Cửa hàng DApp | Trung tâm Web3 với các sự kiện và trò chơi

Chủ đề thịnh hành

Máy chủ email của chúng tôi () đã được di chuyển sang máy chủ vật lý do Xenyth tài trợ tại Toronto. Chúng tôi hiện đang sử dụng không gian IP sạch được công bố qua BGP với AS của chúng tôi để cải thiện khả năng gửi email bằng cách không có các hàng xóm IP/AS gửi thư rác.

@bkong_a Ví dụ, máy chủ Toronto của chúng tôi có Xenyth là nhà cung cấp trực tiếp. Xenyth định tuyến qua cơ sở hạ tầng của họ đến các nhà cung cấp phía trên (Arelion, GTT, Zayo và cũng như Hurricane Electric chỉ hỗ trợ IPv6) và các đối tác (trên các sàn giao dịch Onix và TorIX cùng với các đối tác riêng tư như Google).

@bkong_a Chúng tôi có AS (Hệ thống Tự trị) riêng để triển khai các mạng và định tuyến của mình. Chúng tôi sử dụng nó để thông báo không gian IP của mình đến các nhà cung cấp và kiểm soát cách các thông báo được sử dụng bởi các nhà cung cấp thượng nguồn của họ. Đối với các mạng DNS anycast của chúng tôi, chúng tôi cần thực hiện kỹ thuật lưu lượng mở rộng.

@bkong_a Đối với DNS anycast, chúng tôi có 11 vị trí cho ns1 và 9 vị trí cho ns2. Đây là một ví dụ về cách kỹ thuật lưu lượng hoạt động từ vị trí ns1 Vultr Frankfurt của chúng tôi: Chúng tôi kiểm soát các upstream/peers nào nhận các tuyến đường của chúng tôi từ Vultr và điều chỉnh định tuyến upstream.

@bkong_a Hiện tại chúng tôi không có bất kỳ máy chủ nào có nhiều upstream riêng biệt. Điều đó có nghĩa là chúng tôi vẫn chưa có trường hợp sử dụng cho việc nhập các tuyến đường từ các upstream của chúng tôi và điều chỉnh nơi chúng tôi định tuyến dựa trên định tuyến BGP. Tuy nhiên, chúng tôi có kế hoạch thực hiện điều này cho một máy chủ sắp tới.

@bkong_a Hiện tại, chúng tôi chỉ xuất khẩu các tuyến đường của mình đến nguồn trực tiếp duy nhất từ mỗi máy chủ mà chúng tôi sử dụng BGP. Đối với các phiên bản DNS anycast, chúng tôi thông báo một IPv4 /24 và một IPv6 /48 cho việc sử dụng sản xuất cùng với một IPv6 /48 khác cho việc thử nghiệm kỹ thuật lưu lượng.

@bkong_a Anycast có nghĩa là cùng một khối IP được thông báo ở nhiều vị trí khác nhau, vì vậy các nhà cung cấp sẽ quyết định dựa trên các quyết định định tuyến đồng thuận phân tán. Nói chung, các tuyến đường ngắn hơn được ưu tiên và các tuyến đường mà họ được trả tiền để sử dụng (khách hàng chuyển tiếp) được ưu tiên hơn những tuyến đường mà họ không được trả tiền.

@bkong_a Đối với địa điểm Toronto của chúng tôi, chúng tôi cũng thông báo về một địa chỉ IPv4 /24 và IPv6 /48 unicast. Các khối IPv4 /24 và IPv6 /48 là các đơn vị nhỏ nhất được hỗ trợ cho việc định tuyến qua internet công cộng, vì vậy đó là lý do tại sao chúng được sử dụng. Các khối nhỏ hơn có thể được sử dụng trong Xenyth hoặc mạng riêng của chúng tôi.

@bkong_a Máy chủ Xenyth của chúng tôi thực hiện một chút định tuyến thực tế vì nó có 2 container: một cái cung cấp một phiên bản DNS anycast ns2 và cái còn lại cung cấp máy chủ mail của chúng tôi. Chúng tôi chỉ có định tuyến đó được cấu hình tĩnh nhưng về mặt kỹ thuật, có thể sử dụng BGP cho việc này.

