首页 > 其他分享 >接入层高可用架构设计:EdgeOne实战

接入层高可用架构设计:EdgeOne实战

时间:2023-10-21 09:22:06浏览次数:42  
标签:架构设计 EO 接入 源站 域名 EdgeOne 组件 层高 加速

1. 背景

接触多家客户后,发现大家的接入层架构大都如下图所示,WAF/DDoS组件客户要么选其中之一,要么都不选或自荐。CLB后面挂CVM,CVM上面部署Nginx或者Kong等组件。从这个架构图可以看出,客户有考虑高可用,但仅关注自己的组件层面,没有关注外部基础设施(如DNS)、政策法规的影响、运营商链路的不稳定性等,所以往往并不不全面。要分析优化这个问题,就要先搞清楚接入层定义、接入层故障域和经典接入层架构的不足。
image

2. 什么是接入层

2.1 狭义接入层

我们通常理解的接入层,是直面用户的系统组件,具有公网IP的设备,如负载均衡器、公网Nginx、自研gateway等,从实践经验来看,大家讨论比较多的接入层高可用、稳定性往往是这个层面。(参考上面几种接入层架构图)

2.2 广义接入层

思考一下用户的请求是怎么到业务系统的?用户首先打开终端(浏览器、APP等),然后需要经过dns服务器解析出来域名的目标IP,然后经过公网,访问到了我们业务系统的公网组件;隐藏在其中的还有DNS的递归解析、运营商网络设备、国家管局的管控等。所有这些事项,都跟用户访问成功有关,我称它为广义接入层。如下图:
image

2.3 结论

那我们讨论接入层建设时,应该采用广义视角还是狭义视角?试想,如果运营商网络拥塞、路由绕行,用户访问你业务的请求没办法达成或延迟升高、此时你能说自己业务的可用性好么?所以,为了保证可用性,我倾向于从广义接入层角度来考虑稳定性建设。

3.接入层的故障域与应对方案

定义清楚我们要解决的接入层问题后,先看看接入层都会遇到什么样的故障以及潜在的应对方式。从下表(当然还有其他故障)可以看出,接入层的故障来源是多维度的,就需要我们针对每个维度做特定的设计。
image

4. 接入层实战

如果要实现上面故障域的解决,需要投入大量成本,比如自建接入点+自建专线;引入更多的故障点,比如访问链路上增加了DDoS/WAF;相应的运维成本也有极大的增加。还好云服务给我们带来了福音,这些功能都可以打包成一个服务。下面以腾讯云的EdgeOne为例,展示通过这个组件实现我们接入层稳定性实战。开始下面的文章之前,要先将域名接入EO,具体步骤参考官网(已经很清晰了)边缘安全加速平台 EO 从零开始快速接入 EdgeOne-快速入门,这里不再赘述

4.1 DNS故障和政策法规

4.1.1 单域名被封禁

域名被封禁,如果有备用域名,业务就不会立马中断,有时间去争取尽快解封。大概的流程是:
1、 先创建加速域名
image

2、 将备用域名解析到加速域名。这里可以接入test.xx.com和test2.xx.com做测试
image

具体操作参考边缘安全加速平台 EO 通过别称域名批量接入

4.1.2 Local DNS被劫持

可以借助HttpDNS,把备用域名通过CNAME解析到目标加速域名上,加速域名不对外提供服务,就可以规避Local DNS被劫持的问题。

4.2 接入层组件

采用EO后,接入层变成了如下架构:
image

从架构图可以看出,潜在风险在于EO集群可用性、源站可用性,这里EO产品也给出了高可用解决方案

4.2.1 源站高可用

从EO角度,源站高可用主要是指EO回源的冗余。EO提供了源站组的功能实现冗余。
1、新建源站组
image

2、添加域名
image

3、加速API
image

4、 配置成功
image

5、 验证访问加速域名,结果在0、1两个页面轮流出现
image

把0对应的设备关机够,页面就仅出现1了。ps:第一次需要等0对应的设备超时后,后面才会一直到1对应的设备。
image

由此可见,EO本身可以作为负载均衡器使用,用于后端配置多源站,实现源站高可用。

4.2.2 跨云调度实现

EO灾备从系统角度,EO本身也会出问题。EO提供了跨云调度的功能,实现EO本身的冗余。与源站高可用类似,可以将加速域名分配多加速服务上,按地域实现调度。当某个服务商故障时,可修改策略或走默认策略,实现跨云间调度
image

