提到 Akamai,可能很多人都是第一次听说这个名字。由于多年前在 360 负责过整个 CDN 体系的构建,所以笔者对 Akamai 的印象一直是国外的 CDN 巨头。国庆放假的时候深入研究了一下这家公司,发现 Akamai 真的可以称作是 “互联网的幕后英雄”,他的创始人之一背后也有一段鲜为人知的英雄故事。这事儿要从一个叫 Daniel Lewin 的小伙子说起:
Daniel Lewin
Daniel Lewin
Lewin 于 1970 年 5 月出生在美国科罗拉多州,14 岁的时候随父母到了以色列,聪明好学的 Lewin 很快就学会了一口流利的阿拉伯语。虽然 Lewin 作为美籍其实并不需要服兵役,但他觉得自己最重要的人生时期都是在以色列度过的,有责任为自己的第二故乡尽一些义务。在以色列军队的 4 年,Lewin 接受了全面的反恐训练,由于表现优异升任了上尉(Captain)。
在以色列理工学院(Technion)上学期间,精力异常旺盛的 Lewin 同时在 IBM 工作并开发了著名的 CPU 验证系统 Genesys。1995 年毕业的时候 Lewin 还得到了 Technion 的 Outstanding Student 奖项。1996 年 Lewin 来到了 MIT(麻省理工学院)攻读 Ph.D 学位,据 Lewin 的导师兼后来的创业伙伴 Thomson Leighton 回忆,即使在 MIT Lewin 也是最优秀的:
“He was really exceptionally smart. MIT has a lot of really smart people, and Danny stood out even among that rarified environment,” says Leighton, who was then one of Lewin’s professors at the Massachusetts school’s computer science laboratory. “He liked working on the hardest problems, as opposed to the easier ones, because they would make more of a difference.”
发明一致性哈希
在 MIT 期间 Lewin 不仅和导师 Leighton 成了志同道合的朋友,也和互联网之父 Tim Berners-Lee 畅想过互联网的未来。1997 年,充满创造力的 Lewin 和导师 Leighton 一起发表了 Consistent Hashing(一致性哈希)论文:《Consistent Hashing and Random Trees: Distributed Caching Protocols for Relieving Hot Spots on the World Wide Web》。Consistent Hashing 的发明标志着互联网从实验室走向全世界的时机已经成熟。
一致性哈希(Consistent Hashing)
在数据量超过单机承载的能力后,我们一般都会对内容进行分布式的存储。对内容 ID 进行哈希(Hashing)并对节点数N取模可以有效的对大量数据进行均匀分布,但当对节点数进行扩容(例如 N+1)会对原有的哈希分布产生很大的扰动。Consistent Hashing 比较完美的解决了这一问题:
一致性哈希保证数据分布稳定性
Consistent Hashing 奠定了互联网内容分发的理论基础。也催生了 DHT(Distributed Hash Table),为 BitTorrent、P2P 的发明提供了沃土。
创立 Akamai
1998 年,才华横溢的 Lewin 在 MIT 获得 Morris Joseph Lewin 最优秀论文汇报奖 (Morris Joseph Lewin Award for Best Masterworks Thesis Presentation)。在学术界功成名就之后,Lewin 和导师 Leighton 一起开始了把 MIT 做出的研究进行商业化的探索。他们和 Preetish Nijhawan(MIT Sloan 学院的学生)参加了 MIT 备受瞩目的 5 万美元年度创业大赛。在为期 9 个月的竞赛期间,他们的商业计划在 100 个参赛团队中入围 6 强。这一卓越成果预示着互联网内容传送具有很大的市场潜力。
1998 年 8 月 20 日,Leighton 博士和 Lewin 成立了 Akamai 公司。一切进展十分顺利,仅仅一年后的 1999 年 10 月 29 日,Akamai 在 NASDAQ 上市!
