CDN要点--总结

1.CDN原理图

2.使用CDN的基本条件

首先说不是所有的网站都可以一上来就能用上CDN
要加速的业务数据该存在独立的域名,例如:  img.baidu.com/video.baidu.com，业务内容图片,附件JS，CSS等静态元素
静态和动态资源不要混一起,因为它不能加速动态的

3.CDN的价值

1.为客户省钱
2.提高企业网站的用户体验
3.可以阻挡大部分流量攻击 DDOS攻击

4.CDN产生背景

BGP机房虽然而可以提升用户体验,但是价格昂贵,那CDN的诞生可以提供比BGP机房对于用户更好的体验(让地区的同一线路访问当地的同一线路的网站),BGP机房和普通机房价格将近5-10倍的价格差。CDN使用单线的机房,根据用户的线路以及位置,为用户选择靠近用户的位置以及相同的运营商线路,即提升了用户体验价格又降下来了。
CDN的价值:为客户省钱,同时提供客户的用户体验。

5. 有时我们源站负载暴高(WEB服务以及存储)
   排查:
   分析web日志。IP来源谁

有可能CDN频繁来抓数据(查看cdn的命中率,可能是源站更新频繁,CDN的缓存经常倒腾数据,源站有403，404页面   这种页面cdn是不缓存的,直接转发到源站)
CDN公司增加缓存节点,抓源站,告诉CDN抓自己服务器,不要老抓源站

6. CDN流量暴高如何分析与解决企业案例:
   凌晨3:00点某公司(网站业务)的一个IDC机房带宽流量突然从平时高峰期150M猛增至1000M

   分析问题
   1)IDC带宽被占满的原因很多，常见的有：

  a.真实遭受DDOS攻击
  b.内部服务器中毒，大量外发流量
  c.网站元素（如图片）被盗连，在门户页面被推广导致大量流量产生
  d.合作公司来抓数据，如：对合作单位提供了API数据接口
  e.购买了CDN业务，CDN猛抓源站（这个次数也不少）。

2)CDN带宽异常，源站没异常。

这类问题基本都是缓存在CDN的数据被频繁访问引起的

3) CDN带宽异常，源站也异常。

可能原因如公司做推广，大量数据访问，热点数据cache里不全。或CDN问题导致数据回源。影响就是带宽高，后端静态服务器及图片及存储压力大

3 【解决问题】

a.真实遭受DDOS攻击

1.网站架构尽量无单点，做集群高可用性部署，前后端多架设cache。互联网缓存无处不在（无论是网站架构中还是硬件设备里）

2.系统(包括web,db)自身优化及安全配置,不要动不动就配置65535，10吨的汽车非要标着能装20吨的货物，20吨来了，汽车直接变废铁了。服务器服务连接数量等要有限制，这样不至于大攻击大流量把服务器压垮，大不了慢点而已，可以连接上查看问题。

3.平时预留可以撑住增加30%以上流量的突发情况的资源，资源包括带宽、服务器、架构承受并发能力。要通过数据说话。大家观察下门户朋友的分享，都是靠数据来说话，定性定量来分析。其实，这是项目管理的基本知识，对风险的把控，不光体现在这里，做人做事方方面面都要有风险的把控，比如，和美女约会，说19:00到，要把堵车等等时间都计算了，别可丁可卯。

4.网站架构优化

5.多把内容或内容放在CDN，既请"老虎"帮忙！比如把www.etiantian.org首页，二级导航页、及其他静态页放cdn,JS,CSS及图片、视频都放CDN。当然，这需要类似7点的好的网站架构。这样就攻击CDN的节点服务器了

6.软硬件防护。apache,nginx都有相应的DDOS防护模块，iptables,做单IP的并发限制，流量限制，syn及部分攻击限制。硬件DDOS防火墙黑洞、金盾都可以使用（这里有一点注意，要本分做人，不要贪图小便宜，欺骗得罪安全厂商，比如，试用了设备，然后无理由不买，很多问题的恶果都是自己不经意间埋下的）。题外话：为公司省钱不花钱而维护不好网站，这不是公司看到的，也不是我们期望的。适当花钱把事办好就是完美。