具体操作参考:边缘安全加速平台 EO 通过流量调度至多厂商服务-最佳实践-文档中心-腾讯云

4.3 运营商传统经过运营商的网络,对用户来讲是一个黑盒;采用EO后,我们就可以通过智能路由动态选路,如下图

image

4.3.1 CNAME加速

传统业务采用CDN时,大都采用CNAME方式,解析耗时相对于A记录,会有N倍的增加。原理如下:传统解析路径,一个CNAME解析会有多次交互
image

经过CNAME加速后,一次交互即可拿到结果,与A记录一致。
image

验证过程
1、 准备加速域名
image

2、 准备别称域名
image

3、 验证方式通过dig命令,来测试加速域名的目标域名及别称域名,如下图:
image

4、 验证结果
image

从上表可见,加速生效了

4.3.2 静态内容加速

大家都比较熟悉了,边缘节点更贴近用户,有效降低了数据访问时间延迟,避免数据传输抖动,保障大量数据传输的稳定性和有效性。

4.3.3 对于动态内容加速

原本用户访问是走公网传输,具体路径不可控导致延时不可控。从上面访问链路图可以见,EO产品借助自建专线提供了动态数据加速,跨国加速,智能路由优化等加速特性,保证高效支撑对时延敏感的相关业务。EO边缘节点到源站速度,经过专线加速后,相当于走了高速公路,避免路由绕行、拥塞的烦恼。
1、启用智能加速
image

2、配置加速域名
image

3、配置动态加速引擎
image

4、 测试结果通过下面测试,可以看出,相比于直通源站,加速后的域名离用户更近;然后加速节点走内网到达源站
image

4.4 安全提升

4.4.1 DDoS

分布式拒绝服务攻击(Distributed Denial of Service,DDoS)是指攻击者通过网络远程控制大量僵尸主机向一个或多个目标发送大量攻击请求,堵塞目标服务器的网络带宽或耗尽目标服务器的系统资源,导致其无法响应正常的服务请求。传统的防御方式,是在单一入口,提供更高的带宽+清洗能力来硬扛。但单一地域的带宽总有上限,而EO可以借助多地能力,最高支撑T级的防护带宽,安全感十足。防护种类也比较丰富,可以对SYN、ACK、ICMP等数据包做防护。

4.4.2 Web攻击

对于大部分互联网人员来说,SQL 注入、CC攻击、XSS 攻击、开源组件漏洞等多种攻击方式都不陌生,要么是自研WAF进行防御,要么是借助云厂商的WAF。现在EO默认集成了这些功能,运维成本、组件成本大大降低。

5. 其他

本文仅从基础设施角度展开接入层该有的样子,并没有讨论接入层的业务属性,比如降级、限流、熔断、统一认证等功能,预计后面展开聊聊。从整体功能来看,EO可以做到一站式的实现接入层的稳定性建设,值得尝试。对内容有任何疑问,可以在评论区找我留言讨论。

标签:架构设计,EO,接入,源站,域名,EdgeOne,组件,层高,加速
From: https://www.cnblogs.com/xiaoxiaodou2020/p/17776512.html

