Web HighLoad - သောင်းနှင့်ချီသော domains များအတွက် အသွားအလာကို စီမံခန့်ခွဲပုံ

DDoS-Guard ကွန်ရက်ရှိ တရားဝင်လမ်းကြောင်းသည် မကြာသေးမီက တစ်စက္ကန့်လျှင် ဂစ်ဂါဘစ်တရာကျော် ကျော်လွန်သွားခဲ့သည်။ လက်ရှိတွင်၊ ကျွန်ုပ်တို့၏ အသွားအလာအားလုံး၏ 50% ကို သုံးစွဲသူ ဝဘ်ဝန်ဆောင်မှုများမှ ထုတ်ပေးပါသည်။ ၎င်းတို့သည် သောင်းနှင့်ချီသော ဒိုမိန်းများဖြစ်ပြီး အလွန်ကွဲပြားပြီး အများစုမှာ တစ်ဦးချင်းချဉ်းကပ်မှု လိုအပ်သည်။

ဖြတ်တောက်မှုအောက်တွင် ကျွန်ုပ်တို့သည် ဝဘ်ဆိုက်ထောင်ပေါင်းများစွာအတွက် ရှေ့ခုံးကွက်များကို စီမံခန့်ခွဲပြီး SSL လက်မှတ်များကို ထုတ်ပေးပုံဖြစ်သည်။

ဆိုဒ်တစ်ခုအတွက် ရှေ့မျက်နှာစာတစ်ခု တည်ဆောက်ခြင်းသည် အလွန်ကြီးမားသောတစ်ခုပင်ဖြစ်ပြီး လွယ်ကူပါသည်။ ကျွန်ုပ်တို့သည် nginx သို့မဟုတ် haproxy သို့မဟုတ် lighttpd ကိုယူပြီး၊ လမ်းညွှန်ချက်များအရ ၎င်းကို configure လုပ်ကာ ၎င်းကိုမေ့ပစ်လိုက်ပါ။ တစ်ခုခုကို ပြောင်းလဲဖို့ လိုအပ်ရင် ပြန်ဖွင့်ပြီး နောက်တစ်ကြိမ် မေ့လိုက်ပါ။

အသွားအလာအမြောက်အမြားကို လျင်မြန်စွာလုပ်ဆောင်ခြင်း၊ တောင်းဆိုမှုများ၏တရားဝင်မှုကို အကဲဖြတ်ခြင်း၊ ချုံ့ခြင်းနှင့် ကက်ရှ်အသုံးပြုသူအကြောင်းအရာများကို တစ်ချိန်တည်းတွင် ကန့်သတ်ချက်များအား အကြိမ်ပေါင်းများစွာ ပြောင်းလဲသည့်အခါ တစ်ချိန်တည်းတွင် အရာအားလုံးပြောင်းလဲသွားပါသည်။ သုံးစွဲသူသည် ၎င်း၏ကိုယ်ရေးကိုယ်တာအကောင့်ရှိ ဆက်တင်များကို ပြောင်းလဲပြီးနောက် ပြင်ပ node များအားလုံးတွင် ရလဒ်ကို မြင်လိုသည်။ အသုံးပြုသူတစ်ဦးသည် API မှတစ်ဆင့် လမ်းကြောင်းတစ်ခုချင်းလုပ်ဆောင်ခြင်းဆိုင်ရာ ကန့်သတ်ဘောင်များပါရှိသော ထောင်ပေါင်းများစွာ (တစ်ခါတစ်ရံ သောင်းနှင့်ချီသော) ဒိုမိန်းများကို ဒေါင်းလုဒ်လုပ်နိုင်သည်။ ဤအရာအားလုံးသည် အမေရိက၊ ဥရောပ၊ နှင့် အာရှတို့တွင်လည်း ချက်ချင်းလုပ်ဆောင်သင့်သည် - မော်စကိုတစ်ခုတည်းတွင် ရုပ်ပိုင်းဆိုင်ရာခွဲထုတ်ထားသော filtration node အများအပြားရှိကြောင်း ထည့်သွင်းစဉ်းစားခြင်းဖြင့် အဆိုပါအလုပ်သည် အသေးငယ်ဆုံးမဟုတ်ပေ။

ကမ္ဘာတစ်ဝှမ်းတွင် ယုံကြည်စိတ်ချရသော ဆုံမှတ်များစွာ အဘယ်ကြောင့်ရှိသနည်း။

• ဖောက်သည်အသွားအလာအတွက် ဝန်ဆောင်မှုအရည်အသွေး - USA မှ တောင်းဆိုချက်များကို USA တွင် (တိုက်ခိုက်မှုများ၊ ပိုင်းခြားစိတ်ဖြာမှုနှင့် အခြားကွဲလွဲချက်များအပါအဝင်) တွင် လုပ်ဆောင်ရန် လိုအပ်ပြီး မော်စကို သို့မဟုတ် ဥရောပသို့ ဆွဲထုတ်ခြင်းမပြုဘဲ လုပ်ငန်းစဉ်နှောင့်နှေးမှုကို မှန်းဆမရစွာ တိုးလာစေပါသည်။

