ProHoster > Blog > fitantanan-draharaha > Ahoana no namakiantsika ny Great Chinese Firewall (Fizarana faha-3)

Ahoana no namakiantsika ny Great Chinese Firewall (Fizarana faha-3)

Miarahaba!
Mifarana ny tantara tsara rehetra. Ary tsy maningana ny tantaranay momba ny fomba namoahanay vahaolana handalovana haingana ny Firewall Shinoa. Noho izany, maika hizara aminareo ny farany aho, ny ampahany farany momba ity lohahevitra ity.

Tamin'ny ampahany teo aloha dia niresaka momba ny dabilio fitsapana maro izay novokarinay sy ny vokatra azony. Ary niorim-paka izahay tamin'izay mety hanampy CDN! ho an'ny viscosity ao amin'ny drafitray.

Holazaiko aminao ny fomba nanandranay Alibaba Cloud CDN, Tencent Cloud CDN ary Akamai, ary inona no niafaranay. Ary mazava ho azy, andao hamintina.

Ahoana no namakiantsika ny Great Chinese Firewall (Fizarana faha-3)

Alibaba Cloud CDN

Nampiantranoina ao amin'ny Alibaba Cloud izahay ary mampiasa IPSEC sy CEN avy amin'izy ireo. Mety ho lojika ny hanandrana ny vahaolana ho azy ireo aloha.

Alibaba Cloud dia manana karazana vokatra roa mety ho antsika: CDN ΠΈ DCDN. Ny safidy voalohany dia CDN mahazatra ho an'ny sehatra manokana (subdomain). Ny safidy faharoa dia mijoro ho an'ny Lalana dinamika ho an'ny CDN (Antsoiko hoe CDN dynamique izy io), azo atao amin'ny fomba feno toerana izy io (ho an'ny sehatra wildcard), mitahiry votoaty static ihany koa izy ary manafaingana ny votoaty mavitrika amin'ny tenany, izany hoe, ny dinamikan'ny pejy dia ho entina amin'ny alΓ lan'ny mpamatsy. tambajotra haingana. Zava-dehibe ho anay izany, satria amin'ny ankapobeny dia mavitrika ny tranokalanay, mampiasa subdomains maro, ary mety kokoa ny manangana CDN indray mandeha ho an'ny "asterisk" - *.semrushchina.cn.

Efa nahita an'io vokatra io izahay tamin'ny dingana teo aloha tamin'ny tetikasa Shinoa, saingy mbola tsy mandeha izany, ary nampanantena ny mpamorona fa tsy ho ela dia ho azon'ny mpanjifa rehetra ilay vokatra. Ary nataony izany.

Ao amin'ny DCDN ianao dia afaka:

  • amboary ny famaranana SSL miaraka amin'ny taratasy fanamarinanao,
  • mamela ny fanafainganana ny votoaty mavitrika,
  • amboary moramora ny caching ny rakitra static,
  • manadio ny cache,
  • mandroso sockets web,
  • mamela ny famatrarana ary na dia HTML Beautifier aza.

Amin'ny ankapobeny, ny zava-drehetra dia mitovy amin'ny olon-dehibe sy mpamatsy CDN lehibe.

Aorian'ny famaritana ny Origin (ny toerana halehan'ny mpizara CDN sisiny), ny hany sisa tavela dia ny mamorona CNAME ho an'ny asterisk, manondro. all.semrushchina.cn.w.kunluncan.com (voaray tao amin'ny console Alibaba Cloud ity CNAME ity) ary hiasa ny CDN.

Araka ny valin'ny fitsapana dia nanampy betsaka anay ity CDN ity. Ny antontan'isa dia aseho eto ambany.

fanapahan-kevitra
Uptime
Median
75 isan-jato
95 isan-jato

Cloudflare
86.6
18s
30s
60s

IPsec
99.79
18s
21s
30s

CEN
99.75
16s
21s
27s

CEN/IPsec + GLB
99.79
13s
16s
25s

Ali CDN + CEN/IPsec + GLB
99.75
10s
12.8s
17.3s

Tena tsara ireo vokatra ireo, indrindra raha ampitahainao amin'ny isa teo am-piandohana. Saingy fantatray fa ny andrana amin'ny navigateur amin'ny dikan-teny amerikana amin'ny tranokalanay www.semrush.com dia mandeha avy any Etazonia amin'ny salan'isa 8.3s (tena tombantombana). Misy toerana azo hatsaraina. Ankoatr'izay, nisy ihany koa ireo mpamatsy CDN izay nahaliana ny fitsapana.

