في بعض الأحيان يعيش المشروع في مركز بيانات أجنبي غير مكلف ، يقع تحت أقفال سجاد Roskomnadzor ، ويجد نفسه بشكل دوري تحت هجمات DDoS ، ولكن في نفس الوقت يحتوي على تيرابايت من البيانات وحركة المرور.
كيف تعيش معها؟
الديباجة
لدينا بنك صور صغير للدعم. لن نذكر الاسم والبلد ، فقط بعض البيانات الفنية:
50 تيرابايت من البيانات للتخزين ، يتم تحديث حوالي 100 غيغابايت شهريًا ، "البيانات الساخنة" (95٪ من الطلبات توجه إليهم) - 200 غيغابايت.
متوسط الحركة - 50 تيرابايت / شهر.
قبل عدة سنوات ، تم اختيار عدة خوادم Hetzner SX بأقراص كبيرة لنشر الصور (كان علي أن أتوصل إلى حل أكثر تعقيدًا لتخزين PD ، ولكن أكثر من ذلك في وقت آخر).
شكك ساوثبريدج في أن Hetzner كان مناسبًا لمثل هذا المشروع ، ولكن تم تحقيق المستوى المطلوب من إمكانية الوصول وجودة الاتصال.
بالإضافة إلى ذلك ، بالنسبة لمثل هذا المشروع ، سيكون استخدام CDN أمرًا أكثر تكلفة من توزيع الإحصائيات من الخوادم في مركز بيانات غير مكلف.
مؤامرة
هنا في تاريخنا يظهر Roskomnadzor ، دعنا لا نذكر عبثا. في ربيع 18 ، بدأت أقفال السجاد ، وبحلول مايو غطت العديد من عملائنا.
قام بعض العملاء بحل المشكلة مع الوصول إلى Hetzner و Amazon و MS Azure و GCE و Digitalocean بشكل كبير: قاموا بنقل الخادم بالكامل إلى روسيا (مرحبًا ، Selectel!) ، ولكن بالنسبة لبطلنا ، فإن بنك الصور الصغير الذي ينقل باستمرار 50 تيرابايت من البيانات ذهابًا وإيابًا أمر مكلف للغاية ، ولن نترك خوادم المشروع في روسيا بعد نهاية الأقفال.
للمشاكل الكبيرة وغير الكافية ، هناك حاجة إلى حلول صغيرة وكافية.
حل المشكلات
على سبيل المثال ، استخدم خوادم أو خدمات أخرى (غير مؤمّنة) للواجهة الأمامية. لم يساعد تغيير نطاق عناوين IP 100 ٪ ، لأنه قامت ILV بحظر الشبكات الفرعية IP الجديدة كل يوم ، لذلك قررنا تمكين الوكلاء من خلال Cloudflare.com. فجأة ، الذين لا يعرفون ، لا يحمون فقط من هجمات DDoS (ليس جيدًا مثل أفضل اللاعبين في هذا السوق) ، ولكنهم يقدمون أيضًا خدمة CDN (وهم يفعلون ذلك جيدًا).
يعد هذا حلاً رائعًا إذا لم يتم حظر عناوين Cloudflare)
حسنًا ، لقد قاموا بتشغيله - وبدأوا في مراقبة استقرار العمل وعودة حركة المرور. بعد توصيل CF ، رأينا هذه الصورة على الرسم البياني لعد حركة المرور من أحد الخوادم (صورة من إحصائيات Hetzner):
تم تغيير حركة المرور الواردة ضمن هامش الخطأ (والذي يتم تأكيده أيضًا من خلال الجدول الزمني لتحميل الصور الجديدة ، والذي تم إجراء مقياس مراقبة منفصل له) ، انخفضت حركة المرور الصادرة على هذا الخادم أكثر من 3 مرات في وقت توصيل CF. انخفض إجمالي حركة المرور الحقيقية ليس ثلاث مرات ، فقط بدأ CF لتوزيع حركة المرور بين الخوادم بطريقة مختلفة.
