GH GambleHub

گرههای لبه و نقاط حضور

خلاصه ای کوتاه

گره های لبه (PoP) تاخیر شبکه، مبدا بارگیری را کاهش می دهند و «خط اول» امنیت را فراهم می کنند. مجموعه پایه: مسیریابی Anycast/DNS، حافظه محلی، سیاست های L7 (WAF، محدودیت نرخ، فیلترهای ربات)، قابلیت مشاهده، شکست اتوماتیک و نظم SLO. ما با نقشه ترافیک و SLA کشورها/مناطق شروع می کنیم، سپس ارائه دهندگان/مکان ها را انتخاب می کنیم، CI/CD و IaC را ایجاد می کنیم، سناریوهای شکست را اجرا می کنیم.

چرا لبه و جایی که شما به آن نیاز دارید

کاهش p95/TTFB و لرزش برای کاربران دور از مرکز داده اصلی.
تغییر بار «چپ»: کش دارایی های استاتیک، تصاویر، پیکربندی ها و پاسخ های API.
ایمنی: ترمینال WAF، mTLS، منطق ضد بوت، جذب DDoS در لبه.
هماهنگی جغرافیایی: انطباق با الزامات محلی سازی/سیاست های جغرافیایی، A/B در سطح PoP.

مدل های معماری PoP

1. CDN به طور کامل مدیریت می شود

لبه به عنوان یک سرویس: توابع CDN + WAF + (کارگران/محاسبه @ لبه). شروع سریع، حداقل opex.

2. معکوس پروکسی PoP (خود/ترکیبی)

Bare-metal/VM با Nginx/Envoy/HAProxy + حافظه پنهان محلی + botfilter + mTLS به مبدا. انعطاف پذیر اما نیاز به عمل دارد.

3. مرکز خدمات لبه/میکرو داده

خوشه کوچک (k3s/Nomad/MicroK8s) برای محاسبات نزدیک به لبه: شخصی سازی، پرچم ویژگی، سبک وزن ML-استنتاج، ارائه پیش نمایش.

صفحه کنترل (کنترل، سیاستها، استقرار) از صفحه داده (ترافیک مشتری) جدا است. تنظیمات - از طریق GitOps/IaC.

مسیریابی و نقشه برداری ترافیک

Anycast: یک IP در بسیاری از PoPs → «نزدیکترین» بیش از BGP. به سرعت از شکست PoP جان سالم به در می برد (برداشت/32).
مسیریابی Geo-DNS/Latency: IP/نام های مختلف برای مناطق ؛ TTL 30-300 c، بررسی های بهداشتی.
مسیرهای بازگشت به عقب: PoP ثانویه در منطقه، سپس منشاء جهانی.

Anti-pattern: اتصال سفت و سخت به یک PoP بدون سلامت → ارتباطات مسیریابی (سیاه چاله ها در حین تخریب).

ذخیره سازی لبه

لایه ها: دارایی های استاتیک → TTL تهاجمی ؛ نیمه دینامیک (کاتالوگ، پیکربندی) → TTL + stale-while-revalidate ؛ GET API → کلیدهای TTL/ناتوانی کوتاه.
کلید حافظه پنهان: متد + URI + هدر متغیر (Accept-Encoding, Locale, Device-Class) + زمینه auth که در آن مجاز است.
ناتوانی: توسط برچسب ها/پیشوند ها، رویداد محور (webhook از CI/CD)، زمان + نسخه (هش کردن دارایی).
حفاظت از مسمومیت کش: نرمال سازی URL، محدودیت Vary، محدودیت هدر، قوانین سختگیرانه در «Cache-Control».

Nginx (قطعه): 
nginx proxy_cache_path /var/cache/nginx levels=1:2 keys_zone=EDGE:512m max_size=200g inactive=7d;
map $http_accept $vary_key { default ""; "~image/avif" "avif"; "~image/webp" "webp"; }
server {
location /static/ {
proxy_cache EDGE;
proxy_cache_key "$scheme$request_method$host$uri?$args    $vary_key";
proxy_ignore_headers Set-Cookie;
add_header Cache-Control "public, max-age=86400, stale-while-revalidate=600" always;
proxy_pass https://origin_static;
}
}

محاسبه در لبه (سبک وزن)

WAF و مدیریت ربات: تایید معیارهای امضا/رفتاری، اثر انگشت دستگاه، نرخ کلیک.
Rate-limit/gray-oxen: نشانه ها/پنجره کشویی، captcha/challenge، «انتقال» ترافیک مشکوک به یک مسیر تخریب شده.
شخصی سازی کم حالت: آگهی های مستقل جغرافیایی/زبان/PII ؛ حافظه نهان KV (لبه KV) برای پرچم های سریع.
توابع در حوادث: تولید پیش نمایش، resaying تصاویر، امضا لینک ها، تغییر مسیر قناری.

