Yang mesti dilihat untuk arkitek lanjutan: Strategi cache pemisahan dinamik CDN Tencent Cloud dan pertempuran anti-berus keselamatan!
Berhenti membiarkan laman web berjalan telanjang! Membongkar prinsip pecutan CDN Cloud Tencent dan tutorial konfigurasi mengelakkan lubang
Di laman web bebas rentas sempadan, bulatan Aplikasi atau laman web trafik besar, terdapat kebenaran besar mengenai operasi dan penyelenggaraan:
"Tiada CDN, tidak mematuhi; tiada CDN, tidak merentas sempadan."
Banyak Xiaobai atau webmaster peribadi yang baru memasuki industri ini selalu merasakan bahawa akses laman web yang perlahan adalah kerana konfigurasi pelayan (CVM/ECS) tidak cukup tinggi, dan mereka gila untuk meningkatkan CPU dan memori. Tetapi selalunya hasilnya adalah bahawa wang dibelanjakan, dan pengguna dari luar negara atau wilayah lain masih tersekat seperti sembelit.
Sebenarnya, apa yang anda kekurangan bukanlah pelayan yang lebih mahal, tetapi CDN. Hari ini, kami akan menggunakan cara yang paling berasas dan berperikemanusiaan untuk membincangkan prinsip percepatan yang mendasari Tencent Cloud CDN (rangkaian pengedaran kandungan), dan melampirkan satu set tutorial konfigurasi praktikal "anti-kebankrapan dan kawalan risiko" yang diringkaskan oleh veteran.
Bahagian 1: Bagaimana Tencent Cloud CDN menjadikan anda "lebih pantas"?
Sekiranya anda tidak menggunakan CDN, pengguna mengunjungi laman web anda seperti ini: pengguna di Xinjiang atau Amerika Syarikat memulakan permintaan. Lalu lintas harus melebihi ribuan kilometer dan melalui penghala rangkaian awam yang tidak terkira banyaknya untuk menyentuh pelayan anda di ruang komputer Guangzhou. Selagi terdapat kesesakan lalu lintas rangkaian atau kehilangan paket di tengah, laman web pengguna akan berputar tanpa had.
Dan Tencent Cloud CDN sebenarnya telah menggunakan ribuan "kluster pelayan cache (simpul tepi)" di seluruh dunia (terutama di wilayah dan bandar domestik utama).
Prinsip pecutan, secara terang-terangan, adalah empat perkataan:
"Peruntukkan berdekatan"
。
Lawatan pertama (sumber kembali): Ketika pengguna Xinjiang pertama mengunjungi logo.png gambar anda, simpul awan Xinjiang Tencent yang paling dekat dengannya mendapati bahawa dia tidak mempunyai gambar ini, dan ia akan melakukan perjalanan ke stesen sumber Guangzhou untuk pengguna, Ambil gambar. Ini dipanggil "Huiyuan".
Sepuluh ribu lawatan kedua hingga pertama (hit cache): Apabila pengguna Xinjiang kedua dan ketiga datang untuk berkunjung lagi, simpul Xinjiang secara langsung menghantar logo.png yang baru disimpan dari cakera kerasnya kepada pengguna. Lalu lintas tidak perlu kembali ke Guangzhou dalam jarak jauh. Ini dipanggil "hit cache".
Pengalaman orang sebenar: Setelah mengakses CDN, kerana jarak fizikal yang sangat pendek antara pengguna dan simpul tepi, masa analisis DNS dan jabat tangan jatuh dari tebing, dan kelajuan pemuatan laman web biasanya dapat meningkat lebih dari 3 hingga 5 kali.
Bahagian 2: Tutorial konfigurasi bodoh Tencent Cloud CDN dan lubang menyelamatkan nyawa
Sekiranya anda memahami prinsipnya, pergi terus ke pertempuran sebenar. Sangat mudah untuk membuka CDN di latar belakang Tencent Cloud, tetapi dalam konfigurasi parameter tertentu, terdapat beberapa lubang tersembunyi yang dapat membuat anda "muflis semalam" atau "laman web lumpuh". Sila ikuti langkah-langkah berikut:
Langkah 1: Tambahkan nama domain dan tetapan laman web sumber
Pada konsol Tencent Cloud CDN, klik "Tambah Nama Domain".
Mempercepat nama domain: isikan nama domain laman web anda (seperti www.yourdomain.com).
Jenis stesen sumber: Sekiranya pelayan anda berada di Tencent Cloud, pilih "Tencent Cloud Server (CVM)" atau masukkan IP rangkaian awam pelayan anda.