• တိုက်ခိုက်မှုအသွားအလာကို ဒေသအလိုက်သတ်မှတ်ရပါမည် - သယ်ယူပို့ဆောင်ရေးအော်ပရေတာများသည် တိုက်ခိုက်မှုများအတွင်း 1Tbps ကျော်လေ့ရှိသည့်ပမာဏကို နှိမ့်ချနိုင်သည်။ အတ္တလန်တိတ် သို့မဟုတ် transasian လင့်ခ်များပေါ်တွင် တိုက်ခိုက်မှုအသွားအလာကို သယ်ယူပို့ဆောင်ခြင်းသည် ကောင်းသောအကြံမဟုတ်ပါ။ Tier-1 အော်ပရေတာများက "သင်လက်ခံရရှိသောတိုက်ခိုက်မှုပမာဏသည်ကျွန်ုပ်တို့အတွက်အန္တရာယ်ရှိသည်။" ထို့ကြောင့် ကျွန်ုပ်တို့သည် ၎င်းတို့၏ရင်းမြစ်များနှင့် နီးစပ်နိုင်သမျှ အဝင်စီးကြောင်းများကို လက်ခံပါသည်။

• ဝန်ဆောင်မှုအဆက်မပြတ်မှုအတွက် တင်းကျပ်သောလိုအပ်ချက်များ - သန့်ရှင်းရေးဌာနများသည် ကျွန်ုပ်တို့၏ လျင်မြန်စွာပြောင်းလဲနေသောကမ္ဘာကြီးရှိ ဒေသန္တရဖြစ်ရပ်များပေါ်တွင်သော်လည်းကောင်း တစ်ခုနှင့်တစ်ခု မမှီခိုသင့်ပါ။ MMTS-11 ၏ 9 ထပ်အားလုံးကို တစ်ပတ်ကြာ ဓာတ်အား ဖြတ်ထားပါသလား။ - ပြဿနာမရှိပါဘူး။ ဤ သီးခြားတည်နေရာတွင် ရုပ်ပိုင်းဆိုင်ရာချိတ်ဆက်မှု မရှိသော သုံးစွဲသူတစ်ဦးတစ်ယောက်မျှ မခံစားရမည်ဖြစ်ပြီး ဝဘ်ဝန်ဆောင်မှုများသည် မည်သည့်အခြေအနေမျိုးတွင်မဆို ထိခိုက်ခံစားရမည်မဟုတ်ပါ။

ဒါတွေအားလုံးကို ဘယ်လိုစီမံမလဲ။

Service configurations များကို front node များအားလုံးသို့ တတ်နိုင်သမျှ မြန်မြန် ဖြန့်ဝေသင့်သည် (အကောင်းဆုံးအားဖြင့် ချက်ချင်း)။ သင်သည် အပြောင်းအလဲတိုင်းတွင် စာသား configs များကို ပြန်လည်တည်ဆောက်ပြီး daemons ကို ပြန်လည်စတင်ရုံမျှမက - တူညီသော nginx သည် လုပ်ငန်းစဉ်များကို မိနစ်အနည်းငယ်ကြာ ပိတ်ခြင်း (အလုပ်သမားပိတ်ခြင်း) (သို့မဟုတ် ရှည်လျားသော websocket ဆက်ရှင်များရှိလျှင် နာရီများစွာကြာနိုင်သည်။)

nginx configuration ကို ပြန်လည်စတင်သောအခါ၊ အောက်ပါပုံသည် ပုံမှန်ဖြစ်သည်။

မှတ်ဉာဏ်အသုံးပြုမှုတွင်-

ချိတ်ဆက်မှုအရေအတွက်ပေါ်မူတည်၍ ပုံမှန်မဟုတ်သော မှတ်ဉာဏ်အပါအဝင် လုပ်သားဟောင်းများသည် မှတ်ဉာဏ်ကို စားသုံးကြသည် - ဒါက ပုံမှန်ပါပဲ။ ကလိုင်းယင့်ချိတ်ဆက်မှုများကို ပိတ်သောအခါ၊ ဤမမ်မိုရီကို လွတ်သွားပါမည်။

nginx က အခုမှစနေတဲ့အချိန်မှာ ဒါကဘာကြောင့်ပြဿနာမဖြစ်တာလဲ။ HTTP/2၊ WebSocket မရှိ၊ ကြီးမားသော ရှည်လျားသော ဆက်နွှယ်မှုများ မရှိပါ။ ကျွန်ုပ်တို့၏ ဝဘ်လမ်းကြောင်း၏ 70% သည် HTTP/2 ဖြစ်ပြီး၊ ဆိုလိုသည်မှာ အလွန်ရှည်လျားသော ချိတ်ဆက်မှုများဖြစ်သည်။

