В двух словах и не ответишь, заранее извиняюсь за полотно текста.
Динамически прям отворачивать не всегда выход из-за причин описанных в статье, что же касается подхода "анонсим все всегда через центры очистки", существует несколько факторов.
Обучение защиты
Основная(хоть и не единственная) часть бизнеса это всяческие vds и сервисы крутящиеся вокруг них - сервисы, которые приносят к нам клиенты. Это выливается в то, что в отдельно взятой /24 сети существует по меньшей мере 253 сервиса, о которых мы и уж тем более подрядчик ничего не знает, их состав постоянно меняется - клиенты приходят и уходят, меняют инфраструктуру и так далее. Умножьте эту проблему на 500 для понимания масштаба.
Обычно, когда практикуется такой подход, сети заводятся за клиринг изначально, с момента их рождения - защиты успевает подстроиться под клиентов, клиенты под защиту. Однако это был не наш случай.
Гео, RTT и связность
Не во всех точках нашего присутствия существуют подходящие нам центры очистки, не везде подключения к ним экономически целесообразно. Тащить трафик от ближайшего по конечно можно, но это оказывает влияние на RTT, зачастую весьма драматичное - клиент в СПБ, идущий на сервер в СПБ петлей через Москву может весьма неприятно этому факту удивится.
Заруливание входящего трафика через очистку также накладывает ограничения на связность: ладно PNI, через них редко что-то прям летит, но есть например точки обмена трафиком, и региональные операторы - придется или отказаться от коротких маршрутов для клиентов, или жить с тем что защита местами "протекает".
Экономика
Помимо всего прочего, с точки зрения Opex, сетевая инфраструктура для облаков не всегда имеет такую уж большую маржу как хотелось бы. Пропуск трафика через центр очистки, в среднем по больнице, стоит по меньшей мере в 10 раз дороже чем на сравнимой емкости транзит - не говоря уж о IX-ах. Это выливается в то, что в некоторых локациях входящий трафик средней виртуалки оказывался дороже чем собственно виртуалка - это если конечно не переподписывать площадку до дропов в ЧНН. Последним мы не занимаемся, а кратно выкручивать цены уже рынок не дает.
На наших масштабах получается что иметь широкую сеть и чистить внутри контура имеет больше смысла. Как дополнительный бонус - мы и клиентам по такому сценарию можем больше дать, как абстрактного интернета, так и каналов/маршрутов/доп сервисов.
Итого
Серебряной пули в этой ситуации увы не нашлось. Профессиональные центры очистки трафика это важный инструмент, который мы продолжаем и планируем продолжать использовать. Мы плотно сотрудничаем с несколькими партнерами, там где нужен более продвинутый сервис для клиентов(L7) или направлений, которые не можем поддержать сами.
Но как общее решение для инфраструктуры уже не получается - и трафика многовато и развитие слишком динамичное, по совокупности факторов оказалось лучше самим строится.
В двух словах и не ответишь, заранее извиняюсь за полотно текста.
Динамически прям отворачивать не всегда выход из-за причин описанных в статье, что же касается подхода "анонсим все всегда через центры очистки", существует несколько факторов.
Обучение защиты
Основная(хоть и не единственная) часть бизнеса это всяческие vds и сервисы крутящиеся вокруг них - сервисы, которые приносят к нам клиенты. Это выливается в то, что в отдельно взятой /24 сети существует по меньшей мере 253 сервиса, о которых мы и уж тем более подрядчик ничего не знает, их состав постоянно меняется - клиенты приходят и уходят, меняют инфраструктуру и так далее. Умножьте эту проблему на 500 для понимания масштаба.
Обычно, когда практикуется такой подход, сети заводятся за клиринг изначально, с момента их рождения - защиты успевает подстроиться под клиентов, клиенты под защиту. Однако это был не наш случай.
Гео, RTT и связность
Не во всех точках нашего присутствия существуют подходящие нам центры очистки, не везде подключения к ним экономически целесообразно. Тащить трафик от ближайшего по конечно можно, но это оказывает влияние на RTT, зачастую весьма драматичное - клиент в СПБ, идущий на сервер в СПБ петлей через Москву может весьма неприятно этому факту удивится.
Заруливание входящего трафика через очистку также накладывает ограничения на связность: ладно PNI, через них редко что-то прям летит, но есть например точки обмена трафиком, и региональные операторы - придется или отказаться от коротких маршрутов для клиентов, или жить с тем что защита местами "протекает".
Экономика
Помимо всего прочего, с точки зрения Opex, сетевая инфраструктура для облаков не всегда имеет такую уж большую маржу как хотелось бы. Пропуск трафика через центр очистки, в среднем по больнице, стоит по меньшей мере в 10 раз дороже чем на сравнимой емкости транзит - не говоря уж о IX-ах. Это выливается в то, что в некоторых локациях входящий трафик средней виртуалки оказывался дороже чем собственно виртуалка - это если конечно не переподписывать площадку до дропов в ЧНН. Последним мы не занимаемся, а кратно выкручивать цены уже рынок не дает.
На наших масштабах получается что иметь широкую сеть и чистить внутри контура имеет больше смысла. Как дополнительный бонус - мы и клиентам по такому сценарию можем больше дать, как абстрактного интернета, так и каналов/маршрутов/доп сервисов.
Итого
Серебряной пули в этой ситуации увы не нашлось.
Профессиональные центры очистки трафика это важный инструмент, который мы продолжаем и планируем продолжать использовать. Мы плотно сотрудничаем с несколькими партнерами, там где нужен более продвинутый сервис для клиентов(L7) или направлений, которые не можем поддержать сами.
Но как общее решение для инфраструктуры уже не получается - и трафика многовато и развитие слишком динамичное, по совокупности факторов оказалось лучше самим строится.