建一個菠菜網(wǎng)站需要考慮哪些因素呢，或者我們最擔心什么? 怕被攻擊，時不時的DDOS攻擊夠你喝一壺的；怕性能不夠，會員一多，訪問連接數(shù)太多，網(wǎng)站頂不住；怕網(wǎng)站響應慢，延時太大，網(wǎng)頁半天打不開。也許解決上述問題，有一堆的解決方案，但有沒有一個簡單粗暴的，特別有效的產(chǎn)品或方案對應呢？

[[242748]]

有，那就是CDN。但，為什么它就能解決上述問題呢？

網(wǎng)上有很多介紹關于CDN的文章，要么太簡單，就介紹有什么功能，要么就太玄奧，云里霧里，就是讓你看不明白。好今天就帶大家瞧瞧CDN的廬山真面目

談CDN之前我們先談談菠菜公司網(wǎng)站的服務器架構。

下圖是一般公司的服務器架構(low) ,網(wǎng)站一般由WEB服務器和數(shù)據(jù)庫服務器構成。這個是最最最簡單，沒有任何優(yōu)化的設計。服務器搭建好之后，就要去申請域名了，賣域名的網(wǎng)站很多，國內很多，上網(wǎng)搜一搜，國外比較有名的是godaddy。

用戶訪問網(wǎng)站流程圖

服務器搭建完成后，申請好域名配置好公網(wǎng)IP，在第三方域名解析商或自建DNS服務器上解析完后，用戶就可以訪問了。

如圖所示：

• 搭建服務器，申請域名及配置公網(wǎng)IP地址
• 選擇第三方域名解析商解析
• 用戶配置DNS 如8.8.8.8 或114.114.114.114或運營商DNS服務器
• 用戶瀏覽器輸入WWW.XXX.COM
• 用戶到自己配置的DNS地址的服務器上查找WWW.XXX.COM的解析記錄獲取IP地址
• 用戶DNS服務器通過遞歸查找最后查到為WWW.XXX.COM域名解析的服務器如cloudflare 的DNS服務器。從cloudflare 獲取網(wǎng)址對應WEB服務器的公網(wǎng)IP 并返回給用戶終端（PC和手機）
• 用戶終端獲取WEB服務器公網(wǎng)IP后，通過路由訪問1.1.1.1:80的服務即WEB服務。

通過分析網(wǎng)站的服務器架構及用戶訪問網(wǎng)站的過程，不難看出這個WEB服務的很多節(jié)點都是非常脆弱且及容易被攻擊的。

傳統(tǒng)WEB服務器架構的弱點總結：WEB服務器數(shù)量較少，一臺或幾臺，當用戶數(shù)一大，性能不夠，連接數(shù)不夠，默認一臺WEB服務器的連接數(shù)只有3W多個。

WEB服務器的真實公網(wǎng)IP通過域名解析被獲取后，可以非常簡單的被防火墻訪問禁止。服務器真實IP暴露后，可以對WEB服務器展開流量攻擊（DDOS），CC攻擊針對連接數(shù)。

針對以上弱點，有些公司會采用以下解決方案

改進型WEB服務器及安全架構

圖中的改進最明顯的是服務器的角色及服務器數(shù)量大大增加，LVS負載均衡的加入，使得改服務器架構中可支持多臺服務器同時提供服務，反向代理服務器可以過濾一部分基于連接的攻擊，避免后端真實服務器的直接面對攻擊。并通過多臺WEB服務器極大提高系統(tǒng)的并發(fā)能力，支持更多的玩家會員。緩存服務器的加入，可以讓動態(tài)頁面和靜態(tài)頁面分離開來，加快用戶的訪問體驗。但這種仍然沒辦法面對流量型攻擊。

沒錯圖中數(shù)據(jù)中心加入了重量級的安全設備，假定該數(shù)據(jù)中心帶寬為40G（非常大帶寬的數(shù)據(jù)中心了），并具備40G的流量清洗能力。但仍然不足以保障網(wǎng)站系統(tǒng)的安全。因為分布式的流量攻擊，爆發(fā)于一點。沖擊力非常強大。超過40G的流量攻擊并不難組織起來，這個世界的僵死主機實在太多了。并且開啟40G的流量防御服務代價非常高昂，而且一般攻擊流量達到該數(shù)據(jù)中心出口帶寬40G的時候，流量清洗已經(jīng)沒有用了，這個時候數(shù)據(jù)中心往往是關閉該網(wǎng)站對外的網(wǎng)絡服務來保全整個數(shù)據(jù)中心。

即便流量在5-10G左右，如果攻擊者不定時攻擊，仍然會影響網(wǎng)站的對外服務，影響用戶體驗，運維人員除了觀察并被磨煉心志外，并沒有什么可以做的。

但是方案中通過引入LVS（負載均衡）、反向代理、緩存服務器后對系統(tǒng)的安全、性能、擴展性是巨大的進步，值得鼓勵及肯定。并且離我們的CDN的最終解決方案越來越近了。

