Edge-nods եւ ներկայության կետերը

Live ռեզյումե

Edge-2019 (PoP) նվազեցնում են ցանցային ուշացումը, պտտում origin-ը և տալիս են անվտանգության առաջին գիծը։ Հիմնական հավաքածուը ՝ Anycast/RF-միկրոակտիվացում, տեղական քեշը, L7-քաղաքականությունը (WAF, rate-limit, bot-ֆիլտրեր), observability, ավտոմատ failover և SLO կարգապահություն։ Սկսում ենք եվրոպական և SLA երկրներից/տարածաշրջաններից, ապա ընտրում ենք պրովայդերներ/վայրեր, կառուցում CI/CD և IaC-ը, վերցնում մերժման սցենարները։

Ինչու՞ edge եւ որտեղ է այն անհրաժեշտ

P95/TTFB և ջիթերի նվազումը օգտագործողների համար հեռու է հիմնական CODA-ից։

«Ձախ» բեռի շարժումը 'ստատիկ ազդանշանների, պատկերների, եզրերի և API պատասխանների քեշը։

Անվտանգություն ՝ WAF, mTRK տերմինատորներ, հակաբոտիկ տրամաբանություն, DDoS կլանումը եզրին։

Գեորասկլադկան 'ռուսական/geo-քաղաքական, A/B-ի պահանջների պահպանումը PoP մակարդակում։

PoP ճարտարապետական մոդելները

1. CDN առջևի ծայրը (Fully ded)

Էդջը որպես ծառայություն 'CDN + WAF + գործառույթներ (Workers/Compant @ Edge)։ Արագ սկիզբը, նվազագույն խնամակալությունը։

2. Reverse-proxy PoP (Self/Hybrid)

Bare-metal/VM-ից Nginx/Envoy/HAProxy + տեղական քեշը + բոտ ֆիլտրը + mTSA-ից մինչև origin։ Ճկուն է, բայց պահանջում է։

3. Edge/միկրո-COD

Փոքրիկ կլաստեր (k3s/Nomad/MicroK8s) near-edge compations-ի համար 'կերպար, feature-flags, թեթև ML-infess, ավելի բարձր ռենդերներ։

Վերահսկողական ինքնաթիռը (կառավարումը, քաղաքականությունը, դոպլոը) առանձնացված է տվյալների ինքնաթիռից (հաճախորդների)։ Արգիգները GitOps/IaC-ի միջոցով են։

Միկրոօրգանիզացիա և կապվածություն

Anycae: մեկ IP շատ PoP-ի վրա BGP-ի «ամենամոտ» է։ Արագ անհանգստանում է PoP-ի հրաժարումը (withdr.ru/32)։

Geo-MS/Latency routing: տարբեր IP/անուններ տարածաշրջանների համար։ TTL 30–300 c, health-checks.

Fallback: Secondary PoP-ը տարածաշրջանում, ապա գլոբալ origin։

Anti-pattern: Կոշտ կապվածություն մեկ PoP-ի հետ առանց health prouting կապի (սև անցքեր քայքայման ժամանակ)։

Կատարումը եզրին

Շերտերը ՝ ստատիկ ասելետներ, որոնք կոչվում են ագրեսիվ TTL; Պոլը դինամիկան (սուլֆին, դելիգները) TTL + stale-while-revalidate; API GET-ը կարճ TTL/հաշմանդամության բանալին է։

Քեշի բանալին ՝ + URI + մեթոդը տարբեր վերնագրեր (Accept-Encoding, Dele, Device-Class) + auth կոնտեքստը, որտեղ թույլատրելի է։

Հաշմանդամություն 'թեգերով/նախածանցներով, event-driven (webhook CI/CD), ժամանակը + տարբերակումը (asset hashing)։

Պաշտպանությունը քեշի թունավորումից 'URL-ի նորմալացում, Vary-ի սահմանափակում, վերնագրերի սահմանափակում, խիստ կանոններ «Cache-Corl» -ի վրա։

