CDN網(wǎng)絡(luò )加速與SSL加速

據中國互聯(lián)網(wǎng)絡(luò )信息中心于2022年8月31日發(fā)布的第50次《中國互聯(lián)網(wǎng)絡(luò )發(fā)展狀況統計報告》顯示，截至到2022年6月，我國網(wǎng)民規模為10.51億，互聯(lián)網(wǎng)普及率達74.4%。在網(wǎng)絡(luò )基礎資源方面，我國域名總數為3380萬(wàn)個(gè)，“.CN”域名數為1786萬(wàn)個(gè)，IPv6地址數量為63079塊/32，較2021年12月增長(cháng)0.04%；在信息基礎設施建設方面，截至2022年6月，我國千兆光網(wǎng)具備覆蓋超過(guò)4億戶(hù)家庭的能力，已累計建成開(kāi)通5G基站185.4萬(wàn)個(gè)。由此可見(jiàn)，我國目前的網(wǎng)絡(luò )規模十分巨大，各類(lèi)網(wǎng)站多如繁星，因此，如今人們對于網(wǎng)絡(luò )的瀏覽速度和信息安全都提出了更高的要求。網(wǎng)絡(luò )加速的需求量巨大，下面就有筆者來(lái)為各位讀者介紹兩種網(wǎng)絡(luò )加速和確保網(wǎng)絡(luò )安全的常用手段。

CDN網(wǎng)絡(luò )加速

隨著(zhù)網(wǎng)絡(luò )建設的愈加完善，目前網(wǎng)站的豐富程度也已經(jīng)不能和早年同日而語(yǔ)，不同于早期的撥號上網(wǎng)時(shí)代，在如今這個(gè)全民光纖上網(wǎng)的高速時(shí)代，人們對于不同的網(wǎng)站的加載速度都提出了更高的要求，為了解決人們對各式各樣的網(wǎng)絡(luò )加載流暢性的需求，網(wǎng)絡(luò )工程師們便提出了一種用存儲空間換取網(wǎng)站讀取時(shí)間的解決方案，這便是CDN網(wǎng)絡(luò )加速。

CDN的全稱(chēng)是Content Delivery Network，即內容分發(fā)網(wǎng)絡(luò )。其基本思路是盡可能避開(kāi)互聯(lián)網(wǎng)上有可能影響數據傳輸速度和穩定性的瓶頸和環(huán)節，使內容傳輸的更快、更穩定。簡(jiǎn)單的來(lái)說(shuō)，就是把原服務(wù)器上數據復制到其他服務(wù)器上，用戶(hù)訪(fǎng)問(wèn)時(shí)，那臺服務(wù)器近訪(fǎng)問(wèn)到的就是那臺服務(wù)器上的數據。

要想了解CDN的工作優(yōu)勢，我們先要了解一下沒(méi)有引入CDN網(wǎng)絡(luò )加速時(shí)本地于服務(wù)器端的訪(fǎng)問(wèn)模式。在傳統的網(wǎng)絡(luò )訪(fǎng)問(wèn)中，我們首先會(huì )使用瀏覽器來(lái)訪(fǎng)問(wèn)對應網(wǎng)站域名，這時(shí)，我們會(huì )先訪(fǎng)問(wèn)域名服務(wù)器也就是DNS服務(wù)器，DNS會(huì )先將我們輸入的域名解析，引導我們找到對應源服務(wù)器的IP地址，這時(shí)瀏覽器便會(huì )從源服務(wù)器中渲染相應的內容，將信息反應到我們的顯示器中。這種傳統模式存在兩個(gè)顯而易見(jiàn)的問(wèn)題：

第一，服務(wù)器一定存在一個(gè)物理上的地理位置。也就是說(shuō)，如果源服務(wù)器本身硬件地理上位于內蒙古，而我的訪(fǎng)問(wèn)位置在海南的話(huà)，訪(fǎng)問(wèn)時(shí)間一定比源服務(wù)器就在海南的訪(fǎng)問(wèn)速度要慢上不少。不僅如此，假設同時(shí)有很多個(gè)設備同時(shí)請求，帶寬有限的情況下，即使離服務(wù)器很近，那請求時(shí)間也會(huì )被拉長(cháng)。

