网络连接的可持续性
(部分: 生态系统和网络)
1)目的和领域
"网络关系的可持续性"是生态系统在渠道,节点,区域和外部攻击失败时保持参与者(运营商,提供商,工作室,附属机构,noda/验证者,支付和KYC服务)之间交互的可访问性和可预测质量的能力。关键任务:最小化MTTR、阻止级联故障、控制降解和快速恢复到目标SLO。
2)故障模式(威胁模型)
网络:数据包/喷射器丢失,链路拥塞,BGP断层,区域间断裂,非对称路由。
运输/套接字:半开放连接,线头阻塞(TCP),状态突变(NAT/conn-track)。
应用级别:交通尖峰,"长期运行"查询,n+1 RPC,后退风暴。
依存关系:DNS降级、KMS/PKI、队列、TURN/中继、第三方 API。
安全性:L3/L4/L7 DDoS,机器人,缓存中毒,Sybil/垃圾邮件尝试。
操作员:错误的ficheflagi,没有限制的"热门"版本,错误的taymout。
3)可持续性设计原则
1.跨所有层的冗余:路径、区域、提供商、继电器、DNS、秘密存储。
2.故障隔离:基于单元的体系结构,电路断路器,bulkheads,跨单元调用限制。
3.快节奏和计时拳击:在外部通话中短暂计时,禁止"期待永远"。
4.等效性和安全性:等效性键,在接收器上。
5.默认可观察性:跟踪、相关ID、合成样品。
6.降级模式:只读、仅缓存、下降功能、关键线程优先级。
7.混沌工程:通过实验证明稳定性。
4)拓扑和冗余
混合P2P+超级同行+DHT:"合同"组内的本地混合,作为中继器和缓存的超级节点,用于搜索的DHT。
Anycast/Geo-DNS/SD-WAN:近距离登录、托管流、基于健康的路由。
多继电器(TURN/HTTP3-tunnels):独立供应商,仅在必要时提供继电器预算。
Active-Active Regions:同步进行等效阅读/事件;对于现金交易-最终一致性+严格的结算。
5)协议,taymout和retrai
传输:QUIC/HTTP3(没有HoL块的多路复用,路径迁移),TCP-作为后退。
时间(地标):- RPC client timeout: p99_latency×1.5(但区域间≤ 2-3)。
- 连接时间:本地时间为200-500毫秒,区域间时间为700-1200毫秒。
- Backoff:指数与抖动;max-retries 2-3用于"阅读"呼叫。
- 对冲(hedged requests):在p95延迟后发送第二位执行者(仅限偶数操作)。
- 相似性:标题/字段"x-idempotency-key",存储删除日志≥ TTL中继。
- 队列和outbox:保证事件交付,网络故障时重播,控制台上的滞后。
6)负载管理和"自我保护"
限额和配额:RPC/topics上的leaky-bucket/token-bucket。
Adaptive laad-shedding:在潜伏期增长时重置低优先级查询。
优先级:金钱/付款>游戏活动>遥测。
Backpressure:动态窗口,并发限制,"信用限额"。
连接池:温暖池,开放套接字/NAT状态限制。
7) DDoS和通道安全
L3/L4: upstream scrubbing/Anycast, conn-track защита, SYN-cookies, UDP-rate.
L7:WAF/WAAP,开放主题的proof-of-work/fee-gate,针对垃圾邮件的kapchi/钱包承诺。
mTLS/TLS 1.3+E2E:加密"在路上",固定超级节点密钥,轮换证书。
反Sybil:可信赖的peer-ID注册表,声誉,KYB/KYC的影响角色。
证券默认:"禁止,如果不允许",ACL通过拓扑,尽量减少权利。
8)SLO,SLI和可持续性指标
SLO(示例):- Uptime关键尾矿≥ 99。95%/30d。
- p99区域间延误≤ 600毫秒;error-rate ≤ 0.2%.
- Success-rate P2P-RPC ≥ 99.5%;Pub/Sub E2E p95 ≤ 2 с.
- Relay-share ≤ 30%;DHT resolve p95 ≤ 300 мс.
- MTTR SEV-1 ≤ 30分钟;MTTA ≤ 5分钟。
- Connectivity%(可到达性)、直接连接比例、平均邻居数。
- 按流量类别划分的RTT/Jitter/Loss;RPC success/failure taxonomy.
