CDN – Gea-Suan Lin's BLOG

CloudFront 的新拓點...

Amazon CloudFront 這次公告增加了新的節點，都是該地區的第一個點，可以大幅降低 latency：「Amazon CloudFront launches in five new countries - Bulgaria, Greece, Hungary, Kenya, and Romania」。

這種點就是拿來認地名的，這波算是比較熟悉的... 保加利亞、希臘、匈牙利、肯亞、羅馬尼亞，拉維基百科的資料：

保加利亞共和國（保加利亞語：Република България）通稱保加利亞，是位於歐洲東南部巴爾幹半島上的一個國家。它與羅馬尼亞、塞爾維亞、北馬其頓、希臘和土耳其接壤，東部濱臨黑海。

希臘共和國（希臘語：Ελληνική Δημοκρατία，希臘語發音：[eliniˈci ðimokraˈti.a]）[8][9]，通稱希臘（希臘語：Ελλάδα，希臘語發音：[eˈlaða]），是位於歐洲東南部的跨大洲國家。2019年其人口為1,080萬。雅典為希臘首都及最大城市，塞薩洛尼基為第二大城市。

匈牙利（匈牙利語：Magyarország），是一個位於中歐的內陸國家[10]，但是長期和東歐、南歐歷史有關聯。匈牙利與奧地利、斯洛伐克、烏克蘭、羅馬尼亞、塞爾維亞、克羅埃西亞和斯洛維尼亞接壤，人口976萬，首都為布達佩斯。官方語言為匈牙利語，這是歐洲最廣泛使用的非印歐語系語言[11]。

肯亞共和國（斯瓦希里語：Jamhuri ya Kenya，英語：Republic of Kenya，/ˈkɛnjə/，或/ˈkiːnjə/）通稱肯亞，是位於東非，瀕臨印度洋，與索馬利亞、衣索比亞、南蘇丹、烏干達、坦尚尼亞接壤，面積約58萬平方公里[2]。肯亞人口約5051萬，一共有42個民族[8]，分成班圖、尼羅和庫施特三大語系[9]，官方語言是英語和斯瓦希里語。全國分為47個縣市[2]，首都為奈洛比[10]。

羅馬尼亞（羅馬尼亞語：România），位於歐洲東南部。羅馬尼亞國境西方分別為匈牙利與塞爾維亞接壤，保加利亞在南方，北方與東北方則是烏克蘭與摩爾多瓦共和國。羅馬尼亞有一小段位於黑海邊的海岸線，多瑙河幾乎佔了南邊與保加利亞之間的國界大半，並且從該國東邊海岸流入黑海的西岸。羅馬尼亞的首都為布加勒斯特，位於該國南部多瑙河支流登博維察河所流經的平原地帶上，是羅馬尼亞第一大城與工商業城市。

所以是東歐、東南歐、中歐、東非、東南歐...

cdnjs 轉移到 Cloudflare 負責維護

不確定是 cdnjs 還是 CDNJS，因為官方網站是小寫，但 GitHub 上是大寫...

Anyway，cdnjs 本來由社群維護更新 (實際上是透過 bot 更新，但 bot 本身也需要維護)，因為人力時間的因素，轉移給 Cloudflare 負責了：「An Update on CDNJS」。

這次也更新了 cdnjs 的 daily request 數量，可以看到現在大約是每天六十億次：

本來 Cloudflare 是站在贊助頻寬的角色提供服務：

Within Cloudflare’s infrastructure there is a set of machines which are responsible for pulling the latest version of the repo periodically. Those machines then become the origin for cdnjs.cloudflare.com, with Cloudflare’s Global Load Balancer automatically handling failures. Cloudflare’s cache automatically stores copies of many of the projects making it possible for us to deliver them quickly from all 195 of our data centers.

但更新的 bot 本身掛了，而且維護者沒時間修：

Unfortunately approximately thirty days ago one of those bots stopped working, preventing updated projects from appearing in CDNJS. The bot's open-source maintainer was not able to invest the time necessary to keep the bot running. After several weeks we were asked by the community and the CDNJS founders to take over maintenance of the CDNJS repo itself.

所以現在則是 Cloudflare 接手維護了：

This means the Cloudflare engineering team is taking responsibility for keeping the contents of github.com/cdnjs/cdnjs up to date, in addition to ensuring it is correctly served on cdnjs.cloudflare.com.

不過裡面也提到了一個問題，就是現在瀏覽器為了安全性，對於不同的站台會有不同的 cache，本來 cdnjs 的設計目的之一被大幅削弱，現在只剩下省頻寬了：

The future value of CDNJS is now in doubt, as web browsers are beginning to use a separate cache for every website you visit. It is currently used on such a wide swath of the web, however, it is unlikely it will be disappearing any time soon.

CloudFront 的 access log 多了一些欄位

CloudFront 的 access log 多了一些欄位可以抓：「Amazon CloudFront now provides seven new data fields in access logs」。

官方這次加了七個欄位，看起來後面六個都還蠻有用的... (第一個 c-port 是 client 的 port，目前只想的到 debug 時可以拿出來看...)

