建一個(gè)菠菜網(wǎng)站需要考慮哪些因素呢，或者我們最擔(dān)心什么? 怕被攻擊，時(shí)不時(shí)的DDOS攻擊夠你喝一壺的；怕性能不夠，會(huì)員一多，訪(fǎng)問(wèn)連接數(shù)太多，網(wǎng)站頂不住；怕網(wǎng)站響應(yīng)慢，延時(shí)太大，網(wǎng)頁(yè)半天打不開(kāi)。也許解決上述問(wèn)題，有一堆的解決方案，但有沒(méi)有一個(gè)簡(jiǎn)單粗暴的，特別有效的產(chǎn)品或方案對(duì)應(yīng)呢？

[[242748]]

有，那就是CDN。但，為什么它就能解決上述問(wèn)題呢？

網(wǎng)上有很多介紹關(guān)于CDN的文章，要么太簡(jiǎn)單，就介紹有什么功能，要么就太玄奧，云里霧里，就是讓你看不明白。好今天就帶大家瞧瞧CDN的廬山真面目

談CDN之前我們先談?wù)劜げ斯揪W(wǎng)站的服務(wù)器架構(gòu)。

下圖是一般公司的服務(wù)器架構(gòu)(low) ,網(wǎng)站一般由WEB服務(wù)器和數(shù)據(jù)庫(kù)服務(wù)器構(gòu)成。這個(gè)是最最最簡(jiǎn)單，沒(méi)有任何優(yōu)化的設(shè)計(jì)。服務(wù)器搭建好之后，就要去申請(qǐng)域名了，賣(mài)域名的網(wǎng)站很多，國(guó)內(nèi)很多，上網(wǎng)搜一搜，國(guó)外比較有名的是godaddy。

用戶(hù)訪(fǎng)問(wèn)網(wǎng)站流程圖

服務(wù)器搭建完成后，申請(qǐng)好域名配置好公網(wǎng)IP，在第三方域名解析商或自建DNS服務(wù)器上解析完后，用戶(hù)就可以訪(fǎng)問(wèn)了。

如圖所示：

• 搭建服務(wù)器，申請(qǐng)域名及配置公網(wǎng)IP地址
• 選擇第三方域名解析商解析
• 用戶(hù)配置DNS 如8.8.8.8 或114.114.114.114或運(yùn)營(yíng)商DNS服務(wù)器
• 用戶(hù)瀏覽器輸入WWW.XXX.COM
• 用戶(hù)到自己配置的DNS地址的服務(wù)器上查找WWW.XXX.COM的解析記錄獲取IP地址
• 用戶(hù)DNS服務(wù)器通過(guò)遞歸查找最后查到為WWW.XXX.COM域名解析的服務(wù)器如cloudflare 的DNS服務(wù)器。從cloudflare 獲取網(wǎng)址對(duì)應(yīng)WEB服務(wù)器的公網(wǎng)IP 并返回給用戶(hù)終端（PC和手機(jī)）
• 用戶(hù)終端獲取WEB服務(wù)器公網(wǎng)IP后，通過(guò)路由訪(fǎng)問(wèn)1.1.1.1:80的服務(wù)即WEB服務(wù)。

通過(guò)分析網(wǎng)站的服務(wù)器架構(gòu)及用戶(hù)訪(fǎng)問(wèn)網(wǎng)站的過(guò)程，不難看出這個(gè)WEB服務(wù)的很多節(jié)點(diǎn)都是非常脆弱且及容易被攻擊的。

傳統(tǒng)WEB服務(wù)器架構(gòu)的弱點(diǎn)總結(jié)：WEB服務(wù)器數(shù)量較少，一臺(tái)或幾臺(tái)，當(dāng)用戶(hù)數(shù)一大，性能不夠，連接數(shù)不夠，默認(rèn)一臺(tái)WEB服務(wù)器的連接數(shù)只有3W多個(gè)。

WEB服務(wù)器的真實(shí)公網(wǎng)IP通過(guò)域名解析被獲取后，可以非常簡(jiǎn)單的被防火墻訪(fǎng)問(wèn)禁止。服務(wù)器真實(shí)IP暴露后，可以對(duì)WEB服務(wù)器展開(kāi)流量攻擊（DDOS），CC攻擊針對(duì)連接數(shù)。

針對(duì)以上弱點(diǎn)，有些公司會(huì)采用以下解決方案

改進(jìn)型WEB服務(wù)器及安全架構(gòu)

