Повысьте производительность, точность и безопасность с помощью AWS Global Accelerator.

Как улучшить доступность, производительность и безопасность приложения или веб-сайта с помощью AWS Global Accelerator?

AWS Global Accelerator — это сетевой сервис с IP-адресами. Anycast Это сервис, который направляет пользовательский трафик от ближайшей точки входа в глобальную сеть AWS к вашей оптимальной конечной точке. Данное практическое и техническое руководство содержит шаги по внедрению, команды AWS CLI, конфигурации серверов, советы по оптимизации и рекомендации по безопасности для повышения доступности, производительности и безопасности тестового приложения/веб-сайта.

Почему стоит использовать AWS Global Accelerator?

Основные преимущества:

• Глобальные IP-адреса Anycast: Один или два статических IP-адреса, которые объявляются по всему миру, что устраняет необходимость изменения DNS при маршрутизации трафика в разные регионы.
• Оптимальные маршруты в сети AWS: Трафик передается внутри высокоскоростной сети AWS с низкой задержкой, а общедоступный интернет используется реже.
• Поддержка протоколов TCP и UDP: Подходит для HTTP/HTTPS, игр, VoIP и торговли с низкими требованиями к задержке.
• Быстрое переключение между регионами в случае сбоя: Централизованная проверка состояния и быстрая маршрутизация трафика к работоспособным конечным точкам.

Предлагаемая архитектура для демонстрационного приложения и веб-сайта.

Пример многорегиональной архитектуры с использованием Global Accelerator:

• Два региона (например) us-east-1 и eu-west-1) каждый из которых имеет НЛБ Или АЛЬБ А за этим стоят EC2/Auto Scaling Group или Kubernetes.
• Глобальный акселератор с двумя группа конечных точек (каждый для отдельного региона) и слушатель на портах 80/443 (TCP) или UDP для игры.
• Для статического контента из CDN (например, CloudFront или корпоративной сети доставки еды (CDN) с более чем 85 точками.
• Для защиты от DDoS-атак AWS Shield Advanced А также для фильтрации на уровне приложений из AWS WAF Используйте ALB/CloudFront.
• Мониторинг и оповещение посредством CloudWatch и интеграция с операционными каналами.

Пошаговое создание акселератора с помощью AWS CLI (практический пример)

Основные шаги по созданию ускорителя с помощью AWS CLI и примеры команд:

aws globalaccelerator create-accelerator --name my-accelerator --ip-address-type IPV4 --enabled

Выходные данные включают AcceleratorArn Кроме того, будут выделены Anycast IP-адреса, которые можно использовать в DNS.

aws globalaccelerator create-listener --accelerator-arn <AcceleratorArn> --protocol TCP --port-ranges From=443,To=443

Создайте группу конечных точек для регионов (например, от us-east-1 до NLB):

aws globalaccelerator create-endpoint-group --listener-arn <ListenerArn> --endpoint-group-region us-east-1 --endpoint-configurations EndpointId=<NLB_ARN>,Weight=128 --health-check-protocol HTTP --health-check-path /health --health-check-interval-seconds 10 --threshold-count 3

Важные примечания:

• EndpointId Может ли ARN быть НЛБ, АЛЬБили IP-адрес (для EC2 или локальной установки).
• Проверка состояния здоровья на маршруте /здоровье Удерживайте кнопку мыши и верните простой ответ 200 для проверки здоровья.

Простой пример приложения (Node.js) и тест проверки работоспособности.

Экземпляр сервера Node.js по указанному пути /здоровье В ответ приходит код 200, и отображается сообщение о регионе:

const http = require('http');
http.createServer((req, res) => {
  if (req.url === '/health') return res.writeHead(200).end('ok');
  res.writeHead(200, {'Content-Type':'text/plain'});
  res.end('Hello from region X');
}).listen(3000);

Разместите это приложение в EC2 или контейнере за NLB/ALB и убедитесь, что путь указан правильно. /здоровье В каждом случае возвращается код ответа 200.

Поддержание IP-адреса клиента и протокола прокси.

Важные моменты, касающиеся сохранения IP-адреса клиента:

• НЛБ: Если вы используете NLB, Global Accelerator может... Реальный IP-адрес клиента и приложение может видеть исходный IP-адрес.
• АЛЬБ: Обычно заголовок X-Forwarded-For Для полного сохранения IP-адреса на ALB используйте протокол прокси или разместите NLB перед ALB.
• Используйте эту функцию для включения протокола Proxy Protocol v2 в NLB при регистрации целевых объектов и обработки их в NGINX/HAProxy.

Пример включения прокси v2 в NGINX (с потокового модуля (Для TCP):

stream {
    server {
        listen 443 proxy_protocol;
        proxy_pass backend:443;
        proxy_protocol_timeout 10s;
    }
}

А в серверных настройках приложения обработайте протокол прокси.

Оптимизация производительности для торговли, игр, веб-приложений и искусственного интеллекта.

Стратегии оптимизации в зависимости от типа приложения:

• Торговля и охота: Используйте UDP или TCP с наименьшим количеством переходов. Global Accelerator перемещает трафик по сети AWS; для торговых операций — по региону с ближайшей конечной точкой или конфигурацией. дорожные датчики Обеспечивает самый низкий пинг.
• Веб-сайт и API: Использование HTTP/2, Возобновление сессии TLS, Степлирование OCSPсжатие GZIP/Brotli и сжатие на CDN или NLB/ALB.
• Искусственный интеллект/Рендеринг: Для обработки больших объемов данных используйте NLB и многорегиональную архитектуру, а если вам нужны графические процессоры, используйте графические серверы в определенных регионах.

