Легитимни саобраћај на мрежи ДДоС-Гуард недавно је премашио сто гигабита у секунди. Тренутно, 50% нашег саобраћаја генеришу клијентски веб сервиси. То су десетине хиљада домена, веома различитих и у већини случајева захтевају индивидуални приступ.
Испод реза је како управљамо предњим чворовима и издајемо ССЛ сертификате за стотине хиљада сајтова.
Постављање фронта за једну локацију, чак и веома велику, је лако. Узимамо нгинк или хапроки или лигхттпд, конфигуришемо га према упутствима и заборавимо на то. Ако треба нешто да променимо, извршимо поновно учитавање и поново заборавимо.
Све се мења када обрађујете велике количине саобраћаја у ходу, процењујете легитимност захтева, компримујете и кеширате кориснички садржај и истовремено мењате параметре неколико пута у секунди. Корисник жели да види резултат на свим спољним чворовима одмах након што је променио подешавања у свом личном налогу. Корисник такође може да преузме неколико хиљада (а понекад и десетине хиљада) домена са појединачним параметрима обраде саобраћаја преко АПИ-ја. Све ово би требало одмах да проради и у Америци, и у Европи, и у Азији – задатак није најтривијалнији, с обзиром да само у Москви постоји неколико физички одвојених филтрационих чворова.
Зашто постоји много великих поузданих чворова широм света?
-
Квалитет услуге за клијентски саобраћај - захтеви из САД треба да се обрађују у САД (укључујући нападе, рашчлањивање и друге аномалије), а не да се повлаче у Москву или Европу, непредвидиво повећавајући кашњење у обради.
-
Саобраћај напада мора бити локализован - транзитни оператери могу деградирати током напада, чији обим често прелази 1Тбпс. Преношење нападачког саобраћаја преко трансатлантских или трансазијских веза није добра идеја. Имали смо стварне случајеве када су оператери Тиер-1 рекли: „Обим напада које примате је опасан за нас. Зато прихватамо долазне токове што ближе њиховим изворима.
-
Строги захтеви за континуитет услуге - центри за чишћење не би требало да зависе једни од других нити од локалних догађаја у нашем свету који се брзо мења. Да ли сте искључили струју на свих 11 спратова ММТС-9 на недељу дана? - нема проблема. Ниједан клијент који нема физичку везу на овој локацији неће патити, а веб услуге неће патити ни под којим околностима.
Како управљати свим овим?
Конфигурације услуга треба да се дистрибуирају на све предње чворове што је брже могуће (идеално тренутно). Не можете само узети и поново изградити текстуалне конфигурације и поново покренути демоне при свакој промени - исти нгинк одржава процесе угашеним (искључење радника) још неколико минута (или можда сати ако постоје дуге сесије вебсоцкета).
Када поново учитавате нгинк конфигурацију, следећа слика је сасвим нормална:
О коришћењу меморије:
Стари радници једу меморију, укључујући меморију која линеарно не зависи од броја веза - то је нормално. Када се клијентске везе затворе, ова меморија ће се ослободити.
Зашто ово није био проблем када је нгинк тек почео? Није било ХТТП/2, није било ВебСоцкет-а, није било великих дуготрајних веза. 70% нашег веб саобраћаја је ХТТП/2, што значи веома дуге везе.
Решење је једноставно - немојте користити нгинк, не управљајте фронтовима на основу текстуалних датотека и свакако немојте слати зиповане текстуалне конфигурације преко транспацифичких канала. Канали су, наравно, загарантовани и резервисани, али то их не чини мање трансконтиненталним.
Имамо сопствени предњи сервер-балансер, о чијој унутрашњости ћу говорити у следећим чланцима. Главна ствар коју може да уради је да примени хиљаде промена конфигурације у секунди у ходу, без рестартовања, поновног учитавања, наглог повећања потрошње меморије и свега тога. Ово је веома слично Хот Цоде Релоад-у, на пример у Ерлангу. Подаци се чувају у гео-дистрибуираној бази података кључ/вредност и одмах их читају предњи актуатори. Оне. отпремите ССЛ сертификат преко веб интерфејса или АПИ-ја у Москви и за неколико секунди је спреман за одлазак у наш центар за чишћење у Лос Анђелесу. Ако се изненада догоди светски рат и интернет нестане широм света, наши чворови ће наставити да раде аутономно и поправљају подељени мозак чим један од наменских канала Лос Анђелес-Амстердам-Москва, Москва-Амстердам-Хонг Конг- Лос-Лос постаје доступан. Анђелес или бар један од ГРЕ резервних слојева.
Овај исти механизам нам омогућава да тренутно издамо и обновимо Лет'с Енцрипт сертификате. Врло једноставно функционише овако:
-
Чим видимо најмање један ХТТПС захтев за домен нашег клијента без сертификата (или са истеклим сертификатом), спољни чвор који је прихватио захтев извештава о томе интерном ауторитету за сертификацију.
-
Ако корисник није забранио издавање Лет'с Енцрипт, ауторитет за сертификацију генерише ЦСР, прима токен за потврду од ЛЕ и шаље га свим фронтовима преко шифрованог канала. Сада сваки чвор може потврдити захтев за валидацију од ЛЕ.
-
За неколико тренутака добићемо исправан сертификат и приватни кључ и на исти начин га послати фронтовима. Опет, без поновног покретања демона
-
7 дана пре истека рока, покреће се поступак за поновно добијање сертификата
Тренутно ротирамо 350к сертификата у реалном времену, потпуно транспарентно за кориснике.
У наредним чланцима из серије говорићу о другим карактеристикама обраде великог веб саобраћаја у реалном времену – на пример, о анализи РТТ-а коришћењем непотпуних података за побољшање квалитета услуге за транзитне клијенте и уопште о заштити транзитног саобраћаја од терабит напади, о испоруци и агрегацији саобраћајних информација, о ВАФ-у, скоро неограниченом ЦДН-у и многим механизмима за оптимизацију испоруке садржаја.
Само регистровани корисници могу учествовати у анкети. , Добродошао си.
Шта бисте прво желели да знате?
-
100%Алгоритми за груписање и анализу квалитета веб саобраћаја<3
-
100%Унутрашњост ДДоС-Гуард7 балансера
-
100%Заштита транзитног Л3/Л4 саобраћаја2
-
100%Заштита веб локација од транзитног саобраћаја0
-
100%Заштитни зид веб апликација3
-
100%Заштита од рашчлањивања и кликања6
Гласао је 21 корисник. 6 корисника је било уздржано.
Извор: ввв.хабр.цом