Ny fifamoivoizana ara-dalΓ na ao amin'ny tambajotra DDoS-Guard vao haingana dia nihoatra ny gigabits zato isan-tsegondra. Amin'izao fotoana izao, ny 50% amin'ny fifamoivoizana rehetra dia avy amin'ny serivisy tranonkala mpanjifa. Sehatra an'aliny maro ireo, tena samy hafa ary amin'ny ankamaroan'ny tranga dia mitaky fomba fiasa manokana.
Eo ambanin'ny fanapahana dia ny fomba fitantanana ny nodes eo anoloana sy ny famoahana mari-pankasitrahana SSL ho an'ny tranokala an'hetsiny.
Ny fametrahana ny anoloana ho an'ny tranonkala iray, na dia lehibe dia lehibe aza, dia mora. Maka nginx na haproxy na lighttpd izahay, amboary araka ny torolΓ lana ary adino izany. Raha mila manova zavatra isika dia avereno averina ary adino indray.
Miova ny zava-drehetra rehefa manodina ny fifamoivoizana be dia be ianao, manombatombana ny maha-ara-dalΓ na ny fangatahana, manindrona sy cache ny votoatin'ny mpampiasa, ary amin'ny fotoana iray dia manova ny masontsivana imbetsaka isan-tsegondra. Ny mpampiasa dia te-hahita ny valiny amin'ny nodes ivelany rehetra avy hatrany rehefa avy nanova ny toe-javatra ao amin'ny kaontiny manokana. Ny mpampiasa iray dia afaka misintona sehatra an'arivony (ary indraindray an'aliny) miaraka amin'ny mari-pamantarana fanodinana fifamoivoizana tsirairay amin'ny alΓ lan'ny API. Izany rehetra izany koa dia tokony hiasa avy hatrany any Amerika, ary any Eoropa, ary any Azia - ny asa dia tsy ny zava-dehibe indrindra, raha jerena fa ao Moskoa irery dia misy maromaro misaraka ara-batana filtration nodes.
Nahoana no misy nodes lehibe azo antoka eran-tany?
-
Ny kalitaon'ny serivisy ho an'ny fifamoivoizana mpanjifa - ny fangatahana avy any Etazonia dia mila karakaraina any Etazonia (anisan'izany ny fanafihana, ny fanaparitahana ary ny tsy fetezana hafa), ary tsy misintona mankany Moskoa na Eoropa, mampitombo ny fahataran'ny fanodinana.
-
Tsy maintsy apetraka eo an-toerana ny fifamoivoizana amin'ny fanafihana - mety hiharatsy ny mpitatitra mandritra ny fanafihana, izay mihoatra ny 1Tbps ny habeny. Ny fitaterana fifamoivoizana fanafihana amin'ny rohy transatlantika na transasiana dia tsy hevitra tsara. Nanana tranga tena izy izahay rehefa nilaza ny mpandraharaha Tier-1 hoe: "Mampidi-doza ho anay ny habetsahan'ny fanafihana azonao." Izany no mahatonga anay hanaiky ireo renirano miditra akaiky araka izay azo atao.
-
Fepetra hentitra amin'ny fitohizan'ny serivisy - tsy tokony hiankina amin'ny tsirairay na amin'ny hetsika eo an-toerana ny foibe fanadiovana. Tapaka herinaratra ho an'ny rihana 11 rehetra an'ny MMTS-9 nandritra ny herinandro ve ianao? - tsisy olana. Tsy misy mpanjifa iray tsy manana fifandraisana ara-batana amin'ity toerana manokana ity no hijaly, ary ny serivisy tranonkala dia tsy hijaly amin'ny toe-javatra rehetra.
Ahoana ny fitantanana izany rehetra izany?
Tokony hozaraina haingana araka izay azo atao amin'ny node rehetra aloha ny fanefena amin'ny serivisy (matetika eo no ho eo). Tsy azonao atao ny maka sy manangana configs an-tsoratra ary mamerina indray ny daemon isaky ny fiovana - ny nginx mitovy dia mitazona ny fizotry ny fanakatonana (manakatona ny mpiasa) mandritra ny minitra vitsivitsy (na mety ora raha misy fivoriana websocket lava).
Rehefa mamerina ny config nginx dia ara-dalΓ na ity sary manaraka ity:
Amin'ny fampiasana fahatsiarovana:
Ny mpiasa antitra mihinana fahatsiarovana, anisan'izany ny fahatsiarovana izay tsy linearly miankina amin'ny isan'ny fifandraisana - izany no ara-dalΓ na. Rehefa mihidy ny fifandraisan'ny mpanjifa dia ho afaka io fahatsiarovana io.
Nahoana no tsy olana izany raha vao nanomboka ny nginx? Tsy nisy HTTP/2, tsy nisy WebSocket, tsy nisy fifandraisana maharitra ela velona. Ny 70% amin'ny fifamoivoizana amin'ny Internet dia HTTP/2, izay midika hoe fifandraisana lava be.
