ProHoster > blog > Utawala > Jinsi tulivyopitia Firewall Kuu ya Uchina (Sehemu ya 3)

Jinsi tulivyopitia Firewall Kuu ya Uchina (Sehemu ya 3)

Hi!
Hadithi zote nzuri huisha. Na hadithi yetu kuhusu jinsi tulivyopata suluhisho la kupitisha Firewall ya Kichina kwa haraka sio ubaguzi. Kwa hivyo, nina haraka kushiriki nawe ya mwisho, sehemu ya mwisho juu ya mada hii.

Katika sehemu iliyopita tulizungumza juu ya madawati mengi ya mtihani ambayo tulikuja nayo na ni matokeo gani waliyotoa. Na tulikaa juu ya kile ambacho kingekuwa kizuri kuongeza CDN! kwa mnato katika mpango wetu.

Nitakuambia jinsi tulivyojaribu Alibaba Cloud CDN, Tencent Cloud CDN na Akamai, na tulichomaliza nacho. Na bila shaka, hebu tufanye muhtasari.

Jinsi tulivyopitia Firewall Kuu ya Uchina (Sehemu ya 3)

Alibaba Cloud CDN

Tunapangishwa kwenye Alibaba Cloud na tunatumia IPSEC na CEN kutoka kwao. Itakuwa jambo la busara kujaribu masuluhisho yao kwanza.

Alibaba Cloud ina aina mbili za bidhaa ambazo zinaweza kutufaa: CDN ΠΈ DCN. Chaguo la kwanza ni CDN ya kawaida kwa kikoa maalum (kikoa kidogo). Chaguo la pili linasimama Njia Inayobadilika ya CDN (Ninaiita CDN inayobadilika), inaweza kuwashwa katika hali ya tovuti Kamili (kwa vikoa vya kadi-mwitu), pia huhifadhi maudhui tuli na kuharakisha maudhui yanayobadilika yenyewe, yaani, mienendo ya ukurasa pia itapakiwa kupitia kwa mtoa huduma. mitandao ya haraka. Hii ni muhimu kwetu, kwa sababu kimsingi tovuti yetu ina nguvu, inatumia vikoa vingi, na ni rahisi zaidi kusanidi CDN mara moja kwa "asterisk" - *.semrushchina.cn.

Tulikuwa tayari tumeona bidhaa hii katika hatua za awali za mradi wetu wa Kichina, lakini basi ilikuwa haijafanya kazi, na watengenezaji waliahidi kuwa bidhaa hiyo itapatikana kwa wateja wote hivi karibuni. Na alifanya hivyo.

Katika DCN unaweza:

  • sanidi kusitisha SSL na cheti chako,
  • wezesha kuongeza kasi ya maudhui yenye nguvu,
  • sanidi kwa urahisi caching ya faili tuli,
  • safisha kashe,
  • soketi za wavuti mbele,
  • wezesha ukandamizaji na hata Kirembo cha HTML.

Kwa ujumla, kila kitu ni sawa na watu wazima na watoa huduma kubwa wa CDN.

Baada ya Asili (mahali ambapo seva za kingo za CDN zitaenda) kubainishwa, kilichobaki ni kuunda CNAME ya nyota, kurejelea. all.semrushchina.cn.w.kunluncan.com (CNAME hii ilipokelewa katika kiweko cha Alibaba Cloud) na CDN itafanya kazi.

Kulingana na matokeo ya mtihani, CDN hii ilitusaidia sana. Takwimu zimeonyeshwa hapa chini.

uamuzi
Uptime
Kati
Asilimia 75
Asilimia 95

cloudflare
86.6
18s
30s
60s

IPsec
99.79
18s
21s
30s

CEN
99.75
16s
21s
27s

CEN/IPsec + GLB
99.79
13s
16s
25s

Ali CDN + CEN/IPsec + GLB
99.75
10s
12.8s
17.3s

Haya ni matokeo mazuri sana, hasa ukilinganisha na namba zilivyokuwa mwanzoni. Lakini tulijua kuwa jaribio la kivinjari cha toleo la Amerika la tovuti yetu www.semrush.com linatoka Marekani kwa wastani wa 8.3s (thamani ya takriban sana). Kuna nafasi ya kuboresha. Kwa kuongezea, pia kulikuwa na watoa huduma wa CDN ambao walivutia kujaribu.

Kwa hivyo tunasonga mbele kwa jitu lingine kwenye soko la Uchina - Tencent.

