网络接入问题
-
从输入url到内容加载出来都经历了什么?
-
可以通过浏览器手抓包来看一下
-
F12 打开network标签
-
大致可以分成四个步骤
-
DNS
-
TCP
-
TLS
-
HTTP请求
Host管理
-
Host -> ip映射
-
随着业务规模和员工数量的增加,有很多问题
-
流量和负载:文件越来越大,统一分发引起较大流量和负载
-
名称冲突:无法保证主机名的唯一性
-
时效性:分发靠人工上传,时效性很差
-
使用域名系统替换hosts文件
-
域名空间
-
树形结构
-
通过划分zone的方式进行分层授权管理
-
全球公共域名空间仅对应一颗树
-
根域名服务器:查询起点
-
域名组织格式:[a-zA-Z0-9_-] 点划分label
-
顶级域名gTLD(general Top-Level Domains):gov edu com mil org
-
购买与配置迁移
-
如果开放外部用户访问?
-
将域名解析到ip,将ip绑定到物理机上,并发布公网route,用于外部用户访问
-
自建DNS服务器
-
背景:
-
内网域名解析还得去公网获取,效率低
-
外部用户看到到内网ip,容易被hacker攻击
-
云厂商的DNS容易出故障,影响用户体验
-
DNS查询过程
-
先访问本地DNS服务器,本地没有的话它会去根服务器查询域服务器
-
DNS记录类型
-
A/AAAA IP指向记录,用于指向IP前者为v4后者为v6
-
CNAME 别名记录,配置值为别名或主机名,客户端根据别名继续解析以提取IP地址
-
TXT 文本记录,购买证书时需要
-
MX 邮件交换记录,用户指向邮件交换服务器
-
NS 解析服务器记录 用于指定哪台服务器对于该域名解析
-
SOA记录 起始授权机构记录,每个zone有且仅有唯一的一条SOA记录,SOA是描述zone属性以及主要权威服务器的记录
-
权威DNS系统架构
-
常见的开源DNS:bind,nsd,knot,coredns
-
接入HTTPS协议
-
对称加密和非对称加密
-
对称加密:一份密钥
-
非对称加密:公钥和私钥
-
SSL通信过程
-
client random
-
server random
-
premaster secret
-
加密算法协商
-
对称密钥 session key
-
证书链
-
Server端发送的是带签名的证书链
-
Client收到会需要验证
-
是否是可信机构颁布
-
域名是否与实际访问一致
-
检查数字签名是否一致
-
检查证书有效期
-
检查证书的撤回状态
-
证书摘要信息
-
接入全站加速
-
背景:外部用户访问站点
-
并发请求可能处理不过来
-
报文经过的网络设备越多,出问题概率越大,丢包、劫持、mtu问题
-
自主选路网络链路长,时延高
-
解决方案
-
源站容量问题
-
后端机器扩容;静态内容加速缓存
-
网络传输问题
-
动态加速DCDN
-
统称全站加速
本节思考:
感觉只听老师讲课录的视频是不够的,像非对称加密,权威DNS等都一知半解,需要多查点资料。
PS:为什么发布出来我的缩进全没了,掘金的这个文章到底是个什么,真是用不惯,markdown也不是markdown
