LeÄ£itÄ«mÄ trafika DDoS-Guard tÄ«klÄ nesen pÄrsniedza simts gigabitus sekundÄ. PaÅ”laik 50% no visas mÅ«su trafika veido klientu tÄ«mekļa pakalpojumi. Tie ir daudzi desmiti tÅ«kstoÅ”u domÄnu, kas ir ļoti atŔķirÄ«gi un vairumÄ gadÄ«jumu prasa individuÄlu pieeju.
ZemÄk ir norÄdÄ«ts, kÄ mÄs pÄrvaldÄm priekÅ”Äjos mezglus un izsniedzam SSL sertifikÄtus simtiem tÅ«kstoÅ”u vietÅu.
PriekÅ”puses iestatÄ«Å”ana vienai vietnei, pat ļoti lielai, ir vienkÄrÅ”a. MÄs Åemam nginx vai haproxy vai lighttpd, konfigurÄjam to saskaÅÄ ar ceļvežiem un aizmirstam par to. Ja mums kaut kas jÄmaina, mÄs veicam pÄrlÄdÄÅ”anu un atkal aizmirstam.
Viss mainÄs, kad lidojumÄ apstrÄdÄjat lielus trafika apjomus, novÄrtÄjat pieprasÄ«jumu likumÄ«bu, saspiežat un saglabÄjat lietotÄja saturu keÅ”atmiÅÄ un vienlaikus vairÄkas reizes sekundÄ mainÄt parametrus. LietotÄjs vÄlas redzÄt rezultÄtu visos ÄrÄjos mezglos tÅ«lÄ«t pÄc tam, kad viÅÅ” ir mainÄ«jis iestatÄ«jumus savÄ personÄ«gajÄ kontÄ. LietotÄjs var arÄ« lejupielÄdÄt vairÄkus tÅ«kstoÅ”us (dažreiz desmitiem tÅ«kstoÅ”u) domÄnu ar atseviŔķiem trafika apstrÄdes parametriem, izmantojot API. Tam visam nekavÄjoties vajadzÄtu darboties arÄ« AmerikÄ, EiropÄ un ÄzijÄ - uzdevums nav pats triviÄlÄkais, Åemot vÄrÄ, ka MaskavÄ vien ir vairÄki fiziski atdalÄ«ti filtrÄcijas mezgli.
KÄpÄc visÄ pasaulÄ ir daudz lielu uzticamu mezglu?
-
Pakalpojuma kvalitÄte klientu trafikam - pieprasÄ«jumi no ASV ir jÄapstrÄdÄ ASV (tostarp par uzbrukumiem, parsÄÅ”anu un citÄm anomÄlijÄm), nevis jÄvelk uz Maskavu vai Eiropu, neprognozÄjami palielinot apstrÄdes aizkavi.
-
Uzbrukuma trafikam jÄbÅ«t lokalizÄtam ā tranzÄ«ta operatori var degradÄties uzbrukumu laikÄ, kuru apjoms bieži pÄrsniedz 1Tbps. Uzbrukuma satiksmes pÄrneÅ”ana pa transatlantiskajiem vai transÄzijas savienojumiem nav laba ideja. Mums bija reÄli gadÄ«jumi, kad 1. lÄ«meÅa operatori teica: "JÅ«su saÅemto uzbrukumu apjoms mums ir bÄ«stams." TÄpÄc mÄs pieÅemam ienÄkoÅ”Äs straumes pÄc iespÄjas tuvÄk to avotiem.
-
Stingras prasÄ«bas pakalpojumu nepÄrtrauktÄ«bai ā uzkopÅ”anas centriem nevajadzÄtu bÅ«t atkarÄ«giem ne viens no otra, ne vietÄjiem notikumiem mÅ«su strauji mainÄ«gajÄ pasaulÄ. Vai uz nedÄļu atslÄdzÄt strÄvu visiem MMTS-11 9 stÄviem? - nekÄdu problÄmu. NecietÄ«s neviens klients, kuram nav fiziska savienojuma Å”ajÄ konkrÄtajÄ vietÄ, un tÄ«mekļa pakalpojumi nekÄdÄ gadÄ«jumÄ necietÄ«s.
KÄ to visu pÄrvaldÄ«t?
Pakalpojumu konfigurÄcijas ir jÄizplata visiem priekÅ”Äjiem mezgliem pÄc iespÄjas ÄtrÄk (ideÄlÄ gadÄ«jumÄ uzreiz). JÅ«s nevarat vienkÄrÅ”i pÄrbÅ«vÄt teksta konfigurÄcijas un pÄrstartÄt dÄmonus katrÄ izmaiÅÄ ā tas pats nginx aptur procesu slÄgÅ”anu (darbinieka izslÄgÅ”anu) vÄl dažas minÅ«tes (vai varbÅ«t stundas, ja ir ilgas tÄ«mekļa ligzdas sesijas).
PÄrlÄdÄjot nginx konfigurÄciju, Å”Äds attÄls ir diezgan normÄls:
Par atmiÅas izmantoÅ”anu:
Vecie strÄdnieki apÄd atmiÅu, tostarp atmiÅu, kas nav lineÄri atkarÄ«ga no savienojumu skaita - tas ir normÄli. Kad klienta savienojumi tiek aizvÄrti, Ŕī atmiÅa tiks atbrÄ«vota.
KÄpÄc tÄ nebija problÄma, kad nginx tikko sÄka darboties? Nebija ne HTTP/2, ne WebSocket, ne masveida ilgi uzturÄtu savienojumu. 70% no mÅ«su tÄ«mekļa trafika ir HTTP/2, kas nozÄ«mÄ Ä¼oti ilgus savienojumus.
