首页 > EOS柚子 > 正文

EOShenzhen服务器拓扑架构&安全设置

EOS技术爱好者  2018-05-30  EOS/EOS柚子栏目  

版权声明:

以下内容来自微信公共帐号“EOS技术爱好者”,搜索“EOSTechLover”即可订阅,本文作者Brandon Lu ,协同:Sheldon。转载必须保留以上声明。仅授权原文转载。




EOSshenzhen第一阶段网络设计如下:

设计整体核心:

整体设计按照高可用性、高稳定性和可扩展性三个方面作为主要架构展开。


关于本地IDC机房设计结构:

机房采用双ISP接入,5台Fullnode主机从接入交换机1,走ISP1出口;BP节点接入交换机2,走ISP2出口。这样的设计避免了2条线路相互干扰,并且随时可以根据应用的需求来扩容上、下行带宽。


两台交换机通过两根专用的40G堆叠线作了互联,在逻辑上成为一台交换机,接入能力以及稳定性都得到了一定程度上的提高。


网络层面,我们按照业务特性,划分了不同的VLAN, 做到了一定程度上的网络隔离和配置管理。

关于后期延展:

在网络设计这一层面,后期我们可以根据需求用eth trunk来实现二层网络的高可靠能力;或者架设路由层面的高可靠性、高吞吐量三层网络,为社区提供更好的服务。


在社区中,有很多人提及国内节点拉取国外资源不稳定的情况,为了解决这一问题,为用户提供更有保障和更快的服务,我们在香港阿里云架设了一台高性能服务器,通过proxy打通,为此,EOShenzhen的节点均可以通过该节点代理去访问海外的代码库资源。


iperf测试带宽数据如下:


关于安全性:

关于安全性,我们已经在IDC互联网入口配置了防DDOS服务攻击,包括流量清洗等服务,为EOS网络提供稳健可靠、高吞吐量的服务。


整体网络架构设计:


架构各部分设计说明

1. 公开节点(对外公开在社区节点列表里)



在没有攻击的情况下,有两个节点通过对外公布的节点进行通行。


2. 私密节点(只对其他可信BP节点私密分享的通信节点)

当在公网公开的节点受到攻击,即此时公开的节点不可用时,则通过LB转发,分散集中化的风险,继续保持对外服务的基础能力(此时的full node 没有公网IP)。


3. VPN 加密节点(各可信节点间最后的秘密通信信道)

当公网的服务节点或者LB都不可用时,则通过私有VPN网络进行通信,让最基础的正常出块业务得到保证。


4. RPC API 节点


查询用RPC所在的fullnode 与BP是两条不同的线路,保证外网对RPC的攻击不会影响BP节点。


加固安全:

1.安全服务

通过购买运营商的防DDOS服务,来提高节点抗DDOS的能力,目前我们所有的服务器交换机全部是物理机,除非受到了极端的恶劣攻击,否则绝不可能出现停机情况;


2. 主机安全

a. 开启iptables 防火墙,关闭不相关的端口访问,定制严格的安全访问规则;

b. 主机内核参数调整,针对常见的攻击,优化相关参数,提高主机的连接数;

c. 所有的主机,均不可通过外网直接登陆,只能通过特定的跳板机才允许登陆;


3.LB安全设置

d. 通过配置LB的timeout http-request、the number of connections per users、the connection rate per user等参数,提高抗DDOS的性能。



本文图片由EOShenzhen制作,转载请声明




本原创文章作者: Brandon Lu ,协同: Sheldon,首发于微信公众号“EOS技术爱好者”。转载请参照本文文首说明。


加入我们的知识星球吧!

关于我们 更多联系:

Website:https://eoshenzhen.io

Steem:https://steemit.com/@eoshenzhen

Buzy:https://busy.org/@eoshenzhen

Telegram:https://t.me/eoshenzhen

Twitter:https://twitter.com/eostechlover

简书:EOS技术爱好者

新浪微博:EOSTechLover



版权信息
作者:EOShenzhen
来源:EOS技术爱好者

关于我们

联系我们

作者进驻

手机版

Copyright © 2013 比特巴 www.btb8.com
始建于2013年,提供比特币 区块链及数字货币新闻、技术教程、测评、项目周报、人物等资讯
本页面提供的是EOS新闻资讯,EOS币为区块链奇才BM领导开发的类似操作系统的区块链架构平台,旨在实现分布式应用的性能扩展。