資源描述:
《網(wǎng)站CDN架構(gòu)方案完工報告文庫》由會員上傳分享����,免費(fèi)在線閱讀���,更多相關(guān)內(nèi)容在工程資料-天天文庫��。
1����、CDN分布式發(fā)布系統(tǒng)集群及抗攻擊網(wǎng)絡(luò)部署圖1�����、項冃描述本項目共使用6臺服務(wù)器做為部署資源�����,其屮1臺源服務(wù)器(電信接入)�,4臺cdn子節(jié)點(diǎn)服務(wù)器(電信接入1臺,優(yōu)化雙線2臺���,網(wǎng)通接入2臺),1臺父節(jié)點(diǎn)服務(wù)器���,監(jiān)控,FI志,備份服務(wù)器(電信接入)���,本項目的目標(biāo)為:1)保證電信網(wǎng)通用戶都能快速訪問網(wǎng)站����。2)保證服務(wù)器受到攻擊的同時能夠自動切換至其他節(jié)點(diǎn)服務(wù)器��,保證服務(wù)器訪問疋常���。3)保證斷點(diǎn)麻節(jié)點(diǎn)服務(wù)器能夠自動恢復(fù)工作��。4)提供H志及流量監(jiān)控查詢服務(wù)�����。5)項冃的節(jié)點(diǎn)服務(wù)器可隨時增減�。2、項冃實現(xiàn)原理本次項目將使用Squid集群(sibl
2��、ing模式)����,共使用1臺父服務(wù)器��,4臺子服務(wù)器�����,1臺源服務(wù)器��,當(dāng)用戶訪問時經(jīng)過DNS輪詢服務(wù)器分發(fā)到4臺子CDN服務(wù)器上獲取網(wǎng)站內(nèi)容,如子CDN服務(wù)器上沒有緩存數(shù)據(jù)則與父服務(wù)器通訊獲取緩存�,如父服務(wù)器也沒有緩存則父服務(wù)器與源服務(wù)器通訊獲取數(shù)據(jù)。所有的子CDN服務(wù)器為集群模式�,實時監(jiān)控同級服務(wù)器的存活悄況�����,如果同伴服務(wù)器無響應(yīng)則不做數(shù)據(jù)包轉(zhuǎn)發(fā)處理��,CDN了服務(wù)器僅提供數(shù)據(jù)流量和cache生成��,并作為攻擊bl標(biāo)暴霜在公網(wǎng)地址上�����,父服務(wù)器僅作為子服務(wù)器與源服務(wù)器通訊的橋梁提供原始數(shù)據(jù)供給cache生成。(如下圖)>Source3�����、解決南
3����、北互通問題示意圖當(dāng)用八訪問吋�����,倫詢服務(wù)器做出響應(yīng)���,根據(jù)來源地址的網(wǎng)絡(luò)情況判斷來確定轉(zhuǎn)發(fā)的目標(biāo)子CDN服務(wù)器���,具體如下圖4���、防攻擊原理當(dāng)攻擊來臨時����,所冇的數(shù)據(jù)包將被分發(fā)至4個了服務(wù)器�����,當(dāng)數(shù)據(jù)包堵塞的時候了服務(wù)器當(dāng)札新的請求將被轉(zhuǎn)至新的了服務(wù)器�����。當(dāng)攻擊停止時ICMP值降低�����,服務(wù)器恢復(fù)請求�����。圖中紅色線路:為DDOS攻擊及處理流程示意線。淡藍(lán)色線:為用戶避開DDOS后訪問示意線�。紫色線:為不和川戶統(tǒng)一線路的空閑服務(wù)器(經(jīng)過南北互聯(lián)優(yōu)化處理后的結(jié)果)示意線。深藍(lán)色線:為空閑未使用的服務(wù)器示意線�。橘黃色線:為子/父加速服務(wù)器返回請求緩存示意線
4��、��。黑色線:為源服務(wù)器與父服務(wù)器之間的通訊示意線�。5�、項目進(jìn)展紀(jì)要2011/10/8進(jìn)行CDN整體架構(gòu)方案設(shè)計一���,并提交項目策劃書�����。2011/10/9進(jìn)行服務(wù)器硬件采購,快遞�,安裝���,配置等工作����。2011/10/15幫助配置源服務(wù)器網(wǎng)絡(luò)環(huán)境,并完成CDN整體架構(gòu)���。2011/10/16動態(tài)加速配置完成,并重新改寫規(guī)則���。2011/10/17遭受攻擊,重新設(shè)計分配物理環(huán)境�����。2011/10/18改寫防CC攻擊規(guī)則���,增加抵抗力。2011/10/19遭受大規(guī)模攻擊�����,舍棄第一次部署的轉(zhuǎn)發(fā)服務(wù)器,改為父服務(wù)器��,重新架構(gòu)����。2011/10/20又遭受大規(guī)
5、模攻擊�,啟用DDOS防火墻緊急預(yù)案,將IP導(dǎo)入重點(diǎn)觀察列表2011/10/21再次大規(guī)模DDOS攻擊�,但由于冇防火墻���,了節(jié)點(diǎn)IP被封2個��,網(wǎng)站可以繼續(xù)打開,當(dāng)L1更換2個子節(jié)點(diǎn)IP��。2011/10/22增加安全策略�����,屏蔽ICMP數(shù)據(jù)包�����。2011/10/27遭受攻擊網(wǎng)通1個IP被封��,于當(dāng)日晚上更換IP,未影響網(wǎng)站訪問�。2011/10/28大規(guī)模DDOS攻擊,但耒能影響網(wǎng)站訪問����。2011/10/30大規(guī)模DDOS攻擊,但未能影響網(wǎng)站訪問����。2011/11/3搜索引擎蜘蛛爬行侑問題反饋,得到解決���。2011/11/12新增一臺子節(jié)點(diǎn)。201
6�、1/11/14幫助配置偽靜態(tài)環(huán)境��。2011/11/15驗證碼緩存錯誤����,解決,并得到用戶穩(wěn)定性的認(rèn)可���。6��、項目整體說明1)4臺子節(jié)點(diǎn)IP地址如下:103.22.228.32(優(yōu)化線路)103.22.229.130(優(yōu)化線路)202.109.143.75(江西省井岡山電信)220.248.126.118(上海網(wǎng)通)1臺父服務(wù)器IP地址如下:101.226.1.XXX(上海電信)1臺源服務(wù)器IP地址如下:101.226.1.xxx(上海電信)其中103.22.228.xxx���、103.22.229.xxx>220.248.126.xxx�����、
7����、101.226.l.xxx為客戶購買的服務(wù)器�,產(chǎn)權(quán)屬客八所有�����,硬件配置如下CPU:Intel(R)Xeon(R)CPUE5405@2.00GHz內(nèi)存:8G硬盤:500Gx2主板:IntelS5000PSL101.226.1.xxx為windows2003,其余服務(wù)器為Centos5.6101.226.1.xxx及202.109.143.xxx為額外提供給用戶的服務(wù)器��,產(chǎn)權(quán)屬兆民公司所有�����。冃前產(chǎn)權(quán)屬客戶所冇的服務(wù)器已全部交付給客戶使用�����,在確認(rèn)無誤的情況下客戶支付余款�,我司于全部款項支付口起每周為客戶提供服務(wù)器流最報表及服務(wù)器訪問口志
8�、(通過FTP動上傳至客戶源服務(wù)器內(nèi))���,并隨時提供技術(shù)支持服務(wù)��,為期1年。Tony2011/11/15