第二，如果源服務(wù)器宕機，那么對于所有的訪(fǎng)問(wèn)請求來(lái)說(shuō)，都將無(wú)法響應，這是一場(chǎng)巨大的災難，如果這是一家小公司，沒(méi)有配置運維人員，那很有可能造成巨大的損失。

為了解決上述兩點(diǎn)致命問(wèn)題，CDN內容分發(fā)網(wǎng)絡(luò )應運而生。為了方便各位理解，我們不妨想象一下這樣一種場(chǎng)景：數十年前，快遞業(yè)務(wù)還不發(fā)達之時(shí)，一份快遞往往要耗費３－７天才能送達，除了交通和路網(wǎng)覆蓋的問(wèn)題之外，這還有一個(gè)主要原因是商家只有一個(gè)倉庫，這就意味著(zhù)，無(wú)論你住在哪里，商家只能從商家所在地發(fā)貨；而后來(lái)，商家在全國各地建立了區域式的倉庫，提前把一部分商品貨物存入，這樣貨物就會(huì )從距離下單地最近的倉庫發(fā)貨，這時(shí)快遞的平均耗時(shí)大大降低了，一般都可以做到３天左右；而如今，有大量可以隔日送達甚至于小時(shí)送達的網(wǎng)購商家存在，這便是商家在區域式倉庫的基礎之上更進(jìn)了一步，建立了前置倉庫，這種倉庫很可能就建立在你的街道，甚至于小區之中，所以可以做到下單、送達急速完成。讀到這里的各位有沒(méi)有一種恍然大悟的感覺(jué)？沒(méi)錯，所謂的CDN網(wǎng)絡(luò )加速就是類(lèi)似于網(wǎng)絡(luò )中的前置倉庫。

在加入了CDN網(wǎng)絡(luò )加速后，在域名被DNS服務(wù)器解析之后，會(huì )指向一個(gè)CDN專(zhuān)用的DNS服務(wù)器之中，而這個(gè)服務(wù)器會(huì )給瀏覽器返回一個(gè)CDN負載均衡服務(wù)器的ip地址，你的設備就會(huì )去訪(fǎng)問(wèn)這個(gè)CDN負載均衡服務(wù)器，而負載均衡服務(wù)器顧名思義，它會(huì )自動(dòng)分配一個(gè)適合你設備的CDN服務(wù)器的ip地址，分配的標準可能是地理距離、也可能是訪(fǎng)問(wèn)人數較少線(xiàn)路空閑的服務(wù)器。這時(shí)你的設備就會(huì )向這個(gè)CDN服務(wù)器請求響應的網(wǎng)站數據/文件，從而極大加快網(wǎng)絡(luò )速度。

但是，這之中也有一個(gè)問(wèn)題，要是那個(gè)適合你的CDN服務(wù)器中，沒(méi)有你所需要的文件緩存那該如何呢？其實(shí)，在源網(wǎng)站服務(wù)器開(kāi)通CDN服務(wù)時(shí)，它的ip地址會(huì )被存到CDN服務(wù)器中。一旦被請求的CDN服務(wù)器發(fā)現自己這里沒(méi)有相應的文件緩存之時(shí)，就會(huì )向上一級CDN服務(wù)器拉取該緩存，要是依舊沒(méi)有，就會(huì )再向上一級CDN服務(wù)器請求，最后就會(huì )到源網(wǎng)站中請求拉取。當拉取成功之后，每一級CDN服務(wù)器都會(huì )備份一遍這個(gè)緩存，最后你所匹配到的CDN服務(wù)器就會(huì )把相應的文件返回給你的設備。而事實(shí)上，這個(gè)CDN網(wǎng)絡(luò )之中，會(huì )用大量的用戶(hù)在發(fā)送各種各樣的請求，CDN網(wǎng)絡(luò )中都會(huì )用備份緩存。所以CDN中沒(méi)有緩存相應文件的概率是很低的，不用每次都會(huì )向上一級拉取。這便是CDN服務(wù)器的工作原理了。CDN的引入極大的加快了用戶(hù)網(wǎng)絡(luò )的訪(fǎng)問(wèn)速度，并且提升了網(wǎng)絡(luò )的穩定性，當一個(gè)CDN服務(wù)器宕機，還有其他的CDN服務(wù)器作為備份，依舊可以正常訪(fǎng)問(wèn)網(wǎng)站，不至于訪(fǎng)問(wèn)不了網(wǎng)站。

