Хабр Курсы для бэкендеров
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Поток Бэкенд доступен 24/7 благодаря поддержке друзей Хабра
Комментарии 10
Вы дважды озвучили тезис про Майами и Сингапур, но не пояснили детально причин:
Когда твой anycast-префикс анонсится из Майами и Сингапура, говорить «мы не отдаём данные в США» становится сложнее.
...
И самое важное — это размывает юрисдикцию: твой anycast-префикс физически анонсится из Майами, и аргумент «EU-only» становится наполовину сказкой.
Вы владеете собственной AS + блоком /24. Присоединяетесь к операторам на территории Евросоюза. Есть риск, что трафик будет покидать пределы Европы, например, когда клиент сидит на одном операторе и стык с вашим аплинком у него в Штатах. Это обычная ситуация, но она же актуальна и без использования AnyCast и BGP. Так в чем проблема?
Тезис про Майами я действительно перегнул:)
если AS своя, /24 свой, и пиры только с европейскими операторами, физически трафик из EU не выходит ради тебя как клиента. Транзитная маршрутизация конкретного клиента через US — отдельная история, и она у меня в geo-DNS-сетапе ровно такая же.
Реальные причины, по которым я не делаю anycast, две, и обе про мой масштаб, а не про физику:
1. Потеря per-user контроля над выбором ноды. С geo-DNS я отдаю A-запись, которую сам выбрал; с anycast маршрутизатор оператора клиента сам решает, к какому моему PoP его привести. На уровне жалоб саппорту вида “почему мой запрос полетел в Хельсинки, а не в Милан” anycast хуже отвечает.
2. Операционная сложность BGP-сетапа против выигрыша. У меня 8 PoPs, не 80. Anycast окупается в виде латентного выигрыша, начиная с десятков локаций. На 8 нодах разница в p50 c geo-DNS против anycast это единицы миллисекунд. С тезисом “EU-only физически” вы абсолютно правы — он работает только на уровне моей инфры, не на уровне маршрута пакетов от клиента. Это в посте я сформулировал слабее, чем должен был.
Получить свою AS и анонсировать /24 в BGP — это €500-2000 единовременно и €100-300 в месяц за «BGP-friendly» хостинг
Не совсем так. Мне, например, ASN зарегистрировали примерно за 100€, а /24 я арендовал месяц назад за ~130€, но сейчас уже отказался от него и полностью перешёл на IPv6 - просто не нуждаюсь в IPv4-адресах. Транзит с 6 апстримами у меня выходит примерно в 150$ в месяц, так что собрать нормальный BGP-сетап можно без каких-то нереальных затрат.
сейчас уже отказался от него и полностью перешёл на IPv6 - просто не нуждаюсь в IPv4-адресах
в идеале ipv6only
Хороший катч мои цены были навскидку из “общего знания индустрии”, а это всегда хуже, чем свежие реальные суммы.
Беру на заметку: €100 за ASN + €130 за /24 в аренду + ~$150 в мес. транзит с 6 апстримами это сильно ниже того, что я закладывал в голове как стоимость входа в BGP. Если не секрет, у кого арендовали /24 и какие апстримы брали для транзита? Если публично не хочется — в личку. В будущем, когда буду пересматривать решение про anycast, это будет одна из первых точек, куда я полезу.
Сеть можете арендовать где угодно. На интерлир сеть будет стоить от 100 евро.
Причем в Вашем случае мосжнл взять еще дешевле сеть из списка Spamhous - для ingress это работает.
Но я считаю, что вы выбрали верный путь, отказавшись от anycast. Это решение требует постоянный контроль и мониторинг. Придется использовать внешние сервисы, чтобы видеть проблемы по регионам.
Предлагаю Вам рассмотреть NS1 от IBM как решение для GEO - закроет все ваши потребности даже на Free tier. А по надежности и функциональности вряд ли имеет конкурентов.
нишевый продукт для людей, которым важен пункт «данные не уезжают в США»
так в nextdns же указываешь где приземлить (us/eu/asia) или ничего не собирать
пользуясь random-location в control-d понял что нужно искуственно (по рандом) увеличивать задержку иначе по ней идёт позиционирование через dns leak [test] а так хоть чуть усложнения
по six-eyes+++++ уже 20лет как нет private-маршрутов и все vpn что роутили траф по пути юридического сопротивления к 2007 загнулись постепенно отключая уже не годные locations
Про NextDNS-настройки региона да, в дашборде есть выбор US/EU/Asia и опция “не логгировать”. Это контроль над данными внутри инфры NextDNS, но не контроль над юрисдикцией самой NextDNS Inc как корпорации США: судебная повестка из американского суда обязывает их выдать всё, что у них есть, независимо от того, какой регион пользователь выбрал в UI. Различие тонкое, но для угрозы вида “США просят данные конкретного клиента через суд” оно решающее. Это та граница, на которой моя ниша вообще существует.
Про latency-fingerprinting и random-location. Это вообще лучшее в комменте. У меня сейчас edge отвечает с детерминированной задержкой ~10-15 ms на cache hit; добавить псевдо-jitter ±5 ms я думал, но решил, что оно того не стоит. Если у вас есть конкретные примеры, когда DNS-leak-тест позиционировал через latency, киньте ссылку — это аргумент пересмотреть. Про Six-eyes и судьбу private-маршрутов.
Так же добавлю, согласен в том, что “EU-only” это не “защищено от всех правительств планеты”. Это защищено от одного конкретного класса угроз — американских внеюрисдикционных запросов через CLOUD Act и FISA 702. От финского правосудия меня лично ничто не защищает, и не должно. Чем дальше, тем чаще приходится продавать privacy не как “у нас безопасно”, а как “у нас понятная юрисдикция, которая публикуется в transparency report и которой можно соответствовать или не соответствовать осознанно”.
>Юридическое (амортизация регистрации Toiminimi и юриста на старте) 15 разовые ~€500, размазал на год
чегойто у меня при делении 500 евро на 12 месяцев - никак не получается 15 евро
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
8 PoPs по миру за €46/мес: реальная экономика pet privacy-DNS в цифрах