Ijabọ ti o tọ lori nẹtiwọki DDoS-Guard laipe kọja ọgọrun gigabits fun iṣẹju kan. Lọwọlọwọ, 50% ti gbogbo ijabọ wa ni ipilẹṣẹ nipasẹ awọn iṣẹ wẹẹbu alabara. Iwọnyi jẹ ọpọlọpọ ẹgbẹẹgbẹrun awọn ibugbe, ti o yatọ pupọ ati ni ọpọlọpọ awọn ọran ti o nilo ọna ẹni kọọkan.
Ni isalẹ gige ni bii a ṣe ṣakoso awọn apa iwaju ati fifun awọn iwe-ẹri SSL fun awọn ọgọọgọrun egbegberun awọn aaye.
Ṣiṣeto iwaju fun aaye kan, paapaa ti o tobi pupọ, rọrun. A mu nginx tabi haproxy tabi lighttpd, tunto ni ibamu si awọn itọsọna ati gbagbe nipa rẹ. Ti a ba nilo lati yi nkan pada, a tun gbejade ati gbagbe lẹẹkansi.
Ohun gbogbo yipada nigbati o ba ṣe ilana awọn iwọn nla ti ijabọ lori fifo, ṣe iṣiro ẹtọ ti awọn ibeere, compress ati akoonu olumulo kaṣe, ati ni akoko kanna yi awọn ayewọn igba pupọ fun iṣẹju-aaya. Olumulo naa fẹ lati rii abajade lori gbogbo awọn apa ita lẹsẹkẹsẹ lẹhin ti o ti yi awọn eto pada ninu akọọlẹ ti ara ẹni. Olumulo tun le ṣe igbasilẹ ọpọlọpọ awọn ẹgbẹẹgbẹrun (ati nigbakan awọn ẹgbẹẹgbẹrun ẹgbẹẹgbẹrun) pẹlu awọn igbelewọn sisẹ ijabọ ọkọọkan nipasẹ API. Gbogbo eyi yẹ ki o tun ṣiṣẹ lẹsẹkẹsẹ ni Amẹrika, ati ni Yuroopu, ati ni Esia - iṣẹ-ṣiṣe kii ṣe nkan ti o kere julọ, ni akiyesi pe ni Ilu Moscow nikan ni ọpọlọpọ awọn apa isọda ti ara ti o ya sọtọ.
Kini idi ti ọpọlọpọ awọn apa igbẹkẹle nla wa ni ayika agbaye?
-
Didara iṣẹ fun ijabọ alabara - awọn ibeere lati AMẸRIKA nilo lati ni ilọsiwaju ni AMẸRIKA (pẹlu fun awọn ikọlu, itupalẹ ati awọn asemase miiran), ati pe ko fa si Ilu Moscow tabi Yuroopu, lairotẹlẹ jijẹ idaduro processing.
-
Awọn ijabọ ikọlu gbọdọ wa ni agbegbe - awọn oniṣẹ irekọja le dinku lakoko awọn ikọlu, iwọn didun eyiti o nigbagbogbo kọja 1Tbps. Gbigbe ijabọ ikọlu lori transatlantic tabi awọn ọna asopọ transasian kii ṣe imọran to dara. A ni awọn ọran gidi nigbati awọn oniṣẹ Tier-1 sọ pe: “Iwọn awọn ikọlu ti o gba lewu fun wa.” Ti o ni idi ti a gba awọn ṣiṣan ti nwọle ni isunmọ si awọn orisun wọn bi o ti ṣee ṣe.
-
Awọn ibeere to muna fun itesiwaju iṣẹ - awọn ile-iṣẹ mimọ ko yẹ ki o dale lori ara wọn tabi lori awọn iṣẹlẹ agbegbe ni agbaye iyipada ni iyara. Njẹ o ge agbara kuro si gbogbo awọn ilẹ ipakà 11 ti MMTS-9 fun ọsẹ kan? - kosi wahala. Kii ṣe alabara kan ti ko ni asopọ ti ara ni ipo pato yii yoo jiya, ati awọn iṣẹ wẹẹbu kii yoo jiya labẹ eyikeyi ayidayida.
Bawo ni lati ṣakoso gbogbo eyi?
Awọn atunto iṣẹ yẹ ki o pin si gbogbo awọn apa iwaju ni yarayara bi o ti ṣee (apẹrẹ lesekese). O ko le mu nikan ki o tun tun awọn atunto ọrọ ṣe ki o tun atunbere awọn daemons ni gbogbo iyipada - nginx kanna ntọju awọn ilana tiipa (oṣiṣẹ tiipa) fun awọn iṣẹju diẹ diẹ sii (tabi boya awọn wakati ti awọn igba websocket gigun ba wa).
Nigbati o ba tun ṣe atunto nginx, aworan atẹle jẹ deede:
Lori lilo iranti:
Awọn oṣiṣẹ atijọ jẹ iranti iranti, pẹlu iranti ti ko ni laini dale lori nọmba awọn asopọ - eyi jẹ deede. Nigbati awọn asopọ alabara ti wa ni pipade, iranti yii yoo ni ominira.