RisinÄjums ir vienkÄrÅ”s - neizmantojiet nginx, nepÄrvaldiet frontes, pamatojoties uz teksta failiem, un noteikti nesÅ«tiet zip teksta konfigurÄcijas pa transpacific kanÄliem. KanÄli, protams, ir garantÄti un rezervÄti, taÄu tas nepadara tos mazÄk transkontinentÄlus.
Mums ir savs priekÅ”Äjais serveris-balansÄtÄjs, par kura iekÅ”Äjiem elementiem es runÄÅ”u turpmÄkajos rakstos. Galvenais, ko tas var darÄ«t, ir lidojuma laikÄ piemÄrot tÅ«kstoÅ”iem konfigurÄcijas izmaiÅu sekundÄ, bez restartÄÅ”anas, pÄrlÄdÄÅ”anas, pÄkÅ”Åa atmiÅas patÄriÅa pieauguma un tÄ visa. Tas ir ļoti lÄ«dzÄ«gs Hot Code Reload, piemÄram, Erlang. Dati tiek glabÄti Ä£eogrÄfiski sadalÄ«tÄ atslÄgu vÄrtÄ«bu datu bÄzÄ, un tos nekavÄjoties nolasa priekÅ”Äjie izpildmehÄnismi. Tie. jÅ«s augÅ”upielÄdÄjat SSL sertifikÄtu, izmantojot tÄ«mekļa saskarni vai API MaskavÄ, un pÄc dažÄm sekundÄm tas ir gatavs doties uz mÅ«su tÄ«rÄ«Å”anas centru LosandželosÄ. Ja pÄkÅ”Åi notiks pasaules karÅ” un visÄ pasaulÄ pazudÄ«s internets, mÅ«su mezgli turpinÄs darboties autonomi un labos sadalÄ«tÄs smadzenes, tiklÄ«dz viens no specializÄtajiem kanÄliem Losandželosa-Amsterdama-Maskava, Maskava-Amsterdama-Honkonga Los-Los kļūst pieejams. Angeles vai vismaz viens no GRE rezerves pÄrklÄjumiem.
Å is pats mehÄnisms ļauj mums nekavÄjoties izsniegt un atjaunot Let's Encrypt sertifikÄtus. Ä»oti vienkÄrÅ”i tas darbojas Å”Ädi:
-
TiklÄ«dz mÄs redzam vismaz vienu HTTPS pieprasÄ«jumu mÅ«su klienta domÄnam bez sertifikÄta (vai ar sertifikÄtu, kuram beidzies derÄ«guma termiÅÅ”), ÄrÄjais mezgls, kas pieÅÄma pieprasÄ«jumu, ziÅo par to iekÅ”Äjai sertifikÄcijas iestÄdei.
-
Ja lietotÄjs nav aizliedzis Encrypt izdoÅ”anu, sertifikÄcijas iestÄde Ä£enerÄ CSR, saÅem apstiprinÄjuma marÄ·ieri no LE un nosÅ«ta to visÄm frontÄm pa Å”ifrÄtu kanÄlu. Tagad jebkurÅ” mezgls var apstiprinÄt apstiprinÄÅ”anas pieprasÄ«jumu no LE.
-
PÄc dažiem mirkļiem mÄs saÅemsim pareizo sertifikÄtu un privÄto atslÄgu un nosÅ«tÄ«sim to frontÄm tÄdÄ paÅ”Ä veidÄ. Atkal, bez dÄmonu restartÄÅ”anas
-
7 dienas pirms derÄ«guma termiÅa beigÄm tiek uzsÄkta sertifikÄta atkÄrtotas saÅemÅ”anas procedÅ«ra
PaÅ”laik mÄs rotÄjam 350 XNUMX sertifikÄtu reÄllaikÄ, kas lietotÄjiem ir pilnÄ«bÄ pÄrredzams.
NÄkamajos sÄrijas rakstos es runÄÅ”u par citÄm lielas tÄ«mekļa trafika apstrÄdes reÄllaika funkcijÄm - piemÄram, par RTT analÄ«zi, izmantojot nepilnÄ«gus datus, lai uzlabotu tranzÄ«ta klientu pakalpojumu kvalitÄti, un kopumÄ par tranzÄ«ta trafika aizsardzÄ«bu no terabitu uzbrukumi, par satiksmes informÄcijas piegÄdi un apkopoÅ”anu, par WAF, gandrÄ«z neierobežotu CDN un daudziem mehÄnismiem satura piegÄdes optimizÄÅ”anai.
AptaujÄ var piedalÄ«ties tikai reÄ£istrÄti lietotÄji.
Ko jÅ«s vÄlÄtos uzzinÄt vispirms?
-
14,3%Algoritmi klasterÄÅ”anai un tÄ«mekļa trafika kvalitÄtes analÄ«zei<3
-
33,3%DDoS-Guard7 balansÄtÄju iekÅ”Äjie elementi
-
9,5%Tranzīta L3/L4 satiksmes aizsardzība2
-
0,0%VietÅu aizsardzÄ«ba tranzÄ«ta satiksmÄ0
-
14,3%Tīmekļa lietojumprogrammu ugunsmūris3
-
28,6%AizsardzÄ«ba pret parsÄÅ”anu un noklikŔķinÄÅ”anu6
Nobalsoja 21 lietotÄjs. 6 lietotÄji atturÄjÄs.
Avots: www.habr.com