Настройка TCP-соединения на сервере Linux (примеры команд):

sudo sysctl -w net.core.somaxconn=65535
sudo sysctl -w net.ipv4.tcp_tw_reuse=1
sudo sysctl -w net.ipv4.tcp_fin_timeout=15

А чтобы это стало постоянным, выберите соответствующие параметры в /etc/sysctl.conf Добавлять.

Настройка NGINX для работы с большим количеством подключений (пример конфигурации):

worker_processes auto;
worker_connections 65536;
keepalive_timeout 65;
tcp_nopush on;
tcp_nodelay on;

Безопасность: WAF, Shield, TLS и управление доступом.

Основные советы по безопасности:

• DDoS-атака: Глобальный акселератор с AWS Shield В комплекте с: для более широкого охвата Щит усовершенствованный Включите эту функцию для защиты ваших Anycast IP-адресов.
• WAF: У Global Accelerator нет собственного WAF, но вы можете... AWS WAF Разместите его на ALB или CloudFront для фильтрации трафика на уровне приложений.
• TLS: Завершайте TLS-соединение на ALB или на балансировщике нагрузки/NGINX. Если вам требуется сквозное TLS-соединение, используйте сертификаты и на конечных точках (например, с ACM).
• Ограничение скорости запросов и защита от ботов: Создайте пользовательские правила на уровне WAF и используйте JWT и ограничения скорости для API.
• Я: Ограничьте доступ к операциям глобального акселератора с помощью соответствующих политик (например, контроля доступа к действиям, связанным с...). глобальный акселератор:*).
• Ведение журнала: Активация Журналы потоков VPCжурналы доступа ALB/NLB и Журналы CloudWatch Для мониторинга и анализа событий.

Мониторинг и тестирование производительности

Рекомендуемые инструменты и метрики:

• метрики CloudWatch Для глобальных акселераторов, таких как FlowCount, NewFlowCount, Обработано байтов и ClientTLSNegotiationErrorCount.
• Настройте оповещения об увеличении или уменьшении трафика и автоматически реагируйте или уведомляйте оперативный центр.
• Использование синтетических проверок или Проверки состояния трассы 53 Для проверки из нескольких мест.
• Нагрузочное тестирование с помощью таких инструментов, как... к6, работа Или Гатлинг И тестирование в каждом регионе.
• Мониторинг задержки с помощью RUM или синтетических зондов из важных для пользователей точек (геймеров, трейдеров).

Практические сценарии и советы по внедрению

Практические вопросы и советы по внедрению:

1. Быстрое переключение между регионами в случае сбоя: Определите проверки работоспособности глобального ускорителя на быстрых маршрутах (например, /здоровье) и из Дорожный циферблат Используйте для уменьшения/увеличения процента трафика.
2. Сокращение времени на обслуживание изменений DNS: Статические Anycast IP-адреса позволяют перенаправлять трафик в стабильный регион без изменения DNS.
3. Совместное использование с корпоративной CDN: Статическая CDN-сеть на периферии сети (более 85 точек доступа) приближает статические файлы к пользователю, а Global Accelerator используется для динамических маршрутов и API.
4. Стоимость и эффективность: Global Accelerator взимает почасовую плату и плату за передачу данных; для больших объемов трафика сравните его с такими решениями, как CloudFront + Regional ALB/NLB.

Сравнение местоположений центров обработки данных и выбор оптимального региона.

Советы по выбору подходящего региона:

• Ближайший регион не всегда является лучшим с точки зрения RTT; качество интернет-соединения между пользователем и точкой присутствия AWS, а также пропускная способность региона также имеют значение.
• Для геймеров и трейдеров размещение пограничного региона AWS рядом с POP-провайдером пользователя или использование VPS в местах, близких к клиенту, может снизить пинг.
• Для искусственного интеллекта и рендеринга важно выбрать регион, предоставляющий облачные сервисы с поддержкой графических процессоров и высокоскоростное хранилище данных (NVMe или EBS Provisioned IOPS).
• Наилучший подход — это A/B-тестирование между регионами и использование Global Accelerator для привлечения трафика в наиболее подходящий регион.

Пример сценария: Запуск веб-сайта с помощью Global Accelerator (краткое описание шагов)

Краткое описание этапов реализации:

1. Развертывание приложения в двух регионах с использованием NLB/ALB и автоматического масштабирования.
2. Определение пути /здоровье В приложении.
3. Создайте акселератор и слушатель с помощью CLI или консоли WS.
4. Создайте группы конечных точек и добавьте ARN NLB/ALB.
5. Привяжите Anycast IP-адреса к DNS (запись A) или настройте CNAME для CDN.
6. Включите Shield Advanced и WAF для защиты.
7. Включите CloudWatch и настройте оповещения; проведите нагрузочные тесты и проверьте задержку/доступность.
8. Используйте CDN компании для доступа к ресурсам и управления сессиями/cookie для обеспечения "липких" сессий, если это необходимо.

Заключительные советы и рекомендации

Краткий обзор лучших практик:

• Определение кратких и независимых медицинских осмотров.
• Использование ACM и разгрузки TLS на ALB.
• Для трафика в реальном времени (UDP) используйте Global Accelerator для уменьшения дрожания сигнала и потери пакетов.
• Документирование ARN, Anycast IP и подготовка сценариев аварийного переключения имеют важное значение для оперативной группы.

Заключение и дальнейшие шаги

AWS Global Accelerator — это мощный инструмент для повышения производительности, доступности и безопасности, особенно в многорегиональных архитектурах, использующих NLB/ALB и сервисы безопасности. В сочетании с графической инфраструктурой, специализированными VPS и CDN на периферии сети он может улучшить пользовательский опыт в играх, торговле и приложениях искусственного интеллекта.

Часто задаваемые вопросы