圖中的改進(jìn)最明顯的是服務(wù)器的角色及服務(wù)器數(shù)量大大增加，LVS負(fù)載均衡的加入，使得改服務(wù)器架構(gòu)中可支持多臺(tái)服務(wù)器同時(shí)提供服務(wù)，反向代理服務(wù)器可以過(guò)濾一部分基于連接的攻擊，避免后端真實(shí)服務(wù)器的直接面對(duì)攻擊。并通過(guò)多臺(tái)WEB服務(wù)器極大提高系統(tǒng)的并發(fā)能力，支持更多的玩家會(huì)員。緩存服務(wù)器的加入，可以讓動(dòng)態(tài)頁(yè)面和靜態(tài)頁(yè)面分離開(kāi)來(lái)，加快用戶(hù)的訪(fǎng)問(wèn)體驗(yàn)。但這種仍然沒(méi)辦法面對(duì)流量型攻擊。

沒(méi)錯(cuò)圖中數(shù)據(jù)中心加入了重量級(jí)的安全設(shè)備，假定該數(shù)據(jù)中心帶寬為40G（非常大帶寬的數(shù)據(jù)中心了），并具備40G的流量清洗能力。但仍然不足以保障網(wǎng)站系統(tǒng)的安全。因?yàn)榉植际降牧髁抗簦l(fā)于一點(diǎn)。沖擊力非常強(qiáng)大。超過(guò)40G的流量攻擊并不難組織起來(lái)，這個(gè)世界的僵死主機(jī)實(shí)在太多了。并且開(kāi)啟40G的流量防御服務(wù)代價(jià)非常高昂，而且一般攻擊流量達(dá)到該數(shù)據(jù)中心出口帶寬40G的時(shí)候，流量清洗已經(jīng)沒(méi)有用了，這個(gè)時(shí)候數(shù)據(jù)中心往往是關(guān)閉該網(wǎng)站對(duì)外的網(wǎng)絡(luò)服務(wù)來(lái)保全整個(gè)數(shù)據(jù)中心。

即便流量在5-10G左右，如果攻擊者不定時(shí)攻擊，仍然會(huì)影響網(wǎng)站的對(duì)外服務(wù)，影響用戶(hù)體驗(yàn)，運(yùn)維人員除了觀(guān)察并被磨煉心志外，并沒(méi)有什么可以做的。

但是方案中通過(guò)引入LVS（負(fù)載均衡）、反向代理、緩存服務(wù)器后對(duì)系統(tǒng)的安全、性能、擴(kuò)展性是巨大的進(jìn)步，值得鼓勵(lì)及肯定。并且離我們的CDN的最終解決方案越來(lái)越近了。

怎么搞定該死的分布式DDOS攻擊呢，分析DDOS攻擊的過(guò)程及原理不難找到答案。DDOS攻擊的原理是把分布式的萬(wàn)千僵尸主機(jī)的涓涓細(xì)流匯聚成狂暴的河流來(lái)攻擊一點(diǎn)。我們是不是可以把狂暴的河流化成萬(wàn)千的涓涓細(xì)流呢。

他強(qiáng)任他強(qiáng)，明月照山崗。

CDN的核心或者魔鬼的細(xì)節(jié)就在DNS解析原理上。稍微解析下DNS解析的原理。

域名解析記錄有好幾種，最著名且實(shí)用的有兩種：A記錄，CNAME(別名）其實(shí)翻譯成改變名字更好理解，英文原意其實(shí)也是（change name）。

訪(fǎng)問(wèn)一個(gè)網(wǎng)站，首先拿到的是它的域名，因?yàn)橛蛎容^好記，針對(duì)人類(lèi)的，但機(jī)器并不喜歡，訪(fǎng)問(wèn)網(wǎng)站對(duì)于人類(lèi)來(lái)說(shuō)是基于名字（域名），對(duì)于機(jī)器來(lái)說(shuō)是通過(guò)互聯(lián)網(wǎng)，是基于路由，基于IP地址。所以域名解析的生意就來(lái)了，需要把域名解析成IP地址。雖然第三方域名解析商都是免費(fèi)做這個(gè)事情。

CNAME 顧名思意，改變名字，對(duì)于域名就是改變域名，并不是真的改變，對(duì)于人類(lèi)是不知道的。在域名解析的過(guò)程中把域名改成另一個(gè)域名。

前文說(shuō)過(guò)對(duì)付分布式攻擊流量，就要把聚集的流量化成分布式的，或者使其不能聚集一點(diǎn)。通過(guò)CNAME 可以實(shí)現(xiàn)把流量引向別處，暫時(shí)的，最終還是需要回來(lái)的。光引向別處還不行，還需要把流量分散開(kāi)來(lái)。