Nginx (հատված)

nginx proxy_cache_path /var/cache/nginx levels=1:2 keys_zone=EDGE:512m max_size=200g inactive=7d;
map $http_accept $vary_key { default ""; "~image/avif" "avif"; "~image/webp" "webp"; }
server {
location /static/ {
proxy_cache EDGE;
proxy_cache_key "$scheme$request_method$host$uri?$args    $vary_key";
proxy_ignore_headers Set-Cookie;
add_header Cache-Control "public, max-age=86400, stale-while-revalidate=600" always;
proxy_pass https://origin_static;
}
}

Compations եզրին (lightweight)

WAF-ը և բոտ-կառավարումը 'ազդանշանային/վարքագծային մետրիկի ստուգում, device-fingerprint, տեսահոլովակների արագություն։

Rate-limit/հունարեն-գայլերը 'հոսող/սայթաքող պատուհան, գլխարկ/chelenge, կասկածելի ուղու «թարգմանություն»։

Low-state: geo/լեզու/բաններ, որոնք կախված չեն PII-ից։ KV-kashi (edge KV) արագ դրոշների համար։

Էսքիզների գործառույթները 'վերափոխման գեներացիա, պատկերների վերափոխում, հղումների ստորագրություն, կանարյան ռեդիրետներ։

Անվտանգությունը PoP-ում

MTSA-ը մինչև origin և TFC-ի միջոցով (TFC 1։ 3) բոլոր hop-ah-ի վրա։

Սեգմենացիան ՝ mgmt ինքնաթիռը (WireGuard/IPsec), 108-104, լոգները/մետրիկները 'առանձին VRF/MSAN-ում։

Գաղտնիքները 'միայն «կարդալու» բանալիներ/սերտեր։ Write վիրահատությունները կրիտիկական համակարգերի համար արգելված են եզրին։

WAF/ACL: ASN/bot ցանցերի բլոկները, վերնագրերի/բոդիի սահմանափակումները, պաշտպանությունը slowloris/oversized payloads-ից։

Supply-chain: ստորագրված արտեֆակտները (SBSA), վերաֆինանսավորումը։

Դիտողությունն ու հեռուստատեսությունը

Մետրիկները

L3/L4: CPS/RPS, established, SYN backlog, drops, retransmits.

L7: p50/95/99 TTFB, upstream Time, hit-ratio kasha, WAF գործիքներ, 4xx/5xx/429։

TFC: տարբերակը/ալգորիթմը, handshake p95, rate rate, OCBS stapling վիճակը։

Լոգները ՝ 108 (PII-ի խցիկով), WAF ամսագիրը, rate-limit և bot-rules իրադարձությունները։

Թրեյզներ ՝ sampled: edge medorigin, կորլացիա «traceparent» կամ «x-request-id»։

Loki/ELK-ի կենտրոնական Looki/ELK (Loki/ELK) հետքերով։

SLO Edge/PoP (օրինակներ)

PoP-ի հասանելիությունը 3699 է։ 95 %/30 օր։

P95 TTFB (ստատիկ): 35100-150 MS-ը ոչ պաշտոնական է։

P95 TTFB (API GET քեշիրացված) ՝ 24200-250 մզ; նեկշիրացված '3,300-400 մզ։

Քաշ hit-ratio: statika 2490 տոկոսը, սեռի դինամիկան 3660 տոկոսը։

WAF FP-rate: ≤ 0. 1% օրինական հարցումներ։

Հաշմանդամության ժամանակը '3860 ս։

Ալբերտ 'hit-ratio անկում, 5xx/525 աճը, handshake ձախողումները, 429 աճը, flupping health-winks, Anycript (withdr.ru ավելի հաճախ N/ժամ)։

Deploy և CI/CD/CD

GitOps: PoP-ի (WAF/rate-limit/երթուղիներ/kash-կանոններ) - ռեպոզացիայի մեջ, PR-revew, կանոնական rolout 1 PoP-ով։

