حسّن الأداء والدقة والأمان باستخدام AWS Global Accelerator

كيفية تحسين توافر وأداء وأمان تطبيق أو موقع ويب باستخدام AWS Global Accelerator؟

خدمة AWS Global Accelerator هي خدمة على مستوى الشبكة مزودة بعناوين IP Anycast هي خدمة تُوجّه حركة مرور المستخدمين من أقرب نقطة دخول إلى شبكة AWS العالمية إلى أفضل نقطة نهاية لديك. يُقدّم هذا الدليل العملي والتقني خطوات التنفيذ، وأوامر AWS CLI، وإعدادات الخادم، ونصائح التحسين، وتوصيات الأمان لتحسين توافر وأداء وأمان تطبيق/موقع ويب تجريبي.

لماذا نستخدم برنامج AWS Global Accelerator؟

الفوائد الرئيسية:

• عناوين IP العالمية للبث المتعدد: عنوان IP ثابت واحد أو اثنين يتم الإعلان عنهما في جميع أنحاء العالم، مما يلغي الحاجة إلى تغيير نظام أسماء النطاقات (DNS) عند توجيه حركة المرور إلى مناطق مختلفة.
• المسارات المثلى في شبكة AWS: تنتقل حركة البيانات داخل شبكة AWS عالية السرعة ومنخفضة زمن الوصول، ويتم استخدام الإنترنت العام بشكل أقل.
• دعم بروتوكولي TCP و UDP: مناسب لبروتوكول HTTP/HTTPS، والألعاب، و VoIP، والتداول مع متطلبات زمن استجابة منخفضة.
• تجاوز الأعطال السريع بين المناطق: فحص مركزي للصحة وتوجيه سريع لحركة البيانات إلى نقاط النهاية السليمة.

بنية مقترحة لتطبيق نموذجي وموقع ويب

مثال على بنية متعددة المناطق باستخدام المسرع العالمي:

• منطقتان (على سبيل المثال) الولايات المتحدة-الشرق-1 و eu-west-1) كل منها يحتوي على المكتبة الوطنية للمكتبة أو ألب وخلف ذلك تأتي مجموعة EC2/Auto Scaling أو Kubernetes.
• مسرّع عالمي يضم اثنين مجموعة نقاط النهاية (كل منها لمنطقة) ومستمع على المنافذ 80/443 (TCP) أو منافذ UDP للعبة.
• بالنسبة للمحتوى الثابت من شبكة توصيل المحتوى (على سبيل المثال كلاود فرونت أو شبكة توصيل محتوى للشركات تضم أكثر من 85 موقعًا).
• للحماية من هجمات DDoS من AWS Shield Advanced ولتصفية طبقة التطبيق من جدار حماية تطبيقات الويب من AWS الاستفادة من ALB/CloudFront.
• المراقبة والتنبيه عبر كلاود واتش والتكامل مع القنوات التشغيلية.

خطوة بخطوة: بناء مُسرِّع باستخدام واجهة سطر الأوامر AWS (مثال عملي)

الخطوات الرئيسية لإنشاء مُسرِّع باستخدام واجهة سطر الأوامر AWS CLI وأمثلة على الأوامر:

aws globalaccelerator create-accelerator --name my-accelerator --ip-address-type IPV4 --enabled

تشمل المخرجات AcceleratorArn وستكون هناك عناوين IP مخصصة لتقنية Anycast يمكنك استخدامها في نظام أسماء النطاقات (DNS).

aws globalaccelerator create-listener --accelerator-arn <AcceleratorArn> --protocol TCP --port-ranges From=443,To=443

إنشاء مجموعة نقاط نهاية للمناطق (مثال من us-east-1 إلى NLB):

aws globalaccelerator create-endpoint-group --listener-arn <ListenerArn> --endpoint-group-region us-east-1 --endpoint-configurations EndpointId=<NLB_ARN>,Weight=128 --health-check-protocol HTTP --health-check-path /health --health-check-interval-seconds 10 --threshold-count 3

ملاحظات هامة:

• معرّف نقطة النهاية هل يمكن أن يكون رقم تعريف التطبيق (ARN) المكتبة الوطنية للمكتبة، ألبأو عنوان IP (لـ EC2 أو محليًا).
• فحص صحي على الطريق /صحة اضغط باستمرار وأرسل استجابة بسيطة بقيمة 200 للدلالة على الصحة.

مثال تطبيق بسيط (Node.js) واختبار فحص السلامة

مسار مثيل خادم Node.js /صحة يُعيد استجابة برمز 200 ويعرض رسالة المنطقة:

const http = require('http');
http.createServer((req, res) => {
  if (req.url === '/health') return res.writeHead(200).end('ok');
  res.writeHead(200, {'Content-Type':'text/plain'});
  res.end('Hello from region X');
}).listen(3000);

ضع هذا التطبيق في EC2 أو حاوية خلف NLB/ALB وتأكد من المسار /صحة يقوم بإرجاع استجابة 200 في كل حالة.

