CDN網(wǎng)絡(luò)加速與SSL加速

據(jù)中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心于2022年8月31日發(fā)布的第50次《中國(guó)互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告》顯示，截至到2022年6月，我國(guó)網(wǎng)民規(guī)模為10.51億，互聯(lián)網(wǎng)普及率達(dá)74.4%。在網(wǎng)絡(luò)基礎(chǔ)資源方面，我國(guó)域名總數(shù)為3380萬(wàn)個(gè)，“.CN”域名數(shù)為1786萬(wàn)個(gè)，IPv6地址數(shù)量為63079塊/32，較2021年12月增長(zhǎng)0.04%；在信息基礎(chǔ)設(shè)施建設(shè)方面，截至2022年6月，我國(guó)千兆光網(wǎng)具備覆蓋超過(guò)4億戶家庭的能力，已累計(jì)建成開(kāi)通5G基站185.4萬(wàn)個(gè)。由此可見(jiàn)，我國(guó)目前的網(wǎng)絡(luò)規(guī)模十分巨大，各類網(wǎng)站多如繁星，因此，如今人們對(duì)于網(wǎng)絡(luò)的瀏覽速度和信息安全都提出了更高的要求。網(wǎng)絡(luò)加速的需求量巨大，下面就有筆者來(lái)為各位讀者介紹兩種網(wǎng)絡(luò)加速和確保網(wǎng)絡(luò)安全的常用手段。

CDN網(wǎng)絡(luò)加速

隨著網(wǎng)絡(luò)建設(shè)的愈加完善，目前網(wǎng)站的豐富程度也已經(jīng)不能和早年同日而語(yǔ)，不同于早期的撥號(hào)上網(wǎng)時(shí)代，在如今這個(gè)全民光纖上網(wǎng)的高速時(shí)代，人們對(duì)于不同的網(wǎng)站的加載速度都提出了更高的要求，為了解決人們對(duì)各式各樣的網(wǎng)絡(luò)加載流暢性的需求，網(wǎng)絡(luò)工程師們便提出了一種用存儲(chǔ)空間換取網(wǎng)站讀取時(shí)間的解決方案，這便是CDN網(wǎng)絡(luò)加速。

CDN的全稱是Content Delivery Network，即內(nèi)容分發(fā)網(wǎng)絡(luò)。其基本思路是盡可能避開(kāi)互聯(lián)網(wǎng)上有可能影響數(shù)據(jù)傳輸速度和穩(wěn)定性的瓶頸和環(huán)節(jié)，使內(nèi)容傳輸?shù)母?、更穩(wěn)定。簡(jiǎn)單的來(lái)說(shuō)，就是把原服務(wù)器上數(shù)據(jù)復(fù)制到其他服務(wù)器上，用戶訪問(wèn)時(shí)，那臺(tái)服務(wù)器近訪問(wèn)到的就是那臺(tái)服務(wù)器上的數(shù)據(jù)。

要想了解CDN的工作優(yōu)勢(shì)，我們先要了解一下沒(méi)有引入CDN網(wǎng)絡(luò)加速時(shí)本地于服務(wù)器端的訪問(wèn)模式。在傳統(tǒng)的網(wǎng)絡(luò)訪問(wèn)中，我們首先會(huì)使用瀏覽器來(lái)訪問(wèn)對(duì)應(yīng)網(wǎng)站域名，這時(shí)，我們會(huì)先訪問(wèn)域名服務(wù)器也就是DNS服務(wù)器，DNS會(huì)先將我們輸入的域名解析，引導(dǎo)我們找到對(duì)應(yīng)源服務(wù)器的IP地址，這時(shí)瀏覽器便會(huì)從源服務(wù)器中渲染相應(yīng)的內(nèi)容，將信息反應(yīng)到我們的顯示器中。這種傳統(tǒng)模式存在兩個(gè)顯而易見(jiàn)的問(wèn)題：

第一，服務(wù)器一定存在一個(gè)物理上的地理位置。也就是說(shuō)，如果源服務(wù)器本身硬件地理上位于內(nèi)蒙古，而我的訪問(wèn)位置在海南的話，訪問(wèn)時(shí)間一定比源服務(wù)器就在海南的訪問(wèn)速度要慢上不少。不僅如此，假設(shè)同時(shí)有很多個(gè)設(shè)備同時(shí)請(qǐng)求，帶寬有限的情況下，即使離服務(wù)器很近，那請(qǐng)求時(shí)間也會(huì)被拉長(zhǎng)。

第二，如果源服務(wù)器宕機(jī)，那么對(duì)于所有的訪問(wèn)請(qǐng)求來(lái)說(shuō)，都將無(wú)法響應(yīng)，這是一場(chǎng)巨大的災(zāi)難，如果這是一家小公司，沒(méi)有配置運(yùn)維人員，那很有可能造成巨大的損失。