ဖြေရှင်းချက်သည် ရိုးရှင်းသည် - nginx ကို အသုံးမပြုပါနှင့်၊ စာသားဖိုင်များကို အခြေခံ၍ မျက်နှာစာများကို မစီမံပါနှင့် transpacific ချန်နယ်များပေါ်တွင် ဇစ်ချထားသော စာသားပုံစံများကို သေချာပေါက် မပို့ပါနှင့်။ ချန်နယ်များကို သေချာပေါက် အာမခံပြီး သီးသန့်ထားပါသည်၊ သို့သော် ၎င်းသည် ၎င်းတို့ကို ဖြတ်ကျော်မှုနည်းပါးစေမည်မဟုတ်ပါ။

ကျွန်ုပ်တို့တွင် ကျွန်ုပ်တို့၏ကိုယ်ပိုင် server-balancer ရှိသည်၊ နောက်ဆောင်းပါးများတွင် ကျွန်ုပ်ပြောမည့် အတွင်းပိုင်းများ။ ၎င်းလုပ်ဆောင်နိုင်သည့် အဓိကအရာမှာ ပြန်လည်စတင်ခြင်း၊ ပြန်လည်စတင်ခြင်းမရှိဘဲ၊ မှတ်ဉာဏ်သုံးစွဲမှု ရုတ်တရက် မြင့်တက်လာခြင်း နှင့် အရာအားလုံးကို ပျံသန်းခြင်းမရှိဘဲ တစ်စက္ကန့်လျှင် ထောင်ပေါင်းများစွာသော ဖွဲ့စည်းမှုပုံစံပြောင်းလဲမှုများကို အသုံးချရန်ဖြစ်သည်။ ၎င်းသည် ဥပမာ Erlang တွင် Hot Code Reload နှင့် အလွန်ဆင်တူသည်။ ဒေတာကို ပထဝီဝင် ဖြန့်ဝေသော သော့တန်ဖိုးဒေတာဘေ့စ်တွင် သိမ်းဆည်းထားပြီး ရှေ့မှ လှုံ့ဆော်သူမှ ချက်ချင်းဖတ်သည်။ အဲဒါတွေ။ သင်သည် မော်စကိုရှိ ဝဘ်အင်တာဖေ့စ် သို့မဟုတ် API မှတစ်ဆင့် SSL လက်မှတ်ကို အပ်လုဒ်လုပ်ကာ စက္ကန့်အနည်းငယ်အတွင်း လော့စ်အိန်ဂျလိစ်ရှိ ကျွန်ုပ်တို့၏ သန့်ရှင်းရေးဌာနသို့ သွားရန် အသင့်ဖြစ်နေပါပြီ။ အကယ်၍ ကမ္ဘာစစ်ကြီး ရုတ်တရက် ဖြစ်ပေါ်လာပြီး အင်တာနက် ပျောက်ကွယ်သွားပါက ကမ္ဘာတစ်ဝှမ်းလုံးတွင် ကျွန်ုပ်တို့၏ ဆုံမှတ်များသည် အလိုအလျောက် အလုပ်လုပ်ပြီး ဦးနှောက်ကွဲခြင်းကို ပြုပြင်ပေးမည့် သီးသန့်ချန်နယ်များထဲမှ တစ်ခုဖြစ်သည့် Los Angeles-Amsterdam-Moscow၊ Moscow-Amsterdam-Hong Kong- Los-Los ကို ရနိုင်ပါပြီ။ လော့စ်အိန်ဂျလိစ် သို့မဟုတ် အနည်းဆုံး GRE အရန်ကူးယူမှုများထဲမှ တစ်ခု။

ဤတူညီသောယန္တရားသည် ကျွန်ုပ်တို့အား Let's Encrypt လက်မှတ်များကို ချက်ချင်းထုတ်ပေးပြီး သက်တမ်းတိုးနိုင်စေပါသည်။ အလွန်ရိုးရှင်းစွာ၎င်းသည်ဤကဲ့သို့သောအလုပ်လုပ်သည်:

1. လက်မှတ်မပါဘဲ ကျွန်ုပ်တို့၏ client ၏ဒိုမိန်းအတွက် အနည်းဆုံး HTTPS တောင်းဆိုချက်တစ်ခု (သို့မဟုတ် သက်တမ်းကုန်သွားသော လက်မှတ်တစ်ခုဖြင့်) တောင်းဆိုချက်အား လက်ခံသည့် ပြင်ပ node သည် ၎င်းကို အတွင်းပိုင်းအသိအမှတ်ပြု အာဏာပိုင်ထံသို့ အစီရင်ခံပါသည်။

