Oct-01-2019

Anycast là gì và tầm quan trọng của nó trong hệ thống CDN

Anycast là một phương thức xác định địa chỉ và định tuyến mạng, trong đó các yêu cầu gửi đến có thể được định tuyến đến nhiều vị trí hoặc “nút” khác nhau. 

VINADATA – dịch vụ cloud server, cdn, tape backup chuyên nghiệp 

Trong bối cảnh sử dụng của CDN, Anycast thường định tuyến lưu lượng đến trung tâm dữ liệu gần nhất với khả năng xử lý yêu cầu rất hiệu quả. Việc định tuyến chọn lọc cho phép bất kì mạng nào tích hợp Anycast đều có khả năng tương thích tốt trong trường hợp lưu lượng truy cập bất ngờ tăng cao, tắc nghẽn mạng hay các cuộc tấn công DDoS. 

CDN là những mạng lớn đang tích hợp Anycast trên quy mô toàn cầu. 1 dịch vụ CDN cung cấp cho các nhà bán dịch vụ Internet (ISP) địa phương sẽ có nhiều điểm truy cập, từ đó họ có thể chọn con đường ngắn nhất. Các tuyến đường ngắn hơn sẽ dẫn đến thời gian kết nối nhanh hơn cho khách hàng truy cập trang web. 

Anycast hoạt động như thế nào? 

Khả năng định tuyến mạng của Anycast có thể đưa các yêu cầu kết nối đến (incoming connection requests) đi qua nhiều trung tâm dữ liệu khác nhau. 

Khi các yêu cầu đi tới một địa chỉ IP duy nhất liên kết với mạng Anycast, mạng này sẽ phân phối dữ liệu dựa trên một số phương pháp ưu tiên. Quá trình lựa chọn đằng sau việc chọn một trung tâm dữ liệu cụ thể thường sẽ được tối ưu hóa để giảm độ trễ, bằng cách chọn trung tâm dữ liệu với khoảng cách ngắn nhất so với người yêu cầu truy cập. 

Anycast được sử dụng như phương thức đặc trưng cho kết nối 1-1 của nhiều hiệp hội kỹ thuật mạng, và là một trong 5 phương pháp kết nối chính được sử dụng trong giao thức Internet. 

Tại sao nên sử dụng Anycast? 

Nếu nhiều yêu cầu truy cập được thực hiện đồng thời tới cùng một cloud server gốc (origin server), cloud server này có thể bị quá tải với lưu lượng truy cập lớn và không thể phản hồi hiệu quả các yêu cầu bổ sung tiếp theo. 

Với sự trợ giúp của Anycast, thay vì một mình cloud server gốc phải gánh lấy gánh nặng của lưu lượng truy cập, thì mức tải này cũng có thể được trải rộng trên các trung tâm dữ liệu sẵn có khác. Mỗi cloud server sẽ có các server hỗ trợ khả năng xử lý và đáp ứng các yêu cầu đến. 

Phương pháp định tuyến này có thể ngăn cloud server phải mở rộng dung lượng, từ đó tránh gián đoạn dịch vụ cho các khách hàng yêu cầu nội dung từ cloud server gốc này. 

Sự khác biệt giữa Anycast và Unicast 

Hầu hết mạng trên Internet hoạt động thông qua một chương trình định tuyến được gọi là Unicast. Trong giao thức Unicast, mọi nút trên mạng đều có 1 địa chỉ IP duy nhất. Với mạng gia đình và văn phòng sử dụng Unicast; khi máy tính được kết nối với mạng không dây và nhận được thông báo cho biết rằng địa chỉ IP này đã được sử dụng, một xung đột về IP sẽ xảy ra vì một máy tính khác trên cùng mạng Unicast đã sử dụng địa chỉ IP đó. Trong hầu hết các trường hợp, điều này không được phép xảy ra. 

Khi CDN sử dụng địa chỉ Unicast, lưu lượng được định tuyến trực tiếp đến nút cụ thể. Điều này tạo ra một lỗ hổng nguy hiểm khi mạng gặp phải lưu lượng truy cập bất thường, chẳng hạn như trong một cuộc tấn công DDoS. 

Bởi vì lưu lượng truy cập được định tuyến trực tiếp đến một trung tâm dữ liệu cụ thể, vị trí hoặc cơ sở hạ tầng xung quanh nó có thể bị quá tải với lưu lượng truy cập này và từ đó dẫn đến nguy cơ từ chối dịch vụ với các yêu cầu hợp pháp. 

Trong khi đó sử dụng Anycast đồng nghĩa với việc mạng có thể trở nên cực kỳ linh hoạt. Khi đó lưu lượng truy cập sẽ tìm thấy đường dẫn tốt nhất, toàn bộ trung tâm dữ liệu có thể được đặt vào trạng thái offline và lưu lượng truy cập sẽ tự động chuyển đến một trung tâm dữ liệu gần đó. 

Cách Anycast giảm nhẹ nguy cơ từ 1 vụ tấn công DDoS 

Sau khi các công cụ phòng vệ DDoS khác lọc ra một số lưu lượng truy cập với mục đích tấn công, Anycast sẽ phân phối lưu lượng truy cập tấn công còn lại trên nhiều trung tâm dữ liệu khác nhau, ngăn không cho bất kỳ vị trí nào bị quá tải với các yêu cầu truy cập. Nếu năng lực của mạng Anycast có thể đảm trách được lưu lượng tấn công, cuộc tấn công DdoS đó sẽ bị giảm thiểu hiệu quả. 

Trong hầu hết các cuộc tấn công DDoS, nhiều máy tính “zombie” hoặc “bot” bị xâm phạm được sử dụng để tạo thành thứ được gọi là botnet. Những thiết bị này có thể được phân tán trên web và tạo ra rất nhiều lưu lượng truy cập, từ đó chúng có thể áp đảo một mô hình sử dụng Unicast điển hình.

Một hệ thống CDN được tích hợp Anycast đúng cách sẽ làm tăng độ rộng của hệ thống mạng nhận, từ đó lưu lượng truy cập tấn công từ chối dịch vụ chưa được lọc – đến từ 1 botnet như trên sẽ được phân phối cho mỗi trung tâm dữ liệu của CDN tiếp nhận. Kết quả là, khi 1 mạng CDN tiếp tục phát triển về độ lớn và năng lực, nó sẽ rất khó bị tấn công và thiệt hại từ DDoS. 

Không hề dễ dàng để thiết lập một mạng tích hợp Anycast đúng chuẩn. Việc triển khai đúng quy trình sẽ khiến nhà cung cấp CDN phải duy trì phần cứng mạng riêng của họ, xây dựng mối quan hệ trực tiếp với các nhà cung cấp nguồn của họ, cũng như điều chỉnh các tuyến mạng để đảm bảo lưu lượng truy cập không “dao động” giữa nhiều địa điểm khác nhau. Dịch vụ CDN mà VINADATA cung cấp là một sự lựa chọn an toàn và tin cậy, với Anycast tích hợp bài bản. 

Ngọc Quang 

TAG

CDN