الحفاظ على بروتوكول IP الخاص بالعميل وبروتوكول الوكيل

نقاط مهمة حول الحفاظ على عنوان IP الخاص بالعميل:

• المكتبة الوطنية للكتب: إذا كنت تستخدم NLB، فيمكن لـ Global Accelerator أن يقوم بذلك عنوان IP الحقيقي للعميل ويمكن للتطبيق رؤية عنوان IP الأصلي.
• ألب: عادةً ما يكون العنوان X-Forwarded-For للحفاظ على عنوان IP على ALB بشكل كامل، استخدم بروتوكول Proxy أو ضع NLB أمام ALB.
• استخدم هذه الميزة لتمكين بروتوكول الوكيل الإصدار 2 في NLB عند تسجيل الأهداف ومعالجتها في NGINX/HAProxy.

مثال على تفعيل PROXY v2 في NGINX (مع وحدة البث (لبروتوكول TCP):

stream {
    server {
        listen 443 proxy_protocol;
        proxy_pass backend:443;
        proxy_protocol_timeout 10s;
    }
}

وفي إعدادات جانب الخادم للتطبيق، قم بمعالجة بروتوكول الوكيل.

تحسين الأداء في مجالات التداول والألعاب والويب والذكاء الاصطناعي

استراتيجيات التحسين بناءً على نوع التطبيق:

• التجارة واللعب: استخدم بروتوكول UDP أو TCP بأقل عدد من القفزات. يقوم Global Accelerator بنقل البيانات عبر شبكة AWS؛ بالنسبة للتداولات، يتم اختيار المنطقة ذات أقرب نقطة نهاية أو تكوين. مؤشرات حركة المرور يوفر أقل زمن استجابة (ping).
• الموقع الإلكتروني وواجهة برمجة التطبيقات (API): استخدام HTTP/2، استئناف جلسة TLS، تدبيس OCSP، الضغط GZIP/Brotli والضغط على شبكة توصيل المحتوى (CDN) أو NLB/ALB.
• الذكاء الاصطناعي/الرسم: بالنسبة لحركة البيانات الكبيرة، استخدم NLB وبنية متعددة المناطق، وإذا كنت بحاجة إلى وحدات معالجة الرسومات، فاستخدم خوادم الرسومات في مناطق محددة.

ضبط إعدادات TCP لخادم لينكس (أمثلة على الأوامر):

sudo sysctl -w net.core.somaxconn=65535
sudo sysctl -w net.ipv4.tcp_tw_reuse=1
sudo sysctl -w net.ipv4.tcp_fin_timeout=15

ولجعله دائمًا، حدد الخيارات في /etc/sysctl.conf يضيف.

ضبط NGINX للاتصالات عالية السرعة (مثال على التكوين):

worker_processes auto;
worker_connections 65536;
keepalive_timeout 65;
tcp_nopush on;
tcp_nodelay on;

الأمان: جدار حماية تطبيقات الويب (WAF)، ودرع الحماية (Shield)، وبروتوكول أمان طبقة النقل (TLS)، وإدارة الوصول.

نصائح أمنية أساسية:

• هجوم الحرمان من الخدمة الموزعة: برنامج تسريع عالمي مع درع AWS يأتي مع؛ لتغطية أوسع درع متقدم قم بتمكين هذه الميزة لحماية عناوين IP الخاصة بك بتقنية Anycast.
• WAF: لا يمتلك برنامج Global Accelerator جدار حماية تطبيقات الويب الخاص به، ولكن يمكنك جدار حماية تطبيقات الويب من AWS قم بوضعه على ALB أو CloudFront لتصفية حركة مرور طبقة التطبيق.
• TLS: قم بإنهاء بروتوكول TLS على مُوازن التحميل (ALB) أو على مُوازن التحميل/NGINX. إذا كنت بحاجة إلى بروتوكول TLS شامل، فاستخدم الشهادات على نقاط النهاية أيضًا (على سبيل المثال، مع ACM).
• تحديد معدل الاستخدام وحماية البرامج الآلية: قم بإنشاء قواعد مخصصة في طبقة WAF واستخدم JWT وحدود المعدل لواجهة برمجة التطبيقات (API).
• أنا أكون: تقييد الوصول إلى عمليات المسرّع العالمي بسياسات مناسبة (مثل التحكم في الوصول إلى الإجراءات المتعلقة بـ globalaccelerator:*).
• تسجيل الدخول: التفعيل سجلات تدفق VPCسجلات الوصول إلى ALB/NLB و سجلات CloudWatch لرصد وتحليل الأحداث.

مراقبة الأداء واختباره

الأدوات والمقاييس المقترحة:

• مقاييس CloudWatch بالنسبة للمسرعات العالمية مثل عدد التدفقات، عدد التدفقات الجديدة، بايتات مُعالجة و عدد أخطاء التفاوض على مستوى خدمة العميل.
• قم بتحديد التنبيهات لزيادة أو انخفاض حركة المرور وقم بالاستجابة تلقائيًا أو إخطار فريق العمليات.
• باستخدام عمليات التحقق الاصطناعية أو الفحوصات الصحية على الطريق 53 للتحقق من مواقع متعددة.
• اختبار التحميل باستخدام أدوات مثل ك6، عمل أو جاتلينج وإجراء الاختبارات في كل منطقة.
• مراقبة زمن الاستجابة باستخدام RUM أو المجسات الاصطناعية من نقاط مهمة للمستخدمين (اللاعبين، المتداولين).

