将我的服务开放给用户 | 青训营笔记

yhstsy
255 阅读10分钟

接入问题引入

经典问题:浏览器输入网站域名 www.xxx.com 到网页加载来,都经历了哪些过程?

  • ①域名解析
  • ②TCP建立连接
  • ③SSL握手
  • ...

浏览器抓包

可以通过F12进入开发者工具,点击网络选项进行抓包。

  • 抓包的具体过程:
  1. DNS解析
  2. TCP建连
  3. TLS握手
  4. HTTP请求发送

企业接入升级打怪之路

使用域名系统

Host管理

  • 背景:example公司建立了多个内部站点,公司的主机表包括办公(aa.example.com)、文档(wiki.example.com)、员工认证(passport.example.com)、人事(people.example.com)。
  • 方法:网络运维人员使用主机表的方式来管理Host到IP的映射。即Host->ip映射
  • 访问:员工通过HTTP协议来拉取Host的配置,从而达到访问不同系统的目的。
  • 问题:随着example公司业务规模和员工数量的增长,问题出现:
    • 流量和负载:用户规模⬆,文件大小⬆,统一分发引起较大的网络流量和cpu负载
    • 名称冲突:无法保证主机名称的唯一性,同名主机添加导致服务故障
    • 时效性:分发靠人工上传,时效性太差

使用域名系统

  • 改进措施:使用域名系统(域名空间)替换hosts文件
    • 关于域名空间:
    1. 域名空间被组织成树形结构

    2. 域名空间通过划分zone的方式进行分层授权管理

    3. 全球公共域名空间仅对应一棵树

    4. 根域名服务器:查询起点

    5. 域名组成格式:[a-zA-Z0-9_-],以点划分label
  • 域名:根->顶级域名(.edu教育、.com商业、.mil军事、.org非营业组织)->二级域名->三级域名->四级域名

域名购买与配置迁移

  • 购买二级域名:example.com
  • 修改配置:清空/etc/hosts。配置/etc/resolv.conf中nameservers为公共DNS。迁移原配置,通过控制台添加解析记录即可。

如何开放外部用户访问

  • 方案:租赁一个外网IP,专用于外部用户访问门户网站,将 www.example.com 解析到外网IP100.1.2.3,将该IP绑定到一台物理机上,并发布公网route,用于外部用户访问。

自建DNS服务器

问题背景

  • 内网域名的解析也得出公网去获取,效率低下
  • 外部用户看到内网IP地址,容易被hacker攻击
  • 云厂商权威DNS容易出故障,影响用户体验
  • 持续扩大公司品牌技术影响力,使用自己的DNS系统(包含内外网)

DNS查询过程

  1. 主机发出访问 www.163.com 请求。
  2. 本地DNS服务器发现缓存里没有这个IP地址,向DNS根服务器询问。
  3. DNS根服务器告诉本地DNS服务器可以去.com域服务器查询,本地DNS服务器向.com域服务器询问。
  4. .com域服务器告诉本地DNS服务器可以去163.com域服务器查询,本地DNS服务器向163.com域服务器询问。
  5. 163.com域服务器查询得出此域名IP地址为1.1.1.1并返回给本地DNS服务器。
  6. 本地DNS服务器返回查询结果给主机,并将“www.163.com 的IP是1.1.1.1”的信息存入缓存。

DNS记录类型

  • A/AAAA:IP指向记录,用于指向IP,前者为IPv4记录,后者为IPv6记录
  • CNAME:别名记录,配置值为别名或主机名,客户端根据别名继续解析以提取IP地址
  • TXT:文本记录,购买证书时需要
  • MX:邮件交换记录,用于指向邮件交换服务器
  • NS:解析服务器记录,用于指定哪台服务器对于该域名解析
  • SOA记录:起始授权机构记录,每个zone有且仅有唯一的一条SOA记录,SOA是描述zone属性以及主要权威服务器的记录

权威DNS系统架构

常见的开源DNS:bind、nsd、knot、coredns

接入HTTPS协议

问题背景

  • 页面出现白页/广告
  • 返回了403的页面
  • 搜索不了东西
  • 搜索问题自带小尾巴,页面闪退频繁
  • 页面弹窗广告 👉HTTP明文传输,弊端越来越明显 ✅解决办法:将HTTP替换为HTTPS

对称加密和非对称加密

  • 对称加密:加密数据在传输过程中是无规则的乱码,即使被第三方获取,在没有密钥时也无法解密数据,从而保证数据的安全性。
    • 问题:双方都要使用相同的密钥,在传输数据前要将密钥从一方传输给另一方,这样密钥在传输过程中就有可能被截获。
  • 非对称加密:加密和解密采用两个不同的密钥,也就是公钥(锁头)和私钥(钥匙)。公钥和私钥是一对,使用公钥加密就需要私钥解密,私钥加密就公钥解密。
    • 例子:服务器拥有公钥和私钥。当客户端发起请求后,服务器将公钥返回给客户端。客户端生成密钥KEY,使用公钥加密后发送给服务器。服务器利用私钥解密获得密钥KEY。之后,双方使用密钥KEY进行对称加密传播。

SSL的通信过程

服务器和客户端都拥有以下四个属性:

  • client random
  • server random
  • premaster secret
  • 加密算法协商 由此生成对称密钥session key。

证书链

公钥存在证书,Server端发送是带签名的证书链,client收到会仍然需要验证:

  • 是否是可信机构颁布
  • 域名是否与实际访问一致
  • 检查数字签名是否一致
  • 检查证书的有效期
  • 检查证书的撤回状态 此外,服务端会在发送前将证书摘要信息用私钥加密生成数字签名,客户端收到后用公钥解密数字签名,如果与证书摘要信息一致则说明传输无误。

