BGP高防业务需求
1、业务需求描述
有业务能付得起高昂的高防IP费用么?
中国线上棋牌类游戏从98年的联众游戏、2003年的QQ游戏,到2008年德州扑克、2009年的捕鱼,在到2016年的闲徕游戏,开拓了俗人线上棋牌游戏的模式。游戏行业掀起了腥风血雨的蔓延,到2017年6~7月期间全国大大小小的棋牌公司有上百家。
业务模式:熟人4个人可以通过手机打麻将,游戏公司收取的是桌台费,通过总代的方式拉拢客源进入棋牌游戏群里,假设一场麻将10几分钟,收取6块钱桌台费,那么线下渠道拉客源可以给到4块,通过病毒式的传播后,省内Top棋牌类公司一天的营业额大约在10几或者几十万不等。这样竞争对手看到这么暴力的营收都坐不住了,纷纷研发棋牌游戏,但是一个省玩麻将的就这么些人,自然的相互攻击的现象时有发生,如果你的App服务器访问不了,大家都上其他家App玩了。
2、解决方案选择
为什么要使用BGP高防?
游戏公司有钱支付抗D的费用,那么DDoS防御的需求就发展起来了。那么传统的抗D解决方案能满足需求么?答案是不行的,因为棋牌游戏的实时要求非常高,在高延时的情况下,会严重影响用户体验。所以需要,绝对好的线路,传统的单线高防,在运营商之前切换延时无法满足业务需求。
为啥用3线BGP高防?
传统的BGP高防机房,都是使用自建BGP机房资源做,这种IDC也只有腾讯会有,而且费用昂贵。大家都知道BGP线路都是优先给公有云IAAS服务的,拿来做高防太浪费了(BGP线路是普通单线的至少3倍以上价格),而且这种BGP线路,一般都也只有100G左右,不会有更大的带宽。这种针对棋牌类的攻击一般都在200G~300G左右,当时和闲徕聊过,他们业务高峰的时候攻击量是平均500G~700G。这么大的带宽存BGP机房是无法承受的。
CDN与三线BGP高防联营
如果直接和运营商谈这个机房只做高防机房,其实这是非常亏的,因为高防的流量很大,攻击时间也不确定,那么,如果我们使用CDN网络中的其中一个节点做高防机房,CDN使用出口带宽,高防使用入口带宽。这样带宽利用率会上升很多。如果按照出入向1:5的比例,80G CDN流量可以换400G入口流量。如果按照平均8元/Mbps.月, CDN的运营费用:160万。如果你量用到了,其实高防是免费用的。当然,你要集中这个省的几个节点,一般一个CDN节点按照20G规划。
有了以上论证,我们有了三线BGP高防,那么,下一步要做什么呢?大家都知道高防切换是使用cname的方式做切换。其实如果你在游戏终端安装一个安全sdk,切换这就完全摆脱cname的方式,可以使用WebDNS切换。也就是阿里云的游戏盾模式。游戏盾相关的介绍可以参考我以前的文章。本节主要是讲我们三线BGP高防如何工作。
一、高防系统架构
BGP高防系统架构
二、转发模块
模块作用
转发模块在整个高防系统中起到至关重要的作用,把用户的真实IP隐藏到转发系统后面,配合用户通过cname方式切换现有业务系统到高防机房,同时把清洗后的正常流量转发给真正的用户业务系统。
功能描述
转发系统分为4层转发和7层转发,针对棋牌类App业务数据使用4层转发,升级等系统使用7层转发(一般都是挂在CDN上的一个url下载地址)
原理
4层转发
高防机房一般会分配几个C段高防IP端,这些IP就是给转发模块用的,我们假定它为IP1
realIP1是用户业务源站IP地址
graph LR
A[clientIP:TCP:2004]
A--> |正常访问| B[IP1:TCP:2004]
B--> |4层转发| C[realIP1:TCP:10000]
C--> |4层转发| D[用户业务源站]
7层转发
graph LR
A[clientIP:TCP:80]
A--> |正常访问| B[IP1:TCP:80]
B--> |4层转发| C[realIP1:TCP:80]
C--> |7层转发| D[用户业务源站]
业务流程
1、用户在控制台创建高防IP,系统会在剩余的高防IP列表中随机选一个IP地址。
2、然后通知lvs系统建立pool,通过pool建立虚拟IP,然后建立对应member IP(回源IP)
BGP高防系统
3、设置完以上参数,需要等待用户把我们产生的随机域名设置到他们生产网站别名。
4、启动BGP高防,借助CDN的DNS系统,当联通用户,根据不同线路解析到对应的联通高防机房,电信、移动也一样。
5、不使用的时候可以切换到回源IP上。
返回VIP是否分配成功。
三、清洗系统
BGP高防清洗系统
模块组成
一般清洗模块要配合检测模块配合使用,我们先把检查模块使用NTA标识,清洗模块使用ADS标识。
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。