為了解決上述兩點(diǎn)致命問(wèn)題，CDN內(nèi)容分發(fā)網(wǎng)絡(luò)應(yīng)運(yùn)而生。為了方便各位理解，我們不妨想象一下這樣一種場(chǎng)景：數(shù)十年前，快遞業(yè)務(wù)還不發(fā)達(dá)之時(shí)，一份快遞往往要耗費(fèi)３－７天才能送達(dá)，除了交通和路網(wǎng)覆蓋的問(wèn)題之外，這還有一個(gè)主要原因是商家只有一個(gè)倉(cāng)庫(kù)，這就意味著，無(wú)論你住在哪里，商家只能從商家所在地發(fā)貨；而后來(lái)，商家在全國(guó)各地建立了區(qū)域式的倉(cāng)庫(kù)，提前把一部分商品貨物存入，這樣貨物就會(huì)從距離下單地最近的倉(cāng)庫(kù)發(fā)貨，這時(shí)快遞的平均耗時(shí)大大降低了，一般都可以做到３天左右；而如今，有大量可以隔日送達(dá)甚至于小時(shí)送達(dá)的網(wǎng)購(gòu)商家存在，這便是商家在區(qū)域式倉(cāng)庫(kù)的基礎(chǔ)之上更進(jìn)了一步，建立了前置倉(cāng)庫(kù)，這種倉(cāng)庫(kù)很可能就建立在你的街道，甚至于小區(qū)之中，所以可以做到下單、送達(dá)急速完成。讀到這里的各位有沒(méi)有一種恍然大悟的感覺(jué)？沒(méi)錯(cuò)，所謂的CDN網(wǎng)絡(luò)加速就是類似于網(wǎng)絡(luò)中的前置倉(cāng)庫(kù)。

在加入了CDN網(wǎng)絡(luò)加速后，在域名被DNS服務(wù)器解析之后，會(huì)指向一個(gè)CDN專用的DNS服務(wù)器之中，而這個(gè)服務(wù)器會(huì)給瀏覽器返回一個(gè)CDN負(fù)載均衡服務(wù)器的ip地址，你的設(shè)備就會(huì)去訪問(wèn)這個(gè)CDN負(fù)載均衡服務(wù)器，而負(fù)載均衡服務(wù)器顧名思義，它會(huì)自動(dòng)分配一個(gè)適合你設(shè)備的CDN服務(wù)器的ip地址，分配的標(biāo)準(zhǔn)可能是地理距離、也可能是訪問(wèn)人數(shù)較少線路空閑的服務(wù)器。這時(shí)你的設(shè)備就會(huì)向這個(gè)CDN服務(wù)器請(qǐng)求響應(yīng)的網(wǎng)站數(shù)據(jù)/文件，從而極大加快網(wǎng)絡(luò)速度。

但是，這之中也有一個(gè)問(wèn)題，要是那個(gè)適合你的CDN服務(wù)器中，沒(méi)有你所需要的文件緩存那該如何呢？其實(shí)，在源網(wǎng)站服務(wù)器開(kāi)通CDN服務(wù)時(shí)，它的ip地址會(huì)被存到CDN服務(wù)器中。一旦被請(qǐng)求的CDN服務(wù)器發(fā)現(xiàn)自己這里沒(méi)有相應(yīng)的文件緩存之時(shí)，就會(huì)向上一級(jí)CDN服務(wù)器拉取該緩存，要是依舊沒(méi)有，就會(huì)再向上一級(jí)CDN服務(wù)器請(qǐng)求，最后就會(huì)到源網(wǎng)站中請(qǐng)求拉取。當(dāng)拉取成功之后，每一級(jí)CDN服務(wù)器都會(huì)備份一遍這個(gè)緩存，最后你所匹配到的CDN服務(wù)器就會(huì)把相應(yīng)的文件返回給你的設(shè)備。而事實(shí)上，這個(gè)CDN網(wǎng)絡(luò)之中，會(huì)用大量的用戶在發(fā)送各種各樣的請(qǐng)求，CDN網(wǎng)絡(luò)中都會(huì)用備份緩存。所以CDN中沒(méi)有緩存相應(yīng)文件的概率是很低的，不用每次都會(huì)向上一級(jí)拉取。這便是CDN服務(wù)器的工作原理了。CDN的引入極大的加快了用戶網(wǎng)絡(luò)的訪問(wèn)速度，并且提升了網(wǎng)絡(luò)的穩(wěn)定性，當(dāng)一個(gè)CDN服務(wù)器宕機(jī)，還有其他的CDN服務(wù)器作為備份，依舊可以正常訪問(wèn)網(wǎng)站，不至于訪問(wèn)不了網(wǎng)站。

