په DDoS-Guard شبکه کې قانوني ترافیک پدې وروستیو کې په هر ثانیه کې له سل ګیګابایټ څخه ډیر شوی. اوس مهال، زموږ د ټولو ټرافیک 50٪ د پیرودونکي ویب خدماتو لخوا رامینځته کیږي. دا ډیری لسګونه زره ډومینونه دي، خورا توپیر لري او په ډیری مواردو کې انفرادي چلند ته اړتیا لري.
د کټ لاندې دا ده چې موږ څنګه د مخکني نوډونه اداره کوو او د سلګونو زرو سایټونو لپاره د SSL سندونه صادروو.
د یوې سایټ لپاره مخکینۍ ترتیب کول، حتی خورا لوی، اسانه دي. موږ nginx یا haproxy یا lighttpd اخلو، دا د لارښودونو سره سم تنظیم کړئ او د هغې په اړه هیر کړئ. که موږ یو څه بدلولو ته اړتیا لرو، موږ بیا بار کوو او بیا هیر کوو.
هرڅه بدلیږي کله چې تاسو په الوتنه کې د ترافیک لوی مقدار پروسس کوئ ، د غوښتنو مشروعیت ارزوئ ، د کارونکي مینځپانګې کمپریس او کیش کړئ ، او په ورته وخت کې په هر ثانیه کې څو ځله پیرامیټونه بدل کړئ. کارونکي غواړي چې پایله په ټولو بهرني نوډونو کې د سمدستي وروسته وګوري کله چې هغه په خپل شخصي حساب کې تنظیمات بدل کړي. یو کارن کولی شي د API له لارې د انفرادي ترافیک پروسس پیرامیټونو سره څو زره (او ځینې وختونه لسګونه زره) ډومینونه ډاونلوډ کړي. دا ټول باید په سمدستي توګه په امریکا، اروپا او آسیا کې کار وکړي - دا کار خورا کوچنی نه دی، په پام کې نیولو سره چې یوازې په مسکو کې د فلټریشن ډیری فزیکي جلا شوي نوډونه شتون لري.
ولې په ټوله نړۍ کې ډیری لوی معتبر نوډونه شتون لري؟
-
د پیرودونکي ترافیک لپاره د خدماتو کیفیت - د متحده ایالاتو څخه غوښتنې باید په متحده ایالاتو کې پروسس شي (د بریدونو ، پارس کولو او نورو عوارضو په شمول) ، او مسکو یا اروپا ته نه وړل کیږي ، په غیر متوقع ډول د پروسس ځنډ زیاتوي.
-
د برید ترافیک باید ځایی وي - د ټرانزیټ چلونکي کولی شي د بریدونو په جریان کې خراب شي، چې حجم یې اکثرا د 1Tbps څخه ډیر وي. د ټرانساټلانټیک یا ټرانساسین لینکونو په اوږدو کې د برید ټرافيکي لیږد ښه نظر ندی. موږ ریښتیني قضیې درلودې کله چې د ټایر - 1 آپریټرانو وویل: "د بریدونو مقدار چې تاسو یې ترلاسه کوئ زموږ لپاره خطرناک دی." له همدې امله موږ راتلونکي جریانونه د امکان تر حده د دوی سرچینو ته نږدې منو.
-
د خدماتو د دوام لپاره سختې اړتیاوې - د پاکولو مرکزونه باید زموږ په ګړندۍ بدلیدونکې نړۍ کې په یو بل یا ځایی پیښو پورې اړه ونلري. ایا تاسو د یوې اونۍ لپاره د MMTS-11 ټولو 9 پوړونو ته بریښنا قطع کړې؟ - هیڅ ستونزه. هیڅ یو پیرودونکی چې پدې ځانګړي ځای کې فزیکي اړیکه نلري زیانمن کیږي، او ویب خدمتونه به په هیڅ حالت کې زیان ونه رسوي.
دا ټول څنګه اداره کړئ؟
د خدماتو تشکیلات باید ژر تر ژره ټولو مخکښو نوډونو ته وویشل شي (په عین وخت کې). تاسو نشئ کولی یوازې د متن ترتیبونه واخلئ او بیا جوړ کړئ او په هر بدلون کې ډیمونونه ریبوټ کړئ - ورته نګینکس د څو دقیقو لپاره پروسې بندوي (کارګر بندول) د څو دقیقو لپاره (یا شاید ساعتونه که چیرې د ویب ساکټ اوږدې ناستې شتون ولري).
کله چې د نګینکس ترتیب بیا پورته کول، لاندې انځور خورا نورمال دی:
د حافظې کارولو په اړه:
زاړه کارګران حافظه خوري ، پشمول هغه حافظه چې په قطعي ډول د اړیکو په شمیر پورې اړه نلري - دا عادي خبره ده. کله چې د پیرودونکي اړیکې وتړل شي، دا حافظه به آزاده شي.
ولې دا مسله نه وه کله چې نګینکس یوازې پیل کیده؟ هیڅ HTTP/2، هیڅ ویب ساکټ، هیڅ لوی اوږد ژوندي اړیکې شتون نلري. زموږ د ویب ټرافیک 70٪ HTTP/2 دی، دا معنی لري چې ډیر اوږد ارتباطات.
