这是我参与「第三届青训营 -后端场」笔记创作活动的的第7篇笔记
企业接入升级打怪之路
域名系统
host管理
example公司 主机表 Host->ip 映射
使用域名系统替换hosts文件
关于域名空间:
- 域名空间被组织成树形结构
- 域名空间通过划分zone的方式进行分层授权管理
- 全球公共域名空间仅对应一棵树
- 根域名服务器:查询起点
- 域名组织格式:[a-zA-z0-9_-],以点划分label
- 报文格式看起来是一串二进制 开放外部用户访问: 方案:租赁一个外网ip,将域名解析到外网ip,将ip绑定到一台物理机上,并发布公网route,用于外部用户访问。
自建DNS服务器
问题背景
- 内网域名的解析也得去公网去获取,效率低下。
- 外部用户看到内网ip地址,容易被攻击
- 云厂商权威DNS容易出故障,影响用户体验
- 持续扩大公司品牌技术影响力,使用自己的DNS系统。 从公有云扩展->构建自己的DNS系统
DNS查询过程
DNS记录类型
A/AAAA: IP指向记录,用于指向IP,前者为IPv4记录,后者为IPv6记录
CName: 别名记录,配置值为别名或主机名,客户端根据别名继续解析以提取IP地址
TXT: 文本记录,购买证书时需要
MX: 邮件交换记录,用于指向邮件交换服务器
NS:解析服务器记录,用于制定哪台服务器对于该域名解析
SOA记录:起始授权机构记录,每个zone有且仅有唯一的一条SOA记录,SOA是藐视zone树形以及主要权威服务器的记录
权威DNS系统架构
站在企业角度考虑,我们需要的是 权威DNS、localDNS可选。 常见的开源DNS: 最常见的bind
用户先发起一个DNS Query,DNS服务器给用户一个DNS Response,管理员如果发现DNS需要更新,就发送DNS Update,系统把结果返回给控制器下发端。DNS是主从模式,master收到更新后,发出DNS Notify给slave,更新号已经变更,是否需要同步,slave进行同步。slave发送DNS XFR请求,把变更记录和拉取过来。
HTTPS协议
- HTTP-->HTTPS
- 对称加密和非对称加密
- 对称加密:一份秘钥,可能被截获
- 非对称加密:公钥和私钥
SSL的通信过程
- client random
- server random
- premaster secret
- 加密算法协商
接入全站加速
外部用户访问访问站点,会出现的问题:
- 源站容量低,可承载的并发请求数低,容易被打垮
- 报文经过的网络设备越多,出问题的概率越大,丢包、劫持、mtu问题
- 自主选路网络链路场,时延高
源站容量问题
增加后端机器扩容;静态内容,使用静态加速缓存
静态加速CDN
- 解决服务器端“第一公里”问题
- 缓解甚至消除了不同跟运营商之间互联瓶颈造成的影响
- 减轻了各省出口带宽压力
- 优化了网上热点内容的分布
动态DCDN
针对POST等非静态请求等不能再用户边缘缓存的业务,基于智能选路计数,从众多回源线路中择优一条线路进行传输
4层负载均衡
基于IP+端口,利用某种算法将报文转发给某个后端服务器,实现负载均衡地落到后端服务器上
主要功能
1、解耦vip和rs
2、NAT
3、防攻击:syn proxy
常见的调度算法
- RR轮询:Round Robin,将所有的请求平均分配给每个真实服务器RS
- 加权RR轮询:给每个后端服务器一个权值比例,将请求按照比例分配
- 最小链接:把新的连接请求分配到当前连接数最小的服务器
- 五元组hash:根据sip、sport、proto、dip、dport对静态分配的服务器做散列取模(缺点:当后端某个服务故障,所有连接都重新计算,影响整个hash环)
- 一致性hash:之影响故障服务器上的连接session,其余服务器的连接不受影响
7层负载均衡
nginx