好了，CDN就是這么個(gè)作用，把流量引向別處，并讓流量分散開(kāi)來(lái)。

CDN 架構(gòu)

如架構(gòu)圖所示，CDN服務(wù)商會(huì)在多個(gè)地點(diǎn)的多個(gè)數(shù)據(jù)中心中部署服務(wù)器，起到分流的作用，及用戶(hù)就近訪(fǎng)問(wèn)的作用。

CDN怎么起作用呢？比如購(gòu)買(mǎi)了圖中CDN的服務(wù)商的CDN服務(wù)，首先把菠菜網(wǎng)站的域名解析到這個(gè)CDN提供商，通過(guò)別名的形式，轉(zhuǎn)移流量。

比如www.xxx.com Cname www.cdn.com

上述解析一般是在第三方域名解析商完成，一般是免費(fèi)的。考慮行業(yè)的敏感性建議采用國(guó)外域名解析商cloudflare ,注冊(cè)賬號(hào)非常簡(jiǎn)單快捷，不用提供任何個(gè)人信息。

一般CDN提供商都會(huì)向用戶(hù)提供域名管理界面，這個(gè)界面上填寫(xiě)要被保護(hù)的域名及源站公網(wǎng)IP地址（別名其實(shí)也可以）

這一步的主要作用是完成了引流。流量到了CDN了。

接下來(lái)就要把流量化成涓涓細(xì)流了，CDN一般自建有DNS服務(wù)器，根據(jù)客戶(hù)的域名及訪(fǎng)問(wèn)的源IP地址，把流量分到就近的數(shù)據(jù)中心，比如這個(gè)客戶(hù)指定用香港的線(xiàn)路，即把該客戶(hù)網(wǎng)站的流量指向香港的各個(gè)數(shù)據(jù)中心。這個(gè)導(dǎo)流其實(shí)也是依賴(lài)于DNS功能，因?yàn)镃DN DNS服務(wù)器上保留有這些節(jié)點(diǎn)的服務(wù)器（LVS 負(fù)載均衡服務(wù)器 或反向代理服務(wù)器）的公網(wǎng)IP地址。當(dāng)終端用戶(hù)完成DNS查詢(xún)獲取到節(jié)點(diǎn)服務(wù)器的公網(wǎng)地址后，用戶(hù)直接通過(guò)路由訪(fǎng)問(wèn)CDN 節(jié)點(diǎn)數(shù)據(jù)中心的LVS服務(wù)器，并通過(guò)LVS調(diào)用客戶(hù)源站W(wǎng)EB服務(wù)器及數(shù)據(jù)庫(kù)服務(wù)器。對(duì)于網(wǎng)站靜態(tài)頁(yè)面直接通過(guò)緩存服務(wù)器訪(fǎng)問(wèn)。從而極大的提高了訪(fǎng)問(wèn)速度，并增強(qiáng)了并發(fā)能力。

數(shù)據(jù)流是這樣的：

1） DNS查詢(xún)

最終用戶(hù)------www.xxx.com------CNAME WWW.cdn.com-----A記錄 Y.Y.Y.(1-100)

2） 數(shù)據(jù)訪(fǎng)問(wèn) 最終用戶(hù) ----------------y.y.y.(1-100):80

發(fā)現(xiàn)了什么了嗎，源站的公網(wǎng)IP地址被隱藏起來(lái)了，用戶(hù)只能查詢(xún)到CDN的公網(wǎng)IP地址。

會(huì)發(fā)現(xiàn)第一次訪(fǎng)問(wèn)往往比不用CDN服務(wù)還要慢，因?yàn)樾枰狢DN DNS查詢(xún)及調(diào)度。一旦完成DNS查詢(xún)，后續(xù)就又快又穩(wěn)。

由于CDN提供商往往在一個(gè)地方租用多個(gè)數(shù)據(jù)中心。所以完全不用擔(dān)心流量型DDOS攻擊了。道理很明顯，40G 流量分到10個(gè)數(shù)據(jù)中心就是4G了，分到100個(gè)呢？并且最多影響部分地區(qū)的，其實(shí)根本不會(huì)影響。

由于CDN提供商在某個(gè)數(shù)據(jù)中心都啟用了反向代理服務(wù)器所以也不用擔(dān)心CC攻擊了。如果數(shù)據(jù)中心有IPS等設(shè)備，技術(shù)型的漏洞攻擊的威脅也大大降低。

好了，你明白CDN是什么鬼了嗎？

CDN網(wǎng)絡(luò)架構(gòu)