相比传统CDN加速,全站加速DCDN具有更广阔的应用场景。在当下企业全面数字化的进程中,为了更全面地满足广大企业客户的个性化加速需求,全站加速DCDN从简单开通到个性化定制、从内容分发到安全防护,对客户侧的使用体验进行了全局梳理和全链路优化,全站加速产品功能得到极大增强和完善。12月1日14:00,全站加速DCDN集中升级发布,四位产品专家在线解读了边缘程序、数据日志、边缘安全背后的技术与应用。
全站加速DCDN(Dynamic Route for Content Delivery Network)是阿里云自主研发的产品,在提供静态内容分发服务的基础上,进一步提供了动态加速、TCP和UDP四层加速、边缘卸载以及边缘安全防护等能力,用户可以快速地将安全、中心卸载等能力下沉到全站加速的全球节点上。同时,针对业务的发展和全链路异常分析,实现全过程的实时掌握。在传统内容全站分发加速服务的基础上,增加边缘安全防护能力提升整体访问安全,实现业务的进一步提效。此次的发布阿里云将更注重于三个方向:第一,在考虑安全与分发并重的场景下,如何去确保安全又能够更有效的提高整体的访问服务。第二,如何在边缘侧增加卸载能力,将中心的能力,比如安全和流量向边缘进一步的卸载。第三,在前面两个维度之上,基于数据分发的需求,如何进行智能化的数据运维。阿里云产品专家寒丰介绍到:在用户访问到达阿里云全站加速产品后,进入的第一层是边缘性安全防护,比如基于DDoS的联动、频次控制、区域封禁、流量管理,这些都是基于内容和应用的安全防护上的前置;在内容经过安全的清洗之后,进入到加速节点上,DCDN能够去将中心能力向边缘进行轻量的卸载,比如边缘渲染、边缘程序、灰度发布等,同时在传统内容分发服务上,更倾向于在边缘中实现自闭环的管理服务,在整体的边缘计算服务之后,依然可以利用原有的动静态分发服务能力向后流转,利用动态的全网探测能力根据不同条件进行决策,实现传输路径最匹配用户的回源策略。同时,加强源站管理方面,不仅基于多源管理,也配备容灾管理以及源站的防护;在全链路的管理上,将数据分析服务能力也一并提升,基于全链路采集进行全网的日志分析,进而去简化和提高运维效率。这是阿里云全站加速产品服务的原理图。本次发布分为三块内容,第一是基于边缘的轻量计算的卸载,第二块是基于边缘安全防护的提升,第三是基于日志去构建数据分析服务的能力。
本次发布会对阿里云CDN的EdgeRoutine边缘程序进行了详细解读。EdgeRoutine是一个运行在CDN边缘节点上的JavaScript代码运行环境,用户可以将JS代码上传至EdgeRoutine,即可在全球的CDN边缘节点上运行,相当于用户在全球各地拥有了大量微型服务器去就近地服务各地的用户。阿里云高级产品经理黎鹤表示:EdgeRoutine具备CDN的弹性调度、低成本、低延时的特性,同时也兼顾Serverless简单易用的特性。
一、弹性调度
部署在EdgeRoutine的JS代码将运行在遍布全球各地的CDN节点上。用户的请求将就近访问CDN节点。当某个区域用户请求突增,CDN系统会将请求调度至周边节点,自动弹性扩容,用户无需为每一次可能的业务突增而担心计算资源不够的问题。比如下图左侧的示例,当杭州用户发起请求,就近调度至杭州的CDN节点;当杭州用户的请求突增,调度自动将请求分散调度至杭州周边的嘉兴湖州等区域的CDN节点;而杭州用户的请求进一步突增,调度自动将请求分散调度至更远的无锡上海等区域的CDN节点。阿里云CDN有2800+节点遍布全球,形成一张巨大的调度网络,自动弹性调度。二、低成本
我们看一下计算的发展史,其实从某种维度来看的话,是对资源的隔离和复用的一个发展史。最早的物理机,到一台物理机被隔离成N台的虚拟机,再到云计算及容器化技术,虚拟机上又可以隔离出N个不同运行环境,整个过程中,用户隔离不断细化,单位硬件设备能够做到更高复用,将资源复用做到极致,给用户带来性价比更高的按量付费服务。这也是EdgeRoutine能为大家带来更低成本的价值的原因。三、易用(Serverless特性)
