1 监控对象
监控的对象是ADS防御范围内的站点,切入ADS防御系统的网站具备如下特点:
-
临时性切入,可能是被攻击后切入的,这时源站服务本身可能不正常,这时ADS支持人员和用户一般都能保持线上沟通;
-
临时性切入的,各地方的DNS解析同步时间不一致;
-
ADS防御机房是电信线路,较单一。
根据上述特点分析,ADS网站的可用性监控包括四个方面:
-
DNS解析监控,针对ADS网站切入后,监控各区域的解析进度
-
ADS资源监控,监控各区域到ADS机房对外服务IP的可访问情况
-
站点配置监控,监控系统内加载切入站点的配置情况
-
源站服务监控,监控ADS回源站获取数据的情况
2 监控流程
ADS调度中心接到某个站切入后,就开启针对该站相关的监控,当网站切出或停用时,关闭相关的监控。
3 监控方案
任务中心
接收ADS调度中心下发指令,创建或删除任务,根据任务属性安排任务循环周期,根据当前注册的监控模块(点)进行指派,把指派情况提交到数据中心。
监控模块(点)
启动后到任务中心定时注册,根据注册结果获取消息关键字,通过即时消息获取监控任务,对监控对象监控后将结果提交到数据中心。监控模块(点)表示一个监控模块部署在一个点上,可以多个监控模块部署在同一个点上。
数据中心
接收任务中心和监控模块(点)提交的监控数据,定时汇总根据任务中心要求进行告警或通知。
4 监控模块设计
4.1 DNS解析监控
下发任务时指定要查询的域名、期望或不期望的IP或cname名字、超时时间、查询周期等参数
4.2 ADS资源监控
ADS调度中心为切入的站分派了IP资源后,该IP的80端口应该从各个区域可以访问得到,ADS资源监控主要就是探活这些IP的可用性。下发任务时指定IP、端口和查询周期超时等。
另外还要考虑ADS常规资源监控,因为ADS由集群组件,一个对外的IP由64台server提供服务,需要确保64个均衡IP都可以正常访问到,才能确保基础资源的可靠性。
4.3 站点配置监控
ADS调度中心接收站点切入后,将站点配置通过redis逐级同步到ADS server,是否存在配置的问题可以通过机房中心上的redis来监控检测,因为server上的redis都是通过本机房中心服务器上的redis进行同步。Server上有脚本监控redis是否及时进行同步了,所以可以将配置的完整性监控放到机房中心的redis上。
配置监控模块获取任务,这一任务的信息包括站点名、源站IP等基本信息,这些信息由ADS调度中心写入到任务中心上。
4.4 源站服务监控
切入ADS的站点常规情况下都是要进行实时防御的,这类站点遭受的攻击类型较多,通常会有CC攻击,所以针对源站的服务监控检测不适合直接进行,这样的情况是加重了源站的压力。
ADS系统内有ccap/tccap可以统计到当前节点上回源的情况,基本就能实时了解源站情况,所以源站服务监控模块接收任务后,定期到ccap/tccap查询情况,当一段时间内没有源站数据时,再发起直接到源站的查询。
5 稳定性指标
ADS稳定性指标以ADS资源监控数据和站点配置监控数据为主要统计项,力求实现99%的目标。
DNS解析监控数据和源站服务监控数据出现异常时及时告警协调解决(防御接入时一般都有双方人员在线沟通)。
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