Kini idi ti eyi kii ṣe ọran nigbati nginx n kan bẹrẹ? Nibẹ je ko si HTTP/2, ko si WebSocket, ko si lowo gun pa-laaye awọn isopọ. 70% ti ijabọ wẹẹbu wa jẹ HTTP/2, eyiti o tumọ si awọn asopọ gigun pupọ.
Ojutu naa rọrun - maṣe lo nginx, maṣe ṣakoso awọn iwaju ti o da lori awọn faili ọrọ, ati pe dajudaju maṣe firanṣẹ awọn atunto ọrọ zipped lori awọn ikanni transpacific. Awọn ikanni naa jẹ, nitorinaa, iṣeduro ati ifipamọ, ṣugbọn iyẹn ko jẹ ki wọn kere si transcontinental.
A ni oluṣeto olupin iwaju ti ara wa, awọn inu eyiti Emi yoo sọrọ nipa ninu awọn nkan atẹle. Ohun akọkọ ti o le ṣe ni lilo awọn ẹgbẹẹgbẹrun awọn ayipada iṣeto ni iṣẹju-aaya lori fo, laisi awọn atunbere, awọn atunbere, awọn ilosoke lojiji ni agbara iranti, ati gbogbo iyẹn. Eleyi jẹ gidigidi iru si Gbona koodu gbee, fun apẹẹrẹ ni Erlang. Awọn data ti wa ni ipamọ ni geo-pinpin bọtini-iye database ati ki o ti wa ni ka lẹsẹkẹsẹ nipa awọn oniṣẹ iwaju. Awon. o ṣe igbasilẹ ijẹrisi SSL nipasẹ wiwo wẹẹbu tabi API ni Ilu Moscow, ati ni iṣẹju diẹ o ti ṣetan lati lọ si ile-iṣẹ mimọ wa ni Los Angeles. Ti ogun agbaye kan ba ṣẹlẹ lojiji ati Intanẹẹti parẹ ni gbogbo agbaye, awọn apa wa yoo tẹsiwaju lati ṣiṣẹ ni adaṣe ati tunṣe ọpọlọ pipin ni kete ti ọkan ninu awọn ikanni iyasọtọ Los Angeles-Amsterdam-Moscow, Moscow-Amsterdam-Hong Kong- Los-Los di wa. Angeles tabi o kere ju ọkan ninu awọn agbekọja afẹyinti GRE.
Ilana kanna yii gba wa laaye lati gbejade ati tunse awọn iwe-ẹri Jẹ ki a Encrypt. O rọrun pupọ o ṣiṣẹ bi eleyi:
-
Ni kete ti a ba rii o kere ju ibeere HTTPS kan fun agbegbe alabara wa laisi ijẹrisi kan (tabi pẹlu ijẹrisi ti pari), ipade ita ti o gba ibeere naa jabo eyi si aṣẹ ijẹrisi inu.
-
Ti olumulo ko ba ti ni idinamọ ipinfunni Jẹ ki ká Encrypt, aṣẹ iwe-ẹri ṣe ipilẹṣẹ CSR kan, gba ami ijẹrisi lati LE ati firanṣẹ si gbogbo awọn iwaju lori ikanni ti paroko. Bayi eyikeyi ipade le jẹrisi ibeere imuda lati LE.
-
Ni awọn iṣẹju diẹ, a yoo gba ijẹrisi to pe ati bọtini ikọkọ ati firanṣẹ si awọn iwaju ni ọna kanna. Lẹẹkansi, laisi tun bẹrẹ awọn daemons
-
Awọn ọjọ 7 ṣaaju ọjọ ipari, ilana fun tun-gba ijẹrisi naa ti bẹrẹ
Ni bayi a n yi awọn iwe-ẹri 350k pada ni akoko gidi, ti o han gbangba si awọn olumulo.
Ninu awọn nkan atẹle ti jara, Emi yoo sọrọ nipa awọn ẹya miiran ti sisẹ akoko gidi ti ijabọ oju opo wẹẹbu nla - fun apẹẹrẹ, nipa itupalẹ RTT nipa lilo data ti ko pe lati mu didara iṣẹ fun awọn alabara irekọja ati ni gbogbogbo nipa aabo awọn ijabọ gbigbe lati awọn ikọlu terabit, nipa ifijiṣẹ ati akopọ ti alaye ijabọ, nipa WAF, CDN ti ko ni opin ati ọpọlọpọ awọn ọna ṣiṣe fun jijẹ akoonu akoonu.
Awọn olumulo ti o forukọsilẹ nikan le kopa ninu iwadi naa. , Jowo.
Kini o fẹ lati mọ akọkọ?
-
14,3%Awọn alugoridimu fun ikojọpọ ati itupalẹ didara ijabọ wẹẹbu<3
-
33,3%Internals ti DDoS-Guard7 iwontunwonsi
-
9,5%Idaabobo ti irekọja L3/L4 ijabọ2
-
0,0%Idabobo awọn oju opo wẹẹbu lori ijabọ irekọja0
-
14,3%Ohun elo ayelujara Ogiriina3
-
28,6%Idaabobo lodi si sisọ ati tite6
21 olumulo dibo. 6 olumulo abstained.
orisun: www.habr.com