DDoS-Guard نيٽ ورڪ تي جائز ٽريفڪ تازو هڪ سو گيگا بٽ في سيڪنڊ کان وڌي وئي آهي. في الحال، اسان جي سڀني ٽرئفڪ جو 50٪ ڪلائنٽ ويب خدمتن پاران ٺاهيل آهي. اهي ڪيترائي هزارين ڊومينز آهن، بلڪل مختلف ۽ اڪثر ڪيسن ۾ هڪ انفرادي طريقي جي ضرورت آهي.
هيٺ ڏنل ڪٽ اهو آهي ته اسان ڪيئن مئنيج ڪندا آهيون فرنٽ نوڊس ۽ سوين هزارين سائيٽن لاءِ SSL سرٽيفڪيٽ جاري ڪندا آهيون.
ھڪڙي سائيٽ لاءِ فرنٽ قائم ڪرڻ ، جيتوڻيڪ ھڪڙو تمام وڏو ، آسان آھي. اسان nginx يا haproxy يا lighttpd وٺو، ان کي هدايتن جي مطابق ترتيب ڏيو ۽ ان جي باري ۾ وساريو. جيڪڏهن اسان کي ڪجهه تبديل ڪرڻ جي ضرورت آهي، اسان ٻيهر لوڊ ڪريو ۽ ٻيهر وساريو.
هر شيءِ تبديل ٿيندي آهي جڏهن توهان اڏام تي وڏي مقدار ۾ ٽرئفڪ تي عمل ڪندا آهيو، درخواستن جي جائزيت جو جائزو وٺو، صارف جي مواد کي دٻايو ۽ ڪيش ڪريو، ۽ ساڳئي وقت في سيڪنڊ ۾ ڪيترائي ڀيرا پيٽرول تبديل ڪريو. صارف پنهنجي ذاتي اڪائونٽ ۾ سيٽنگون تبديل ڪرڻ کان پوء فوري طور تي سڀني خارجي نوڊس تي نتيجو ڏسڻ چاهيندو آهي. هڪ صارف پڻ ڊائون لوڊ ڪري سگهي ٿو ڪيترائي هزار (۽ ڪڏهن ڪڏهن هزارين) ڊومينز انفرادي ٽرئفڪ پروسيسنگ پيٽرولن سان API ذريعي. اهو سڀ ڪجهه آمريڪا، يورپ ۽ ايشيا ۾ فوري طور تي ڪم ڪرڻ گهرجي - اهو ڪم تمام ننڍڙو نه آهي، انهي ڳالهه تي غور ڪندي ته صرف ماسڪو ۾ ڪيترائي جسماني طور تي الڳ ٿيل فلٽريشن نوڊس آهن.
دنيا ۾ ڪيترائي وڏا قابل اعتماد نوڊس ڇو آهن؟
-
ڪلائنٽ ٽريفڪ لاءِ خدمت جو معيار - USA کان درخواستن تي عمل ٿيڻ جي ضرورت آهي USA ۾ (بشمول حملن، پارسنگ ۽ ٻين بي ضابطگين لاءِ)، ۽ ماسڪو يا يورپ ڏانهن نه ڇڪايو وڃي، غير متوقع طور تي پروسيسنگ جي دير وڌائي.
-
حملي واري ٽرئفڪ کي مقامي هجڻ گهرجي - حملن دوران ٽرانزٽ آپريٽرز خراب ٿي سگهن ٿا، جن جو حجم اڪثر ڪري 1Tbps کان وڌيڪ آهي. ٽرانزيٽلانٽڪ يا ٽراناسيائي لنڪن تي حملن جي ٽرئفڪ کي ٽرانسپورٽ ڪرڻ سٺو خيال ناهي. اسان وٽ حقيقي ڪيس هئا جڏهن ٽائر-1 آپريٽرز چيو: ”حملن جو مقدار جيڪو توهان وصول ڪيو اسان لاءِ خطرناڪ آهي. ان ڪري اسان قبول ڪريون ٿا ايندڙ اسٽريمز کي جيترو ٿي سگهي انهن جي ذريعن جي ويجهو.
