内容交付网络(CDN)已成为流媒体工作流不可或缺的一部分,可实现全球扩展的高质量视频体验。 虽然大多数流媒体服务利用CDN来增强视频性能,但他们可能错过了利用CDN的全部功能来保护其OTT流媒体基础设施的机会。 本文将介绍如何将CDN部署为OTT流基础设施中的安全层,以缓解DDoS攻击和其他漏洞。 我们还分享可增强流媒体基础设施性能和弹性的CDN配置最佳实践。
清单服务器
在流工作流程中,一旦客户端通过身份验证并推送播放,客户端/播放器就会与清单服务器建立会话。 清单服务器将播放器定向到视频存储或CDN以检索视频文件。 清单服务器在整个回放过程中与客户端保持持续通信。 在一些流式工作流程中(如同Verizon Media,现在的Edgio,Platform ),我们的清单服务器会为每个观众创建一个会话。
在一对一流工作流中,每个用户都获得自己的会话。 由于清单是个性化的并且不断变化的,因此当指引播放器获取根据流比特率和广告中断而变化的视频文件时,清单不会受益于CDN缓存。 正如我们将在本文后面讨论的那样,您必须配置CDN缓存,使其不会对清单服务器的性能产生负面影响。
高性能清单服务器依赖于水平扩展。 例如,我们在流媒体服务中构建了清单服务器基础设施,以便在多个地理区域内实时扩展,为NBA总决赛和超级碗等流行直播流媒体提供数百万个会话。
在清单工作流前面添加CDN层能否同时提高性能和安全性? 这就是我们在将清单服务器移至CDN后面时寻求确认的。 我们发现了此工作流程的三个优点。
图1. CDN通常用于增强视频文件交付(图 A),但也可以利用它来增强清单服务器的安全性和性能(图 b)。
Benefit 1:自动DDoS保护
Because Web服务器是公开的在线访问,它们是一个开放的,有吸引力的DDoS攻击目标。 虽然清单服务器URL通常不通告,但它们是公开访问的。 对于熟悉网络和浏览器Web开发工具的一些基本探测的人来说,发现您的URL并不需要花费太多的精力。
鉴于识别攻击面相对容易,DDoS攻击是黑客最常用的工具之一。 在暗网中使用低成本服务,攻击者可以骚扰全球任何Web服务器,包括清单服务器。 尽管DDoS对策相对普及,但Verizon在2020年统计到超过13,000次DDoS攻击。
许多Web服务都部署了DDoS防御技术。 数据中心的专用硬件和第三方净化中心服务是常见的。 但是,随着应用程序转向云,将DDoS保护移至基于云的DDoS提供商的情况越来越普遍。
我们的CDN整合了Stonefish,这是一个灵活的智能DDoS抵御平台,可自动阻止99%的第3和第4层攻击。 Stonefish专为大规模提供DDoS保护而打造。 Stonefish构建在我们跨300个POP的250+ Tbps网络中,提供了应对最大型DDoS攻击所需的云级容量。 Stonefish每秒分析数百万个数据包,对其进行威胁评分,并在必要时自动采取措施或将攻击转交网络运营中心进行升级。
图2. Stonefish对穿越我们全球网络的流量进行采样和评分,并在DDoS攻击影响客户的Web基础设施之前自动阻止这些攻击。
优点2:使用IP Anycast分配请求
DDoS保护也通过IP Anycast得到增强,IP Anycast是一种内置于Verizon Media Platform Delivery网络中的网络技术。 它允许多个服务器共享同一IP地址。 路由器会根据用户请求的位置将其发送到最近的端点,从而减少延迟并增加冗余。 IP Anycast使用CDN的规模来抵御大容量或DDoS攻击。 CDN中的每台服务器都会吸收部分攻击,从而减轻服务器和网络的压力。
优点3:减少清单客户端延迟
尽管清单服务器会话具有不可缓存的性质,但CDN仍可提供一些性能优势。 一个典型的清单到客户端到服务器的路径可以通过公共互联网有多达20个跃点。 相反,CDN利用其分散的边缘服务器来弥补这一差距,消除跳数,从而减少可能发生拥塞的链路数量,连接到最近的入网点(PoP),这可能最多只有一个或两个跃点。 然后,CDN通过POP之间高度优化的连接路由流量。
优化CDN以实现清单服务器性能
为了验证这些优势,Edgio的性能工程团队创建了一个测试环境,以确保在CDN背后(包括错误率,响应时间和上线时间)的结果相同或更好,适用于HLS和DASH清单。
测试比较了:
- 具有CDN前端AWS区域的非CDN前端AWS区域
- 具有CDN前置Microsoft Azure区域的非CDN前置Azure区域
每个区域的目标是250,000名并发模拟直播观众,总计100万人,其中50万人通过CDN。 客户获得了HLS与DASH的10比1比率,这意味着每生成10个HLS查看器,就会有一个DASH查看器。 频道观众频繁使用高于正常水平的广告中断,旨在使系统承受过度压力—每分钟30秒的广告中断,导致30秒的内容和30秒的广告中断。 最初的观众提升速度为每秒700多名观众,模拟了直播活动的快速开端。
我们的初步测试显示,CDN背后的区域的性能有所下降,导致客户遇到响应时间增加和超时错误。 为了解决这些问题,我们做了两项更改。
首先,我们将CDN配置为不分发清单。 如上所述,由于清单是在一对一会话级别上个性化的,因此没有必要缓存清单的CDN,并且可能会降低性能。
其次,我们研究了如何配置HTTP保持活动状态设置,以便CDN与清单服务器建立更优化的握手频率。 使用清单服务器的保持活动状态设置作为基准,我们将CDN保持活动状态设置设置为刚好低于12秒。 为什么不无限期保持连接打开? 这与在效率和性能之间取得最佳平衡有关。 就像会议在过载之前只能保持最大线程数一样,清单/CDN通信需要配置服务器可以处理的内容。 12秒的设置优化了交互频率,允许CDN和清单以最佳级别进行通信。
经过这些更改,我们发现CDN背后的明显性能与CDN背后的性能差别不大。 AWS和Microsoft Azure在两个设置中的表现相当。 CDN未报告性能和负载方面的任何问题。
将其整合在一起
The CDN对于任何媒体服务的成功至关重要,可大规模提供高质量观众体验。 虽然几乎所有OTT服务都依赖于CDN进行内容分发,但许多服务错过了利用CDN的强大功能来保护其服务免受DDoS攻击的机会。 CDN可以通过两种强大的方式提供帮助。 首先,CDN的大规模规模可与最大规模DDoS攻击的规模相匹配。 其次,IP Anycast将任何DDoS攻击传播到多个服务器上。 除了提高安全性外,CDN还可以在减少清单客户端延迟方面发挥作用。
DDoS攻击的数量和严重性逐年增加。 全面了解您的所有基础设施可能会发现提高性能和提高安全性的机会。 OTT服务必须采取措施抵御中断服务的DDoS攻击,同时保持最佳性能。 将清单服务器移动到CDN后面可以实现这一目标。
让我们评估您在OTT基础设施中的安全需求,并建议提高保护和性能水平的方法。 立即与我们联系,了解更多信息。