على سبيل المثال ، رسم بياني لنفس الخادم من نظام المراقبة الخاص بنا (لمدة 3 أشهر ، بحيث لا يكون صغيرًا جدًا):
وبحسب أحد الآخرين:
لكن حركة المرور الإجمالية لا تزال انخفضت بنسبة 20٪ ، أي حفظ CF المشروع بعض حركة المرور.
لقد زاد متوسط وقت الاستجابة ، لكننا لن نعرض هذه الرسوم البيانية.
السبب: لدى Cloudflare نقاط توزيع قليلة في روسيا. في أوروبا وأمريكا الشمالية ، يكون بالفعل أكثر فعالية.
وبالتوازي مع حركة المرور ، نراقب نشاط استخدام الخدمة. يتم تحميل الصور الجديدة إلى الخدمة ، ونحن نراقب عددهم (وحركة المرور الواردة).
الجدول الزمني لمدة 3 أشهر (أبريل-يونيو) من أحد خوادم معالجة طلبات تحميل الصور:
وهنا خادم آخر:
بدأ Cloudflare في توزيع حركة المرور الخلفية بطريقة مختلفة قليلاً. لكن استمر تحميل المحتوى ، وعملت الخدمة ، ولم يكن هناك انخفاض كارثي في الجودة (وفقًا لمراجعات المستخدم ، لم يكن الفرق ملحوظًا من حيث المبدأ).
هناك أيضًا خطر من الحصول على عنوان محظور في Cloudflare ، ولكن يمكنك تقليله من خلال تطبيق تعرفة مدفوعة.
بعد إكمال قفل السجاد ILV ، قمنا بتعطيل Cloudflare.
ما هي النتيجة؟
- مقابل 5-20 دولارًا شهريًا (في حالتنا كانت 5 دولارات / شهريًا) ، يمكنك حل مشكلة مماثلة وعدم إنفاق آلاف الدولارات على استئجار خوادم أكثر تكلفة ونقل البيانات.
- حتى بالنسبة للمشاريع التي تحتوي على تيرابايت من حركة المرور ، تكون الحلول المجانية أو شبه المجانية مناسبة. ثبت في الممارسة.
كبديل:
- تقدم خدمة DDoS-GUARD تعرفة مجانية مع وكلاء المرور وحمايتها من هجمات DDoS.
- كان لدى العديد من مزودي خدمة حماية DDoS خدمة مساعدة مجانية مع مثل هذه العوائق. (بالمناسبة ، نحن أيضا لم نأخذ أموال إضافية لحل المشكلة مع الأقفال).
- يمكنك أن تأخذ إحدى خدمات CDN المعروفة: keycdn.com ، cdn77.com ، Akamai CDN ، CDNVideo ، Ngenix.net ، إلخ. وهي تحل مشكلة حظر الحماية لعملائها بأنفسهم. ولكن هذا أ) أكثر تكلفة ب) لا يحل مشكلة إعادة المحتوى غير الثابت.
- يمكنك توصيل وكيل آخر وخدمة حماية DDoS (عملنا كثيرًا مع Qrator و SkyparkCDN / G-Core Labs ، على سبيل المثال) ، لكنهم سيحتاجون إلى الدفع مقابل كل ميغابايت من حركة المرور المفيدة ، وسيكون مكلفًا حقًا.
- يمكن نشر "الواجهة الأمامية غير المؤمنة" لدى أي من مزودي الخدمة في العالم ، وفي نفس الوقت تحتاج إلى تحديد نطاق غير مؤمن من العناوين وضمان اتصال جيد بين خوادمك وخوادم الواجهة الأمامية. إذا كنت بحاجة جدية للقيام بذلك ، يمكنك أولاً التحقق من العنوان تلقائيًا من القائمة أو يدويًا هنا .
أنا شخصياً أوصي بـ packet.net و servers.com لمثل هذه "الواجهات" - اتصال ممتاز والقدرة على أخذ خادم بسعر الساعة.
ملاحظة إذا كان أي شيء - أنا واحد من مكبرات الصوت RedSlerm. تعال ، سيكون من المثير للاهتمام:
https://slurm.io/redslurm/