Noho izany dia mandroso tsikelikely mankany amin'ny goavambe hafa amin'ny tsena sinoa isika - Tencent.

Tencent Cloud

Tencent dia mamolavola ny rahonany fotsiny - izany dia azo jerena amin'ny vokatra vitsivitsy. Nandritra ny fampiasana azy dia tsy te-hitsapa ny CDN-ny ihany izahay, fa koa ny fotodrafitrasa tambajotra amin'ny ankapobeny:

  • misy mitovitovy amin'ny CEN ve ry zareo?
  • Ahoana no fiasan'ny IPSEC ho azy ireo? Haingana ve izany, inona ny ora fiasana?
  • manana Anycast ve izy ireo?

Ahoana no namakiantsika ny Great Chinese Firewall (Fizarana faha-3)

Andeha hojerentsika manokana ireo fanontaniana ireo.

Analogue CEN

Tencent dia manana vokatra Cloud Connect Network (CCN), ahafahanao mampifandray VPC avy amin'ny faritra samihafa, anisan'izany ny faritra ao anatiny sy ivelan'i Shina. Ao amin'ny beta anatiny izao ny vokatra, ary mila mamorona tapakila mangataka ny hifandray aminy ianao. Nianatra izahay tamin'ny fanohanana fa ny kaonty manerantany (tsy miresaka momba ny olom-pirenena Shinoa na fikambanana ara-dalΓ na izahay) dia tsy afaka mandray anjara amin'ny programa fitiliana beta ary amin'ny ankapobeny dia mampifandray faritra ao anatin'i Shina amin'ny faritra any ivelany. 1-0 ho an'i Ali Cloud

IPSEC

Ny faritra atsimon'i Tencent dia Guangzhou. Nanangona tionelina izahay ary nampifandray azy tamin'ny faritr'i Hong Kong tao amin'ny GCP (efa nisy io faritra io). Ny tonelina faharoa ao Ali Cloud avy any Shenzhen ka hatrany Hong Kong dia niakatra ihany koa tamin'io fotoana io. Hita fa tamin'ny alΓ lan'ny tambajotra Tencent dia tsara kokoa (10ms) ny fahatarana mankany Hong Kong noho ny avy any Shenzhen mankany Hong Kong mankany Ali (120ms - inona?). Saingy tsy nanafaingana ny asan'ny tranokala mikendry ny hiasa amin'ny Tencent sy ity tonelina ity izany, izay tena zava-misy mahagaga ary nanaporofo indray izao manaraka izao: latency - ho an'i Shina dia tsy famantarana tena mendrika izany. mitandrema rehefa mamolavola vahaolana amin'ny fandalovana ny firewall sinoa.

Anycast Internet Acceleration

Ny vokatra iray hafa ahafahanao miasa amin'ny alΓ lan'ny IP anycast dia AIA. Saingy tsy misy amin'ny kaonty manerantany ihany koa izy io, ka tsy hilaza aminao momba izany aho, fa ny fahafantarana fa misy ny vokatra toy izany dia mety hahasoa.

Saingy ny fitsapana CDN dia nampiseho valiny mahaliana. Ny CDN an'i Tencent dia tsy azo alefa amin'ny tranokala feno, afa-tsy amin'ny sehatra manokana. Namorona sehatra izahay ary nandefa fifamoivoizana ho azy ireo:

Ahoana no namakiantsika ny Great Chinese Firewall (Fizarana faha-3)

Hita fa ity CDN ity dia manana ny asany: Fanamafisana ny fifamoivoizana miampita sisintany. Ity endri-javatra ity dia tokony hampihena ny fandaniana rehefa mandalo amin'ny firewall Shinoa ny fifamoivoizana. Araka ny Origin Voafaritra ny adiresy IP an'ny Google GLB (GLB anycast). Noho izany, tianay ny hanatsotra ny rafitry ny tetikasa.