Տարբերակումը 'նախածանցային քաղաքականությունները թեստի համար («/canary/»), արագ արձագանք։

Գաղտնիքները 'Vox-գործակալների/KSSA-ի միջոցով բաշխումը, կարճ TTL-ը։

Նորարարություններ 'steiging-PoP, ապա vailin փամփուշտը, ապա զանգվածային rollout։

PoP և ենթակառուցվածքը

Երկաթի/ցանցը ՝ 10/25/40G uplinks, երկու ռուսական պրովայդեր, առանձին երթուղիչներ Anycrim/BGP, RoH (redundancy)։

Stored: Միայն efemer + տեղական SSD-ը քեշի տակ։ ոչ մի երկար PII։

Edge-compation-ի կլաստերները ՝ k3s/Intainerd, node tainment ցանցային գործառույթների համար, PodEurupics Budget։

OUT-of-band հասանելիությունը 'առանձին mgmt-ալիք (LTE/երկրորդ պրովայդեր), որպեսզի «ոտքի կանգնենք» ավտովթարի ժամանակ։

FinOps և տնտեսագիտություն

Պրոֆիլակտիկայի պրոֆիլը 'բաժնետոմսեր/ASN/CDN-bust; պիկի դինամիկան (խաղեր/ivents)։

/ GB egress և $/ms p95 որպես ռուսական մետրեր։ համեմատեք Dised Edge vs Corf-PoP TCO-ի հետ։

Քեշի տնտեսությունը 'hit-ratio աճը նվազեցնում է egress Origin-ը և ամպային գործառույթների արժեքը։

Տեղական ալիքները 'փաթեթային զեղչեր պրովայդերների, IX-պիրայի, քեշի-պիրինգի հետ բջջային ցանցերի պրովայդերների հետ։

Հատուկ iGaming/fintech համար

Պիկը խաղի րոպեներում 'կանարական «հունարեն-գայլեր», գրանցման/դեպոզիտների սահմանները, PSA երթուղիների գերակայությունը։

Անտիֆրոդը 'TFC-ի գաղտնագրումը եզրին + device fingerprint, արագ և փափուկ chelengs; «Մութ API» -ը մեկ այլ տողի համար։

Բովանդակության/կանոնների տեղայնացումը 'հեմբլինգ երկրները հատուկ սահմանափակումներով' գեո-երթուղիներ և ASN բլոկային թերթիկներ։

Կարգավորիչ ՝ ժամանակի/օֆսետի համաժամացման տրամաբանությունը, PII-ի բացակայությունը եզրին, ծածկագրման և խիստ SLA PSA-ի միջոցով։

Ներդրման թուղթ

• Մրցույթի/տարածաշրջանների քարտեզը, երկրի վրա ռ95/հասանելիության նպատակները։
• Մոդելի ընտրությունը (CDN-Interned/Winf-PoP/Hybrid), միգրացիայի և դեղատների պլանը։
• Anycom/BGP + Geo-IV-ից health-winks և ավտոմատ withdr.ru։
• Քեշի քաղաքականությունը 'բանալիներ, TTL, հաշմանդամություն, պաշտպանություն poisoning-ից։
• Edge-անվտանգություն ՝ WAF, rate-limit, mTSA մինչև origin, կարճ TTL գաղտնիքները։
• Observability: metrics/L7-logs/tress, տեղափոխումը կենտրոնական ապակիներ։
• CI/CD/GitOps, կանացի PoP, արագ rollback։
• DR սցենարներ 'RoR/aplink կորուստ, Anycript դեգրադացիա, CDN անկում։
• FinOps: egress/PoP հոստինգի բյուջեներ, IX/Piring պլանը։