-
خدمت جي تسلسل لاءِ سخت گهرجون - صفائي سينٽرن کي اسان جي تيزيءَ سان بدلجندڙ دنيا ۾ هڪ ٻئي تي يا مقامي واقعن تي انحصار نه ڪرڻ گهرجي. ڇا توهان هڪ هفتي لاءِ MMTS-11 جي سڀني 9 منزلن جي بجلي بند ڪئي؟ - ڪو مسئلو ناهي. ڪو به گراهڪ نه هوندو جنهن جو هن خاص هنڌ ۾ جسماني ڪنيڪشن نه هوندو، ۽ ويب خدمتون ڪنهن به حالت ۾ متاثر نه ٿينديون.
اهو سڀ ڪجهه ڪيئن منظم ڪجي؟
خدمت جي ترتيبن کي جلدي ممڪن طور تي سڀني فرنٽ نوڊس ۾ ورهايو وڃي (مثالي طور تي فوري طور تي). توهان صرف نه ٿا وٺي سگهو ۽ ٽيڪسٽ ترتيبن کي ٻيهر ٺاهي سگهو ٿا ۽ هر تبديلي تي ڊيمن کي ريبوٽ ڪري سگهو ٿا - ساڳيو nginx ڪجهه وڌيڪ منٽن لاءِ عمل کي بند ڪري ٿو (ڪم ڪندڙ کي بند ڪرڻ) (يا شايد ڪلاڪ جيڪڏهن ڊگهو ويب ساکٽ سيشن آهن).
جڏهن nginx ترتيب کي ٻيهر لوڊ ڪندي، هيٺ ڏنل تصوير بلڪل عام آهي:
ياداشت جي استعمال تي:
پراڻا ڪم ڪندڙ ياداشت کائيندا آهن، بشمول ياداشت جيڪي لڪير سان ڪنيڪشن جي تعداد تي منحصر نه آهن - اهو عام آهي. جڏهن ڪلائنٽ ڪنيڪشن بند ٿي ويا آهن، هي ياداشت آزاد ٿي ويندي.
اهو مسئلو ڇو نه هو جڏهن نينگڪس صرف شروعات ٿي رهي هئي؟ ڪو به HTTP/2 نه هو، نه ويب ساکٽ، نه ڪو وڏو ڊگهو رکڻ وارو ڪنيڪشن. اسان جي ويب ٽرئفڪ جو 70٪ HTTP/2 آهي، جنهن جو مطلب آهي تمام ڊگهو ڪنيڪشن.
حل سادو آهي - nginx استعمال نه ڪريو، ٽيڪسٽ فائلن جي بنياد تي فرنٽ کي منظم نه ڪريو، ۽ يقيني طور تي ٽرانسپيڪ چينلز تي زپ ٿيل ٽيڪسٽ ترتيبن کي نه موڪليو. چينل، يقينا، ضمانت ۽ محفوظ آهن، پر اهو انهن کي ڪنهن به گهٽ ٽرانسڪنٽيننٽل نٿو بڻائي.
اسان وٽ اسان جو پنهنجو فرنٽ سرور-بيلنس آهي، جنهن جا اندروني حصا آئون هيٺ ڏنل مضمونن ۾ ڳالهائيندس. بنيادي شيء جيڪا اهو ڪري سگهي ٿي اهو لاڳو ٿئي ٿو هزارين ترتيبن جي تبديلين کي في سيڪنڊ پرواز تي، بغير ٻيهر شروع ڪرڻ، ٻيهر لوڊ ڪرڻ، ياداشت جي استعمال ۾ اوچتو اضافو، ۽ اهو سڀ ڪجهه. هي تمام گهڻو ملندڙ جلندڙ آهي Hot Code Reload، مثال طور Erlang ۾. ڊيٽا هڪ جيو-ورهايل اهم-قدر ڊيٽابيس ۾ محفوظ ڪئي وئي آهي ۽ فوري طور تي سامهون واري عمل ڪندڙن طرفان پڙهي ويندي آهي. اهي. توهان ماسڪو ۾ ويب انٽرفيس يا API ذريعي SSL سرٽيفڪيٽ اپ لوڊ ڪريو ٿا، ۽ ڪجهه سيڪنڊن ۾ اهو لاس اينجلس ۾ اسان جي صفائي سينٽر ڏانهن وڃڻ لاءِ تيار آهي. جيڪڏهن اوچتو هڪ عالمي جنگ ٿي وڃي ٿي ۽ انٽرنيٽ سڄي دنيا ۾ غائب ٿي وڃي ٿي، اسان جا نوڊس خودمختياري سان ڪم ڪندا رهندا ۽ تقسيم دماغ جي مرمت ڪندا جيئن ئي هڪ وقف ٿيل چينل لاس اينجلس-ايمسٽرڊم-ماسڪو، ماسڪو-ايمسٽرڊيم-هانگ ڪانگ- لاس-لاس دستياب ٿي وڃي ٿو. اينجلس يا گهٽ ۾ گهٽ هڪ GRE بيڪ اپ اوورليز مان.