Tena tsara ny valiny - amin'ny haavon'ny Ali Cloud CDN, ary amin'ny toerana sasany dia tsara kokoa. Mahagaga izany, satria raha mahomby ny fitsapana dia azonao atao ny miala amin'ny ampahany lehibe amin'ny fotodrafitrasa, tonelina, CEN, milina virtoaly, sns.

Tsy nifaly ela izahay, satria nisy olana niseho: tsy nahomby ny fitsapana tao amin'ny Catchpoint ho an'ny mpamatsy Internet China Mobile. Avy amin'ny toerana rehetra dia nahazo fe-potoana tamin'ny alΓ lan'ny CDN Tencent izahay. Tsy nitondra na inona na inona ny fifandraisana tamin'ny fanohanana ara-teknika. Niezaka namaha io olana io nandritra ny iray andro teo ho eo izahay, saingy tsy nisy nahomby.

Tany Shina aho tamin'io fotoana io, saingy tsy nahita Wi-Fi ho an'ny daholobe tao amin'ny tambajotran'ity mpamatsy ity mba hanamarinana manokana ny olana. Raha tsy izany dia toa haingana sy tsara ny zava-drehetra.
Na izany aza, noho ny fisian'ny China Mobile dia iray amin'ireo mpandraharaha telo lehibe indrindra, dia voatery namerina ny fifamoivoizana tany Ali CDN izahay.
Saingy amin'ny ankapobeny, vahaolana mahaliana ity izay mendrika ny fitiliana sy famahana olana amin'ity olana ity.

Akamai

Ny mpamatsy CDN farany notsapainay dia Akamai. Ity dia mpamatsy lehibe manana ny tambajotra ao Shina. Mazava ho azy fa tsy afaka nandalo izany izahay.

Ahoana no namakiantsika ny Great Chinese Firewall (Fizarana faha-3)

Hatrany am-piandohana dia nifanaraka tamin'ny Akamai izahay nandritra ny fotoam-pitsapana mba hahafahanay manova ny sehatra sy hijery ny fomba fiasan'ny tambajotran-dry zareo. Holazaiko ny vokatry ny fitsapana rehetra amin'ny endrika "Izay tiako" sy "Izay tsy tiako", ary homeko ihany koa ny valin'ny fitsapana.

Ny tiako:

  • Tena nanampy tamin'ny fanontaniana rehetra ry zalahy avy ao Akamai ary niaraka taminay tamin'ny dingana rehetra fitsapana. Niezaka nanatsara zavatra teo aminay izahay. Nanome torohevitra ara-teknika tsara izy ireo.
  • Akamai dia eo amin'ny 10-15% miadana kokoa noho ny vahaolana amin'ny alΓ lan'ny Ali Cloud CDN. Ny tena mahavariana dia ao amin'ny Origin for Akamai no namaritanay ny adiresy IP an'ny GLB, midika izany fa tsy nandalo ny vahaolanay ny fifamoivoizana (mety ho afaka handao ny ampahany amin'ny fotodrafitrasa izahay). Na izany aza, ny valin'ny fitsapana dia naneho fa ity vahaolana ity dia ratsy noho ny dikan-tsika ankehitriny (valiny fampitahana etsy ambany).
  • Samy nanandrana ny Origin GLB sy ny Origin tany Chine. Mitovy ihany ny safidy roa.
  • Misy Lalana azo antoka (optimization lalana mandeha ho azy). Azonao atao ny mampiantrano zavatra fitsapana amin'ny Origin, ary ny mpizara Akamai Edge dia hanandrana haka azy (GET mahazatra). Ho an'ireo fangatahana ireo, ny hafainganam-pandeha sy ny metrika hafa dia refesina, mifototra amin'ny tambajotra Akamai manatsara ny lalana mba handehanana haingana kokoa ny fifamoivoizana ho an'ny tranokalanay ary mazava ho azy fa ny fampandehanana ity endri-javatra ity dia tena nisy fiantraikany mahery vaika tamin'ny hafainganam-pandehan'ny tranokala.
  • Mahafinaritra ny famoahana ny fandrindrana ao amin'ny interface Internet. Azonao atao ny mampitaha ny dikan-teny, jereo ny diff. Jereo ny dikan-teny teo aloha.
  • Amin'ny tambajotra Akamai Staging ihany no ahafahanao mamoaka dikan-teny vaovao voalohany - tambajotra mitovy amin'ny famokarana, io fomba io ihany no tsy hisy fiantraikany amin'ny tena mpampiasa. Ho an'ity fitsapana ity dia mila mamono ny rakitra DNS amin'ny milina eo an-toerana ianao.
  • Haingam-pandeha be ny fampidinana amin'ny alΓ lan'ny tambajotran'izy ireo ho an'ny rakitra static lehibe, ary, toa ny rakitra hafa. Ny rakitra iray avy amin'ny cache "mangatsiaka" dia alaina imbetsaka haingana kokoa noho ny rakitra mitovy amin'ny cache "mangatsiaka" an'i Ali CDN. Avy amin'ny cache "mafana", ny hafainganam-pandeha dia efa mitovy, miampy na minus.