Տիպիկ սխալներ

Մեկ պրովայդեր/մեկ aplink PoP-ում SPOF-ում։

Քեշը «լռելյայն» է առանց «Vary» -ի վերահսկման, թունավորման և արտահոսքի։

Չկա health medrouting (ISO/GSLB/BGP) կապեր ռուսական ուշացումներ և սև անցքեր։

Երկրագնդի լայն իրավունքներով գաղտնիքները պարունակում են բարձր բլիթային շառավիղը։

PII-ի լոգները առանց կոմպլանսի խնդրի խմբագրման։

PoP-ի ձեռքով դելեգները բացատրում են ռասինխրոնիզացիան և դրեյֆը։

Մինի պլեյբուկները

1) Խնդրահարույց PoP (Anycript/BGP) շտապ անջատումը

1. Health ընկնում է թիվ 2 շեմից ներքև) վերահսկիչը հեռացնում է/32 հայտարարությունը թիվ 3) ռուսական արտաքին փորձարկումները։ 4) rca և շարժական դրոշի վրա։

2) Եղունգների տաք հաշմանդամություն

1. CI/CD-ն ուղարկում է webhook PoP 242) www.alidation-ի միջոցով '«cache-103:» 3660 c 363) hit-ratio և p95։

3) Բոտերի աճի արտացոլումը

1. Ակտիվացնել «մոխրագույն» երթուղին (գլխարկ/chelenge) կասկածելի ASN 242-ի համար) բարձրացնել ճանապարհի արժեքը մինչև origin 363) հեռացնել կանոնները անկումից հետո։

4) Մեկ ապլինկի կորուստ

1. ECTS-ի անցումը կենդանի պրովայդերի վրա։ 2) egress քաղաքականությունը նվազեցնում է bulk-դասարան; 3) SLA զեկույցը և հյուսելը պրովայդերին։

Envoy-ի կմախքի օրինակ PoP-ում (L7 + kash + WAF-huki)

yaml static_resources:
listeners:
- name: https address: { socket_address: { address: 0. 0. 0. 0, port_value: 443 } }
filter_chains:
- filters:
- name: envoy. filters. network. http_connection_manager typed_config:
"@type": type. googleapis. com/envoy. extensions. filters. network. http_connection_manager. v3. HttpConnectionManager stat_prefix: edge http_filters:
- name: envoy. filters. http. waf # external or custom filter
- name: envoy. filters. http. ratelimit
- name: envoy. filters. http. router route_config:
virtual_hosts:
- name: app domains: ["app. example. com"]
routes:
- match: { prefix: "/static/" }
route:
cluster: origin_static response_headers_to_add:
- header: { key: "Cache-Control", value: "public, max-age=86400, stale-while-revalidate=600" }
- match: { prefix: "/" }
route: { cluster: origin_api, timeout: 5s }
clusters:
- name: origin_static connect_timeout: 2s type: STRICT_DNS lb_policy: ROUND_ROBIN load_assignment:
endpoints: [{ lb_endpoints: [{ endpoint: { address: { socket_address: { address: "origin-static", port_value: 443 }}}}]}]
transport_socket:
name: envoy. transport_sockets. tls
- name: origin_api connect_timeout: 2s type: STRICT_DNS lb_policy: ROUND_ROBIN transport_socket:
name: envoy. transport_sockets. tls

Արդյունքը

Ուժեղ edge-2019-ը PoP + Anycript/Geo-III-ի ճիշտ աշխարհագրությունն է, խելացի քաշումը և ընկերակցությունը եզրին, կոշտ անվտանգությունը, դիտարկումը և ավտոմատացումը։ Թույլ տվեք չափել SLO-ն, քաշել առողջությունը միկրոօրգանիզմով, պահել կանարյան լծակները և մարզել DR-սցենարները։ Այդ ժամանակ ձեր պլատֆորմը կլինի արագ և կայուն ամենուր 'Սանտյագոյից մինչև Սեուլ, նույնիսկ որոշիչ շարժիչների և վաճառքների գագաթնակետին։