网站CDN架构方案完工报告

CDN分布式发布系统集群及抗攻击网络部署图1、 项目描述本项目共使用6台服务器做为部署资源，其中1台源服务器（电信接入），4台cdn子节点服务器（电信接入1台，优化双线2台，网通接入1台），1台父节点服务器，监控，日志，备份服务器（电信接入），本项目的目标为：1) 保证电信网通用户都能快速访问网站。2) 保证服务器受到攻击的同时能够自动切换至其他节点服务器，保证服务器访问正常。3) 保证断点后节点服务器能够自动恢复工作。4) 提供日志及流量监控查询服务。5) 项目的节点服务器可随时增减。2、 项目实现原理本次项目将使用Squid集群(sibling模式)，共使用1台父服务器，4台子服务器，1台源服务器，当用户访问时经过DNS轮询服务器分发到4台子CDN服务器上获取网站内容，如子CDN服务器上没有缓存数据则与父服务器通讯获取缓存，如父服务器也没有缓存则父服务器与源服务器通讯获取数据。所有的子CDN服务器为集群模式，实时监控同级服务器的存活情况，如果同伴服务器无响应则不做数据包转发处理，CDN子服务器仅提供数据流量和cache生成，并作为攻击目标暴露在公网地址上，父服务器仅作为子服务器与源服务器通讯的桥梁提供原始数据供给cache生成。（如下图）UserSquid1Squid2DNS/MonitorSourceParent SquidSquid3Squid43、 解决南北互通问题示意图当用户访问时，轮询服务器做出响应，根据来源地址的网络情况判断来确定转发的目标子CDN服务器，具体如下图User (CTC)Squid1 (BGP)24msParent SquidDNS/Monitor215msSquid2 (CNC)56msSquid3 (BGP)Source32msSquid4 (CTC)4、 防攻击原理当攻击来临时，所有的数据包将被分发至4个子服务器，当数据包堵塞的时候子服务器当机，新的请求将被转至新的子服务器。当攻击停止时ICMP值降低，服务器恢复请求。图中红色线路：为DDOS攻击及处理流程示意线。淡蓝色线：为用户避开DDOS后访问示意线。紫色线：为不和用户统一线路的空闲服务器（经过南北互联优化处理后的结果）示意线。深蓝色线：为空闲未使用的服务器示意线。橘黄色线：为子/父加速服务器返回请求缓存示意线。黑色线：为源服务器与父服务器之间的通讯示意线。DDOSSquid1 (CTC)New User Source3451ms23ms241msSquid ServerSquid2 (CNC)Parent35msSquid3 (CTC)Squid2 (CNC)56ms5、 项目进展纪要2011/10/8 进行CDN整体架构方案设计一，并提交项目策划书。2011/10/9 进行服务器硬件采购，快递，安装，配置等工作。2011/10/15 帮助配置源服务器网络环境，并完成CDN整体架构。2011/10/16 动态加速配置完成，并重新改写规则。2011/10/17 遭受攻击,重新设计分配物理环境。2011/10/18 改写防CC攻击规则，增加抵抗力。2011/10/19 遭受大规模攻击，舍弃第一次部署的转发服务器，改为父服务器，重新架构。2011/10/20 又遭受大规模攻击，启用DDOS防火墙紧急预案，将IP导入重点观察列表2011/10/21 再次大规模DDOS攻击，但由于有防火墙，子节点IP被封2个，网站可以继续打开，当日更换2个子节点IP。2011/10/22 增加安全策略，屏蔽ICMP数据包。2011/10/27 遭受攻击网通1个IP被封，于当日晚上更换IP，未影响网站访问。2011/10/28 大规模DDOS攻击，但未能影响网站访问。2011/10/30 大规模DDOS攻击，但未能影响网站访问。2011/11/3 搜索引擎蜘蛛爬行有问题反馈，得到解决。2011/11/12 新增一台子节点。2011/11/14 帮助配置伪静态环境。2011/11/15 验证码缓存错误，解决，并得到用户稳定性的认可。6、 项目整体说明1）4台子节点IP地址如下：103.22.228.32（优化线路） 103.22.229.130（优化线路） 202.109.143.75 （江西省井冈山电信）220.248.126.118（上海网通）1台父服务器IP地址如下：101.226.1.xxx（上海电信）1台源服务器IP地址如下：101.226.1.xxx（上海电信）其中103.22.228.xxx、103.22.229.xxx、220.248.126.xxx、101.226.1.xxx 为客户购买的服务器，产权属客户所有，硬件配置如下CPU：Intel(R) Xeon(R) CPU E5405 2.00GHz内存：8G硬盘：500Gx2主板：Intel S5000PSL101.226.1.xxx为windows2003，其余服务器为Centos 5.6101.226.1.xxx 及 202.109.143.xxx为额外提供给用户的服务器，产权属兆民公司所有。目前产权属客户所有的服务器已全部交付