传统的应用搭建的流程,用户需要去购买服务器,还需要去运维上面的系统,然后才进行整个开发应用的部署,持续去优化服务性能,需要非常庞大的团队协同。Serverless意味着用户不需要再去关注底层的基础设施,只需要关注核心的业务代码,上传你的代码就完成了整个部署。后端的这些资源是完全自动、弹性伸缩的,可以帮助用户原来缩减运维成本。基于EdgeRoutine的应用构建方式也是如此,只需要在第一次使用时候进行简单的安装配置,即可专注开发业务代码,直接上传部署即可。
四、超低延时
在边缘上直接去处理客户端的请求,跟在中心处理,肯定是会大幅缩短网络链路,这样减少了网络传输的延时风险。同时,EdgeRoutine采用Chromium V8轻量隔离技术,冷启动时间几乎可忽略。基于以上价值特性,EdgeRoutine可以适用于图文页面渲染、灰度/AB测试、海量日志的清洗和汇聚、源站可用性健康检查、IoT场景数据清洗、GEO打点,甚至托管个人站点等各类场景,具有非常大的想象和应用空间。
全站加速DCDN是集合静态加速、动态加速、边缘安全、边缘程序等能力为一体的产品。在广大开发者使用产品的过程中,日志是不可或缺的工具。怎么样提升日志生产的及时性,提升基于日志的分析效率至关重要。
全站加速DCDN实时日志和日志服务SLS进行深度联动,在全站加速全球节点生产的日志数据将会被实时采集并投递到SLS进行存储。SLS提供了强大的数据分析能力,可以帮助开发者对日志进行实时、精细化、灵活定制的消费日志数据。今天,用户在全站加速的控制台,即可一站式的集成这些能力。产品专家简亿表示:这次全站加速DCDN发布的实时日志由3大核心特性。分别是高时效性、按需配置和精细化分析。一、高时效性
相比传统的离线日志,具有实时生产,实时投递的特性,同时提供了更加丰富的日志字段,能够帮助开发者快速洞悉业务。
二、按需配置
允许开发者仅是选择有必要的日志字段进行采集、投递和存储,并且可以自定义日志的采样率,减少数据的使用成本。实时日志投递任务在被创建的同时,我们在SLS预置了丰富的数据可视化分析看板,同时也可以使用SQL语句对日志进行定向分析。接下来,产品专家简亿就基于这些特性,为大家分享两个实战案例。
实践一:基于实时日志快速定位问题的实践
当用户使用实时日志服务时,阿里云已经为用户预置提供了丰富的业务分析维度。用户可以通过可视化的看板直观的看到业务中潜在风险,如请求突增、用户IP访问次数异常、错误状态比例扩大等问题。用户可以进一步定义这些指标,也可以设置合理的告警策略,来完善问题发现的机制。更细粒度的,用户可以直接使用SQL语句来实时分析某个具体用户的访问情况。
实践二:精细化分析实践:广告投放效果补充分析
目前实时日志预置的分析看板的分析粒度,可以细化到具体的域名、URL甚至具体用户IP维度。且提供了10+分析看板供做分析。例如分析某个广告投放页面,活动页面通常是一个具体的URL,此时就可以基于此URL分析访问趋势、地理分布、来源分布等信息,作为广告投放效果的重要补充数据。关于如何使用全站加速的实时日志服务,用户可以登陆全站加速控制台开通实时日志服务。开发者无需繁琐的配置,即可快速构建DCDN的实时日志服务。在接下来的时间里,阿里云将会进一步增强全站加速DCDN的实时日志服务。除了目前已经支持采集和投递的访问日志外,还将会进一步支持回源日志的采集与投递,以及边缘程序的日志采集于投递。当一个用户的请求向边缘节点发起访问,经过边缘程序做业务处理,再到回源,每个环节产生的日志将通过一个唯一标识的traceid进行连接。帮助用户的业务在DCDN这个环节实现全链路分析,提升问题的发现和定位效率。
在数字化时代,业务上云已是大势所趋。然而,随着越来越多的业务上云,网络攻击事件层出不穷,网络的安全环境日益恶化,这些攻击事件严重危及了客户线上业务的稳定性、可用性和数据安全。单纯加速服务已经不能满足行业和业务的需求。让我们来看一下各个行业对自身业务安全的关注点和主诉求:
