Kenar düğümleri ve varlık noktaları
Kısa Özet
Kenar düğümleri (PoP) ağ gecikmesini azaltır, kaynağı boşaltır ve güvenliğin'ilk satırı'nı sağlar. Temel set: Anycast/DNS yönlendirme, yerel önbellek, L7 politikaları (WAF, hız sınırı, bot filtreleri), gözlemlenebilirlik, otomatik yük devretme ve SLO disiplini. Ülkelerin/bölgelerin trafik ve SLA'larının bir haritasıyla başlıyoruz, ardından sağlayıcıları/yerleri seçiyoruz, CI/CD ve IaC oluşturuyoruz, arıza senaryolarını çalıştırıyoruz.
Neden kenar ve nerede ihtiyacınız var
Ana veri merkezinden uzak kullanıcılar için p95/TTFB ve titreşimi azaltın.
Yük kayması'sol ": statik varlıkların, görüntülerin, yapılandırmaların ve API yanıtlarının önbelleği.
Güvenlik: WAF, mTLS sonlandırıcılar, anti-bot mantığı, kenarda DDoS absorpsiyonu.
Geo-alignment: yerelleştirme gereksinimleri/geo-policies, PoP düzeyinde A/B ile uyumluluk.
PoP Mimari Modeller
1. CDN-Tamamen yönetilir
Bir hizmet olarak kenar: CDN + WAF + işlevleri (Workers/Compute @ Edge). Hızlı başlangıç, minimum opex.
2. Ters proxy PoP (Öz/Hibrit)
Nginx/Envoy/HAProxy + yerel önbellek + botfilter + mTLS ile Bare-metal/VM. Esnek ama operasyon gerektirir.
3. Service-edge/mikro veri merkezi
Kenara yakın hesaplama için küçük küme (k3s/Nomad/MicroK8s): kişiselleştirme, özellik bayrakları, hafif ML çıkarımı, önizleme render'ları.
Kontrol düzlemi (denetim, ilkeler, dağıtım) veri düzleminden (istemci trafiği) ayrıdır. Yapılandırmalar - GitOps/IaC aracılığıyla.
Trafik Yönlendirme ve Haritalama
Anycast: Birçok PoP üzerinde bir IP - BGP üzerinden'en yakın ". Hızlı bir şekilde PoP başarısızlığından kurtulur (geri çekilme/32).
Geo-DNS/Gecikme yönlendirme: Bölgeler için farklı IP/isimler; 30-300 TL c, sağlık kontrolleri.
Geri dönüş yolları: Bölgede ikincil PoP, daha sonra global orijin.
Anti-pattern: Sağlık olmadan bir PoP'ye sert bağlanma - yönlendirme iletişimi (bozulma sırasında kara delikler).
Kenar önbelleğe alma
Katmanlar: statik varlıklar - agresif TTL; Yarı dinamik (kataloglar, yapılandırmalar) - TTL + bayat-while-revalidate; GET API - kısa TTL/engelli anahtarları.
Önbellek anahtarı: method + URI + değişken başlıkları (Accept-Encoding, Locale, Device-Class) + izin verildiğinde auth bağlamı.
Engellilik: etiketlere/öneklere göre, olay odaklı (CI/CD'den webhook), zaman + sürüm oluşturma (varlık karma).
Önbellek zehirlenmesi koruması: URL normalleştirme, Vary sınırı, başlık sınırı, 'Önbellek Denetimi' konusunda katı kurallar.
nginx proxy_cache_path /var/cache/nginx levels=1:2 keys_zone=EDGE:512m max_size=200g inactive=7d;
map $http_accept $vary_key { default ""; "~image/avif" "avif"; "~image/webp" "webp"; }
server {
location /static/ {
proxy_cache EDGE;
proxy_cache_key "$scheme$request_method$host$uri?$args $vary_key";
proxy_ignore_headers Set-Cookie;
add_header Cache-Control "public, max-age=86400, stale-while-revalidate=600" always;
proxy_pass https://origin_static;
}
}Kenardan hesaplama (hafif)
WAF ve bot yönetimi: imza/davranışsal metrikler doğrulama, cihaz parmak izi, tıklama oranı.
Rate-limit/gri-öküz: belirteçler/sürgülü pencere, captcha/meydan okuma, şüpheli trafiğin bozulmuş bir rotaya "aktarılması".
Düşük devlet kişiselleştirme: jeo/dil/PII bağımsız afişler; Hızlı bayraklar için KV önbellekleri (kenar KV).
Olaylar üzerindeki işlevler: önizleme oluşturma, görüntüleri yeniden gönderme, bağlantıları imzalama, kanarya yönlendirmeleri.
