1、squido辅助技术 (1)负载均衡:lvs+keepalived (2)监控:nagios,mrtg Cdn设计要点o选定核心缓存节点(电信、网通各2个)o选定边缘缓存节点(覆盖到省)o归类ip地址:哪些ip地址属于哪些运营商?Dns的解析依赖一个庞大的地址库判定客户请求来源,然后才可能实现用户的就近访问。o容错和负载均衡 如果自己做一个简单的cdn应用,可能只需要电信和网通2个节点,不必有边缘和核心的区分;ip库也简化成电信、网通、其他,即dns只涉及3个视图(VIEW)一个样例用户dns处理o一般情况下,用户的dns用A记录直接把主机名解析到源站IP.为了使用cdn,则需要在dns服务器
2、上使用CNAME,把域名指向到cdn运营商解析出来域名上(注意:不能是某个固定IP),如:odl IN CNAME .当用户访问这个域名时,实际访 问的域名是Cdn的DNS处理oCdn使用2套 DNS系统,一套对外(即对internet提供域名解析服务,亦即是前面所使用的别名);一套内部使用的DNS,供各cdn节点使用(小规模的cdn可以使用Hosts文件来实现)。一、内部dnsoCdn姐妹(sibling)、父子(parent)名称解析o解析源站地址二、外部dnsoCdn最关键之处就是外部dns的视图功能(view)。至少需要定义3个视图:电信、网通和其他。为了更准确地提供cdn服务,建议每
3、个省定义成一个View.o视图(View)一般以网段为单位,一个网段一行,更有效的方式是搜集DNS所属网段,这样视图(view)的列表就会变得比较小,可以大大加速检索速度。三、一个简单的dns视图片断o#KEYS FOR TSIG#okey telecomkey oalgorithm hmac-md5;osecret LaA4Y1MHlFSTTMz1mzwarA=;o;okey cnckey oalgorithm hmac-md5;osecret l/rlorcG+7hhabIFKe8Kjg=;okey anykey oalgorithm hmac-md5;osecret YMXXBAck4i
4、5Sb4PlUg00Uw=;三、一个简单的dns视图片断oinclude cnc_acl.conf;oinclude telecom_acl.conf;oview view_cnc o match-clients key cnckey;CNC;o recursion yes;o allow-transfer key cnckey;o server 61.135.210.20 keys cnckey;o server 61.135.210.10 keys cnckey;ozone.IN o type hint;o file named.ca;o ;ozone localhost IN o typ
5、e master;o file localhost.zone;o allow-update none;三、一个简单的dns视图片断ozone 0.0.127.in-addr.arpa IN o type master;o file named.local;ozone“ IN o type master;o file .zone;ozone 210.135.61.in-addr.arpa IN o type master;o file 210.135.61.in-addr.arpa.zone;四、视图列表片断orootnagios/var/named#more cnc_acl.confoacl
6、CNC o58.16.0.0/16;o58.168.225.0/24;o58.17.0.0/17;o58.17.128.0/17;o58.17.180.0/24;o58.17.186.0/24;o58.18.0.0/16;o58.19.0.0/16;o58.20.0.0/16;o58.21.0.0/16;o58.22.0.0/15;o58.22.0.0/16;o58.23.0.0/16;o58.240.0.0/15;o58.242.0.0/15;oo222.163.128.0/17;o222.163.32.0/19;o222.163.64.0/18;缓存服务器o分层设计(parent)o层间堆
7、叠(sibling)o禁止使用ip地址访问一、分层设计o中心节点为父节点、边缘节点为子节点。用户的访问被分配到边缘节点,当访问没有被命中时,子节点再向父节点请求,如果父节点仍然没有被命中,则继续向源站请求。这种机制保证了源站有更小的访问流量,大大降低源站的带宽耗费。oacl CNSERY dstdomain ocache_peer parent 80 3130 no-query originserverocache_peer_access allow CNSERY二、层间堆叠o用户访问每个边缘服务器,如未命中,则访问临近的节点。这也是为降低源站流量和减少源站带宽所采取的措施。在实际的部署中,往
8、往由数个服务器组成一个集群,相邻节点出于一个网段内,所以这种邻接关系相互访问是很有保障的。ocache_peer sibling 80 3130ocache_peer sibling 80 3130ocache_peer sibling 80 3130三、禁止使用ip访问o禁止ip访问既有基于安全的考虑也有出于效率的考虑oacl IP dstdom_regex 0-9+.0-9+.0-9+.0-9+$ohttp_access deny IP集群与负载均衡o所有节点都在各自的网段采取集群和负载均衡技术(不包括DNS)oLvs结合keepalived是最佳的选择Keepalived 配置文件片断o
9、#guration File for keepalivedoglobal_defs o router_id LVS_sery_2oovrrp_sync_group VGM o group o VI_OUT1o oovrrp_sync_group VGB o group o VI_INT1o oovrrp_instance VI_OUT1 o state BACKUPo interface eth2o lvs_sync_daemon_inteface eth2o virtual_router_id 51o priority 150o advert_int 5o authentication o auth_type PASSo auth_pass 1111o o virtual_ipaddress o 61.135.210.4o 61.135.220.123o oo.监控:o服务及主机监控:nagios是很不错的选择。由于squid禁止使用访问,因此监控也应该使用域名来进行o流量监控:cacti或mrtgo报警:使用短信方式。可以外购短信服务,把它整合到监控平台中谢谢报告人:田逸()2008-01-03
copyright@ 2008-2022 冰豆网网站版权所有
经营许可证编号:鄂ICP备2022015515号-1