网站CDN架构方案完工报告.docxVIP

CDN 分布式发布系统集群及抗攻击网络部署图 1、 项目描述 本项目共使用 6 台服务器做为部署资源， 其中 1 台源服务器 （电信接入），4 台 cdn 子节 点服务器（电信接入 1 台，优化双线 2 台，网通接入 1 台），1 台父节点服务器，监控， 日志，备份服务器（电信接入） ，本项目的目标为： 保证电信网通用户都能快速访问网站。 2) 保证服务器受到攻击的同时能够自动切换至其他节点服务器， 保证服务器访问正常。 保证断点后节点服务器能够自动恢复工作。 提供日志及流量监控查询服务。 项目的节点服务器可随时增减。 2、 项目实现原理 本次项目将使用 Squid 集群 (sibling 模式 )，共使用 1 台父服务器， 4 台子服务器， 1 台源 服务器，当用户访问时经过 DNS轮询服务器分发到 4 台子 CDN服务器上获取网站内容， 如子 CDN服务器上没有缓存数据则与父服务器通讯获取缓存， 如父服务器也没有缓存则 父服务器与源服务器通讯获取数据。 所有的子 CDN 服务器为集群模式， 实时监控同级服 务器的存活情况，如果同伴服务器无响应则不做数据包转发处理， CDN 子服务器仅提供 数据流量和 cache 生成，并作为攻击目标暴露在公网地址上，父服务器仅作为子服务器 与源服务器通讯的桥梁提供原始数据供给 cache 生成。（如下图） User Squid1 上海市地址 Squid2 DNS/Monitor Parent Squid Squid3 Squid4 3、 解决南北互通问题示意图 当用户访问时，轮询服务器做出响应，根据来源地址的网络情况判断来确定转发的目标 子 CDN 服务器，具体如下图 User (CTC) Squid1 (BGP) 24ms DNS/Monitor 215ms Squid2 (CNC) 56ms Squid3 (BGP) 32ms Squid4 (CTC) 4、 防攻击原理 当攻击来临时，所有的数据包将被分发至 4 个子服务器，当数据包堵塞的时候子服务器 当机，新的请求将被转至新的子服务器。 当攻击停止时 ICMP 值降低， 服务器恢复请求。 图中 红色线路：为 DDOS攻击及处理流程示意线。  Source Parent Squid Source 上海市地址 淡蓝色线：为用户避开 DDOS后访问示意线。 紫色线：为不和用户统一线路的空闲服务器 （经过南北互联优化处理后的结果） 示意线。 深蓝色线：为空闲未使用的服务器示意线。 橘黄色线：为子 / 父加速服务器返回请求缓存示意线。 黑色线：为源服务器与父服务器之间的通讯示意线。 DDOS Squid1 (CTC) New User Source 23ms 3451ms Squid Server 241ms Squid2 (CNC) Parent 35ms Squid3 (CTC) 56ms Squid2 (CNC) 5、 项目进展纪要 2011/10/8 进行 CDN整体架构方案设计一，并提交项目策划书。 2011/10/9 进行服务器硬件采购，快递，安装，配置等工作。 2011/10/15 帮助配置源服务器网络环境，并完成 CDN整体架构。 2011/10/16 动态加速配置完成，并重新改写规则。 2011/10/17 遭受攻击 ,重新设计分配物理环境。 2011/10/18 改写防 CC攻击规则，增加抵抗力。 2011/10/19 遭受大规模攻击， 舍弃第一次部署的转发服务器， 改为父服务器， 重新架构。 上海市地址 2011/10/20 又遭受大规模攻击，启用 DDOS防火墙紧急预案，将 IP 导入重点观察列表 2011/10/21 再次大规模 DDOS攻击， 但由于有防火墙， 子节点 IP 被封 2 个，网站可以继 续打开，当日更换 2 个子节点 IP。 2011/10/22 增加安全策略，屏蔽 ICMP 数据包。 2011/10/27 遭受攻击网通 1 个 IP 被封，于当日晚上更换 IP，未影响网站访问。 2011/10/28 大规模 DDOS攻击，但未能影响网站访问。 2011/10/30 大规模 DDOS攻击，但未能影响网站访问。 2011/11/3 搜索引擎蜘蛛爬行有问题反馈，得到解决。 2011/11/12 新增一台子节点。 2011/11/14 帮助配置伪静态环境。 2011/11/15 验证码缓存错误，解决，并得到用户稳定性的认可。 6、 项目整体说明 1）4 台子节点 IP 地址如下： 2 （优化线路） 30 （优化线路） 5 （江西省井冈山电信） 18 （上海网通） 1 台父服务器 IP 地址如下： 101.226.1.xxx （上海电信） 1 台源服务器 IP 地址如下：