title: 企业网络接入
categories: 青训营
1.域名系统
1.1 Host管理
使用Host主机表来管理域名到地址的映射
使用Host模式出现的问题:
- 随着用户规模增长,流量和负载增加,引起负担增加
- 名称冲突
- 分发靠人工,时效性很差
1.2 使用域名系统
关于域名空间:
- 域名空间被组成成树形结构,通过划分zone方法进行分层授权
- 全球公共域名空间仅对应一棵树
- 根域名服务器是查询起点
使用域名系统需要购买域名并进行配置迁移,域名需要进行备案
如何开放外部用户访问:租赁一个外网IP,将网址映射到该IP上,并将该IP绑定到一台物理机上,并发布公网route
1.3 自建DNS服务器
原因:内网域名解析也需要到公网获取,效率低,而且外部用户可以看到内网IP地址,容易被黑客攻击
在企业角度,搭建权威DNS即可,LocalDNS可选
1.3.1权威DNS系统架构
权威DNS系统架构包括:
- DNS Query
- DNS Response
- DNS Update
- DNS Notify
- DNS XFR
请求时,用于先向LocalDNS发起请求,LocalDNS服务器再向我们的自建DNS服务器发起请求,最终得到IP地址
内网可以之间请求内部的权威DNS服务器
2.接入HTTP
2.1 常见加密
- 对称加密,公用一份密钥
- 非对称加密,有私钥和公钥,公钥加密只能私钥解密,若使用私钥加密只能用公钥解密
HTTPS:通信建立前使用非对称加密,通过公钥,私钥进行加密通信交换密钥,通信建立后使用对称加密,通过密钥加密通信,非对称加密速度慢,但可以安全交换密钥,对称加密速度快但无法安全交换密钥,因此使用混合加密模式
2.2 数字证书
数字证书唯一,由CA(数字证书认证机构)颁发,只要证书是可信的,公钥和私钥就是可信的,即通过数字证书验证公钥和私钥是否被伪造
本质还是数字签名算法,由CA持有私钥并颁发公钥,不同的是CA颁发的公钥已事先存储在客户端中,不会在通信过程中被篡改
数字证书通过证书链认证
2.3 接入全站加锁
背景:源站容量低,经过节点越多,丢包等问题就会越多,导致卡顿和响应慢
解决方案:
- 增加源站容量(静态加速)
- DCDN加速(动态加锁)
- 全站加速:增加源站容量并使用CDN
用户首次登录抖音并注册时,使用的是动态加速DCDN
用户打开某个特定的短视频加载后观看是静态加速CDN
用户打卡头条官网进行网页浏览是静态加速CDN+动态加速CDN
3.四层负载均衡
服务多而杂,只使用一台物理机接入IP会导致出现问题,而且若该物理机故障,所有服务都不可用
什么是负载均衡:
- 基于IP+端口,利用某种算法加报文转发给某个后端服务器,实现负载均衡地落到每一个后端服务器上
三个主要功能: 解耦VIP和RS,NAT和防攻击
3.1 常见调度算法原理
- RR轮查询
- 加强RR轮查询
- 最小连接
- 五元组hash
- 一致性hash
4.七层负载均衡
四层负载均衡对IP只能bind一个端口,若有多个外部站点需要使用,该如何解决
开源七层负载均衡:Nginx,模块化设计,具有较好的拓展性和可靠性,支持热部署
