1 接入HTTPS协议
1.1 问题背景
白页/403/无法搜索/弹窗广告 原因:中间运营商抓取了请求并篡改了响应 HTTP明文传输的安全问题
HTTP -> HTTPS
1.2 对称加密和非对称加密
对称加密:一份秘钥
非对称加密:公钥和私钥
1.3 SSL通信过程
- client random
- server random
- premaster secret
- 加密算法协商
- ->对称秘钥 session key
1.4 证书链
公钥存在于证书链
server端发送带签名的证书链
client收到需验证:是否可信机构颁布/域名是否一致/数字签名是否一致/有效期/撤回状态
证书链如何验签:证书摘要信息->数字签名
2 接入全站加速
2.1 问题背景
- 源站容量低,可承载的并发请求数量低,易被打垮
- 保温经过的网络设备越多,出现丢包、劫持、mtu等问题的概率越大
- 自主选路网络链路长,时延高 ->响应慢、卡顿
2.2 解决方案
源站容量问题:解决后端机器扩容;静态内容,使用静态加速缓存
网络传输问题:动态加速DCDN
全站加速:静态加速 + 动态加速
2.3 静态加速CDN
就近访问
将静态的资源分发到位于多个地理位置机房中的服务器(CDN节点)上,因此它能很好地解决数据就近访问的问题,也就加快了静态资源的访问速度。
2.4 动态加速DCDN
用户发起动态请求
智能选择性能与稳定性最优路径
动态请求通过最优路径快速回源
3 四层负载均衡
3.1 问题背景
在运营商处租用的公网ip,如何在企业内部使用最合理?
用物理机,ifconfig将网卡配上ip,起server监听
应用多,起多个server监听不同端口
如何充分利用和管理有限的公网ip资源
3.2 4层负载均衡
基于IP+端口,利用算法将报文转发给某个后端服务器,实现负载均衡的落到后端服务器上
内部请求被转发到不同服务器上
功能:
- 解耦vip和rs,应用服务灵活地指向后端,可以灵活扩缩容
- NAT,不作请求的任何处理而是转发给后端,作流量代理
- 防攻击:syn proxy,拦截攻击
原理:
- RR轮询: Round Robin, one by one 平均分配
- 加权RR轮询:给每个后端服务器一个权值比例,请求按比例分配
- 最小连接:把新的连接请求分配到当前连接数最小的服务器
- 五元组hash:根据sip、sport、proto、dip、dport对静态分配的服务器做散列取模
- 一致性hash:只影响故障服务器的连接session