- 经纪人/中继中的Queue depth/lag;DHT命中/小姐和记录年龄。
- SLO Burn-rate (1h/6h/24h);对商业KPI的影响(GTV/MAU损失)。
9)可观察性和合成样品
Tracing:端到端trace-ID,通过OpenTelemetry导出,网络跳转的旋转语义。
徽标/度量:结构徽标,控制基数,p95/p99聚合。
RUM+合成:来自关键区域/提供商的真实用户指标和全球样本网格(每1-5分钟)。
SLO-dashbords:关键流量的"交通信号灯",延迟/供应图,退化报告。
10)降解模式
仅读取/仅缓存:当写入后端时。
Stale-wile-revalidate:我们给出一个过时但适合背景更新的缓存。
功能杀手开关:不稳定部件的快速开关。
粉丝外卖:禁止"扇形"查询,深度融合。
11)混沌工程(计划)
Network Faults: 1-5% packet-loss, 100-300 ms jitter, blackhole选定ASN。
中继/TURN故障:关闭N%超级节点,检查直接连接比例。
DNS/KMS降解:人工计时器/错误,滤镜验证。
暴风雨撤退:检查对级联的保护(挤压,限制,滞留)。
游戏日规则:假设→注入→度量→改进→重播。
12) DR战略和目标
RPO/RTO:用于配置数据和ACL-RPO ≈ 0(同步狙击),RTO ≤ 15分钟;对于遥测,允许RPO ≤ 5分钟。
目录和钥匙:冷储备,偶尔失败的备用,"恢复训练"。
区域灾难:切换Anycast/Geo-DNS、缓存加热、队列/拓扑复制。
13)伪配置
客户端Taymout和Retrais政策(YAML)
yaml client:
rpc:
connect_timeout_ms: 400 request_timeout_ms: 1500 retries:
max_attempts: 2 backoff: exponential base_ms: 100 jitter: true hedging:
enabled: true threshold_ms: 800 # p95 idempotent_only: true巡回赛和优先级
yaml resilience:
circuit_breaker:
error_rate_threshold: 0. 02 rolling_window_sec: 60 open_duration_sec: 15 priorities:
payouts: high game_events: medium telemetry: low load_shedding:
target_p99_ms: 600 drop_low_priority: trueACL和e2e通道
yaml security:
mtls: required e2e_topics: [payouts. status, limits. update]
acl:
operators: [12D3KooA..., 12D3KooB...]
providers: [12D3KooC..., 12D3KooD...]14)Dashbords: 布局
Ops(每小时/实际时间):Connectivity%,RPC p99,error-rate,中继共享,DHT-latency,queue-lag,SLO burn-rate。
Network Health (week): relay%和RTT趋势、"嘈杂"pirs列表、NAT traversal成功、流量成本。
策略(月):SEV、MTTA/MTTR、DR培训、与业务指标的相关性。
15)事件剧本(spargalka)
跳跃p99和错误:包括降级(仅读取,仅缓存),对冲,增加关键流的配额,打开热路的滴答声。
中继共享>阈值:切换STUN/TURN池,扩展超级节点,增强高空打孔,暂时提高TTL缓存。
暴风雨撤退:减少最大撤退,增加鞭打,通过config服务打开全球背景标志。
DDoS L7:启用WAAP规则,即签名/速度单元,在公共主题上启用PoW/fee-gate,关闭。非必要的后端。
DNS/KMS问题:使用辅助提供程序,本地密钥缓存,切换反火器。
区域不可用:流量失误(Anycast/Geo-DNS),扭曲其他区域,重新计算限制。
16)实施支票
1.固定SLO/SLI和所有者(按流/拓扑)。
2.引入Taymout/Retrai/对冲/幂等。
3.设置电路断路器、牛头和优先级。
4.发射合成样品和全球行车记录仪。
5.引入DR计划(RPO/RTO),定期恢复训练。
6.进行季度混乱和参数修订。
7.记录降级模式和通信模式。
17)词汇表
Bulkhead-子系统隔离以防止级联。
电路断路器-自动关闭不稳定依赖关系。
Hedging-阈值延迟后的竞争性查询。
Outbox/Inbox-可靠地发送/接收重复数据消除事件。
RPO/RTO-有效的数据丢失/恢复时间。
SLO燃烧率是相对于SLO的"燃烧"错误预算的速度。
结果:网络连接的可持续性不是"单点",而是纪律:冗余和故障隔离,合格的taymout和retrai,严格的优先级,可观察性和定期测试。这种方法将不可避免的网络故障转化为托管事件,对生态系统业务流的影响最小。