7.保留各种攻击证据，日志，有可能的话，打110报警，大规模攻击都不是无目的的。同行竞争、恶意竞争、敲诈勒索都有过案例。这些事辅助手段，不能报警后就等死，或者依靠110解决。现在很多攻击还是比较难从法律解决的，期待，以后能好些。

8.不在群里、论坛、BLOG等处发布攻击性、炫耀式的言论。尤其不能暴漏公司的地址等信息。

9.当发生DDOS攻击问题时，不要自己死扛，要第一时间主动和领导汇报，寻求更多的资源协助才是道理。这个问题很多运维人员都有。

10.有很多疑似DDOS攻击，如服务器中毒外发流量，CDN切机房加机房疯狂来抓数据、内容被盗链（曾经遇到一天1-2个图片跑了20T的流量）等，要有判断方法。

11.了解“自己”，学会扬长避短。架构在好的网站，其实也是有弱点的。我们要把弱点隐藏好，比如：普通站点bbs搜索页、及动态直接调数据库及存储的程序地址等等。弱点如果被发现，黑客就可以用比较小的代价就让网站发生致命的结果。

遭受真实DDOS攻击并产生影响的并不是最常见的。

b.内部服务器中毒，大量外发流量。

这个问题的解决比较简单，可能有的朋友说，看看服务器流量，哪个机器带宽高处理下就好了。其实不然，实际解决比这复杂得多，带宽打满，所有监控都是看不到的。

 比较好的思路，是联系机房确定机房自身无问题后（机房一般没法帮我们的），请机房断开连接外部IP服务器的网线，如负载均衡器，仅保留××× SERVER，然后断掉内部服务器出网光关的线路，切断外发流量源头。

 接下来查看监控流量服务，判断外发流量的服务器，然后进行处理。
 
 其实，这个问题的发生及快速定位和很多公司的运维规范、制度关系很大，老男孩在给一些公司做运维培训分享时发现这个问题很严重（表象很好，内部运维规范、制度欠缺很多），大家都讨论的很深入，实际用的还是和聊的有差距。。

 比如有的公司开发直接FTP连接随时发布代码，或者由开发人员负责定时多次上线。而运维人员又不知晓，结果导致问题发生定位时间长，这点建议各公司的老大多思考下。
  
 我运维思路是，如果把网站机房比喻为一座房子，那首先要堵住后门（内部），其次是监控好前门（做好安全，留个小窗户给外面人看，即80端口服务，同时安排站岗值班的）。
 
 网站的无休止的随时随意发布代码，对网站的稳定影响是至关重要的。对运维人员对故障的定位快慢也很关键。据不完全调查，约50%以上的重要运维故障都是程序代码导致的，多把网站稳定的责任分给开发，而不是运维。如果这个思想不扭转，网站不稳定状况就难以改变。

c.网站元素（如图片）被盗连

这个属于网站的基本优化了，apache,lighttpd,nginx都有防盗链的方案，必须要搞。说到这也提个案例，老男孩的一个学生，到了企业工作，发现人家网站没有防盗链，结果上来没有周知老大，直接做防盗链了,然后美滋滋的当时还给我留言，说给公司搞防盗链了，很有成就，结果导致公司对外合作的业务，都是小叉子了，幸亏发现的及时没出大问题。

d-e.合作公司来抓数据，如：对合作单位提供了API数据接口或购买了CDN业务。

最常见的就是购买CDN服务，如：CDN新建一个节点（可能数十机器），直接来我们IDC原战来抓数据（有的做好点的夜里来抓）。把原站抓的流量暴涨，严重的导致服务宕机。几家CDN公司，都有过这样的问题。这点希望CDN公司看到了，能改善，毕竟用户上帝嘛。

当然和电信，联通，GOOGLE,BAIDU，词霸等公司的合作，也会有流量暴高的情况，这里面包括了为合作的站搜索引擎爬虫爬数据的问题。有时虽然带宽流量不高，但是服务器或数据库撑不住了，搜索引擎专门喜欢爬我们的站内搜索，DISCUZ，CMS等早期的开源程序的搜索都是全站like
%%方式去数据库搜索的，几个爬虫过来，直接就挂掉了。