不为人知的英雄
2001 年 9 月 11 日,Lewin 乘坐美国航空公司 11 号航班从波士顿飞往旧金山……飞机的黑匣子记录了他的英勇事迹:
……受过专业训练的 Lewin 意识到这可能是唯一的阻止他们的机会……Lewin 不幸牺牲……
遇难者名单
在他去世后,马萨诸塞州剑桥市的 Main Street 和 Vassar Streets 的交汇处为了纪念他而更名为 Danny Lewin Square。 在 ACM 计算理论研讨会 (STOC) 上颁发的最佳学生论文奖也被命名为 Danny Lewin 最佳学生论文奖,以纪念他。
互联网的 Edge
互联网技术演进的浪潮还在不断的向前,十几年前随着区块链的浪潮,Decentralize(去中心化)这个概念被提了出来。但其实在基础架构层面 Decentralize 或者 Edge 的变革早已在互联网刚被发明出来的上个世纪就已经拉开了帷幕。
中心化
中心化的网络结构
上世纪 90 年代,互联网刚被发明出来的时候并不区分 API 和 HTML 静态资源(内嵌 CSS),应用开发的逻辑主要是后端拼接 HTML,这代互联网的代表性技术是 CGI(Common Gateway Interface),用于解耦 HTTP Server 和 Web 后端。这时候的互联网 Web 站点基本上是一个中心化的网络结构。
内容分发去中心
边缘化的网络结构
中心化的基础架构带来了严重的性能问题,World Wide Web 变成了 World Wide Wait。多媒体(图片、视频)信息的增多更加加剧了这一问题。为了解决互联网的可用性问题,CDN 的概念被提了出来,静态的互联网资源被全球化的分发到了遍布世界的 CDN 节点。为了保证地球两端的用户能够瞬间看到同样的图片和视频,大量的数据在一致性哈希的指引下被存储到了一个个 CDN 集群里。
这一次的基础架构变革,让互联网的可用性大大提升,为各种社交网站、网络视频的发展铺平了道路,互联网的可用性得到了很大的增强。Web 开发的技术也彻底走向了“动静分离”,现在主流的 Web 开发框架也全部变成了 SPA(Single Page App)的模式。Web 应用的逻辑也变得类似于 Mobile App,以至于大部分多端应用(Browser、Android、iOS)都能共享同一套 Web API。
现在,互联网 30%的流量都是由 Akamai 提供的基础设施进行服务的:
Akamai set a new company record when web traffic delivered across our edge network peaked at 250 terabits per second (Tbps).
互联网新的软肋
Web App 广义的静态内容变成了(HTML、JavaScript、APK、iOS 安装包),API 变成了至关重要而又集中化的点。互联网的发明让世界变小,就好比一个小超市,之前只能做街坊四邻的生意,现在可以把货物卖到了全世界。但安全问题也随之而来,针对 Web App 的攻击主要分为两种:DDoS 攻击和 API 攻击。
DDoS 防御
DDoS(Distributed Denial-Of-Service 分布式拒绝服务攻击)攻击就好比让遍布全世界的顾客全部来你开的超市排队,把你的门店挤得水泄不通,以至于让正常客户被“拒绝服务”。抵挡这类攻击主要依赖的是“硬抗”,就好比在进超市之前安排上万个工作人员,让他们“扫健康码!”、“填表!”、“验资!”。
但 DDoS 防护的关键点在于:快速、大量,出于成本考虑,平时部署大量节点等待 DDoS 显然是不划算的。所以,正是像 Akamai 这种服务了将近全世界 30% 互联网流量的“大户”,非常适合用来做 DDoS 防护。事实上,在 2020 年 6 月的那次流量高达 1.44 Tbps 的 DDoS 攻击也是 Akamai 抵御的:
A sophisticated 1.44 Tbps and 385 Mpps DDoS attack in May 2020 was mitigated by Akamai.