@Avamander @HSVSphere Stalwart không tồn tại khi chúng tôi bắt đầu tự lưu trữ email của mình. Nó không có sẵn như một tùy chọn, và mất một thời gian để nó trở nên hoàn thiện và trưởng thành hơn. Nó trông thú vị nhưng chúng tôi có một máy chủ email sản xuất và không thể dễ dàng thay thế hoặc thử một triển khai mới.

@Avamander @HSVSphere Có những thiết bị trung gian gặp vấn đề tương thích với DNSSEC và việc áp dụng nó rất kém ngoài hầu hết các máy chủ phân giải DNS lớn và các nhà cung cấp DNS độc lập thực hiện nó. Điều này cũng áp dụng cho nhiều thứ như QUIC và WebRTC. DNSSEC hoạt động tốt trong thực tế và rất có giá trị.

@Avamander @HSVSphere Các trình duyệt cụ thể thực thi các chính sách Minh bạch Chứng chỉ. Ngoài việc sử dụng trình duyệt, bao gồm cả MTA-STS với các máy chủ email, các yêu cầu đó không được thực thi trong thực tế. Nó thường không được tuân theo. WebPKI cũng được sử dụng cho các ứng dụng gốc, giữa các máy chủ, v.v. không chỉ cho các trình duyệt.

@Avamander @HSVSphere Có những cách khác để thực hiện điều đó ngoài BGP. Đây không phải là một hệ thống đặc biệt an toàn. WebPKI không phải trình duyệt không thực thi CT và là một phần lớn của lưu lượng TLS. Hầu như không ai giám sát CT cho các dịch vụ của họ, vì vậy nó không cung cấp những gì nó được mô tả là cung cấp cho các tổ chức không phải Google.

@Avamander @HSVSphere Google đã bỏ cả việc ghim chứng chỉ động và tĩnh cho những người không phải Google. Họ tuyên bố rằng họ đã ngừng sử dụng nó nhưng vẫn tiếp tục sử dụng. Đây là một hành vi vi phạm chống độc quyền. Đây là một phần của một lượng lớn hành vi không trung thực và chống cạnh tranh từ Google và MTA-STS cũng là một phần trong đó.

@Avamander @HSVSphere WebPKI phụ thuộc vào bảo mật DNS. WebPKI tin tưởng vào nhà đăng ký miền, TLD và IANA. WebPKI không tránh khỏi việc DNS là gốc tin cậy vì nó dựa trên việc xác thực miền kiểm tra quyền kiểm soát DNS. TLD có thể chỉ định DNS của bạn đến nơi khác và nhận chứng chỉ cho miền của bạn.

@Avamander @HSVSphere WebPKI về cơ bản phụ thuộc vào bảo mật DNS. MTA-STS về cơ bản không an toàn và chỉ là một phương pháp tạm thời yếu ớt. Email về cơ bản phụ thuộc vào bảo mật DNS vì nhiều lý do và WebPKI cũng phụ thuộc vào bảo mật DNS. Không thể thoát khỏi những lời dối trá đó với chúng tôi, xin lỗi.

@1ngenious @TorontoIX Chúng tôi hiện có 5 máy chủ chuyên dụng cho việc cập nhật. Các máy chủ cập nhật của chúng tôi cũng hoạt động như một phần của 11 địa điểm cho dịch vụ website/mạng của chúng tôi, nơi cũng có 6 phiên bản VPS để cung cấp phạm vi phủ sóng toàn cầu rộng hơn. Chúng tôi sử dụng máy chủ ở Toronto cho email và DNS ủy quyền.

@1ngenious @TorontoIX là một container hệ thống trên . là một container hệ thống khác cung cấp 1 trong 9 vị trí cho mạng anycast ns2 của chúng tôi. 8 vị trí còn lại là các phiên bản VPS. ns1 của chúng tôi là 11 phiên bản VPS Vultr.

568

Hàng đầu

Thứ hạng

Yêu thích