使用https

https比http安全。

接入全站加速

问题背景

  • 源站容量低,可承载的并发请求数低,容易被打垮
  • 报文经过的网络设备越多,出问题的概率越大,丢包、劫持、mtu问题
  • 自主选路网络链路长,时延高
  • 由此造成客户端响应慢、卡顿。 👉极大的流失了大部分的用户群体,NPS留存率数据不乐观。

解决方案

  • 源站容量问题:增加后端机器扩容;静态内容,使用静态加速缓存
  • 网络传输问题:动态加速DCDN
  • 全站加速:静态加速+动态加速

静态加速CDN

  • 针对静态文件传输,网络优化方式: 通过将服务器上的内容缓存到cdn节点上。当访问静态内容时,无需再访问源站,通过就近访问cdn节点就可达到相同的结结果,从而达到加速的效果,同时减轻了源站服务器的压力。此时主机从本地DNS获取的不是源站DNS的结果,而是cdn节点的解析结果。cdn使用自动调度DNS,根据静态拓扑等算法把一些合适的地址返回给client,并缓存地址。
  • 优点:解决服务器端的“第一公里”问题、缓存甚至消除了不同运营商之间互联的瓶颈造成的影响、减轻了各省的出口带宽压力、优化了网上热点内容的分布

动态加速DCDN

针对POST等非静态请求等不能再用户边缘缓存的业务,基于智能选路技术,从众多回源线路中择优选择一条线路进行传输。

DCDN原理

DCDN会计算从用户到核心、用户到边缘、边缘到汇聚、汇聚到核心等的RTT(Round Trip Time)时间,然后进行常规请求耗时计算,选择最优路径。

使用全站加速

  • 用户首次登录抖音,注册用户名手机号等用户信息:动态加速DCDN
  • 抖音用户点开某个特定短视频加载后观看:静态加速CDN
  • 用户打开头条官网进行网页浏览:静态加速CDN+动态加速DCDN

四层负载均衡

问题背景

  • 服务混杂,端口多,部门人员在执行操作的时候可能会出错
  • 把所有的服务都部署在一台物理机上,如果物理机突然挂掉,容灾怎么处理?

四层负载均衡

基于IP+端口,利用某种算法将报文转发给某个后端服务器,实现负载均衡地落到后端服务器上。

  • 三个主要功能:
  1. 解耦vip和rs
  2. NAT
  3. 防攻击:syn proxy

常见的调度算法原理

  • RR轮询:Round Robin,将所有的请求平均分配给每个真实服务器RS
  • 加权RR轮询:给每个后端服务器一个权值比例,将请求按照比例分配
  • 最小连接:把新的连接请求分配到当前连接数最小的服务器
  • 五元组hash:根据sip、sport、proto、dip、dport对静态分配的服务器做散列取模
    • 缺点:当后端某个服务器故障后,所有连接都重新计算,影响整个hash环
  • 一致性hash:只影响故障服务器上的连接session,其余服务器上的连接不受影响

常见的实现方式FULLNAT

  • 包含入向流和出向流。
  • 在发出外网报文请求后,会经过外网核心设备,然后再转发给4层负载均衡GW。GW通过VIP接收请求,但是在内部不能把VIP当作client,所以GW的另一个网卡绑定了LIP,LIP是一个内部IP,能够通过new一个IP与RS进行通信,从而将请求转发给RS,再转发给物理机,然后物理机再将请求回传给GW,然后GW再把请求通过IP转换,通过VIP回传给client。 ❓RS怎么指定真实的CIP? 👉通过TCP option字段传递,然后通过特殊的内核模块反解

4层负载均衡特点

  • 大部分都是通过dpdk技术实现,技术成熟
  • 纯用户态协议栈,kernel bypass,消除协议栈瓶颈
  • 无缓存,零拷贝,大页内存(减少cache miss)
  • 仅针对4层数据包转发,小包转发可达到限速,可承受高cps

7层负载均衡

问题背景

  • 四层负载对100.1.2.3只能bind一个80端口,而有多个外部站点需要使用,该如何解决? 还有以下问题:
  • SSL卸载:业务端是http服务,用户需要用https访问
  • 请求重定向:浏览器访问toutiao.com自动跳转 www.toutiao.com
  • 路由添加匹配策略:完全、前缀、正则
  • Header编辑
  • 跨域支持
  • 协议支持:websocket、grpc、quic

Nginx简介

  • 最灵活的高性能web server,应用最广的7层反向代理。
  • 模块化设计,较好的扩展性和可靠性
  • 基于master/worker架构设计
  • 支持热部署:可在线升级
  • 不停机更新配置文件、更换日志文件、更新服务器二进制
  • 较低的内存消耗:1万个keep-alive连接模式下的非活动连接仅消耗2.5M内存
  • 事件驱动:异步非阻塞模型,支持aio、mmap(内存映射)

Nginx反向代理

  • 代理服务器功能:Keepalive、访问日志、url rewrite重写、路径别名、基于ip的用户的访问控制、限速及并发连接数控制

事件驱动模型

将每种动作都归纳成一个个独立的事件,而事件之间相互独立,没有影响。可以理解成一个个任务task,然后给每一个task设置一个回调函数。在系统中启动多线程,每一个线程监听一个事件的队列,如果队列不为空,就从队列中取出相应的对象执行回调函数即可。

动手实践

DNS服务器搭建

4层负载均衡实验

开源的解决方案:LVS(Linux虚拟服务器)+keepalived

7层负载均衡实验

SSL自签证书实验

将本地http服务开放给用户

服务开发前期,低成本地让别人访问自己的服务:Ngork

复习总结

image.png

avatar
文章
阅读
粉丝