有时,一个项目住在便宜的外国数据中心中,落在Roskomnadzor的地毯下,定期处于DDoS攻击之下,但同时拥有数TB的数据和流量。
如何生活?
前言
我们有一个小的照相馆来提供支持。 我们不会提及名称和国家/地区,只会提及一些技术数据:
50 TB的数据用于存储,大约每月更新100 GB,“热数据”(95%的请求发送给他们)-200 GB。
平均流量-50 Tb /月。
几年前,选择了几台带有大磁盘的Hetzner SX系列服务器来发布照片(为了存储PD,我不得不想出一个更复杂的解决方案,但那时候又需要更多)。
南桥公司怀疑赫兹纳是否适合这种项目,但是达到了所需的可访问性和连接质量。
另外,对于这样的项目,使用CDN的成本要比从廉价数据中心中的服务器分发静态数据的成本高出一个数量级。
情节
罗斯科姆纳佐尔(Roskomnadzor)出现在我们的历史中,不要白白提及。 18年春季,地毯锁开始生产,到5月,它们已覆盖了我们的许多客户。
一些客户可以通过访问Hetzner,Amazon,MS Azure,GCE,Digitalocean来解决问题,他们将整个服务器转移到了俄罗斯(嗨,Selectel!),但是对于我们的英雄,一个小型照相银行,不断地来回传输50 TB的数据来说太昂贵了,并且在锁定结束后我们不会将项目服务器留在俄罗斯。
对于大而不足的问题,需要小而适当的解决方案。
解决问题
例如,将其他(未锁定)服务器或服务用于前端。 更改ip地址范围并不能100%帮助您,因为 ILV每天都会阻止新的IP子网,因此我们决定通过Cloudflare.com启用代理。 突然之间,谁不知道,他们不仅可以防御DDoS攻击(不如这个市场上最好的播放器),还可以提供CDN服务(他们做得很好)。
如果您的Cloudflare地址未被阻止,这是一个很好的解决方案)
好的,他们将其打开-并开始监视工作的稳定性和流量的返回。 连接CF之后,我们在来自其中一台服务器的流量统计图中看到了这张图片(来自Hetzner统计信息的图片):
传入流量在误差范围内发生了变化(这已由上载新照片的计划确认,并为此制定了单独的监视指标),连接CF时此服务器上的传出流量下降了3倍以上。 实际总流量下降了3倍,只是CF开始以不同的方式在服务器之间分配流量。
例如,来自我们的监视系统的同一服务器的图形(持续了3个月,因此它不会太小):
并根据其他人之一:
但是总体流量仍然下降了20%,即 CF为项目节省了一些流量。
平均延迟有所增加,但我们将不会显示这些图表。
原因:Cloudflare在俄罗斯没有几个分销点。 在欧洲和北美,它已经更加有效。
并且与流量并行,我们监视使用服务的活动。 新照片将上传到该服务,我们会监控它们的数量(和传入流量)。
从其中一台处理上传照片请求的服务器安排3个月(4月至6月)的时间:
这是另一台服务器:
Cloudflare开始以略有不同的方式分配后端流量。 但是内容继续加载,服务正常运行,质量没有灾难性的下降(根据用户评论,原则上差异并不明显)。
也有在Cloudflare中获得被阻止地址的风险,但是您可以通过收取有偿关税来减少地址。
完成ILV地毯锁后,我们禁用了Cloudflare。
结果如何?
- 对于每月5至20美元(在我们的示例中仅为5美元/月),您可以解决类似的问题,而不必花费数千美元租用更昂贵的服务器和传输数据。
- 即使对于流量达到TB的项目,免费或几乎免费的解决方案也是合适的。 经实践证明。
作为替代:
- DDoS-GUARD提供带有流量代理的免费资费,并防御DDoS攻击。
- 几家DDoS防护服务提供商提供了免费的此类服务帮助服务。 (顺便说一句,我们也没有花额外的钱来解决带锁的问题)。
- 您可以使用一种著名的CDN服务:keycdn.com,cdn77.com,Akamai CDN,CDNVideo,Ngenix.net等。它们解决了阻止其客户自身受到保护的问题。 但这a)更加昂贵b)无法解决返回非静态内容的问题。
- 您可以连接另一个代理和DDoS保护服务(例如,我们与Qrator和SkyparkCDN / G-Core Labs进行了很多合作),但是它们将需要为每兆位的有用流量付费,这确实非常昂贵。
- 可以在全球任何提供商中部署“您的未锁定前端”,同时您需要选择一个未锁定地址范围并确保服务器与前端服务器之间的良好连接。 如果您确实需要这样做,可以先从列表中自动检查地址,也可以在此处手动检查地址。
就个人而言,我建议为此类“前端”提供packet.net和servers.com-出色的连接性以及按小时计费服务器的能力。
ps如果有的话-我是RedSlerm发言人之一。 来吧,这将很有趣:
https://slurm.io/redslurm/