你可能会觉得,怎们会有人有能力发起 Tbps 规模的 DDoS攻击?其实现代网络环境下 DDoS 攻击已经不是单纯的利用“肉鸡”和“木马”,而是会附带利用各种网络设备、基础设施的漏洞进行流量的放大。面对这种攻击普通的厂商基本是无能为力的,感兴趣的话可以参考 Akamai 的这篇文章:一个被放大43亿倍的DDoS数据包会产生怎样的结果?
API 攻击防御
针对 API 的攻击对于黑客来说是一种更加“有技术含量”的工作。还是用超市的例子来说,API 攻击更像是混进超市用各种方式捣乱用于盗窃或者是制造混乱。
举一个经典的应用层慢速请求攻击的例子,应用层的慢速连接比网络层的慢连接攻击更难以防御,类似于排队点单时思考人生的顾客,让人防不胜防。一个良好设计的 WAF(Web App Firewall)不仅可以有效的防御这类恶意攻击,更可以过滤掉各种精心构造的 SQL 注入、CC攻击。
由于 API 的实现和细节多种多样,应对此类攻击的并没有银弹。防御这类攻击的 WAF 规则需要不断的升级和维护,已经演变成一场耗时耗力的攻防游戏。需要持续投入大量的人力去发现攻击和维护防御规则,也不是一般 Web App 开发者可以承受的成本。Akamai 提供的 WAF 在这方面还是相当专业的:
Akamai 的 API 防护功能
在黑客圈子里,NSA(National Security Agency 美国国家安全局)是顶尖黑客眼中皇冠上最闪耀的宝石,面对无数专业黑客的攻击和钻研。NSA 也选择了 Akamai 提供的 API 防护服务:
NSA 从域名到网关都采用了 Akamai 的服务
不仅是 NSA,在不同的行业领域内,Akamai 广受全球公司信赖:
- 50 大证券公司中的 45 家
- 所有 10 大证券公司
- 所有 10 大视频流媒体服务商
- 10 大零售公司中的 9 家
- 10 大视频游戏公司中的 9 家
- 10 大软件公司中的 9 家
- 10 大汽车公司中的 8 家
- 10 大银行中的 8 家
- 10 大金融科技公司中的 8 家
- 10 大医疗保健支付机构中的 7 家
- 10 大医疗保健提供商中的 7 家
- 10 大电信运营商中的 7 家
- 10 大制药公司中的 6 家
- 12 个美国联邦公务员内阁机构中的 11 个
完全去中心化的互联网
无论是现在大热的 Web3 还是从互联网基础架构的可靠性出发,Fully Decentralized Network 一定是互联网的未来形态。边缘化、去中心化的互联网无论是从安全还是从内容去中心化的角度都会是一个最理想的互联网架构。
但去中心化有两个巨大的难点:
- 计算边缘化
- 存储边缘化
业界从实用主义和理想主义两个角度对两个问题做出了不同的尝试:
去中心化基础设施象限图
偏理想主义的 Ethereum、IPFS、CovenantSQL 都比较偏向于完全去中心化的设想,但目前都不能直接承载大量的传统互联网的 App。Akamai 的 EdgeWorkers 和 EdgeKV 是属于比较实用主义的实现,并没有像区块链圈子的那样“去中心化原教旨主义”。这样实现的好处自然也不言而喻,能够比较贴近于目前 App 开发的模式,也能够提供足够的性能和容量以支撑绝大部分应用的运行。
去中心化的革命还在路上,无论是 Akamai 的实用主义尝试还是类似 Ethereum 这样的理想主义改良,我们都乐意看到在通向未来的路上,拥有众多优秀的选择。
这篇文章的内容感觉还行吧?有没有想要立即在 Linode 平台上亲自尝试一下?别忘了,现在注册可以免费获得价值 100 美元的使用额度,快点自己动手体验本文介绍的功能和服务吧↓↓↓
欢迎关注 Akamai ,第一时间了解高可用的 MySQL/MariaDB 参考架构,以及丰富的应用程序示例。