PoP üzerinde güvenlik
mTLS orijine ve uçtan uca TLS (TLS 1. 3) tüm şerbetçiotlarında.
Segmentasyon: Mgmt düzlemi (WireGuard/IPsec), prod-trafiği, günlükler/metrikler - ayrı VRF/VLAN'da.
Sırlar: sadece "okuyucu" tuşları/serts; Kritik sistemlere yazma işlemleri sınırda yasaktır.
WAF/ACL: ASN/botnet blok listeleri, başlık/gövde kısıtlamaları, slowloris/büyük boy yük koruması.
Tedarik zinciri: imzalı eserler (SBOM), depla üzerinde doğrulama.
Gözlemlenebilirlik ve telemetri
Metrikler:- L3/L4: CPS/RPS, kurulmuş, SYN backlog, düşer, yeniden iletimler.
- L7: p50/95/99 TTFB, yukarı akış süresi, önbellek isabet oranı, WAF tetikleyici, 4xx/5xx/429.
- TLS: sürüm/algoritma, el sıkışma p95, yeniden başlama oranı, OCSP zımbalama durumu.
- Günlükler: erişim (PII kesilerek), WAF günlüğü, oran sınırı ve bot kuralları olayları.
- İzler: örneklenmiş: kenar - köken, korelasyon 'traceparent' veya 'x-request-id'.
- Log teslimatı: Yerel bir kuyruğa/dosyaya debaffer - retrays ile merkezi Log Hub'a (Loki/ELK) asenkron gönderme.
Kenar/PoP için SLO (örnekler)
PoP kullanılabilirliği: ≥ 99. %95/30 gün.
P95 TTFB (statik): Bölgesel olarak ≤ 100-150 ms.
P95 TTFB (API GET önbelleğe alınmış): ≤ 200-250 ms; Önbelleğe alınmamış - ≤ 300-400 ms.
İsabet oranlı önbellek: statik ≥ %90, yarı dinamik ≥ %60.
WAF FP oranı: ≤ 0. %1 meşru talepler.
Engellilik süresi etiketle: ≤ 60 s.
Uyarılar: isabet oranı düşüşü, 5xx/525 büyüme, el sıkışma arızaları, 429 büyüme, sağlık kontrolleri çırpma, Anycast bozulması (daha sık N/h çekin).
Dağıtım ve CI/CD
GitOps: PoP yapılandırmaları (WAF/rate-limit/routes/cache rules) - bilgi havuzunda, PR incelemesinde, 1 PoP'nin kanarya sunumunda.
Sürüm oluşturma: test için önek ilkeleri ('/canary/'), hızlı geri alma.
Sırlar: Vault ajanları/KSMS aracılığıyla dağıtım, kısa TTL belirteçleri.
Güncellemeler: Evreleme-PoP, daha sonra doğrulanmış havuz, daha sonra toplu sunum.
PoP Topolojisi ve Altyapısı
Donanım/ağ: 10/25/40G uplink, iki bağımsız sağlayıcı, Anycast/BGP için ayrı yönlendiriciler, RoH (artıklık).
Depolama: Yalnızca geçici + yerel önbellek SSD; Uzun ömürlü PII yok.
Kenar hesaplama kümeleri: k3s/Containerd, ağ işlevleri için düğüm lekeleri, PodDisruptionBudget.
Bant dışı erişim: Bir kazada "ayağa kalkmak" için ayrı bir mgmt kanalı (LTE/ikinci sağlayıcı).
FinOps ve Ekonomi
Trafik profili: bölgeye göre paylaşımlar/ASN/CDN-boost; Zirvelerin dinamikleri (maçlar/olaylar).
Hedef metrikler olarak $/GB çıkış ve $/ms p95; Yönetilen Kenar ile Öz PoP TCO'yu karşılaştırın.
Önbellek ekonomisi: Isabet oranlı büyüme çıkış kaynağını ve bulut fonksiyonlarının maliyetini azaltır.
Yerel kanallar: sağlayıcılardan paket indirimleri, IX-eşleri, mobil ağ sağlayıcılarıyla önbellek incelemesi.
iGaming/fintech'e özel
Maç dakikalarındaki zirveler: kanarya "gri kurtlar", kayıt/depozito limitleri, PSP rotalarının önceliklendirilmesi.
Antifraud: Kenardaki TLS şifre çözme + cihaz parmak izi, puanlama ve yumuşak zorluklar; Farklı bir çıktıya sahip bir bot için "karanlık API".
İçeriğin/kuralların yerelleştirilmesi: özel kısıtlamalara sahip kumar ülkeleri - coğrafi yollar ve ASN blok listeleri.
Düzenleme: Zamanlama/ofset zamanlama, kenarda PII yok, uçtan uca şifreleme ve sıkı SLA PSP'ler.