Tsotra ny vahaolana - aza mampiasa nginx, aza mitantana fronts mifototra amin'ny rakitra an-tsoratra, ary azo antoka fa aza mandefa fanamafisana lahatsoratra amin'ny alΓ lan'ny fantsona transpacific. Mazava ho azy fa azo antoka sy voatokana ireo fantsona, saingy tsy mahatonga azy ireo ho ambany kokoa ny transcontinental.
Manana mpifandanja mpizara eo anoloana izahay, ny anatiny izay horesahiko amin'ny lahatsoratra manaraka. Ny zava-dehibe indrindra azony atao dia ny mampihatra fanovana fanovana an'arivony isan-tsegondra amin'ny sidina, tsy misy famerenana, famerenana indray, fitomboana tampoka amin'ny fanjifana fahatsiarovana, sy ny sisa. Izany dia mitovy amin'ny Hot Code Reload, ohatra ao Erlang. Ny angon-drakitra dia voatahiry ao amin'ny angon-drakitra manan-danja manan-danja zaraina amin'ny geo ary vakiana avy hatrany amin'ireo actuators eo anoloana. Ireo. Mampakatra ny taratasy fanamarinana SSL amin'ny alΓ lan'ny interface Internet na API ao Moskoa ianao, ary afaka segondra vitsy dia vonona ny handeha any amin'ny foibe fanadiovana anay any Los Angeles. Raha misy ady eran-tany tampoka ary hanjavona eran'izao tontolo izao ny Internet, dia hanohy hiasa irery ny nodesy ary hanamboatra ny ati-doha misaraka raha vao ny iray amin'ireo fantsona natokana ho an'ny Los Angeles-Amsterdam-Moscow, Moscow-Amsterdam-Hong Kong- Lasa misy i Los-Los. Angeles na farafaharatsiny iray amin'ireo overlay backup GRE.
Io rafitra io ihany no ahafahantsika mamoaka sy manavao avy hatrany ny mari-pankasitrahana Let's Encrypt. Tena tsotra dia miasa toy izao:
-
Raha vantany vao mahita fangatahan'ny HTTPS iray farafahakeliny ho an'ny sahan'ny mpanjifanay tsy misy taratasy fanamarinana (na manana taratasy fanamarinana lany daty) izahay, dia mitatitra izany any amin'ny manampahefana fanamarinana anatiny ny node ivelany izay nanaiky ny fangatahana.
-
Raha tsy nandrara ny famoahana ny Let's Encrypt ny mpampiasa, dia mamorona CSR ny tompon'andraikitra fanamarinana, mahazo mari-pamantarana fanamafisana avy amin'ny LE ary mandefa izany amin'ny lafiny rehetra amin'ny fantsona misy miafina. Ankehitriny ny node rehetra dia afaka manamafy ny fangatahana fanamarinana avy amin'ny LE.
-
Ao anatin'ny fotoana fohy, dia hahazo ny taratasy fanamarinana marina sy ny fanalahidy manokana izahay ary handefa izany any amin'ny fronts amin'ny fomba mitovy. Averina indray, tsy mamerina ny daemons
-
7 andro mialoha ny lany daty dia atomboka ny fomba fandraisana indray ny taratasy fanamarinana
Amin'izao fotoana izao dia manodina mari-pankasitrahana 350k amin'ny fotoana tena izy, mangarahara tanteraka amin'ny mpampiasa.
Ao amin'ny lahatsoratra manaraka amin'ny andian-dahatsoratra, dia hiresaka momba ny endri-javatra hafa amin'ny fanodinana amin'ny fotoana tena izy ny fifamoivoizana amin'ny Internet lehibe aho - ohatra, momba ny famakafakana RTT amin'ny fampiasana angona tsy feno mba hanatsarana ny kalitaon'ny serivisy ho an'ny mpanjifan'ny fitaterana ary amin'ny ankapobeny momba ny fiarovana ny fifamoivoizana amin'ny fitaterana. fanafihana terabit, momba ny fandefasana sy fanangonam-baovao momba ny fifamoivoizana, momba ny WAF, CDN saika tsy misy fetra ary fomba maro hanatsarana ny fandefasana votoaty.
Ireo mpampiasa voasoratra anarana ihany no afaka mandray anjara amin'ny fanadihadiana. Please.
Inona no tianao ho fantatra voalohany?
-
14,3%Algorithm amin'ny fanangonana sy famakafakana ny kalitaon'ny fifamoivoizana amin'ny tranonkala<3
-
33,3%Ny anatiny ao amin'ny DDoS-Guard7 balancers
-
9,5%Fiarovana ny fifamoivoizana L3/L4
-
0,0%Miaro ny tranokala amin'ny fifamoivoizana fitaterana0
-
14,3%Web Application Firewall3
-
28,6%Fiarovana amin'ny fanaparitahana sy fikitika6
Mpampiasa 21 no nifidy. Mpampiasa 6 no nifady.
Source: www.habr.com