   

2. အသုံးပြုသူသည် Let's Encrypt ထုတ်ပေးခြင်းကို တားမြစ်မထားပါက၊ အသိအမှတ်ပြုလက်မှတ်အာဏာပိုင်သည် CSR ထုတ်ပေးပြီး LE ထံမှ အတည်ပြုချက်တိုကင်တစ်ခုကို လက်ခံရရှိကာ ကုဒ်ဝှက်ထားသော ချန်နယ်တစ်ခုမှ စာမျက်နှာအားလုံးသို့ ပို့ပေးပါသည်။ ယခု မည်သည့် node မဆို LE မှ တရားဝင်တောင်းဆိုချက်ကို အတည်ပြုနိုင်ပါပြီ။

   

3. ခဏအကြာတွင်၊ ကျွန်ုပ်တို့သည် မှန်ကန်သောလက်မှတ်နှင့် ကိုယ်ရေးကိုယ်တာသော့ကို လက်ခံရရှိပြီး ထိုနည်းအတိုင်းပင် ရှေ့မျက်နှာစာသို့ ပို့ပေးပါမည်။ နောက်တဖန် daemons ကိုပြန်လည်စတင်ခြင်းမရှိဘဲ

   

4. သက်တမ်းကုန်ဆုံးရက်မတိုင်မီ 7 ရက်အလိုတွင်၊ လက်မှတ်ပြန်လည်လက်ခံခြင်းလုပ်ငန်းစဉ်ကို စတင်လုပ်ဆောင်ပါသည်။

ယခု ကျွန်ုပ်တို့သည် သုံးစွဲသူများအတွက် လုံးဝပွင့်လင်းမြင်သာမှုရှိသော 350k လက်မှတ်များကို အချိန်နှင့်တပြေးညီ လှည့်ပတ်လျက်ရှိသည်။

စီးရီး၏အောက်ပါဆောင်းပါးများတွင် ကျွန်ုပ်သည် ကြီးမားသောဝဘ်အသွားအလာများကို အချိန်နှင့်တပြေးညီလုပ်ဆောင်ခြင်း၏ အခြားအင်္ဂါရပ်များအကြောင်းပြောပါလိမ့်မည် - ဥပမာအားဖြင့်၊ အကူးအပြောင်းဖောက်သည်များအတွက် ဝန်ဆောင်မှုအရည်အသွေးမြှင့်တင်ရန် RTT အား မပြည့်စုံသောဒေတာကိုအသုံးပြု၍ ပိုင်းခြားစိတ်ဖြာခြင်းအကြောင်းနှင့် ယေဘုယျအားဖြင့် ဖြတ်သန်းသွားလာမှုမှကာကွယ်ခြင်းအကြောင်း၊ terabit တိုက်ခိုက်မှုများ၊ အသွားအလာ အချက်အလက် ပေးပို့မှုနှင့် စုစည်းမှုအကြောင်း၊ WAF အကြောင်း၊ အကန့်အသတ်မရှိ CDN နှင့် အကြောင်းအရာ ပေးပို့မှုကို အကောင်းဆုံးဖြစ်အောင် လုပ်ဆောင်ရန် ယန္တရားများစွာ။

စာရင်းသွင်းအသုံးပြုသူများသာ စစ်တမ်းတွင် ပါဝင်နိုင်ပါသည်။ ဆိုင်းအင်လုပ်ခြင်း, ကျေးဇူးပြု။

ဘာကို အရင်သိချင်လဲ။

• 14,3%ဝဘ်အသွားအလာများ၏ အရည်အသွေးကို အစုလိုက်ခွဲခြမ်းခြင်းနှင့် ခွဲခြမ်းစိတ်ဖြာခြင်းအတွက် အယ်လဂိုရီသမ်များ <3

• 33,3%DDoS-Guard7 ချိန်ခွင်လျှာ၏အတွင်းပိုင်း

• 9,5%အကူးအပြောင်း L3/L4 ယာဉ်အသွားအလာကို အကာအကွယ်ပေးခြင်း

• 0,0%ယာဉ်အသွားအလာ 0 ရှိ ဝဘ်ဆိုဒ်များကို ကာကွယ်ခြင်း။

• 14,3%ဝဘ်အက်ပလီကေးရှင်း Firewall ၃

• 28,6%ခွဲခြမ်းစိတ်ဖြာခြင်းနှင့် နှိပ်ခြင်းမှ ကာကွယ်ခြင်း ၆

အသုံးပြုသူ ၈၁ ဦး မဲပေးခဲ့သည်။ အသုံးပြုသူ ၈ ဦး ရှောင်နေခဲ့ပါတယ်။

source: www.habr.com