前面有多次介绍Anycast的相关内容。这几年伴随每次cloudflare被大规模DDOS,Anycast被越来越多的人关注。
根据cloudflare的blog和公开的PPT,大致可以猜出其CDN的部署模式是下图
因为Cloudflare单个节点基本都在300G以上,全球就几十个节点。因此一般几百G的DDOS在网络层对Cloudflare无法构成威胁。cloudflare的风险点主要还是应用层的防护性能。
部署TCP的anycast时,需要注意的点:
1. 交换机的hash规则配置,节点内单个机器维护时hash结果会变,会引起闪断。这对于一般的HTTP服务影响不大,但是如果想改善体验,可以在应用服务器上同步好TCP session。
2. 隐藏自己的网络接口地址,不然traceroute找到中间网络接口地址,攻击者攻击中间链路是没法阻止的。
3. 各服务使用独立的anycast 地址,各服务异常时不会相互影响,服务异常时能自动撤销路由,但是注意得设置好quota,不热一些异常可能导致所有节点的路由都撤销了。
4. 确保global节点的具备足够的接入带宽,某些区域性的攻击过大,如果global节点能抗住可以把流量攻击引入到global节点处理。
-
近期文章
近期评论
- pm发表在《bind 9.11 ECS基本测试》
- liyong发表在《bind 9.11 ECS基本测试》
- liyong发表在《全球BGP Looking Glass》
- pm发表在《DNS解析时间与访问量 TTL的关系》
- 龙发表在《DNS解析时间与访问量 TTL的关系》
归档
- 2023年4月
- 2020年6月
- 2019年10月
- 2019年9月
- 2019年4月
- 2018年11月
- 2018年8月
- 2018年7月
- 2018年6月
- 2018年2月
- 2018年1月
- 2017年12月
- 2017年10月
- 2017年5月
- 2017年3月
- 2017年2月
- 2017年1月
- 2016年12月
- 2016年11月
- 2016年8月
- 2016年7月
- 2016年5月
- 2016年3月
- 2016年2月
- 2016年1月
- 2015年12月
- 2015年11月
- 2015年8月
- 2015年5月
- 2015年4月
- 2015年3月
- 2015年1月
- 2014年12月
- 2014年10月
- 2014年6月
- 2014年5月
- 2014年4月
- 2014年3月
- 2014年2月
- 2014年1月
- 2013年12月
- 2013年11月
- 2013年10月
- 2013年9月
- 2013年8月
- 2013年7月
- 2013年6月
- 2013年5月
- 2013年4月
- 2013年3月
- 2013年2月
- 2013年1月
- 2012年12月
- 2012年11月
- 2012年10月
- 2012年9月
- 2012年8月
- 2012年7月
- 2012年6月
- 2012年5月
分类
其他操作
blog
友情链接
有用的网站