Wingu la teni

Tencent inakuza tu wingu lake - hii inaweza kuonekana kutoka kwa idadi ndogo ya bidhaa. Wakati tunaitumia, tulitaka kujaribu sio CDN yao tu, bali pia miundombinu yao ya mtandao kwa ujumla:

  • wana kitu sawa na CEN?
  • Je, IPSEC inafanyaje kazi kwao? Je, ni haraka, ni saa ngapi?
  • wana Anycast?

Jinsi tulivyopitia Firewall Kuu ya Uchina (Sehemu ya 3)

Hebu tuangalie maswali haya tofauti.

Analojia CEN

Tencent ina bidhaa Mtandao wa Cloud Connect (CCN), kukuruhusu kuunganisha VPC kutoka mikoa tofauti, ikijumuisha mikoa ya ndani na nje ya Uchina. Bidhaa sasa iko katika beta ya ndani, na unahitaji kuunda tikiti ukiomba kuunganisha kwayo. Tulijifunza kutoka kwa usaidizi kuwa akaunti za kimataifa (hatuzungumzii raia wa Uchina au mashirika ya kisheria) haziwezi kushiriki katika mpango wa majaribio ya beta na, kwa ujumla, kuunganisha eneo ndani ya Uchina na eneo la nje. 1-0 na kumpendelea Ali Cloud

IPSEC

Eneo la kusini mwa Tencent ni Guangzhou. Tulikusanya handaki na kuiunganisha na eneo la Hong Kong katika GCP (basi eneo hili lilikuwa tayari linapatikana). Njia ya pili katika Ali Cloud kutoka Shenzhen hadi Hong Kong pia iliinuliwa wakati huo huo. Ilibadilika kuwa kupitia mtandao wa Tencent latency hadi Hong Kong kwa ujumla ni bora (10ms) kuliko kutoka Shenzhen hadi Hong Kong hadi Ali (120ms - nini?). Lakini hii haikuharakisha kwa njia yoyote kazi ya tovuti inayolenga kufanya kazi kupitia Tencent na handaki hii, ambayo yenyewe ilikuwa ukweli wa kushangaza na mara nyingine tena ilithibitisha yafuatayo: latency - kwa Uchina hii sio kiashiria ambacho kinafaa sana. makini wakati wa kutengeneza suluhisho la kupitisha firewall ya Kichina.

Uongezaji kasi wa Mtandao wa Anycast

Bidhaa nyingine ambayo hukuruhusu kufanya kazi kupitia IP yoyote ya utangazaji ni AIA. Lakini pia haipatikani kwa akaunti za kimataifa, kwa hivyo sitakuambia kuihusu, lakini kujua kuwa bidhaa kama hiyo ipo inaweza kuwa muhimu.

Lakini mtihani wa CDN ulionyesha matokeo ya kupendeza. CDN ya Tencent haiwezi kuwezeshwa kwenye tovuti kamili, kwenye vikoa maalum pekee. Tuliunda vikoa na tukatuma trafiki kwao:

Jinsi tulivyopitia Firewall Kuu ya Uchina (Sehemu ya 3)

Ilibadilika kuwa CDN hii ina kazi ifuatayo: Uboreshaji wa Trafiki Mipakani. Kipengele hiki kinapaswa kupunguza gharama trafiki inapopitia ngome ya Kichina. Kama Mwanzo Anwani ya IP ya Google GLB (GLB anycast) ilibainishwa. Kwa hivyo, tulitaka kurahisisha usanifu wa mradi.

Matokeo yalikuwa mazuri sana - kwa kiwango cha Ali Cloud CDN, na katika maeneo mengine bora zaidi. Hii inashangaza, kwa sababu ikiwa vipimo vimefanikiwa, unaweza kuacha sehemu kubwa ya miundombinu, vichuguu, CEN, mashine za kawaida, nk.

Hatukufurahi kwa muda mrefu, kwani tatizo lilifichuliwa: majaribio katika Catchpoint yalishindwa kwa mtoa huduma wa Intaneti China Mobile. Kutoka eneo lolote tulipokea muda wa kuisha kupitia Tencent's CDN. Mawasiliano na usaidizi wa kiufundi haukusababisha chochote. Tulijaribu kutatua tatizo hili kwa takriban siku moja, lakini hakuna kilichofanya kazi.

Nilikuwa Uchina wakati huo, lakini sikuweza kupata Wi-Fi ya umma kwenye mtandao wa mtoa huduma huyu ili kuthibitisha tatizo kibinafsi. Vinginevyo, kila kitu kilionekana haraka na kizuri.
Hata hivyo, kutokana na ukweli kwamba China Mobile ni mojawapo ya waendeshaji watatu wakubwa, tulilazimika kurudisha trafiki kwa Ali CDN.
Lakini kwa ujumla, hili lilikuwa suluhisho la kupendeza ambalo linastahili majaribio ya muda mrefu na utatuzi wa shida hii.