اهو ساڳيو ميکانيزم اسان کي اجازت ڏئي ٿو فوري طور تي جاري ڪرڻ ۽ تجديد ڪريون Let's Encrypt سرٽيفڪيٽ. بلڪل سادو اهو هن طرح ڪم ڪري ٿو:
-
جيئن ئي اسان ڏسون ٿا گهٽ ۾ گهٽ هڪ HTTPS درخواست اسان جي ڪلائنٽ جي ڊومين لاءِ بغير ڪنهن سرٽيفڪيٽ (يا ختم ٿيل سرٽيفڪيٽ سان)، خارجي نوڊ جنهن درخواست قبول ڪئي اها رپورٽ اندروني سرٽيفڪيشن اٿارٽي ڏانهن.
-
جيڪڏهن صارف Let's Encrypt جاري ڪرڻ کان منع نه ڪئي آهي، سرٽيفڪيشن اٿارٽي هڪ CSR ٺاهي ٿو، LE کان هڪ تصديق واري ٽوڪن حاصل ڪري ٿو ۽ ان کي سڀني محاذن ڏانهن موڪلي ٿو هڪ انڪرپٽ ٿيل چينل تي. هاڻي ڪو به نوڊ تصديق ڪري سگهي ٿو LE کان تصديق واري درخواست جي.
-
ٿورن لمحن ۾، اسان کي صحيح سرٽيفڪيٽ ۽ پرائيويٽ ڪيئي ملي ويندي ۽ ان کي ساڳئي طريقي سان فرنٽ ڏانهن موڪلينداسين. ٻيهر، ڊيمن کي ٻيهر شروع ڪرڻ کان سواء
-
ختم ٿيڻ جي تاريخ کان 7 ڏينهن اڳ، سرٽيفڪيٽ ٻيهر حاصل ڪرڻ جو عمل شروع ڪيو ويو آهي
هن وقت اسان 350k سرٽيفڪيٽ کي حقيقي وقت ۾ گھمائي رهيا آهيون، مڪمل طور تي صارفين لاءِ شفاف.
سيريز جي هيٺين مضمونن ۾، مان وڏي ويب ٽرئفڪ جي حقيقي وقت جي پروسيسنگ جي ٻين خاصيتن جي باري ۾ ڳالهائيندس - مثال طور، ٽرانزٽ ڪلائنٽ لاء سروس جي معيار کي بهتر ڪرڻ لاء نامڪمل ڊيٽا استعمال ڪندي RTT جو تجزيو ڪرڻ ۽ عام طور تي ٽرانزٽ ٽرئفڪ جي حفاظت بابت. terabit حملا، ٽرئفڪ جي معلومات جي ترسيل ۽ مجموعن بابت، WAF بابت، تقريبا لامحدود CDN ۽ مواد جي ترسيل کي بهتر ڪرڻ لاء ڪيترائي ميڪانيزم.
صرف رجسٽرڊ استعمال ڪندڙ سروي ۾ حصو وٺي سگهن ٿا. ، توهان جي مهرباني.
توهان پهرين ڇا ڄاڻڻ چاهيو ٿا؟
-
14,3٪ويب ٽرئفڪ جي معيار کي ڪلستر ڪرڻ ۽ تجزيو ڪرڻ لاء الگورتھم <3
-
33,3٪اندروني DDoS-Guard7 بيلنسرز
-
9,5٪ٽرانسپورٽ جي حفاظت L3/L4 ٽريفڪ2
-
0,0٪ٽرانزٽ ٽرئفڪ تي ويب سائيٽن جي حفاظت0
-
14,3٪ويب ايپليڪيشن فائر وال 3
-
28,6٪پارس ڪرڻ ۽ ڪلڪ ڪرڻ جي خلاف تحفظ 6
21 صارفين ووٽ ڏنو. 6 صارفين کي روڪيو ويو.
جو ذريعو: www.habr.com