💡 > امنیت در PoP

mTLS به مبدا و پایان به پایان TLS (TLS 1. 3) در تمام سطوح.
تقسیم بندی: mgmt-plane (WireGuard/IPsec)، prod-traffic، logs/metrics - در VRF/VLAN جداگانه.
اسرار: فقط «خواننده» کلید/serts ؛ نوشتن عملیات به سیستم های بحرانی در لبه ممنوع است.
WAF/ACL: لیست بلوک های ASN/botnet، محدودیت های هدر/بدن، حفاظت از بارهای slowloris/oversized.
زنجیره تامین: مصنوعات امضا شده (SBOM)، تأیید در تخلیه.

قابلیت مشاهده و تله متری

معیارها:
  • L3/L4: CPS/RPS، ایجاد شده، عقب ماندگی SYN، قطره، retransmits.
  • L7: p50/95/99 TTFB، زمان بالادست، نسبت حافظه پنهان، ماشه WAF، 4xx/5xx/429.
  • TLS: نسخه/الگوریتم، p95 دست دادن، نرخ از سرگیری، حالت منگنه OCSP.
  • سیاهههای مربوط: دسترسی (با برش PII)، WAF ورود به سیستم، نرخ محدود و ربات قوانین حوادث.
  • Traces: sampled: edge → origin, correlation 'traceparent' or 'x-request-id'.
  • تحویل ورود: debaffer به صف/فایل محلی → ارسال ناهمزمان به مرکز ورود به سیستم مرکزی (Loki/ELK) با retrays.

SLO برای لبه/PoP (نمونه)

در دسترس بودن PoP: ≥ 99. 95 درصد/30 روز

p95 TTFB (استاتیک): ≤ 100-150 میلی ثانیه به صورت منطقه ای.
p95 TTFB (API GET ذخیره شده): ≤ 200-250 میلی ثانیه ؛ غیر ذخیره شده - ≤ 300-400 میلی ثانیه.
کش نسبت ضربه: استاتیک ≥ 90٪، نیمه دینامیک ≥ 60٪.

WAF نرخ FP: ≤ 0. 1% درخواست های قانونی

زمان ناتوانی با برچسب: ≤ 60 s.

هشدارها: افت نسبت ضربه، رشد 5xx/525، شکست دست دادن، رشد 429، چک کردن سلامت، تخریب Anycast (برداشت اغلب N/h).

استقرار و CI/CD

GitOps: پیکربندی PoP (قوانین WAF/rate-limit/routes/cache) - در مخزن، بررسی PR، اجرای canary از 1 PoP.
نسخه بندی: سیاست های پیشوند برای آزمون ('/canary/')، بازگشت سریع.
اسرار: توزیع از طریق عوامل Vault/KSMS، نشانه های TTL کوتاه.
به روز رسانی: Staging-PoP، سپس استخر معتبر، و سپس انتشار انبوه.

توپولوژی و زیرساخت PoP

سخت افزار/شبکه: 10/25/40G uplink، دو ارائه دهنده مستقل، روترهای جداگانه برای Anycast/BGP، RoH (افزونگی).
ذخیره سازی: فقط SSD حافظه موقت + محلی ؛ بدون PII طولانی مدت.
خوشه های لبه محاسبه: k3s/Containerd، گره گره برای توابع شبکه، PodDisruptionBudget.
دسترسی خارج از باند: یک کانال mgmt جداگانه (ارائه دهنده LTE/دوم) برای «بازگشت به پاهای خود» در یک تصادف.

FinOps و اقتصاد

مشخصات ترافیک: سهام بر اساس منطقه/ASN/CDN-boost ؛ پویایی قله (مسابقات/رویدادها).
$/GB خروج و $/ms p95 به عنوان معیارهای هدف ؛ مقایسه لبه مدیریت در مقابل خود PoP TCO.
اقتصاد کش: رشد نسبت ضربه باعث کاهش خروج از مبدا و هزینه توابع ابر می شود.
کانال های محلی: تخفیف های بسته از ارائه دهندگان، IX-peers، حافظه پنهان با ارائه دهندگان شبکه تلفن همراه.

iGaming/fintech خاص

قله در دقیقه بازی: قناری «گرگ خاکستری», محدودیت ثبت نام/سپرده, اولویت بندی مسیرهای PSP.
Antifraud: رمزگشایی TLS در لبه + اثر انگشت دستگاه، به ثمر رساندن و چالش های نرم ؛ «dark API» برای یک ربات با خروجی متفاوت.
محلی سازی محتوا/قوانین: کشورهای قمار با محدودیت های خاص - مسیرهای جغرافیایی و لیست بلوک ASN.
مقررات: زمان بندی/زمان بندی افست، بدون PII در لبه، رمزگذاری پایان به پایان و PSP های SLA دقیق.