怎么搞定該死的分布式DDOS攻擊呢，分析DDOS攻擊的過程及原理不難找到答案。DDOS攻擊的原理是把分布式的萬千僵尸主機的涓涓細流匯聚成狂暴的河流來攻擊一點。我們是不是可以把狂暴的河流化成萬千的涓涓細流呢。

他強任他強，明月照山崗。

CDN的核心或者魔鬼的細節(jié)就在DNS解析原理上。稍微解析下DNS解析的原理。

域名解析記錄有好幾種，最著名且實用的有兩種：A記錄，CNAME(別名）其實翻譯成改變名字更好理解，英文原意其實也是（change name）。

訪問一個網(wǎng)站，首先拿到的是它的域名，因為域名比較好記，針對人類的，但機器并不喜歡，訪問網(wǎng)站對于人類來說是基于名字（域名），對于機器來說是通過互聯(lián)網(wǎng)，是基于路由，基于IP地址。所以域名解析的生意就來了，需要把域名解析成IP地址。雖然第三方域名解析商都是免費做這個事情。

CNAME 顧名思意，改變名字，對于域名就是改變域名，并不是真的改變，對于人類是不知道的。在域名解析的過程中把域名改成另一個域名。

前文說過對付分布式攻擊流量，就要把聚集的流量化成分布式的，或者使其不能聚集一點。通過CNAME 可以實現(xiàn)把流量引向別處，暫時的，最終還是需要回來的。光引向別處還不行，還需要把流量分散開來。

好了，CDN就是這么個作用，把流量引向別處，并讓流量分散開來。

CDN 架構

如架構圖所示，CDN服務商會在多個地點的多個數(shù)據(jù)中心中部署服務器，起到分流的作用，及用戶就近訪問的作用。

CDN怎么起作用呢？比如購買了圖中CDN的服務商的CDN服務，首先把菠菜網(wǎng)站的域名解析到這個CDN提供商，通過別名的形式，轉移流量。

比如www.xxx.com Cname www.cdn.com

上述解析一般是在第三方域名解析商完成，一般是免費的?？紤]行業(yè)的敏感性建議采用國外域名解析商cloudflare ,注冊賬號非常簡單快捷，不用提供任何個人信息。

一般CDN提供商都會向用戶提供域名管理界面，這個界面上填寫要被保護的域名及源站公網(wǎng)IP地址（別名其實也可以）

這一步的主要作用是完成了引流。流量到了CDN了。

接下來就要把流量化成涓涓細流了，CDN一般自建有DNS服務器，根據(jù)客戶的域名及訪問的源IP地址，把流量分到就近的數(shù)據(jù)中心，比如這個客戶指定用香港的線路，即把該客戶網(wǎng)站的流量指向香港的各個數(shù)據(jù)中心。這個導流其實也是依賴于DNS功能，因為CDN DNS服務器上保留有這些節(jié)點的服務器（LVS 負載均衡服務器 或反向代理服務器）的公網(wǎng)IP地址。當終端用戶完成DNS查詢獲取到節(jié)點服務器的公網(wǎng)地址后，用戶直接通過路由訪問CDN 節(jié)點數(shù)據(jù)中心的LVS服務器，并通過LVS調用客戶源站W(wǎng)EB服務器及數(shù)據(jù)庫服務器。對于網(wǎng)站靜態(tài)頁面直接通過緩存服務器訪問。從而極大的提高了訪問速度，并增強了并發(fā)能力。

數(shù)據(jù)流是這樣的：

1） DNS查詢

最終用戶------www.xxx.com------CNAME WWW.cdn.com-----A記錄 Y.Y.Y.(1-100)

2） 數(shù)據(jù)訪問 最終用戶 ----------------y.y.y.(1-100):80

發(fā)現(xiàn)了什么了嗎，源站的公網(wǎng)IP地址被隱藏起來了，用戶只能查詢到CDN的公網(wǎng)IP地址。

會發(fā)現(xiàn)第一次訪問往往比不用CDN服務還要慢，因為需要CDN DNS查詢及調度。一旦完成DNS查詢，后續(xù)就又快又穩(wěn)。

由于CDN提供商往往在一個地方租用多個數(shù)據(jù)中心。所以完全不用擔心流量型DDOS攻擊了。道理很明顯，40G 流量分到10個數(shù)據(jù)中心就是4G了，分到100個呢？并且最多影響部分地區(qū)的，其實根本不會影響。

由于CDN提供商在某個數(shù)據(jù)中心都啟用了反向代理服務器所以也不用擔心CC攻擊了。如果數(shù)據(jù)中心有IPS等設備，技術型的漏洞攻擊的威脅也大大降低。

好了，你明白CDN是什么鬼了嗎？

CDN網(wǎng)絡架構