سيناريوهات عملية ونصائح للتنفيذ

قضايا عملية ونصائح للتنفيذ:

1. تجاوز الأعطال السريع بين المناطق: حدد فحوصات السلامة الخاصة بالمسرع العالمي على المسارات السريعة (على سبيل المثال /صحة) ومن اتصال حركة المرور يُستخدم لتقليل/زيادة نسبة حركة المرور.
2. تقليل صيانة تغييرات نظام أسماء النطاقات (DNS): تسمح عناوين IP الثابتة بتقنية Anycast بإعادة توجيه حركة المرور إلى منطقة سليمة دون تغيير نظام أسماء النطاقات (DNS).
3. الاستخدام المشترك مع شبكة توصيل المحتوى الخاصة بالشركات: تعمل شبكة توصيل المحتوى الثابتة على الحافة (أكثر من 85 موقعًا) على تقريب الملفات الثابتة من المستخدم، ويتم استخدام Global Accelerator للمسارات الديناميكية وواجهات برمجة التطبيقات.
4. التكلفة والكفاءة: يفرض Global Accelerator رسومًا بالساعة ورسومًا على البيانات؛ بالنسبة لحركة المرور العالية، قارنه بحلول مثل CloudFront + Regional ALB/NLB.

مقارنة مواقع مراكز البيانات واختيار أفضل منطقة

نصائح لاختيار المنطقة المناسبة:

• لا تكون المنطقة الأقرب هي الأفضل دائمًا من حيث زمن الاستجابة؛ فجودة مسار الإنترنت بين المستخدم ونقطة تواجد AWS وسعة المنطقة مهمة أيضًا.
• بالنسبة للاعبين والمتداولين، فإن وجود منطقة حافة AWS بالقرب من مزود خدمة الإنترنت الخاص بالمستخدم أو استخدام VPS في مواقع قريبة من العميل يمكن أن يقلل من زمن الاستجابة (ping).
• بالنسبة للذكاء الاصطناعي والعرض، من المهم اختيار منطقة توفر سحابة GPU وتخزين عالي السرعة (NVMe أو EBS Provisioned IOPS).
• يُعد اختبار A/B بين المناطق واستخدام Global Accelerator لتوجيه حركة المرور إلى أفضل منطقة هو أفضل طريقة للقيام بذلك.

مثال توضيحي: إطلاق موقع إلكتروني باستخدام برنامج Global Accelerator (ملخص الخطوات)

ملخص خطوات التنفيذ:

1. نشر التطبيق في منطقتين باستخدام NLB/ALB والتوسع التلقائي.
2. تعريف المسار /صحة في التطبيق.
3. قم بإنشاء مُسرِّع ومستمع باستخدام واجهة سطر الأوامر أو وحدة التحكم الخاصة بـ AWS.
4. أنشئ مجموعات نقاط النهاية وأضف معرفات موارد الشبكة (NLB/ALB ARNs).
5. قم بربط عناوين IP الخاصة بتقنية Anycast بنظام أسماء النطاقات (سجل A) أو قم بإعداد CNAME لشبكة توصيل المحتوى (CDN).
6. قم بتفعيل Shield Advanced و WAF للحماية.
7. قم بتمكين CloudWatch وتحديد التنبيهات؛ قم بإجراء اختبارات التحميل وتحقق من زمن الاستجابة/التوافر.
8. استخدم شبكة توصيل المحتوى (CDN) الخاصة بالشركة لإدارة الأصول والجلسات/ملفات تعريف الارتباط للجلسات الثابتة إذا لزم الأمر.

نصائح أخيرة وأفضل الممارسات

أفضل الممارسات باختصار:

• تعريف الفحوصات الصحية القصيرة والمستقلة.
• استخدام ACM و TLS offload على ALB.
• بالنسبة لحركة البيانات في الوقت الفعلي (UDP)، استخدم Global Accelerator لتقليل التذبذب وفقدان الحزم.
• يُعد توثيق معرفات موارد التطبيقات (ARNs) وعناوين IP الخاصة بتقنية Anycast وإعداد كتيبات تشغيل تجاوز الفشل أمرًا ضروريًا لفريق العمليات.

الخاتمة والخطوات التالية

يُعدّ AWS Global Accelerator أداةً فعّالة لتحسين الأداء والتوافر والأمان، لا سيما في البنى متعددة المناطق التي تستخدم موازنة تحميل الشبكة/موازنة تحميل التطبيقات وخدمات الأمان. وبالتكامل مع بنية الرسومات التحتية، والخوادم الافتراضية الخاصة المتخصصة، وشبكة توصيل المحتوى الطرفية، يُمكنه تحسين تجربة المستخدم في تطبيقات الألعاب والتداول والذكاء الاصطناعي.

الأسئلة الشائعة