GH GambleHub

Edge-nodları və mövcudluq nöqtələri

Qısa xülasə

Edge düyünləri (PoP) şəbəkə gecikməsini azaldır, origini boşaltır və təhlükəsizliyin 'ilk xəttini "verir. Əsas dəst: Anycast/DNS marşrutlaşdırma, lokal cache, L7 siyasətləri (WAF, rate-limit, bot filtrləri), observability, avtomatik failover və SLO intizamı. Trafik xəritəsi və SLA ilə başlayırıq, sonra provayderləri/yerləri seçirik, CI/CD və IaC qururuq, uğursuzluq ssenarilərini sınaqdan keçiririk.

Niyə edge və harada lazımdır

Əsas məlumat mərkəzindən uzaq istifadəçilər üçün p95/TTFB və jitterin azaldılması.
«Sola» yük sürüşməsi: statik assetlərin, şəkillərin, konfiqurasiyaların və API cavablarının keşi.
Təhlükəsizlik: WAF, mTLS terminatorları, antibot məntiqi, kənarda DDoS udma.
Geoqurma: lokalizasiya/geo-siyasət, A/B tələblərinə PoP səviyyəsində riayət olunması.

PoP memarlıq modelləri

1. CDN-ön kənar (Tam idarə)

Edge xidmət kimi: CDN + WAF + funksiyaları (Workers/Compute @Edge). Sürətli başlanğıc, minimum opeks.

2. Reverse-proxy PoP (Self/Hybrid)

Bare-metal/VM ilə Nginx/Envoy/HAProxy + yerli cache + bot filter + mTLS origin. Çevik, lakin əməliyyat tələb edir.

3. Service-edge/mikro DPM

near-edge compute üçün kiçik klaster (k3s/Nomad/MicroK8s): personalizasiya, feature-flags, yüngül ML-inferens, preview-renders.

Nəzarət müstəvisi (idarəetmə, siyasət, deploy) məlumat müstəvisindən (müştəri trafiki) ayrılır. Konfiqlər - GitOps/IaC vasitəsilə.

Marşrutlaşdırma və trafik bağlama

Anycast: bir çox PoP bir IP → BGP «yaxın». Tez PoP (withdraw/32) uğursuzluğu yaşayır.
Geo-DNS/Latency routing: regionlar üçün müxtəlif IP/adlar; TTL 30–300 c, health-checks.
Fallback yolları: Secondary PoP regionda, sonra - qlobal origin.

Anti-nümunə: sağlamlıq → routing əlaqəsi olmadan bir PoP-yə sərt bağlanma (deqradasiya zamanı qara dəliklər).

Kənarda caching

Laylar: statik assetlər → aqressiv TTL; yarı dinamika (kataloqlar, konfiqlər) → TTL + stale-while-revalidate; API GET → qısa TTL/əlillik açarları.
Cache açarı: üsul + URI + müxtəlif başlıqlar (Accept-Encoding, Locale, Device-Class) + icazə verilən yerlərdə auth-kontekst.
Əlillik: tag/prefiks, event-driven (CI/CD-dən webhook), vaxt + version (asset hashing).
Cache zəhərlənməsindən qorunma: URL normallaşması, Vary limiti, başlıq limiti, «Cache-Control» üzərində ciddi qaydalar.

Nginx (fraqment): 
nginx proxy_cache_path /var/cache/nginx levels=1:2 keys_zone=EDGE:512m max_size=200g inactive=7d;
map $http_accept $vary_key { default ""; "~image/avif" "avif"; "~image/webp" "webp"; }
server {
location /static/ {
proxy_cache EDGE;
proxy_cache_key "$scheme$request_method$host$uri?$args    $vary_key";
proxy_ignore_headers Set-Cookie;
add_header Cache-Control "public, max-age=86400, stale-while-revalidate=600" always;
proxy_pass https://origin_static;
}
}

Kenarda Compute (lightweight)

WAF və bot menecmenti: siqnalların/davranış metriklərinin yoxlanılması, device-fingerprint, klik sürəti.
Rate-limit/grey-öküzlər: tokenlər/sürüşmə pəncərəsi, kapça/çağırış, şübhəli trafikin deqradasiya olunmuş marşruta «köçürülməsi».
Low-state personalizasiyası: geo/dil/PII-dən asılı olmayan bannerlər; sürətli bayraqlar üçün KV caches (edge KV).
Tədbirlərdəki funksiyalar: preview generasiyası, görüntü resayzi, link imzası, kanarya redaktorları.