Ali CDN fitsapana:

root@shenzhen1:~# curl -o /dev/null -w@curl_time https://en.semrushchina.cn/my_reports/build/scripts/simpleInit.js?v=1551879212
  % Total    % Received % Xferd  Average Speed   Time    Time     Time  Current
                                 Dload  Upload   Total   Spent    Left  Speed
100 5757k    0 5757k    0     0   513k      0 --:--:--  0:00:11 --:--:--  526k
time_namelookup:  0.004286
time_connect:  0.030107
time_appconnect:  0.117525
time_pretransfer:  0.117606
time_redirect:  0.000000
time_starttransfer:  0.840348
----------
time_total:  11.208119
----------
size_download:  5895467 Bytes
speed_download:  525999.000B/s

Fitsapana Akamai:

root@shenzhen1:~# curl -o /dev/null -w@curl_time https://www.semrushchina.cn/my_reports/build/scripts/simpleInit.js?v=1551879212
  % Total    % Received % Xferd  Average Speed   Time    Time     Time  Current
                                 Dload  Upload   Total   Spent    Left  Speed
100 5757k    0 5757k    0     0  1824k      0 --:--:--  0:00:03 --:--:-- 1825k
time_namelookup:  0.509005
time_connect:  0.528261
time_appconnect:  0.577235
time_pretransfer:  0.577324
time_redirect:  0.000000
time_starttransfer:  1.327013
----------
time_total:  3.154850
----------
size_download:  5895467 Bytes
speed_download:  1868699.000B/s

Tsikaritray fa miankina amin'ny lafin-javatra samihafa ny toe-javatra amin'ny ohatra etsy ambony. Tamin'ny fotoana nanoratana ity teboka ity dia nanao ny fitsapana indray aho. Mitovy ihany ny vokatra ho an'ny sehatra roa. Izany dia milaza amintsika fa ny Internet ao Shina, na dia ho an'ny mpandraharaha lehibe sy ny mpanome rahona aza, dia tsy mitovy ny fitondran-tena indraindray.

Ho an'ny teboka teo aloha dia hanampy tombony lehibe ho an'i Akamai aho: raha toa i Ali dia mampiseho tselatra mitovitovy amin'ny fampisehoana avo lenta sy ny fampisehoana ambany dia ambany (mihatra amin'i Ali CDN, Ali CEN, ary Ali IPSEC), avy eo Akamai, isaky ny mandeha, na inona na inona. ny fomba fitsapako ny tambajotran'izy ireo dia mandeha tsara daholo ny zava-drehetra.
Akamai dia manana fandrakofana be dia be ao Shina ary miasa amin'ny mpamatsy maro.

