一、DNS正常引導(dǎo)

  1、cname引導(dǎo)

    此引導(dǎo)方式是大多數(shù)CDN廠商的做法，面向各網(wǎng)站主，用cname的方式為其提供接入CDN系統(tǒng)的入口，在操作上，一般CDN廠家會(huì)提供一個(gè)域名供網(wǎng)站主做cname使用，在做完cname的那一刻，你連接的服務(wù)器就由CDN廠家來(lái)控制了，也就成功將用戶請(qǐng)求智能的引導(dǎo)到他們的設(shè)備上去了。另外，要正常提供服務(wù)，主要得關(guān)注兩個(gè)問(wèn)題，一個(gè)是cname解析，另一個(gè)是網(wǎng)站回源問(wèn)題。

 2、forword引導(dǎo)

    此引導(dǎo)方式是大多數(shù)運(yùn)營(yíng)商的做法，他們有自己的DNS，有自己的寬帶用戶、專(zhuān)線用戶、無(wú)線用戶，為了節(jié)省網(wǎng)間流量成本的同時(shí)提高用戶體驗(yàn)，他們會(huì)自建或找cache廠家合作進(jìn)行cache集群建設(shè)，拿cache廠家為例，在操作上，運(yùn)營(yíng)商或cache廠家會(huì)先分析出一批可以做緩存的網(wǎng)間域名，然后將這些域名forword到cache廠家自建的DNS（二次開(kāi)發(fā)后適合cache配置的）上，cache廠家的dns根據(jù)不同的解析規(guī)則（比如輪序、hash等）解析到后端的cache集群，進(jìn)而成功的將用戶請(qǐng)求引導(dǎo)到了cache廠家的設(shè)備上，每臺(tái)緩存代理服務(wù)器會(huì)安裝bind并配置回源DNS（或者直接根域回源）。當(dāng)然cache廠家也做了很好的高可用策略，比如說(shuō)cache集群掛了訪問(wèn)直接回源、兩臺(tái)DNS做高可用等等。

    有同學(xué)問(wèn)運(yùn)營(yíng)商為什么要用forword遞歸的方式，而不是迭代指定dns的方式.先說(shuō)一下迭代和遞歸的區(qū)別，舉個(gè)例子,你向A詢問(wèn)什么是互聯(lián)網(wǎng)，A不知道，他告訴我讓我問(wèn)B或C然后就不管了，這叫迭代，但同樣如果A不知道，但他說(shuō)雖然我不知道但我向B或C問(wèn)清楚后再告訴你，這就是遞歸，很清楚了吧。遞歸有個(gè)好處，每經(jīng)過(guò)的環(huán)節(jié)能夠做到信息同步，所以用遞歸處理。下面是一個(gè)精簡(jiǎn)的業(yè)務(wù)架構(gòu)原理圖：

二、劫持污染

    劫持和污染是運(yùn)營(yíng)商進(jìn)行請(qǐng)求引導(dǎo)的另外一種重要方式，在操作上會(huì)在入口鏈路上使用分光設(shè)備將流量復(fù)制一份，復(fù)制后的流量使用流量分析設(shè)備進(jìn)行分析處理，由于更靠近網(wǎng)內(nèi)網(wǎng)民，設(shè)備會(huì)將要劫持的請(qǐng)求搶先將偽造的結(jié)果回傳給用戶，而這個(gè)結(jié)果就是欺騙網(wǎng)民去訪問(wèn)指定的服務(wù)器，從而達(dá)到將請(qǐng)求劫持到cache服務(wù)集群上的效果，從劫持的請(qǐng)求看分為dns劫持和http劫持。有些同學(xué)叫這種dns引導(dǎo)方式為dns污染，因?yàn)楦杏X(jué)只是偽裝回復(fù)沒(méi)有劫持，反正不管怎么叫，都是這么一個(gè)理，畫(huà)了一張業(yè)務(wù)流程架構(gòu)圖如下：

  1、DNS劫持（污染）

    DNS劫持（污染）是指流量分析劫持設(shè)備在分析到需要的DNS查詢請(qǐng)求后（一般為udp53號(hào)端口，要抓取的dns的ip地址設(shè)置白名單），搶先偽裝一個(gè)DNS回復(fù)請(qǐng)求給用戶，為什么會(huì)搶先呢，因?yàn)橛脩艉土髁糠治鼋俪衷O(shè)備是網(wǎng)內(nèi)對(duì)網(wǎng)內(nèi)，不管是時(shí)延也好還是其它鏈路質(zhì)量也好，都要比網(wǎng)間要快很多很多，而udp的特點(diǎn)是沒(méi)有驗(yàn)證機(jī)制，用戶會(huì)接受第一個(gè)查詢結(jié)果，其余的將會(huì)被拋棄。

  2、http請(qǐng)求劫持

    http請(qǐng)求劫持是指流量分析劫持設(shè)備在分析道需要的http請(qǐng)求后，偽裝客戶端給源站發(fā)一個(gè)reset標(biāo)記斷開(kāi)連接，然后偽裝源站給用戶回一個(gè)302重定向到cache設(shè)備上，比如說(shuō)你訪問(wèn)的是www.aaa.com/123.html，cache設(shè)備是1.1.1.1，被劫持后會(huì)發(fā)一個(gè)http://1.1.1.1/www.aaa.com/123.html的302重定向給用戶，用戶自然就被引導(dǎo)到1.1.1.1上面了。

三、透明代理引導(dǎo)

  透明代理是將cache設(shè)備作為中間網(wǎng)關(guān)串聯(lián)到鏈路中去的，作為網(wǎng)關(guān)其實(shí)說(shuō)白了cache設(shè)備要開(kāi)啟路由轉(zhuǎn)發(fā)，承擔(dān)了路由器的作用，很多大的企事業(yè)單位為什么節(jié)約流量，會(huì)在其出口上安裝一臺(tái)這樣的設(shè)備，比如說(shuō)原來(lái)需要買(mǎi)兩個(gè)G帶寬，在做了透明代理后只需要買(mǎi)1.5個(gè)G了，的對(duì)于用戶而言沒(méi)有任何需要操作的，所以叫透明代理。

  透明代理也有兩種方式，都是基于iptable，一種是基于端口轉(zhuǎn)發(fā)，將目的地址是80的請(qǐng)求，轉(zhuǎn)發(fā)到本地啟用的比如說(shuō)8080的cache應(yīng)用上，由cache應(yīng)用處理后為客戶提供服務(wù)，這種方式的弊端是有可能影響一些服務(wù)，因?yàn)?0端口過(guò)來(lái)不一定全是http請(qǐng)求。另外一種是采用tcp旁路監(jiān)聽(tīng)代理的方式tproxy，此種方式是非常好的，配置iptable的mangle表的PREROUTING鏈，對(duì)tcp的socket的連接打上mark標(biāo)記，然后新建路由表讓打過(guò)標(biāo)記的tcp通過(guò)，監(jiān)聽(tīng)目的端口是80的tcp通過(guò)tproxy代理至8080的cache應(yīng)用上，由cache應(yīng)用處理后為客戶提供服務(wù)。

    操作上，服務(wù)器要開(kāi)啟路由轉(zhuǎn)發(fā)、開(kāi)啟iptable，要安裝緩存代理軟件，然后進(jìn)行相應(yīng)的配置，當(dāng)然在高可用性上要做到對(duì)路由的心跳，一旦代理服務(wù)器故障，直接跳過(guò)代理服務(wù)器到下一跳，保證業(yè)務(wù)的持續(xù)性。