Terkadang sebuah proyek tinggal di pusat data asing yang murah, berada di bawah karpet Roskomnadzor, secara berkala menemukan dirinya di bawah serangan DDoS, tetapi pada saat yang sama memiliki terabyte data dan lalu lintas.
Bagaimana cara hidup dengannya?
Pembukaan
Kami memiliki photobank kecil untuk dukungan. Kami tidak akan menyebut nama dan negara, hanya beberapa data teknis:
50 TB data untuk penyimpanan, sekitar 100 GB diperbarui setiap bulan, βdata panasβ (95% dari permintaan dikirimkan ke mereka) - 200 GB.
Lalu lintas rata-rata - 50 Tb / bulan.
Beberapa tahun yang lalu, beberapa server seri Hetzner SX dengan disk besar dipilih untuk memposting foto (untuk menyimpan PD, saya harus menemukan solusi yang lebih rumit, tetapi lebih pada waktu lain).
Southbridge meragukan bahwa Hetzner cocok untuk proyek semacam itu, tetapi tingkat aksesibilitas dan kualitas konektivitas yang diperlukan tercapai.
Plus, untuk proyek seperti itu, menggunakan CDN akan menjadi urutan besarnya lebih mahal daripada mendistribusikan statika dari server di pusat data yang murah.
Plot
Di sini, dalam sejarah kita, muncul Roskomnadzor, janganlah sia-sia disebutkan. Pada musim semi tahun 18, kunci karpet dimulai, dan pada bulan Mei mereka mencakup banyak pelanggan kami.
Beberapa klien memecahkan masalah dengan akses ke Hetzner, Amazon, MS Azure, GCE, Digitalocean secara dramatis: mereka memindahkan seluruh server ke Rusia (hai, Selectel!), Tetapi bagi pahlawan kami, bank foto kecil, terus-menerus mengangkut 50 TB data bolak-balik terlalu mahal , dan kami tidak akan meninggalkan server proyek di Rusia setelah penguncian berakhir.
Untuk masalah besar dan tidak memadai, solusi kecil dan memadai diperlukan.
Pemecahan masalah
Misalnya, gunakan server atau layanan lain (tidak terkunci) untuk front-end. Mengubah kisaran alamat ip tidak membantu 100%, karena ILV memblokir subnet IP baru setiap hari, jadi kami memutuskan untuk mengaktifkan proxy melalui Cloudflare.com. Tiba-tiba, siapa yang tidak tahu, mereka tidak hanya melindungi dari serangan DDoS (tidak sebagus pemain terbaik di pasar ini), tetapi juga menyediakan layanan CDN (dan mereka melakukannya dengan baik).
Ini adalah solusi yang bagus jika alamat Cloudflare Anda tidak diblokir)
Oke, mereka menyalakannya - dan mulai memantau stabilitas kerja dan kembalinya lalu lintas. Setelah menghubungkan CF, kami melihat gambar ini pada grafik penghitungan lalu lintas dari salah satu server (gambar dari statistik Hetzner):
Lalu lintas masuk telah berubah dalam margin of error (yang dikonfirmasi oleh jadwal untuk mengunggah foto baru, yang telah dibuat metrik pemantauan terpisah), lalu lintas keluar pada server ini pada saat menghubungkan CF turun 3+ kali. Total traffic nyata turun tidak 3 kali, hanya CF mulai mendistribusikan traffic antar server dengan cara yang berbeda.
Misalnya, grafik untuk server yang sama dari sistem pemantauan kami (selama 3 bulan, sehingga tidak terlalu kecil):
Dan menurut salah satu dari yang lain:
Namun keseluruhan lalu lintas masih turun 20%, mis. CF menyelamatkan beberapa lalu lintas proyek.
Latensi rata-rata telah meningkat, tetapi kami tidak akan menampilkan grafik ini.
Alasan: Cloudflare memiliki beberapa titik distribusi di Rusia. Di Eropa dan Amerika Utara, ini sudah jauh lebih efektif.
Dan bersamaan dengan lalu lintas, kami memantau aktivitas menggunakan layanan. Foto-foto baru diunggah ke layanan, dan kami memantau jumlahnya (dan lalu lintas masuk).
Jadwalkan selama 3 bulan (April-Juni) dari salah satu server yang memproses permintaan untuk mengunggah foto:
Dan ini adalah server lain:
Cloudflare mulai mendistribusikan lalu lintas backend dengan cara yang sedikit berbeda. Tetapi konten terus dimuat, layanan bekerja, tidak ada penurunan kualitas yang sangat besar (menurut ulasan pengguna, perbedaannya tidak terlihat pada prinsipnya).
Ada juga risiko mendapatkan alamat yang diblokir di Cloudflare, tetapi Anda dapat menguranginya dengan mengambil tarif berbayar.
Setelah menyelesaikan ILV Carpet Lock, kami menonaktifkan Cloudflare.
Apa hasilnya?
- Untuk $ 5-20 / bulan (dalam kasus kami itu hanya $ 5 / bulan), Anda dapat memecahkan masalah yang sama dan tidak menghabiskan ribuan dolar untuk menyewa server yang lebih mahal dan mentransfer data.
- Bahkan untuk proyek dengan terabyte traffic, solusi gratis atau hampir gratis cocok. Terbukti dalam praktik.
Sebagai alternatif:
- DDoS-GUARD menawarkan tarif gratis dengan proksi lalu lintas dan perlindungan terhadap serangan DDoS.
- Beberapa penyedia layanan perlindungan DDoS memiliki layanan bantuan gratis dengan penyumbatan tersebut. (Omong-omong, kami juga tidak mengambil uang ekstra untuk menyelesaikan masalah dengan kunci).
- Anda dapat mengambil salah satu layanan CDN yang terkenal: keycdn.com, cdn77.com, Akamai CDN, CDNVideo, Ngenix.net, dll. Mereka memecahkan masalah memblokir perlindungan untuk klien mereka sendiri. Tapi ini a) lebih mahal b) tidak menyelesaikan masalah pengembalian konten non-statis.
- Anda dapat menghubungkan proxy lain dan layanan perlindungan DDoS (kami banyak bekerja dengan Qrator dan SkyparkCDN / G-Core Labs, misalnya), tetapi mereka harus membayar untuk setiap megabit lalu lintas yang berguna, dan itu akan sangat mahal.
- "Frontend Anda yang tidak terkunci" dapat digunakan di salah satu penyedia di dunia, pada saat yang sama Anda harus memilih rentang alamat yang tidak terkunci, dan memastikan konektivitas yang baik antara server Anda dan server frontend. Jika Anda benar-benar perlu melakukan ini, Anda dapat memeriksa alamat secara otomatis dari daftar atau secara manual di sini .
Secara pribadi, saya merekomendasikan packet.net dan servers.com untuk "frontends" - konektivitas yang sangat baik dan kemampuan untuk mengambil server dengan tarif per jam.
ps Jika ada - Saya adalah salah satu pembicara RedSlerm. Ayo, itu akan menarik:
https://slurm.io/redslurm/