Ny tsy tiako:

  • Tsy tiako ny interface Internet sy ny fomba fiasa - tena ratsy izany. Saingy amin'ny ankapobeny dia zatra izany ianao (angamba).
  • Ratsy kokoa noho ny tranokalanay ny valin'ny fitsapana.
  • Betsaka ny lesoka mandritra ny fitsapana noho ny ao amin'ny tranokalanay (fotoana ambany).
  • Tsy manana mpizara DNS manokana izahay any Shina. Noho izany dia misy lesoka maro amin'ny fitsapana noho ny famahana ny DNS.
  • Tsy manome ny laharana IP-ny izy ireo -> tsy misy fomba fisoratana anarana ny marina set_real_ip_from amin'ny mpizara anay.

Metrika (~3626 mihazakazaka; ny metrika rehetra afa-tsy ny Uptime, amin'ny ms; antontan'isa mandritra ny fe-potoana iray):

Mpanome CDN
Median
75%
95%
Response
Valin'ny pejin-tranonkala
Uptime
DNS
Connect
miandrasa
Load
SSL

AliCDN
9195
10749
17489
1,715
10,745
99.531
57
17
927
479
200

Akamai
9783
11887
19888
2,352
11,550
98.980
424
91
1408
381
50

Fizarana amin'ny isan-jato (amin'ny ms):

isan-jato
Akamai
AliCDN

10
7,092
6,942

20
7,775
7,583

30
8,446
8,092

40
9,146
8,596

50
9,783
9,195

60
10,497
9,770

70
11,371
10,383

80
12,670
11,255

90
15,882
13,165

100
91,592
91,596

Ny fehin-kevitra dia izao: azo atao ny safidy Akamai, saingy tsy manome fitoniana sy hafainganam-pandeha mitovy amin'ny vahaolanay manokana miaraka amin'i Ali CDN.

Naoty kely

Nisy fotoana tsy nampidirina tao amin'ny tantara, fa te hanoratra momba azy ireo koa aho.

Beijing + Tokyo sy Hong Kong

Araka ny nolazaiko teo ambony dia nanandrana tonelina IPSEC mankany Hong Kong (HK) izahay. Saingy nanandrana ny CEN mankany HK ihany koa izahay. Latsaka kely ny vidiny, ary nanontany tena aho hoe ahoana no fiasan'izy io eo anelanelan'ny tanΓ na misy halavirana ~100 km. Hita fa nahaliana fa 100ms ambony kokoa noho ny tamin'ny dikan-teny tany am-boalohany (ho an'i Taiwan) ny elanelana misy eo amin'ireo tanΓ na ireo. Ny hafainganam-pandeha, ny fitoniana dia tsara kokoa ho an'i Taiwan. Vokatr'izany dia nandao an'i HK izahay ho faritra IPSEC backup.

Ankoatra izany, nanandrana nametraka ity fametrahana manaraka ity izahay:

  • fampitsaharana ny mpanjifa any Beijing,
  • IPSEC sy CEN mankany Tokyo,
  • ao amin'ny Ali CDN ny lohamilina ao Beijing dia voalaza ho niandohany.

Tsy dia milamina loatra io tetika io, na dia eo amin'ny hafainganam-pandeha aza dia tsy latsa-danja tamin'ny vahaolanay izany. Mikasika ny tonelina dia nahita fitetezana nisesisesy aho na dia ho an'ny CEN aza, izay tokony ho nilamina. Noho izany, niverina tany amin'ny tetika taloha izahay ary nandrava ity fampisehoana ity.

Ireto ambany ireto ny antontan'isa momba ny fahatarana eo amin'ny faritra samihafa ho an'ny fantsona samihafa. Angamba misy olona liana amin'izany.

IPsec
Ali cn-beijing <β€”> GCP Asia-Northeast1 β€” 193ms
Ali cn-shenzhen <β€”> GCP asia-atsinanana2 β€” 91ms
Ali cn-shenzhen <β€”> GCP us-east4 β€” 200ms

CEN
Ali cn-beijing <β€”> Ali ap-avaratra-avaratra-1 β€” 54ms (!)
Ali cn-shenzhen <β€”> Ali cn-hongkong β€” 6ms (!)
Ali cn-shenzhen <β€”> Ali us-east1 β€” 216ms

Fampahalalana ankapobeny momba ny Internet any Shina

Ho fanampin'ny olana amin'ny Internet voalaza tany am-boalohany, ao amin'ny tapany voalohany amin'ny lahatsoratra.