چک لیست پیاده سازی

  • نقشه ترافیک/منطقه، p95/اهداف در دسترس بودن بر اساس کشور.
  • انتخاب مدل (CDN-Managed/Self-PoP/Hybrid)، محل و طرح پیوند.
  • Anycast/BGP + Geo-DNS با بررسی های بهداشتی و برداشت خودکار.
  • سیاست های کش: کلید، TTL، ناتوانی، حفاظت از مسمومیت.
  • لبه امنیت: WAF، نرخ محدود، mTLS به مبدا، اسرار با TTL کوتاه.
  • قابلیت مشاهده: metrics/L7 سیاهههای مربوط/مسیرهای پیاده روی، تحویل به پشته مرکزی.
  • CI/CD/GitOps، PoP قناری، بازگشت سریع.
  • سناریوهای DR: از دست دادن PoP/aplinka، تخریب Anycast، افت CDN.
  • FinOps: خروج/PoP بودجه میزبانی، طرح IX/peering.

خطاهای رایج

یک ارائه دهنده/یک آپلینک در PoP → SPOF.
نهانگاه «پیشفرض» بدون کنترل «Vary» → مسمومیت نهانگاه و نشتی.
بدون سلامت → ارتباطات مسیریابی (DNS/GSLB/BGP) → تاخیر و سیاه چاله ها.
اسرار با حقوق گسترده در لبه → شعاع انفجار بالا.
گزارش های PII بدون ویرایش → مشکلات انطباق.
پیکربندی PoP دستی → ناهمزمانی و رانش.

کتاب های مینی

1) خاموش کردن اضطراری مشکل PoP (Anycast/BGP)

1. سلامت زیر آستانه → 2) کنترل حذف/32 اعلام → 3) نظارت بر نمونه خارجی ؛ 4) RCA و بازگشت با پرچم دستی.

2) داغ غیر فعال کش برچسب

1. CI/CD webhook را به PoP → 2) عدم اعتبار از طریق «cache-tag:» ≤ 60 c → 3) نسبت ضربه و چک p95 ارسال می کند.

3) بازتاب پشت سر هم از رباتها

1. فعال کردن «خاکستری» مسیر (captcha/چالش) برای مشکوک ASN → 2) افزایش هزینه از مسیر به مبدا → 3) حذف قوانین پس از رکود اقتصادی.

4) از دست دادن یک آپلینکا

1. تغییر ECMP به یک ارائه دهنده زنده ؛ 2) سیاست خروج را کاهش می دهد کلاس فله ؛ 3) گزارش SLA و بلیط به ارائه دهنده.

نمونه ای از اسکلت Envoy config در PoP (L7 + cache + WAF hook)

yaml static_resources:
listeners:
- name: https address: { socket_address: { address: 0. 0. 0. 0, port_value: 443 } }
filter_chains:
- filters:
- name: envoy. filters. network. http_connection_manager typed_config:
"@type": type. googleapis. com/envoy. extensions. filters. network. http_connection_manager. v3. HttpConnectionManager stat_prefix: edge http_filters:
- name: envoy. filters. http. waf # external or custom filter
- name: envoy. filters. http. ratelimit
- name: envoy. filters. http. router route_config:
virtual_hosts:
- name: app domains: ["app. example. com"]
routes:
- match: { prefix: "/static/" }
route:
cluster: origin_static response_headers_to_add:
- header: { key: "Cache-Control", value: "public, max-age=86400, stale-while-revalidate=600" }
- match: { prefix: "/" }
route: { cluster: origin_api, timeout: 5s }
clusters:
- name: origin_static connect_timeout: 2s type: STRICT_DNS lb_policy: ROUND_ROBIN load_assignment:
endpoints: [{ lb_endpoints: [{ endpoint: { address: { socket_address: { address: "origin-static", port_value: 443 }}}}]}]
transport_socket:
name: envoy. transport_sockets. tls
- name: origin_api connect_timeout: 2s type: STRICT_DNS lb_policy: ROUND_ROBIN transport_socket:
name: envoy. transport_sockets. tls

مجموع

یک کانتور لبه قوی، جغرافیای صحیح PoP + Anycast/Geo-DNS، ذخیره سازی هوشمند و محاسبه در لبه، امنیت شدید، قابلیت مشاهده و اتوماسیون است. تنظیم SLO های قابل اندازه گیری، سلامت لینک → مسیریابی، نگه داشتن اهرم های قناری و آموزش سناریوهای DR. سپس پلت فرم شما در همه جا سریع و پایدار خواهد بود - از سانتیاگو به سئول، حتی در اوج مسابقات و فروش های تعیین کننده.

Contact

با ما در تماس باشید

برای هرگونه سؤال یا نیاز به پشتیبانی با ما ارتباط بگیرید.ما همیشه آماده کمک هستیم!

شروع یکپارچه‌سازی

ایمیل — اجباری است. تلگرام یا واتساپ — اختیاری.

نام شما اختیاری
ایمیل اختیاری
موضوع اختیاری
پیام اختیاری
Telegram اختیاری
@
اگر تلگرام را وارد کنید — علاوه بر ایمیل، در تلگرام هم پاسخ می‌دهیم.
WhatsApp اختیاری
فرمت: کد کشور و شماره (برای مثال، +98XXXXXXXXXX).

با فشردن این دکمه، با پردازش داده‌های خود موافقت می‌کنید.