Akamai

Mtoa huduma wa mwisho wa CDN tuliyejaribu alikuwa Akamai. Huyu ni mtoa huduma mkubwa ambaye ana mtandao wake nchini China. Bila shaka, hatukuweza kupita.

Jinsi tulivyopitia Firewall Kuu ya Uchina (Sehemu ya 3)

Tangu mwanzo kabisa, tulikubaliana na Akamai kwa kipindi cha majaribio ili tuweze kubadili kikoa na kuona jinsi kitakavyofanya kazi kwenye mtandao wao. Nitaelezea matokeo ya upimaji wote kwa namna ya "Nilichopenda" na "Kile ambacho sikupenda," na pia nitatoa matokeo ya mtihani.

Nilichopenda:

  • Vijana kutoka Akamai walisaidia sana katika maswali yote na waliandamana nasi katika hatua zote za majaribio. Tulikuwa tukijaribu kila mara kuboresha kitu kwa upande wetu. Walitoa ushauri mzuri wa kiufundi.
  • Akamai iko polepole kwa 10-15% kuliko suluhisho letu kupitia Ali Cloud CDN. Kinachovutia ni kwamba katika Asili ya Akamai tulibainisha anwani ya IP ya GLB, kumaanisha kuwa trafiki haikupitia suluhisho letu (uwezekano tunaweza kuacha sehemu ya miundombinu). Lakini bado, matokeo ya mtihani yalionyesha kuwa suluhisho hili ni mbaya zaidi kuliko toleo letu la sasa (matokeo ya kulinganisha hapa chini).
  • Ilijaribiwa Asili ya GLB na Asili nchini Uchina. Chaguzi zote mbili ni takriban sawa.
  • Kuna Njia ya uhakika (Uboreshaji wa uelekezaji kiotomatiki). Unaweza kukaribisha kitu cha majaribio kwenye Asili, na seva za Akamai Edge zitajaribu kukichukua (GET ya kawaida). Kwa maombi haya, kasi na vipimo vingine hupimwa, kulingana na ambayo mtandao wa Akamai huboresha njia ili trafiki iende haraka kwa tovuti yetu na ilikuwa wazi kuwa kuwezesha kipengele hiki kumekuwa na athari kubwa kwa kasi ya tovuti.
  • Kubadilisha usanidi katika kiolesura cha wavuti ni nzuri. Unaweza kufanya Linganisha kwa matoleo, angalia diff. Tazama matoleo ya awali.
  • Unaweza kutoa toleo jipya kwanza kwenye mtandao wa Akamai Staging - mtandao sawa na uzalishaji, kwa njia hii pekee haitaathiri watumiaji halisi. Kwa jaribio hili, unahitaji kuharibu rekodi za DNS kwenye mashine yako ya karibu.
  • Kasi ya upakuaji wa haraka sana kupitia mtandao wao kwa faili kubwa tuli, na, inaonekana, faili zingine zozote. Faili kutoka kwa akiba ya "baridi" inarejeshwa mara nyingi zaidi kuliko faili sawa kutoka kwa akiba "baridi" ya Ali CDN. Kutoka kwenye cache "ya moto", kasi tayari ni sawa, pamoja na au kupunguza.

Mtihani wa Ali CDN:

root@shenzhen1:~# curl -o /dev/null -w@curl_time https://en.semrushchina.cn/my_reports/build/scripts/simpleInit.js?v=1551879212
  % Total    % Received % Xferd  Average Speed   Time    Time     Time  Current
                                 Dload  Upload   Total   Spent    Left  Speed
100 5757k    0 5757k    0     0   513k      0 --:--:--  0:00:11 --:--:--  526k
time_namelookup:  0.004286
time_connect:  0.030107
time_appconnect:  0.117525
time_pretransfer:  0.117606
time_redirect:  0.000000
time_starttransfer:  0.840348
----------
time_total:  11.208119
----------
size_download:  5895467 Bytes
speed_download:  525999.000B/s

Mtihani wa Akamai:

root@shenzhen1:~# curl -o /dev/null -w@curl_time https://www.semrushchina.cn/my_reports/build/scripts/simpleInit.js?v=1551879212
  % Total    % Received % Xferd  Average Speed   Time    Time     Time  Current
                                 Dload  Upload   Total   Spent    Left  Speed
100 5757k    0 5757k    0     0  1824k      0 --:--:--  0:00:03 --:--:-- 1825k
time_namelookup:  0.509005
time_connect:  0.528261
time_appconnect:  0.577235
time_pretransfer:  0.577324
time_redirect:  0.000000
time_starttransfer:  1.327013
----------
time_total:  3.154850
----------
size_download:  5895467 Bytes
speed_download:  1868699.000B/s