SSL加速

通過(guò)CDN技術(shù)的大范圍使用，我們的網(wǎng)絡(luò )連接速度提高了，但是連接的安全性、隱私性就顯得格外重要。為了解決網(wǎng)絡(luò )訪(fǎng)問(wèn)的安全性，SSL加密誕生了。SSL（Secure Socket Layer）安全套接層是Netscape公司率先采用的網(wǎng)絡(luò )安全協(xié)議。它是在傳輸通信協(xié)議（TCP/IP）上實(shí)現的一種安全協(xié)議，采用公開(kāi)密鑰技術(shù)。SSL廣泛支持各種類(lèi)型的網(wǎng)絡(luò )，同時(shí)提供三種基本的安全服務(wù)，它們都使用公開(kāi)密鑰技術(shù)。因此，現在有大量的網(wǎng)站在采用SSL技術(shù)，SSL加速就顯得十分重要?，F今，幾乎大部分網(wǎng)站都已經(jīng)認證了SSL，其特征就是訪(fǎng)問(wèn)地址由”Http”明文訪(fǎng)問(wèn)，變成了”Https”加密訪(fǎng)問(wèn)，確保您的網(wǎng)站傳輸數據不被泄露或篡改。

SSL加速通常指的是基于硬件的SSL實(shí)現，利用專(zhuān)用硬件設備處理SSL任務(wù)，具體可分為基于服務(wù)器加速板卡和基于專(zhuān)用加速設備兩類(lèi)方法。在服務(wù)器上安裝一塊SSL加速板卡，可以有效分擔服務(wù)器CPU處理SSL事務(wù)的壓力。SSL加速板卡通常有一個(gè)或多個(gè)協(xié)處理器用于實(shí)現SSL計算。這些協(xié)處理器可能采用通用CPU，也可能采用定制的ASIC芯片和RISC指令集芯片。每塊加速板卡每秒至少能夠處理幾百個(gè)SSL事務(wù)，當前大多數商用Web服務(wù)器都已經(jīng)支持將SSL加解密工作卸載到這種加速板卡上。

在SSL協(xié)議之中，算力消耗最大的步驟便是握手的RSA不對稱(chēng)密碼函數，這一部分計算如果均由CPU計算完成，會(huì )浪費大量的CPU資源，拖慢系統的吞吐量。為了解決這個(gè)問(wèn)題工程師們發(fā)明了第一代SSL加速器。這些加速器試圖將SSL握手部分的負載RSA解密移出網(wǎng)絡(luò )服務(wù)器，讓控制處理器來(lái)處理余下的握手函數(用于密鑰創(chuàng )建的散列函數)以及記錄層處理函數(大量的加密與認證)。

一塊典型的一代SSL加速卡每秒能處理600個(gè)RSA解密算法。當RSA解密被移出CPU之后，CPU就可以專(zhuān)心于RSA加密、TCP/IP處理和記錄層處理。但是由于CPU仍要從事大量的加密工作，第一代加速卡的加入所提高的效率非常有限，但遠遠好于不采用SSL加速卡的性能。

在第二代SSL加速卡中，芯片與系統設計工程師開(kāi)始尋求用IC來(lái)實(shí)現SSL加速。這些通常被稱(chēng)為網(wǎng)絡(luò )安全處理器的IC會(huì )卸載主處理器的握手函數(RSA解密與密鑰生成)以及記錄層的大量加密與認證函數，使CPU能騰出更多的資源來(lái)執行包處理，從而提升系統總體性能。采用SSL加速器IC的優(yōu)勢在于能分擔主機上的SSL協(xié)議處理，以及提供更多RSA解密的能力。為了使這些IC能充分發(fā)揮系統級性能，所有SSL組件必須協(xié)同工作。為了給完整的SSL協(xié)議提供服務(wù)，安全處理器芯片上需要集成多個(gè)公用組件，包括隨機數發(fā)生器、公鑰加密模塊和密碼加密/認證模塊。

關(guān)于相關(guān)的加速設備，各位可以參考閱讀這篇文章：《Intel? QAT加速卡之性能簡(jiǎn)介》 https://blog.csdn.net/s2603898260/article/details/107890447