Uygulama kontrol listesi
- Trafik/bölge haritası, ülkeye göre p95/kullanılabilirlik hedefleri.
- Model seçimi (CDN-Managed/Self-PoP/Hybrid), konum ve aplink planı.
- Anycast/BGP + Geo-DNS sağlık kontrolleri ve otomatik çekilme ile.
- Önbellek politikaları: anahtarlar, TTL, sakatlık, zehirlenme koruması.
- Kenar güvenliği: WAF, oran sınırı, mTLS orijine, kısa TTL ile sırlar.
- Gözlemlenebilirlik: metrics/L7 günlükleri/yollar, merkezi yığınlara teslim.
- CI/CD/GitOps, kanarya PoP, hızlı geri dönüş.
- DR senaryoları: PoP/aplinka kaybı, Anycast bozulması, CDN düşüşü.
- FinOps: çıkış/PoP barındırma bütçeleri, plan IX/peering.
Yaygın hatalar
Bir sağlayıcı/bir aplink PoP ^ SPOF.
Önbellek 'Vary' kontrolü olmadan "varsayılan" - önbellek zehirlenmesi ve sızıntısı.
Sağlık yok - yönlendirme iletişimi (DNS/GSLB/BGP) - gecikmeler ve kara delikler.
Sınırda geniş haklara sahip sırlar - yüksek patlama yarıçapı.
PII düzenleme olmadan günlükleri - uyumluluk sorunları.
Manuel PoP yapılandırmaları - eşzamansızlık ve sürüklenme.
Mini oyun kitapları
1) PoP (Anycast/BGP) probleminin acil olarak kapatılması
1. Sağlık, eşiğin altına düşer.2) kontrolör kaldırır/32 duyuru 3) harici örnek izleme; 4) rca ve manuel bayrak ile geri dönün.
2) Sıcak Devre Dışı Etiket Önbelleği
1. CI/CD, webhook'u PoP'a 2) 'önbellek-etiketi:' ≤ 60 c> 3) isabet oranı ve p95 kontrolleri yoluyla geçersiz kılma gönderir.
3) Bir bot patlamasını yansıtmak
1. Şüpheli ASN için "gri" rotayı (captcha/challenge) etkinleştirin - 2) orijine giden yolun maliyetini artırın - 3) durgunluktan sonra kuralları kaldırın.
4) Bir aplinka kaybı
1. ECMP'yi canlı bir sağlayıcıya geçirmek; 2) çıkış politikası toplu sınıfı azaltır; 3) SLA raporu ve sağlayıcıya bilet.
PoP üzerindeki Elçi yapılandırma iskeleti örneği (L7 + önbellek + WAF kancaları)
yaml static_resources:
listeners:
- name: https address: { socket_address: { address: 0. 0. 0. 0, port_value: 443 } }
filter_chains:
- filters:
- name: envoy. filters. network. http_connection_manager typed_config:
"@type": type. googleapis. com/envoy. extensions. filters. network. http_connection_manager. v3. HttpConnectionManager stat_prefix: edge http_filters:
- name: envoy. filters. http. waf # external or custom filter
- name: envoy. filters. http. ratelimit
- name: envoy. filters. http. router route_config:
virtual_hosts:
- name: app domains: ["app. example. com"]
routes:
- match: { prefix: "/static/" }
route:
cluster: origin_static response_headers_to_add:
- header: { key: "Cache-Control", value: "public, max-age=86400, stale-while-revalidate=600" }
- match: { prefix: "/" }
route: { cluster: origin_api, timeout: 5s }
clusters:
- name: origin_static connect_timeout: 2s type: STRICT_DNS lb_policy: ROUND_ROBIN load_assignment:
endpoints: [{ lb_endpoints: [{ endpoint: { address: { socket_address: { address: "origin-static", port_value: 443 }}}}]}]
transport_socket:
name: envoy. transport_sockets. tls
- name: origin_api connect_timeout: 2s type: STRICT_DNS lb_policy: ROUND_ROBIN transport_socket:
name: envoy. transport_sockets. tlsToplam
Güçlü bir kenar konturu, PoP + Anycast/Geo-DNS'nin doğru coğrafyası, akıllı önbellekleme ve kenardaki hesaplama, sıkı güvenlik, gözlemlenebilirlik ve otomasyondur. Ölçülebilir SLO'ları ayarlayın, sağlık - yönlendirmeyi bağlayın, kanarya kollarını tutun ve DR senaryolarını eğitin. O zaman platformunuz her yerde hızlı ve istikrarlı olacak - Santiago'dan Seul'e, hatta belirleyici maçların ve satışların zirvesinde.