Tuliona kuwa hali katika mfano hapo juu inategemea mambo mbalimbali. Wakati wa kuandika hatua hii, niliendesha mtihani tena. Matokeo ya majukwaa yote mawili yalikuwa takriban sawa. Hii inatuambia kwamba mtandao nchini Uchina, hata kwa waendeshaji wakubwa na watoa huduma za wingu, hufanya kazi tofauti mara kwa mara.

Kwa hatua iliyotangulia, nitaongeza nyongeza kubwa kwa Akamai: ikiwa Ali ataonyesha miale sawa ya utendakazi wa hali ya juu na utendakazi wa chini sana (hii inatumika kwa Ali CDN, Ali CEN, na Ali IPSEC), kisha Akamai, kila wakati, haijalishi. jinsi ninavyojaribu mtandao wao, kila kitu hufanya kazi kwa utulivu.
Akamai haina chanjo nyingi nchini Uchina na inafanya kazi kupitia watoa huduma wengi.

Ambayo sikuipenda:

  • Sipendi kiolesura cha wavuti na jinsi kinavyofanya kazi - ni duni sana. Lakini kimsingi unaizoea (pengine).
  • Matokeo ya mtihani ni mabaya zaidi kuliko tovuti yetu.
  • Kuna makosa zaidi wakati wa majaribio kuliko kwenye tovuti yetu (uptime hapa chini).
  • Hatuna seva zetu za DNS nchini Uchina. Kwa hivyo kuna makosa mengi katika majaribio kwa sababu ya kuisha kwa suluhisho la DNS.
  • Hawatoi safu zao za IP -> hakuna njia ya kusajili zile sahihi set_real_ip_kutoka kwenye seva zetu.

Vipimo (~huendeshaji 3626; vipimo vyote isipokuwa Uptime, katika ms; takwimu za muda mmoja):

Mtoa huduma wa CDN
Kati
75%
95%
Majibu
Jibu la ukurasa wa wavuti
Uptime
DNS
Kuungana
Kusubiri
mzigo
SSL

AliCDN
9195
10749
17489
1,715
10,745
99.531
57
17
927
479
200

Akamai
9783
11887
19888
2,352
11,550
98.980
424
91
1408
381
50

Usambazaji kwa Percentile (katika ms):

Asilimia
Akamai
AliCDN

10
7,092
6,942

20
7,775
7,583

30
8,446
8,092

40
9,146
8,596

50
9,783
9,195

60
10,497
9,770

70
11,371
10,383

80
12,670
11,255

90
15,882
13,165

100
91,592
91,596

Hitimisho ni hili: chaguo la Akamai linaweza kutumika, lakini haitoi utulivu na kasi sawa na suluhisho letu wenyewe pamoja na Ali CDN.

Vidokezo vidogo

Nyakati zingine hazikujumuishwa kwenye hadithi, lakini ningependa kuandika kuzihusu pia.

Beijing + Tokyo na Hong Kong

Kama nilivyosema hapo juu, tulijaribu handaki ya IPSEC hadi Hong Kong (HK). Lakini pia tulijaribu CEN hadi HK. Inagharimu kidogo, na nilikuwa nikishangaa jinsi ingefanya kazi kati ya miji yenye umbali wa ~ 100 km. Ilibadilika kuwa ya kuvutia kwamba muda wa kusubiri kati ya miji hii ni 100ms juu kuliko katika toleo letu asili (hadi Taiwan). Kasi, utulivu pia ulikuwa bora zaidi kwa Taiwan. Kwa hivyo, tuliacha HK kama eneo la hifadhi ya IPSEC.

Kwa kuongeza, tulijaribu kufunga usakinishaji ufuatao:

  • kusitisha wateja katika Beijing,
  • IPSEC na CEN hadi Tokyo,
  • katika Ali CDN seva ya Beijing ilionyeshwa kama asili.

Mpango huu haukuwa thabiti, ingawa kwa suala la kasi kwa ujumla haukuwa duni kwa suluhisho letu. Kuhusu handaki, nimeona matone ya mara kwa mara hata kwa CEN, ambayo yanapaswa kuwa thabiti. Kwa hivyo, tulirudi kwenye mpango wa zamani na tukabomoa hatua hii.

Zifuatazo ni takwimu za muda wa kusubiri kati ya mikoa tofauti kwa vituo tofauti. Labda mtu atapendezwa nayo.

