上一篇寫到了 搭建高可用系統—機房架構,包括機房選擇,網絡架構,設備選型等,今天想寫一下DNS負載均衡,流量是如何進入到機房的,實際建設中應該怎麼選擇,應該考慮哪些要點。
負載均衡主要包括,DNS,LVS,Nginx反向代理等。
其中DNS負載均衡:
1、首先域名的購買,萬網在中國做到比較好的了也被納入了阿里系,購買後可以直接在阿里雲後臺管理也很方便。不過我個人比較喜歡用DNSPOD去做解析,創始人吳洪聲,大專學歷,85年廣東湛江人,2012年騰訊以4000萬元收購DNSPod100%股權,也實現財務自由了吧,羨慕,但沒有妒忌恨。
- DNSPod 可以支持根據不同運營商解析到指定的IP,另外有個更好用的一個功能是D監控,在其中一個IP中斷的時候,可以自動切換到指定的備用IP,這個是在DNSpod上面自動操作,對運維人員和Client是透明的,當然Client因爲DNS緩存不能立馬生效,免費版大概600s,普通商業版大概60s。但也起到較好的容災效果。
2、中等以上規模的網站一般不會把域名直接解析到機房IP,若機房IP暴露出去以後,很容易遭受到DDOS***,並且基本沒有很好的處理方法。
幾個點:
-
域名直接解析到機房IP會怎麼樣?
---相當於直接把家裏的詳細地址告訴***者,然後一萬匹草泥馬奔騰過來……哦哦 -
DDOS***可以用防火牆抗呀?
---SYNFlood、NTPFlood、CC等這種類型的DDOS***,還可以通過防火牆或者服務器策略本身進行一定抵抗,只要併發撐得住,或許也能抵擋得了,但是焦頭爛額了。如果是UDP 流量***,抗也抗不住了,相當於***者把一大卡車沙子放在家門口,後面卡車還源源不斷,這樣你別想出來,其他人也別想進去了,沒有任何辦法,就是這麼無賴。 - UDP *** 機房不是可以處理嗎?
---一般小的或者中立的機房帶寬都是有限的,如果來個10G流量***,機房很可能會放棄你,避免影響其他客戶。如果接連受***,機房頂不住,估計過兩天就會強制要你搬走了。 大的運營商有高防服務器,比如電信帶寬相對來說充足,可以幫你抵擋住,不過一般要按月計費費用不菲,這個成本也很高。
* 一般怎麼做才適合?
- 購買有實力的廠家的高防服務,以前用過安全狗還可以,這個與購買運營商機房的高防服務差不多,一般按月算,成本也比較有點高。
2.曾經做過一套方案是,在阿里雲上面開了兩臺Nginx做反向代理,把域名解析到這兩臺Nginx,然後再轉到機房的IP上面去,這樣可以把真實IP隱藏起來,另外開了兩臺ECS,日均幾百W PV問題也不大,1K/月差不多,真遭受到***,阿里雲有免費的抗DDOS服務,以前是5G內免費的,現在應該降低了,不過也基本夠用了。一般來說,如果沒有什麼仇什麼怨,也不會遭受幾十G的***,真有什麼仇什麼怨的話,阿里雲也可以支持按天付,成本比較低。
- 這種方案要根據實際情況關注ESC併發是否撐得住,如果有瓶頸可以升級下資源,另外也可以在Nginx上面多加一層LVS,達到橫向擴展高併發。
- 由於採用阿里雲的轉發,會帶來一定的延時,這個需要根據實際情況考慮地域延時的問題,Nginx ECS要選好適當的區域,避免造成教高延時。
3.總結來說,首先儘量不要暴露機房IP出去,其次如果購買DDOS高防服務,一定要買大廠的,最後在保證高可用的情況下,能幫老闆省就省點吧。