PoP-də təhlükəsizlik

mTLS origin və keçən TLS (TLS 1. 3) bütün hop-lar.
Seqmentasiya: mgmt-müstəvisi (WireGuard/IPsec), prod-trafik, log/metrika - ayrı-ayrı VRF/VLAN.
Sirləri: yalnız «oxucu» açarları/sıraları; Kritik sistemlərə Write əməliyyatları kənarda qadağandır.
WAF/ACL: ASN/bot şəbəkələrinin blok vərəqləri, başlıq/bud məhdudiyyətləri, slowloris/oversized payloads.
Supply-chain: imzalanmış artefaktlar (SBOM), deployun yoxlanılması.

Müşahidə və telemetriya

Metriklər:
  • L3/L4: CPS/RPS, established, SYN backlog, drops, retransmits.
  • L7: p50/95/99 TTFB, upstream vaxt, hit-ratio cache, WAF, 4xx/5xx/429.
  • TLS: versiya/alqoritm, handshake p95, resumption rate, OCSP stapling state.
  • Qeydlər: access (PII kəsilməsi ilə), WAF jurnalı, rate-limit hadisələri və bot-rules.
  • Traces: sampled: edge → origin, corelation 'traceparent' və ya 'x-request-id'.
  • Qeydlərin çatdırılması: lokal növbəyə debaffer/fayl → retrajlarla mərkəzi Log-Hub-a (Loki/ELK) asenxron göndərmə.

Edge/PoP üçün SLO (nümunələr)

PoP mövcudluğu: ≥ 99. 95 %/30 gün.
p95 TTFB (statik): ≤ 100-150 ms regional.
p95 TTFB (API GET cached): ≤ 200-250 ms; kəsilməz - ≤ 300-400 ms.
Cache hit-ratio: statik ≥ 90%, yarı dinamik ≥ 60%.
WAF FP-rate: ≤ 0. 1% legitim sorğular.

Tag üzrə əlillik vaxtı: ≤ 60 s

Alertlər: hit-ratio düşməsi, 5xx/525 böyüməsi, handshake uğursuzluqları, 429 böyüməsi, sağlamlıq yoxlamaları, Anycast deqradasiyası (withdraw tez-tez N/h).

Deploy və CI/CD

GitOps: PoP konfiqləri (WAF/rate-limit/marşrutlar/cash-qaydalar) - anbarda, PR-review, kanar rollout 1 PoP.
Version: Test üçün ön siyasətlər ('/canary/'), sürətli geri dönüş.
Sirləri: Vault agentləri/KSMS, qısa TTL tokenləri vasitəsilə paylama.
Updates: Staging-PoP, sonra təsdiqlənmiş hovuz, sonra kütləvi rollout.

PoP topologiyası və infrastrukturu

Dəmir/şəbəkə: 10/25/40G uplinks, iki müstəqil provayder, Anycast/BGP, RoH (redundancy) altında fərdi marşrutlaşdırıcılar.
Storedge: yalnız efemer + cache altında yerli SSD; uzun ömürlü PII yoxdur.
edge-compute klasterləri: k3s/Containerd, şəbəkə funksiyaları üçün node taints, PodDisruptionBudget.
Out-of-band giriş: qəza zamanı «ayağa qalxmaq» üçün ayrı bir mgmt kanalı (LTE/ikinci provayder).

FinOps və İqtisadiyyat

Trafik profili: regionlar üzrə paylar/ASN/CDN-bust; pik dinamikası (matçlar/tədbirlər).
hədəf metrik kimi $/GB egress və $/ms p95; Managed Edge vs Self-PoP TCO ilə müqayisə edin.
Cash-qənaət: hit-ratio artımı egress Origin və bulud funksiyalarının dəyərini azaldır.
Lokal kanallar: provayderlərdən paket endirimləri, IX-pirlər, mobil şəbəkə provayderləri ilə cash-pirinqlər.

iGaming/Fintech üçün xüsusiyyətlər

Matç-dəqiqə zirvələri: kanarya «boz öküzlər», qeydiyyat/depozitlər limitləri, PSP marşrutlarının prioritetləşdirilməsi.
Antifrod: kənarda TLS deşifrə + cihaz fingerprint, skorinq və yumşaq çağırışlar; bot üçün «qaranlıq API» fərqli çıxış.
Məzmun/qaydaların lokallaşdırılması: xüsusi məhdudiyyətləri olan gembling ölkələri - geo-marşrutlar və ASN blok siyahıları.
Tənzimləyici: vaxt loqosu/ofset sinxronizasiya, kənarda PII olmaması, keçici şifrələmə və ciddi SLA PSP.