حل ساده دی - نګینکس مه کاروئ، د متن فایلونو پراساس فرنټونه مه اداره کوئ، او یقینا د ټرانسسفیک چینلونو په اړه د زپ شوي متن ترتیبونه مه لیږئ. چینلونه، البته، تضمین شوي او خوندي دي، مګر دا دوی لږ ترانسکانټینینټال نه کوي.
موږ خپل مخکښ سرور - بیلانس لرو، داخلي چې زه به یې په لاندې مقالو کې خبرې وکړم. اصلي شی چې دا یې کولی شي په الوتنه کې په هره ثانیه کې د زرګونو ترتیباتو بدلونونو پلي کول دي، پرته له دې چې بیا پیل شي، بیا پورته شي، د حافظې مصرف کې ناڅاپي زیاتوالی، او دا ټول. دا د هاټ کوډ ریلوډ سره خورا ورته دی ، د مثال په توګه په ایرلینډ کې. معلومات په جیو ویشل شوي کلیدي ارزښت ډیټابیس کې زیرمه شوي او د مخکني فعالینو لخوا سمدلاسه لوستل کیږي. هغوی. تاسو په مسکو کې د ویب انټرفیس یا API له لارې د SSL سند اپلوډ کړئ، او په څو ثانیو کې دا چمتو دی چې په لاس انجلس کې زموږ د پاکولو مرکز ته لاړ شي. که چیرې ناڅاپه نړیواله جګړه پیښ شي او انټرنیټ په ټوله نړۍ کې ورک شي، زموږ نوډونه به په خپلواکه توګه کار کولو ته دوام ورکړي او ژر تر ژره د وقف شوي چینلونو څخه یو لاس انجلس-امسټرډم-ماسکو، مسکو-امستردام-هانګ کانګ-. لاس لاس لاس ته راځي. انجلس یا لږترلږه د GRE بیک اپ پوښښ څخه یو.
دا ورته میکانیزم موږ ته اجازه راکوي چې سمدلاسه د Let's Encrypt سندونه صادر او نوي کړو. په ساده ډول دا د دې په څیر کار کوي:
-
هرڅومره ژر چې موږ د سند پرته زموږ د پیرودونکي ډومین لپاره لږترلږه یوه HTTPS غوښتنه وګورو (یا د ختم شوي سند سره) ، بهرنۍ نوډ چې غوښتنه یې ومنله دا د داخلي تصدیق ادارې ته راپور ورکوي.
-
که چیرې کارونکي د Let's Encrypt خپرول منع کړي نه وي، د تصدیق اداره CSR رامینځته کوي، د LE څخه د تایید نښه ترلاسه کوي او د کوډ شوي چینل په اوږدو کې ټولو محاذونو ته لیږي. اوس هر نوډ کولی شي د LE څخه د اعتبار وړ غوښتنه تایید کړي.
-
په څو شیبو کې، موږ به سم سند او شخصي کیلي ترلاسه کړو او په ورته ډول به محاذونو ته واستوو. یوځل بیا ، پرته د ډیمونونو بیا پیل کول
-
د ختمیدو نیټې څخه 7 ورځې دمخه ، د سند د بیا ترلاسه کولو پروسه پیل کیږي
همدا اوس موږ په ریښتیني وخت کې 350k سندونه ګرځوو ، کاروونکو ته په بشپړ ډول شفاف.
د لړۍ په لاندې مقالو کې، زه به د لوی ویب ټرافیک د ریښتیني وخت پروسس کولو نورو ځانګړتیاو په اړه وغږیږم - د بیلګې په توګه، د ټرانزیټ پیرودونکو لپاره د خدماتو کیفیت ښه کولو لپاره د نامکمل ډیټا په کارولو سره د RTT تحلیل کولو په اړه او په عموم کې د ټرانزیټ ټرافيکي ساتنې په اړه. د terabit بریدونه، د ټرافيکي معلوماتو رسولو او راټولولو په اړه، د WAF په اړه، نږدې لامحدود CDN او د مینځپانګې تحویلي مطلوب کولو لپاره ډیری میکانیزمونه.
یوازې راجستر شوي کاروونکي کولی شي په سروې کې برخه واخلي. مهرباني وکړئ
تاسو څه غواړئ لومړی پوه شئ؟
-
۸۵٪د ویب ټرافیک کیفیت د کلستر کولو او تحلیل لپاره الګوریتم <3
-
۸۵٪د DDoS-Guard7 بیلانسونو داخلي
-
۸۵٪د ټرانزیټ L3/L4 ټرافیک2 ساتنه
-
۸۵٪د ټرانزیټ ټرافیک0 په اړه د ویب پاڼو ساتنه
-
۸۵٪د ویب غوښتنلیک فایر وال 3
-
۸۵٪د پارس کولو او کلیک کولو پروړاندې محافظت 6
21 کاروونکو رایه ورکړه. 6 کاروونکي منع شوي.
سرچینه: www.habr.com