通过这些行业的分析,我们可以看到他们将业务安全与web加速放在了同等重要地位,迫切需要一个全新的安全加速的解决方案。阿里云政企安全加速就是这样一种解决方案,它是阿里云CDN 团队携手云安全团队共同打造的结合分发加速和边缘安全的一站式服务。它能够有效解决上述政府金融、传媒和传统企业针对内容分发安全和加速问题的一体化诉求,为他们的云上业务保驾护航。政企安全加速通过构建六个模块,打造了一个全方位的边缘防护体系。首先,WAF 提供的是应用层的安全防护;DDoS防护提供的是网络层的安全解决方案;HTTPS证书实现了数据的加密传输,它做到了全链路的数据传输安全;同时,阿里云积极参与全球级、国家级和行业级的各类认证项目,通过购买阿里云的服务和产品,客户可以非常方便的达到所在行业的监管与合规的要求;另外大流量攻击旨在瘫痪客户的网上业务,直接对它的品牌和营收造成很消极的影响,保障在线业务的高可用性是客户的核心诉求。我们提供了多种高可用的技术方案;最后CDN节点间的一致性校验技术,它能够有效的防止内容被篡改。上图就上述六个模块详细列出了它下面的功能项。这些功能的有机组合能够实现模块预设的安全防护的目标。接下来高级产品专家草创就每一个模块进行了介绍。
网络层安全
网络的安全主要应对的是大流量攻击的风险与威胁。在这一方面,全站加速DCDN 天然具备打散流量的特性,通过DNS 调度,把用户的正常访问与来自黑客的恶意访问同时调度到附近的节点,由它产生服务,这样做就避免攻击集中于单点。另外,每个DCDN节点天然具备一定的抗攻击能力,阿里云DDoS检测模块能够智能的识别攻击特征和感知攻击的强度,当攻击超过一定阈值的时候,调度系统可以把某一个区的流量调度到临近的大容量的高防节点进行有效的流量清洗,清洁后的流量回注,全站加速DCDN 继续使用它的加速服务。因此这是一套两个产品联动的方案,它做到了智能识别,提供大容量的防护和清洗能力,并做到了流量的自动调度。应用层安全
应用层安全主要是DCDN节点经过改造后,除了原有的加速能力,现在还提供原生的应用层的防护。它通过四个方面来实现:首先,访问控制模块,访问控制可以让用户通过自定义的防护规则精准匹配接入的请求,执行预设的动作,例如放行或者拦截。其次,频次控制通过制定的防护规则,能够有效抑制过于频繁或者超量的终端用户的请求,有效的保护原站的资源。第三,web 应用防火墙它能够应对OWASP威胁,制定有效的内置规则,防范外部攻击。同时针对刚发现的系统漏洞能够及时开发并下发虚拟补丁,实现0-day的漏洞防护。第四,爬虫管理模块,这个模块它能够有效鉴别恶意的和良性的爬虫,严控自动化工具所产生的对网站的访问流量,做到防恶意刷量和保护用户的账户安全。通过这一套有机的模块组合,我们在DCDN的节点注入了全面的WAF 防护能力,能够实现应用层的有效防护。数据的安全传输和内容防篡改
首先众所周知,CDN 是一个共享平台,边缘节点可以同时服务多个客户的域名。如果客户对他的业务非常关注,不希望受到其他客户的影响,我们可以给他分配独立的节点,做到有效的资源隔离。其次除了标准的HTTPS加密,全站加速DCDN也支持国家制定的国密算法。它能够在DCDN和源站间实现高效安全的加密传输。最后当内容在节点进行传输的时候,节点可以做互相性的一致性校验,确保内容的完整性不被篡改。通过这一套有机的整合,全站加速给用户提供了安全的数据传输方案,并对有需求的客户提供独享的资源。边缘服务的高可用性和合规认证
所谓的高可用就是保证在发生大规模攻击的情况下,客户在线业务能够继续可用,保持一定的稳定性,这是客户的一个核心诉求。全站加速提供了多种手段保证原站的高可用,包括:源站的监控与告警,主备远程情况下CDN自动的切换,DCDN的缓存模式,灾备站等多种高可用模式。另一方面,阿里云积极参与国家级全球级和行业级的认证项目,目前已经获得了国内外共97项的合规资质,其中CDN相关资质有47项(等保三级,金融云等保四级,可信云,ISO27001系列,PCI DSS安全认证)。采购了阿里云的服务和产品,客户可以非常轻而易举的做到了行业所在行业的合规与监管的要求。综上所述,全站加速DCDN 融合了云安全团队先进的防护技术,打造了一套原生的防护体系。阿里云全站加速在用户体验上的升级优化远远不止以上内容,我们将会持续提供更好的体验和更丰富的产品能力,帮助您在使用过程中更加简单、易用、安全、高效!