Giriş çek siyahısı

  • Trafik/regionlar xəritəsi, p95/ölkələr üzrə əlçatanlıq hədəfləri.
  • Model seçimi (CDN-Managed/Self-PoP/Hybrid), yer planı və uplink.
  • Anycast/BGP + health-checks və avtomatik withdraw ilə Geo-DNS.
  • Cache siyasətləri: açarlar, TTL, əlillik, poisoning qorunması.
  • Edge-təhlükəsizlik: WAF, rate-limit, mTLS origin, qısa TTL ilə sirləri.
  • Observability: metriklər/L7-loi/treys, mərkəzi yığınlara çatdırılma.
  • CI/CD/GitOps, kanarya PoP, sürətli rollback.
  • DR ssenariləri: RoR/Aplink itkisi, Anycast deqradasiyası, CDN düşməsi.
  • FinOps: egress/PoP hostinq büdcələri, IX/pirinq planı.

Tipik səhvlər

PoP → SPOF-da bir provayder/bir uplink.
Cache «default» nəzarət olmadan 'Vary' → cache zəhərlənməsi və sızması.
Heç bir əlaqə sağlamlıq → routing (DNS/GSLB/BGP) → gecikmələr və qara dəliklər.
kənarında geniş hüquqlar ilə sirləri → yüksək blast radius.
Redaktə olmadan PII log → uyğunluq problemləri.
Əl konfiqləri PoP → rasinxronizasiya və sürüklənmə.

Mini playbuklar

1) Problemli PoP-nin təcili söndürülməsi (Anycast/BGP)

1. Sağlamlıq həddindən aşağı düşür → 2) nəzarətçi çıxarır/32 elanları → 3) xarici nümunələrin monitorinqi; 4) rca və əl bayrağı geri.

2) etiketlərə görə isti cache əlilliyi

1. CI/CD webhook PoP göndərir → 2) invalidation 'cache-tag:' ≤ 60 c → 3) hit-ratio və p95 yoxlama.

3) Botların dalğalanmasının əks olunması

1. Şübhəli ASN üçün «boz» marşrutu aktivləşdirin → 2) origin qədər gediş haqqını artırın → 3) tənəzzüldən sonra qaydaları çıxarın.

4) Bir aplinkin itirilməsi

1. Canlı provayder ECMP keçid; 2) egress siyasəti bulk sinifini azaldır; 3) SLA hesabatı və provayder bileti.

PoP-də Envoy-skelet nümunəsi (L7 + cache + WAF-huki)

yaml static_resources:
listeners:
- name: https address: { socket_address: { address: 0. 0. 0. 0, port_value: 443 } }
filter_chains:
- filters:
- name: envoy. filters. network. http_connection_manager typed_config:
"@type": type. googleapis. com/envoy. extensions. filters. network. http_connection_manager. v3. HttpConnectionManager stat_prefix: edge http_filters:
- name: envoy. filters. http. waf # external or custom filter
- name: envoy. filters. http. ratelimit
- name: envoy. filters. http. router route_config:
virtual_hosts:
- name: app domains: ["app. example. com"]
routes:
- match: { prefix: "/static/" }
route:
cluster: origin_static response_headers_to_add:
- header: { key: "Cache-Control", value: "public, max-age=86400, stale-while-revalidate=600" }
- match: { prefix: "/" }
route: { cluster: origin_api, timeout: 5s }
clusters:
- name: origin_static connect_timeout: 2s type: STRICT_DNS lb_policy: ROUND_ROBIN load_assignment:
endpoints: [{ lb_endpoints: [{ endpoint: { address: { socket_address: { address: "origin-static", port_value: 443 }}}}]}]
transport_socket:
name: envoy. transport_sockets. tls
- name: origin_api connect_timeout: 2s type: STRICT_DNS lb_policy: ROUND_ROBIN transport_socket:
name: envoy. transport_sockets. tls

Yekun

Güclü edge konturu PoP + Anycast/Geo-DNS-in düzgün coğrafiyası, kənarda ağıllı caching və compute, sərt təhlükəsizlik, müşahidə və avtomatlaşdırmadır. Ölçülebilir SLO təyin edin, sağlamlığı → marşrutlaşdırın, kanarya qollarını saxlayın və DR ssenarilərini öyrədin. Sonra platforma Santiaqodan Seula qədər hər yerdə sürətli və davamlı olacaq, hətta həlledici matçların və satışların zirvəsində.

Contact

Bizimlə əlaqə

Hər hansı sualınız və ya dəstək ehtiyacınız varsa — bizimlə əlaqə saxlayın.Həmişə köməyə hazırıq!

İnteqrasiyaya başla

Email — məcburidir. Telegram və ya WhatsApp — istəyə bağlıdır.

Adınız istəyə bağlı
Email istəyə bağlı
Mövzu istəyə bağlı
Mesaj istəyə bağlı
Telegram istəyə bağlı
@
Əgər Telegram daxil etsəniz — Email ilə yanaşı orada da cavab verəcəyik.
WhatsApp istəyə bağlı
Format: ölkə kodu + nömrə (məsələn, +994XXXXXXXXX).

Düyməyə basmaqla məlumatların işlənməsinə razılıq vermiş olursunuz.