相关文章

  • 【玩转 EdgeOne】边缘安全加速平台EO给自己的技术博客插上“翅膀”
    作为一个技术博客爱好者,不知不觉已经在程序员行业将近十年了,写技术博客也有将近七年的时间,其中我也搭建了一个自己的技术博客,因为服务器购买的是比较低配的云服务器,技术博客的访问速度不是很理想。近期发现腾讯云推出的边缘安全加速平台可以起到访问加速和安全防护的作用,我这边非常......
  • ZEGO音视频服务的高可用架构设计与运营
      前言:ZEGO即构科技作为一家实时音视频的提供商,系统稳定性直接影响用户的主观体验,如何保障服务高可用且用户体验最优是行业面临的挑战,本文结合实际业务场景进行思考,介绍 ZEGO即构在高可用架构和运营上所进行的探索和实践,希望对大家能有所帮助或启发。一、背景与挑战全......
  • 架构设计如何绘图?
    很多同学技术能力很强,架构设计也做得很好,但是在给别人讲解的时候,总感觉像是“茶壶里煮饺子,有货倒不出”。其实,在为新员工培训系统架构、给领导汇报技术规划、上技术大会做演讲或者向晋升评委介绍工作贡献的时候,如果你能画出一张优秀的 软件系统架构图,就可以大大提升自己的讲解......
  • C#软件架构设计原则
    软件架构设计原则学习设计原则是学习设计模式的基础。在实际的开发过程中,并不是一定要求所有的代码都遵循设计原则,而是要综合考虑人力、成本、时间、质量,不刻意追求完美,要在适当的场景遵循设计原则。这体现的是一种平衡取舍,可以帮助我们设计出更加优雅的代码结构。分别用一句话......
  • 聊聊企业级消息推送的架构设计(001)
    最近有小伙伴拿到了一线互联网企业如阿里、网易、有赞、希音、百度、网易、滴滴的面试资格,遇到一几个很重要的面试题:企业级消息通知系统有哪些需求?如何满足?企业级消息通知系统,该如何做架构设计?所以,这里今天给大家做一下系统化、体系化的梳理,使得大家可以充分展示一下大家雄厚......
  • 直播预约丨《实时湖仓实践五讲》第二讲:实时湖仓功能架构设计与落地实战
    如今,大规模、高时效、智能化数据处理已是“刚需”,企业需要更强大的数据平台,来应对数据查询、数据处理、数据挖掘、数据展示以及多种计算模型并行的挑战,湖仓一体方案应运而生。《实时湖仓实践五讲》是袋鼠云打造的系列直播活动,将围绕实时湖仓的建设趋势和通用问题,邀请奋战于企业数......
  • 2023年软考-系统架构设计师论文预测
    2023年11月4日软考-系统架构设计师论文预测:微服务:一种云原生架构方法,在单个应用中包含众多松散耦合且可单独部署的小型组件或服务层次风格:数据访问层、业务逻辑层、表示层基于架构的软件开发:ABSD有三个基础,功能拆分、架构风格、使用软件模板。它强调由商业、质量和功能需求的组合驱......
  • 复杂系统的架构设计与开发(节选一)
    本文内容摘自《系统架构. 复杂系统的产品设计与开发》系统架构原则涌现原则(2.2.2节) 当各实体拼合成一个系统时,实体之间的交互会把功能、行为、性能和其他内在属性涌现出来。 整体原则(2.4.3节) 每个系统都作为某一个或某些个大系统的一小部分而运作,同时,每个系统中......
  • 系统架构设计师论文范文
    论文目录一、论基于DSSA的软件架构设计与应用二、论基于Rest服务的web应用系统设计三、论软件可靠性设计与应用一论基于DSSA的软件架构设计与应用【摘要】去年三月份,我所在的公司启动国网电力用户用电信息采集系统项目,我被任命为项目负责人。国网电力用户用电信息采集系统是国家电......
  • 架构师必须掌握的架构设计原则
    软件设计原则GRASP通用职责分配软件模式来自CraigLarman的软件设计书《UML和模式应用》,Larman在书中提出软件设计的关键任务是职责分配,并提炼总结出9种(5种核心+4种扩展)软件职责分配模式,这些模式是比GoF设计模式更抽象的元模式。信息专家(InformationExpe......