IPsec
Ali cn-beijing <β€”> GCP asia-northeast1 β€” 193ms
Ali cn-shenzhen <β€”> GCP asia-east2 β€” 91ms
Ali cn-shenzhen <β€”> GCP us-east4 β€” 200ms

CEN
Ali cn-beijing <β€”> Ali ap-northeast-1 β€” 54ms (!)
Ali cn-shenzhen <β€”> Ali cn-hongkong β€” 6ms (!)
Ali cn-shenzhen <β€”> Ali us-east1 β€” 216ms

Maelezo ya jumla kuhusu mtandao nchini China

Kama nyongeza ya shida na mtandao zilizoelezewa hapo awali, katika sehemu ya kwanza ya kifungu hicho.

  • Mtandao nchini Uchina una haraka sana ndani.
    • Hitimisho lilifanywa kulingana na kujaribu mitandao ya Wi-Fi ya umma katika maeneo mbalimbali ambapo mitandao hii inatumiwa na idadi kubwa ya watu.
    • Kasi ya upakuaji na upakiaji kwa seva ndani ya Uchina ilikuwa takriban 20 Mbit/s na 5-10 Mbit/s, mtawalia.
    • Kasi kwa seva nje ya Uchina ni ndogo, chini ya 1 Mbit/s.
  • Mtandao nchini Uchina sio dhabiti sana.
    • Wakati mwingine tovuti zinaweza kufungua haraka, wakati mwingine polepole (wakati huo huo wa siku kwa siku tofauti), mradi usanidi haubadilika. Tuliona hili kwa mfano wa semrushchina.cn. Hii inaweza kuhusishwa na Ali CDN, ambayo pia inafanya kazi kwa njia hii na kwamba kulingana na wakati wa siku, nafasi ya nyota, nk.
  • Mtandao wa rununu uko karibu kila mahali 4G au 4G+. Ipate kwenye treni ya chini ya ardhi, lifti - kwa kifupi, kila mahali.
  • Ni hadithi kwamba watumiaji wa Kichina huamini tu vikoa katika ukanda wa .cn. Tulijifunza hili moja kwa moja kutoka kwa watumiaji.
    • Unaweza kuona jinsi gani http://baidu.cn elekeza kwa www.baidu.com (nchini Uchina pia).
  • Rasilimali nyingi kweli zimezuiwa. Awali: google.com, Facebook, Twitter. Lakini rasilimali nyingi za Google zinafanya kazi (bila shaka, si kwa Wi-Fi yote na VPN haitumiwi (kwa upande wa router pia, hiyo ni hakika).
  • Vikoa vingi vya "kiufundi" vya mashirika yaliyozuiwa pia vinafanya kazi. Hii ina maana kwamba hupaswi kukata Google bila kujali kila wakati na rasilimali nyingine zinazoonekana kuzuiwa. Unahitaji kutafuta baadhi ya orodha ya vikoa vilivyopigwa marufuku.
  • Wana waendeshaji wakuu watatu pekee wa mtandao: China Unicom, China Telecom, China Mobile. Kuna hata ndogo, lakini sehemu yao ya soko ni ndogo

Bonasi: mchoro wa suluhisho la mwisho

Jinsi tulivyopitia Firewall Kuu ya Uchina (Sehemu ya 3)

Jumla ya

Mwaka umepita tangu kuanza kwa mradi huo. Tulianza na ukweli kwamba tovuti yetu kwa ujumla ilikataa kufanya kazi kwa kawaida kutoka Uchina, na kwa urahisi GET curl ilichukua sekunde 5.5.

Halafu, na viashiria hivi kwenye suluhisho la kwanza (Cloudflare):

uamuzi
Uptime
Kati
Asilimia 75
Asilimia 95

cloudflare
86.6
18s
30s
60s

Hatimaye tulifikia matokeo yafuatayo (takwimu za mwezi uliopita):

uamuzi
Uptime
Kati
Asilimia 75
Asilimia 95

Ali CDN + CEN/IPsec + GLB
99.86
8.8s
9.5s
13.7s

Kama unaweza kuona, bado hatujaweza kufikia muda wa 100%, lakini tutakuja na kitu, na kisha tutakuambia kuhusu matokeo katika makala mpya :)

Heshima kwa waliosoma sehemu zote tatu hadi mwisho. Natumai umepata haya yote kuwa ya kupendeza kama nilivyofanya nilipofanya.

PS Sehemu za awali

Sehemu ya 1
Sehemu ya 2

Chanzo: mapenzi.com

Kuongeza maoni