Perjanjian sumber kembali: [Dakeng 1] Sekiranya anda
Pelayan telah membuka SSL(HTTPS), anda mesti memeriksa HTTPS di sini, dan memilih 443 untuk kembali ke port sumber. Sekiranya anda memilih HTTP 80 untuk kembali ke sumber, laman web mungkin jatuh ke dalam gelung tanpa henti "pengalihan tanpa had (301/302)", dan laman web tidak dapat dibuka secara langsung.
Langkah 2: Konfigurasi sijil HTTPS (sangat disyorkan)
Kini hampir tidak ada laman web yang menjalankan HTTP tulen. Dalam [Konfigurasi Lanjutan], cari konfigurasi sijil HTTPS:
Tencent Cloud menyokong aplikasi percuma untuk sijil hosting. Setelah mengikat sijil ke CDN, hidupkan "HTTP Paksa Melompat HTTPS".
Pasti menghidupkan HTTP/2 atau HTTP/3(QUIC): Ini membolehkan banyak gambar dan skrip dihantar secara serentak di saluran rangkaian yang sama, dan kelajuannya dapat meningkat sebanyak 30%.
Langkah 3: Konfigurasi peraturan luput cache (teras prestasi)
【Dakeng 2 】
Banyak pemula secara langsung menggunakan peraturan lalai, yang mengakibatkan data latar belakang tidak dikemas kini atau fail sensitif disimpan dalam cache.
Harap ingat burung tua itu
Formula cache pemisahan dinamik
:
Sumber statik (perubahan besar dan sedikit): untuk. Jpg,. Png,. Css,. Js, dll., Tetapkan masa cache lebih lama, seperti 30 hari. Biarkan nod cache dengan kuat, menjimatkan lebar jalur pelayan anda.
Halaman dinamik (sering berubah): untuk. Php,. Jsp,. Asp atau jalan yang mengandungi/api/, masa cache ditetapkan secara langsung ke 0 saat (bukan cache)! Jika tidak, apabila data backend peribadi dan keranjang belanja pengguna setelah log masuk disimpan dalam cache oleh CDN dan diedarkan kepada orang lain, itu adalah kemalangan privasi yang serius.
Bahagian 3: Tetapan keselamatan "anti-brush dan anti-kebankrapan" veteran operasi dan penyelenggaraan
CDN dikenakan mengikut aliran (atau dikenakan lebar jalur). Di Internet, rakan sekerja yang berniat jahat sering menggunakan skrip untuk menggesek lalu lintas CDN anda dengan liar. Sekiranya anda mengabaikannya, anda boleh membayar puluhan ribu dolar dalam satu malam.
Di latar belakang Tencent Cloud CDN,
Suis keselamatan berikut adalah "jimat nyawa" anda
:
1. Hidupkan "Amaran had penggunaan/luar talian automatik"
Dalam tetapan had penggunaan, tetapkan had atas. Contohnya: "Apabila lalu lintas mencapai 50G pada hari itu, secara automatik mematikan pecutan CDN, atau kembali ke stesen sumber." Silap mata ini dapat memastikan bahawa dompet anda benar-benar selamat, walaupun disasarkan oleh penggodam, laman web tidak akan dibuka paling banyak, dan anda tidak akan pernah menerima bil setinggi langit.
2. Hidupkan "konfigurasi had frekuensi IP"
Untuk pengguna sebenar biasa, klik laman web sehingga 3-5 kali sesaat. Skrip lalu lintas penggodaman dapat menghasilkan ratusan permintaan dalam satu saat.
Konfigurasi emas yang disyorkan: akses IP tunggal ke nod tunggal, had frekuensi QPS ditetapkan ke 30-50. IP yang melebihi frekuensi ini disekat secara langsung selama 1 jam, dengan sempurna menyekat 90% pesanan berniat jahat.
3. Senarai hitam putih UA dan anti-berus kawasan
Sekiranya perniagaan anda hanya domestik, anda boleh secara langsung
IP luar negara dilarang
Akses
。
Pada masa yang sama, beberapa perayap berbahaya yang biasa (seperti
Python-requests
,
Skrin
Dll), tutup robot yang menggosok lalu lintas.
Ringkasan
Mengkonfigurasikan Tencent Cloud CDN adalah seperti mengupah sekumpulan "takeaway yang diedarkan" di seluruh negara untuk pelayan anda. Anda hanya perlu memasak dengan tenang di "dapur pusat (stesen sumber)" di Guangzhou, dan kakitangan penghantaran akan meletakkan pinggan (kandungan web) di laman web yang paling dekat dengan pengguna terlebih dahulu.
Dengan sejumlah kecil wang untuk mengkonfigurasi peraturan cache CDN dan melakukan kaedah keselamatan anti-sikat yang mencukupi, bukan sahaja laman web anda akan terbang dengan cepat, tetapi juga kadar penghunian CPU pelayan laman web sumber anda akan merosot secara langsung. Ini adalah permulaan standard untuk operasi dan penyelenggaraan peringkat tinggi dan arkitek.