  • Tena haingana ny Internet ao Shina ao anatiny.
    • Ny fehin-kevitra dia natao tamin'ny fitsapana ny tambajotra Wi-Fi ho an'ny daholobe amin'ny toerana samihafa izay ampiasain'ny olona marobe ireo tambajotra ireo.
    • Teo amin'ny 20 Mbit/s sy 5-10 Mbit/s ny hafainganam-pandehan'ny fampidinana sy fampiakarana ho an'ireo mpizara ao Shina.
    • Kely fotsiny ny hafainganam-pandehan'ny mpizara ivelan'i Shina, latsaky ny 1 Mbit/s.
  • Tsy dia milamina loatra ny Internet ao Shina.
    • Indraindray ny tranokala dia afaka misokatra haingana, indraindray miadana (miaraka amin'ny fotoana mitovy amin'ny andro samihafa), raha toa ka tsy miova ny fandrindrana. Nojerenay tamin'ny ohatra ny semrushchina.cn izany. Izany dia azo lazaina amin'ny Ali CDN, izay miasa toy izany koa ary miankina amin'ny fotoanan'ny andro, ny toeran'ny kintana, sns.
  • Saika misy 4G na 4G+ eny rehetra eny ny Aterineto finday. Misambotra azy ao amin'ny metro, ascenseur - raha fintinina, na aiza na aiza.
  • Hevi-diso fa ny mpampiasa Shinoa ihany no mitoky amin'ny sehatra ao amin'ny faritra .cn. Nianatra izany mivantana avy amin'ny mpampiasa izahay.
    • Hitanao hoe ahoana http://baidu.cn avereno mankany amin'ny www.baidu.com (any amin'ny tanibe Shina ihany koa).
  • Betsaka tokoa ny loharanon-karena voasakana. Primitive: google.com, Facebook, Twitter. Saingy maro ny loharanon-karena Google miasa (mazava ho azy fa tsy amin'ny Wi-Fi rehetra ary tsy ampiasaina ny VPN (amin'ny lafiny router koa, azo antoka izany).
  • Betsaka ny sehatra β€œara-teknika” an'ireo orinasa voasakana no miasa ihany koa. Midika izany fa tsy tokony hanapaka foana ny Google rehetra sy ny loharano hafa toa voasakana ianao. Mila mitady lisitr'ireo sehatra voarara ianao.
  • Manana operatera Internet telo ihany izy ireo: China Unicom, China Telecom, China Mobile. Misy aza ny kely kokoa, saingy tsy misy dikany ny anjara tsenany

Bonus: kisary vahaolana farany

Ahoana no namakiantsika ny Great Chinese Firewall (Fizarana faha-3)

Ny vokany

Herintaona no lasa hatramin’ny nanombohan’ny tetikasa. Nanomboka tamin'ny hoe nandΓ  ny hiasa ara-dalΓ na avy any Shina ny tranokalanay, ary naharitra 5.5 segondra fotsiny ny GET curl.

Avy eo, miaraka amin'ireto tondro ireto amin'ny vahaolana voalohany (Cloudflare):

fanapahan-kevitra
Uptime
Median
75 isan-jato
95 isan-jato

Cloudflare
86.6
18s
30s
60s

Nahatratra ireto valiny manaraka ireto izahay tamin'ny farany (statistika tamin'ny volana lasa):

fanapahan-kevitra
Uptime
Median
75 isan-jato
95 isan-jato

Ali CDN + CEN/IPsec + GLB
99.86
8.8s
9.5s
13.7s

Araka ny hitanao dia mbola tsy nahavita 100% ny ora fiasana, fa hisy zavatra hitranga, ary avy eo dia holazainay aminao ny valiny amin'ny lahatsoratra vaovao :)

Hajao izay mamaky ny fizarana telo hatramin'ny farany. Manantena aho fa hitanao fa mahaliana tahaka ny nataoko tamin'ny nanaovako izany rehetra izany.

PS Fizarana teo aloha

Ampahany amin'ny 1
Ampahany amin'ny 2

Source: www.habr.com

Add a comment