SSL加速

通過(guò)CDN技術(shù)的大范圍使用，我們的網(wǎng)絡(luò)連接速度提高了，但是連接的安全性、隱私性就顯得格外重要。為了解決網(wǎng)絡(luò)訪問(wèn)的安全性，SSL加密誕生了。SSL（Secure Socket Layer）安全套接層是Netscape公司率先采用的網(wǎng)絡(luò)安全協(xié)議。它是在傳輸通信協(xié)議（TCP/IP）上實(shí)現(xiàn)的一種安全協(xié)議，采用公開(kāi)密鑰技術(shù)。SSL廣泛支持各種類型的網(wǎng)絡(luò)，同時(shí)提供三種基本的安全服務(wù)，它們都使用公開(kāi)密鑰技術(shù)。因此，現(xiàn)在有大量的網(wǎng)站在采用SSL技術(shù)，SSL加速就顯得十分重要。現(xiàn)今，幾乎大部分網(wǎng)站都已經(jīng)認(rèn)證了SSL，其特征就是訪問(wèn)地址由”Http”明文訪問(wèn)，變成了”Https”加密訪問(wèn)，確保您的網(wǎng)站傳輸數(shù)據(jù)不被泄露或篡改。

SSL加速通常指的是基于硬件的SSL實(shí)現(xiàn)，利用專用硬件設(shè)備處理SSL任務(wù)，具體可分為基于服務(wù)器加速板卡和基于專用加速設(shè)備兩類方法。在服務(wù)器上安裝一塊SSL加速板卡，可以有效分擔(dān)服務(wù)器CPU處理SSL事務(wù)的壓力。SSL加速板卡通常有一個(gè)或多個(gè)協(xié)處理器用于實(shí)現(xiàn)SSL計(jì)算。這些協(xié)處理器可能采用通用CPU，也可能采用定制的ASIC芯片和RISC指令集芯片。每塊加速板卡每秒至少能夠處理幾百個(gè)SSL事務(wù)，當(dāng)前大多數(shù)商用Web服務(wù)器都已經(jīng)支持將SSL加解密工作卸載到這種加速板卡上。

在SSL協(xié)議之中，算力消耗最大的步驟便是握手的RSA不對(duì)稱密碼函數(shù)，這一部分計(jì)算如果均由CPU計(jì)算完成，會(huì)浪費(fèi)大量的CPU資源，拖慢系統(tǒng)的吞吐量。為了解決這個(gè)問(wèn)題工程師們發(fā)明了第一代SSL加速器。這些加速器試圖將SSL握手部分的負(fù)載RSA解密移出網(wǎng)絡(luò)服務(wù)器，讓控制處理器來(lái)處理余下的握手函數(shù)(用于密鑰創(chuàng)建的散列函數(shù))以及記錄層處理函數(shù)(大量的加密與認(rèn)證)。

一塊典型的一代SSL加速卡每秒能處理600個(gè)RSA解密算法。當(dāng)RSA解密被移出CPU之后，CPU就可以專心于RSA加密、TCP/IP處理和記錄層處理。但是由于CPU仍要從事大量的加密工作，第一代加速卡的加入所提高的效率非常有限，但遠(yuǎn)遠(yuǎn)好于不采用SSL加速卡的性能。

在第二代SSL加速卡中，芯片與系統(tǒng)設(shè)計(jì)工程師開(kāi)始尋求用IC來(lái)實(shí)現(xiàn)SSL加速。這些通常被稱為網(wǎng)絡(luò)安全處理器的IC會(huì)卸載主處理器的握手函數(shù)(RSA解密與密鑰生成)以及記錄層的大量加密與認(rèn)證函數(shù)，使CPU能騰出更多的資源來(lái)執(zhí)行包處理，從而提升系統(tǒng)總體性能。采用SSL加速器IC的優(yōu)勢(shì)在于能分擔(dān)主機(jī)上的SSL協(xié)議處理，以及提供更多RSA解密的能力。為了使這些IC能充分發(fā)揮系統(tǒng)級(jí)性能，所有SSL組件必須協(xié)同工作。為了給完整的SSL協(xié)議提供服務(wù)，安全處理器芯片上需要集成多個(gè)公用組件，包括隨機(jī)數(shù)發(fā)生器、公鑰加密模塊和密碼加密/認(rèn)證模塊。

關(guān)于相關(guān)的加速設(shè)備，各位可以參考閱讀這篇文章：《Intel? QAT加速卡之性能簡(jiǎn)介》 https://blog.csdn.net/s2603898260/article/details/107890447