Как работает Платформа?

В статье описан принцип работы Платформы NGENIX.

В классической двухуровневой серверной архитектуре (frontend/backend) Платформа NGENIX выполняет роль многофункционального высокопроизводительного распределённого фронтенда, состоящего из множества кэширующих прокси-серверов.

Одноуровневый распределенный обратный прокси-сервер

Это базовая архитектура услуги, использующая один слой серверов доставки NGENIX для обработки запросов конечных пользователей к данным на серверах оригинации.

Сервер оригинации отвечает за логику работы веб-приложения и хранит оригинальные данные, за которыми обращаются конечные пользователи через Платформу NGENIX.

Серверы доставки взаимодействуют с серверами оригинации и кэшируют данные при первом запросе конечного пользователя. Все последующие запросы к закэшированным данным обрабатываются серверами доставки из кэш-памяти без обращения к серверу оригинации. Это снижает нагрузку на сервер оригинации, сокращает общее время обработки запроса и многократно увеличивает скорость загрузки данных.

Серверы доставки кэшируют только те данные, которые были запрошены конечными пользователями. Состав данных в кэше разных узлов Платформы может отличаться.

Закэшированные данные удаляются с серверов доставки автоматически по прошествии определенного времени, по мере вытеснения более актуальными данными, либо принудительно через клиентский портал NGENIX Multidesk или API.

pageКак удалить кэшированные данные?

Удаленные данные снова попадут в кэш серверов доставки, если будут повторно запрошены конечными пользователями.

Серверы доставки NGENIX ориентируются на HTTP-заголовки, которые выставляет сервер оригинации, и не кэшируют данные, для которых выставлен соответствующий заголовок. Это могут быть уникальные для каждого запроса данные (новостные ленты, корзина онлайн-магазина и т.п), либо данные, которые вы по какой-то причине не хотите хранить в кэше серверов доставки.

Запросы к серверам оригинации осуществляются через постоянно открытое TCP-соединение с серверами доставки. Это повышает скорость загрузки данных (в том числе некэшируемых):

уменьшается количество сетевых переходов на пути пакета с данными от сервера оригинации до конечного пользователя;
сокращается RTT и, как следствие, сокращается время на повторную отправку потерянных пакетов на перегруженном канале («последней миле»), часто включающем участки с WiFi, сотовой связью и т.п.;
взаимодействие сервера оригинации с серверами доставки и серверов доставки с устройством конечного пользователя осуществляется по оптимальному сетевому маршруту.

При обработке запроса серверами доставки, запрос может быть заблокирован при наличии признаков DDoS-атаки, в соответствии с задаваемыми правилами обработки запросов или при верификации запросов по одноразовым ссылкам.

pageЗащита от DDoS pageУправление обработкой запросов

Обмен данными между серверами оригинации заказчика и серверами доставки, серверами доставки и конечными пользователями осуществляется в зашифрованном виде, с использованием SSL-сертификата NGENIX или собственным SSL-сертификатом заказчика.

pageSSL/TLS

Многоуровневый распределенный обратный прокси-сервер

Эта архитектура услуги расширяет ранее описанный принцип работы Платформы (см. Одноуровневый распределенный обратный прокси-сервер) – в обработке запроса конечного пользователя используется дополнительный уровень функциональных серверов Платформы, которые могут:

Экранировать сервер оригинации от запросов серверов доставки (серверы промежуточного кэширования) с целью снижения нагрузки на сервер оригинации со стороны серверов доставки;
Преобразовывать файлы изображений, передаваемые конечным пользователям в процессе доставки (серверы оптимизации изображений) с целью:
- Оптимизации вычислительных ресурсов и области хранения серверов оригинации, возникающих в результате подготовки файлов изображений под разные типы устройств;
- Ускорения доставки файлов изображений и оптимизация объёмов трафика до конечного пользователя за счёт сжатия данных.
Защищать сервер оригинации заказчика от атак, нацеленных на попытки эксплуатации уязвимостей веб-ресурса заказчика (серверы объекта облачный WAF).

Издержками этой архитектуры услуги является удлинение сетевого маршрута для запросов, в обработке которых последовательно участвуют несколько узлов Платформы.

Распределенный обратный прокси-сервер с функцией оригинации данных

Эта архитектура услуги повторяет принцип работы Одноуровневого распределенного обратного прокси-сервера или Многоуровневого распределённого обратного прокси-сервера (см. выше), но функцию сервера оригинации выполняет один из компонентов Платформы:

серверы хранения, выполняющие функцию источника данных (файлы и медиафайлы) для серверов доставки, предварительно опубликованных заказчиком но S3;
серверы публикации, выполняющие функцию источника данных (потоков) для серверов доставки, предварительно опубликованных заказчиком по RTMP (Push).

Заказчик загружает и хранит данные на серверах хранения или публикует потоки на серверы публикации NGENIX. Далее серверы хранения и/или серверы публикации выполняют функцию сервера оригинации для серверов доставки, которые обрабатывают запрос конечного пользователя к данным.

Пример прохождения запроса пользователя через Платформу на примере корпоративного веб-ресурса

Запрос попадает на оптимальный сервер доставки NGENIX из сетей операторов связей, подвергаясь очистке от нелегитимного трафика DDoS-атак на уровнях сети передачи данных (Защита от DDoS уровня L3/L4).
Серверы доставки осуществляют обработку запроса:
1. Анализируют и блокируют запросы, содержащие признаки DDoS-атаки на уровне приложений (Сервис DDoS Protection);
2. Осуществляют проверку содержимого запроса на соответствие критериев в составе задаваемого на Платформе набора правил, и выполняют в отношении таких запросов определённые действия (Сервис Edge Logic Rules).

Для запросов к кэшируемым данным (статические данные):

Для незаблокированных запросов, сервер доставки определяет наличие запрашиваемых данных в кэш памяти сервера - если есть, данные отдаются из кэша, если нет, запрос проксируется далее, на сервер промежуточного кэширования (Сервис Origin Shield).
Сервер промежуточного кэширования определяет наличие запрашиваемых данных в кэш памяти сервера - если есть, данные отдаются из кэша, если нет, запрос проксируется далее, на сервер оригинации. Если запрашиваются файлы изображения для которых применяется политика преобразования, то перед передачей данных конечному пользователю серверы оптимизации изображений осуществляют преобразование согласно установленной политике (Сервис Image Optimization).
Сервер оригинации отдаёт запрашиваемые данные серверам промежуточного кэширования / серверам доставки.
Конечный пользователь получает запрашиваемые данные с серверов доставки.

Для запросов к некэшируемым данным (статические или динамические данные):

Для незаблокированных запросов, сервер доставки проксирует запрос на серверы WAF.
Серверы WAF анализируют запрос на предмет наличия вредоносных запросов (межсайтовая подделка запросов, межсайтовый скриптинг, PHP-инъекции, SQL-инъекции и т.д.) с помощью ПО WAF, функционирующего на вычислительной инфраструктуре NGENIX, поддерживаемой специалистами NGENIX (Cервис Cloud WAF).
Легитимный запрос пользователя попадает на сервер оригинации Заказчика, пройдя все требуемые уровни очистки.
Конечный пользователь получает запрашиваемые данные с серверов доставки.

PreviousО платформе NextБалансировка нагрузки и выбор оптимального узла

Last updated 2 months ago