma, kad nginx tikko sāka darboties? Nebija ne HTTP/2, ne WebSocket, ne masveida ilgi uzturētu savienojumu. 70% no mūsu tīmekļa trafika ir HTTP/2, kas nozīmē ļoti ilgus savienojumus.

Risinājums ir vienkāršs - neizmantojiet nginx, nepārvaldiet frontes, pamatojoties uz teksta failiem, un noteikti nesūtiet zip teksta konfigurācijas pa transpacific kanāliem. Kanāli, protams, ir garantēti un rezervēti, taču tas nepadara tos mazāk transkontinentālus.

Mums ir savs priekšējais serveris-balansētājs, par kura iekšējiem elementiem es runāšu turpmākajos rakstos. Galvenais, ko tas var darīt, ir lidojuma laikā piemērot tūkstošiem konfigurācijas izmaiņu sekundē, bez restartēšanas, pārlādēšanas, pēkšņa atmiņas patēriņa pieauguma un tā visa. Tas ir ļoti līdzīgs Hot Code Reload, piemēram, Erlang. Dati tiek glabāti ģeogrāfiski sadalītā atslēgu vērtību datu bāzē, un tos nekavējoties nolasa priekšējie izpildmehānismi. Tie. jūs augšupielādējat SSL sertifikātu, izmantojot tīmekļa saskarni vai API Maskavā, un pēc dažām sekundēm tas ir gatavs doties uz mūsu tīrīšanas centru Losandželosā. Ja pēkšņi notiks pasaules karš un visā pasaulē pazudīs internets, mūsu mezgli turpinās darboties autonomi un labos sadalītās smadzenes, tiklīdz viens no specializētajiem kanāliem Losandželosa-Amsterdama-Maskava, Maskava-Amsterdama-Honkonga Los-Los kļūst pieejams. Angeles vai vismaz viens no GRE rezerves pārklājumiem.

Šis pats mehānisms ļauj mums nekavējoties izsniegt un atjaunot Let's Encrypt sertifikātus. Ļoti vienkārši tas darbojas šādi:

1. Tiklīdz mēs redzam vismaz vienu HTTPS pieprasījumu mūsu klienta domēnam bez sertifikāta (vai ar sertifikātu, kuram beidzies derīguma termiņš), ārējais mezgls, kas pieņēma pieprasījumu, ziņo par to iekšējai sertifikācijas iestādei.

   

2. Ja lietotājs nav aizliedzis Encrypt izdošanu, sertifikācijas iestāde ģenerē CSR, saņem apstiprinājuma marķieri no LE un nosūta to visām frontēm pa šifrētu kanālu. Tagad jebkurš mezgls var apstiprināt apstiprināšanas pieprasījumu no LE.

   

3. Pēc dažiem mirkļiem mēs saņemsim pareizo sertifikātu un privāto atslēgu un nosūtīsim to frontēm tādā pašā veidā. Atkal, bez dēmonu restartēšanas

   

4. 7 dienas pirms derīguma termiņa beigām tiek uzsākta sertifikāta atkārtotas saņemšanas procedūra

Pašlaik mēs rotējam 350 XNUMX sertifikātu reāllaikā, kas lietotājiem ir pilnībā pārredzams.

Nākamajos sērijas rakstos es runāšu par citām lielas tīmekļa trafika apstrādes reāllaika funkcijām - piemēram, par RTT analīzi, izmantojot nepilnīgus datus, lai uzlabotu tranzīta klientu pakalpojumu kvalitāti, un kopumā par tranzīta trafika aizsardzību no terabitu uzbrukumi, par satiksmes informācijas piegādi un apkopošanu, par WAF, gandrīz neierobežotu CDN un daudziem mehānismiem satura piegādes optimizēšanai.

Aptaujā var piedalīties tikai reģistrēti lietotāji. Ielogoties, lūdzu.

Ko jūs vēlētos uzzināt vispirms?

• 14,3%Algoritmi klasterēšanai un tīmekļa trafika kvalitātes analīzei<3

• 33,3%DDoS-Guard7 balansētāju iekšējie elementi

• 9,5%Tranzīta L3/L4 satiksmes aizsardzība2

• 0,0%Vietņu aizsardzība tranzīta satiksmē0

• 14,3%Tīmekļa lietojumprogrammu ugunsmūris3

• 28,6%Aizsardzība pret parsēšanu un noklikšķināšanu6

Nobalsoja 21 lietotājs. 6 lietotāji atturējās.

Avots: www.habr.com