文档介绍:CDN分布式发布系统集群及抗攻击网络部署图1、项目描述本项目共使用 6台服务器做为部署资源, 其中1台源服务器(电信接入),4台cdn子节点服务器(电信接入 1台,优化双线 2台,网通接入 1台),1台父节点服务器,监控,日志,备份服务器(电信接入) ,本项目的目标为:保证电信网通用户都能快速访问网站。2) 保证服务器受到攻击的同时能够自动切换至其他节点服务器, 保证服务器访问正常。保证断点后节点服务器能够自动恢复工作。提供日志及流量监控查询服务。项目的节点服务器可随时增减。2、项目实现原理本次项目将使用 Squid集群(sibling模式),共使用 1台父服务器,4台子服务器, 1台源服务器,当用户访问时经过 DNS轮询服务器分发到 4台子CDN服务器上获取网站内容,如子CDN服务器上没有缓存数据则与父服务器通讯获取缓存, 如父服务器也没有缓存则父服务器与源服务器通讯获取数据。 所有的子 CDN服务器为集群模式, 实时监控同级服务器的存活情况,如果同伴服务器无响应则不做数据包转发处理, CDN子服务器仅提供数据流量和 cache生成,并作为攻击目标暴露在公网地址上,父服务器仅作为子服务器与源服务器通讯的桥梁提供原始数据供给 cache生成。(如下图)User Squid1上海市地址Squid2DNS/Monitor ParentSquidSquid3Squid43、解决南北互通问题示意图当用户访问时,轮询服务器做出响应,根据来源地址的网络情况判断来确定转发的目标子CDN服务器,具体如下图User(CTC)Squid1(BGP)24msDNS/Monitor215ms C)56msSquid3(BGP)32msSquid4(CTC)4、防攻击原理当攻击来临时,所有的数据包将被分发至 4个子服务器,当数据包堵塞的时候子服务器当机,新的请求将被转至新的子服务器。 当攻击停止时 ICMP值降低,服务器恢复请求。图中红色线路:为 DDOS攻击及处理流程示意线。�SourceParentSquidSource上海市地址淡蓝色线:为用户避开 DDOS后访问示意线。紫色线:为不和用户统一线路的空闲服务器 (经过南北互联优化处理后的结果) 示意线。深蓝色线:为空闲未使用的服务器示意线。橘黄色线:为子 /父加速服务器返回请求缓存示意线。黑色线:为源服务器与父服务器之间的通讯示意线。DDOSSquid1(CTC)NewUserSource23ms 3451msSquidServer 241ms C)Parent35msSquid3(CTC)C)5、项目进展纪要2011/10/8进行CDN整体架构方案设计一,并提交项目策划书。2011/10/9 进行服务器硬件采购,快递,安装,配置等工作。2011/10/15帮助配置源服务器网络环境,并完成 CDN整体架构。2011/10/16 动态加速配置完成,并重新改写规则。2011/10/17遭受攻击,重新设计分配物理环境。2011/10/18 攻击规则,增加抵抗力。2011/10/19遭受大规模攻击,舍弃第一次部署的转发服务器, 改为父服务器,重新架构。上海市地址2011/10/20又遭受大规模攻击,启用DDOS防火墙紧急预案,将IP导入重点观察列表2011/10/21再次大规模DDOS攻击,但由于有防火墙,子节点IP被封2个,网