而第二個的 time-to-first-byte 可以拿來分析效能，這是從 CloudFront 的角度來看的。

第三個的 x-edge-detailed-result-type 是錯誤時的處理，讓管理者可以從 access log 直接粗略分析。

剩下的四個都是跟 content type 與 length/range 有關，之前居然沒有嗎...

CloudFront 的 BBR 效能提昇

這是在找一些 TCP congestion algorithm 相關的資訊時發現的，看起來 Amazon CloudFront 導入 BBR 一陣子了：「TCP BBR Congestion Control with Amazon CloudFront」。

不過 BBR 被研究的愈來愈多，大家開始發現這個演算法的霸道，跟其他的 TCP congestion algorithm 並不太能和平共存，但這就跟軍事武器一樣，隔壁升級了你就得跟著升級，抱怨沒有用，只會被消滅...

Google 與 Cloudflare 測試 Post-Quantum 演算法的成果

這幾年量子電腦的進展不斷有突破，雖然到對於攻擊現有的密碼學看起來還有一段時間，但總是得先開始研究對量子電腦有抵抗性的演算法...

其中 Google Chrome 的團隊與 Cloudflare 的團隊手上都有夠大的產品，兩個團隊合作測試的結果在學界與業界都還蠻重視的：「Real-world measurements of structured-lattices and supersingular isogenies in TLS」、「The TLS Post-Quantum Experiment」。

Google Chrome 這邊是使用了 Canary 與 Dev 兩個 channel，有控制組與兩個新的演算法：

Google Chrome installs, on Dev and Canary channels, and on all platforms except iOS, were randomly assigned to one of three groups: control (30%), CECPQ2 (30%), or CECPQ2b (30%). (A random ten percent of installs did not take part in the experiment so the numbers only add up to 90.)

這兩個演算法有優點也有缺點。一個是 key 比較小，但運算起來比較慢 (SIKE，CECPQ2b)；另外一個是 key 比較大，但是運算比較快 (HRSS，CECPQ2)：

For our experiment, we chose two algorithms: isogeny-based SIKE and lattice-based HRSS. The former has short key sizes (~330 bytes) but has a high computational cost; the latter has larger key sizes (~1100 bytes), but is a few orders of magnitude faster.

We enabled both CECPQ2 (HRSS + X25519) and CECPQ2b (SIKE/p434 + X25519) key-agreement algorithms on all TLS-terminating edge servers.

感覺還是會繼續嘗試，因為這兩個演算法的缺點都還是有點致命...

AWS 官方推出 WordPress 整合套件

AWS 自己推出了跟 WordPress 的整合套件：「Accelerating WordPress with CloudFront using the AWS for WordPress Plugin」、「AWS for WordPress plugin now available and with new Amazon CloudFront workflow」。

這次的套件主要是將 Amazon CloudFront 整合進 WordPress：

Amazon Web Services announces the general availability of the AWS for WordPress plugin. Previously known as the Amazon Polly and Amazon AI plugin, the new AWS for WordPress plugin now provides a workflow to configure an Amazon CloudFront distribution that is highly optimized for WordPress websites.

如果想要都控制在自己手上，AWS 算是提供了一個官方的方案，也應該有一定的支援。不過大多數人還是會拿 Cloudflare 的免費方案吧...

Amazon CloudFront 在南美大降價...

Amazon CloudFront 宣佈了第 200 個點，同時也宣佈了南美的價錢從 11 月開始降價 56%：「200 Amazon CloudFront Points of Presence + Price Reduction」。

這次的降價幅度相當驚人，南美的頻寬本來是全 CloudFront 裡最高的，現次一降就降到比整個亞洲區的價錢都還低了，不知道是弄到什麼新合約：

We are also reducing the pricing for on-demand data transfer from CloudFront by 56% for all Points of Presence in South America, effective November 1, 2019.

不過這個比較不包括 AWS 中國區的價錢 (獨立的系統)，在中國的價錢是 CNY$0.30866/GB，換算成美金大約是 USD$0.04/GB。

這次加的三個點也都是在南美的新的點：

Today I am happy to announce that our global network continues to grow, and now includes 200 Points of Presence, including new locations in Argentina (198), Chile (199), and Colombia (200):

Cloudflare 遞出 S-1

Cloudflare 遞出 Form S-1：「S-1」。TechCrunch 有些整理：「Cloudflare files for initial public offering」。

一樣是燒錢狀態上市，不過相較於其他家燒的速度算是慢的，但成長速度很驚人：

As far as money goes, Cloudflare is — like other early-stage technology companies — losing money. But it’s not losing that much money, and its growth is impressive.

預定在 NYSE 上使用代碼「NET」：

The company will trade on the New York Stock Exchange under the ticker symbol “NET.”

不知道為什麼有種泡沫感...

Cloudflare 因為 Regular Expression 炸掉的問題

先前 Cloudflare 就有先說明七月二日的 outage 是因為 regular expression 造成的 (ReDoS)，不過昨天發的文章更完整了，導致爆炸的 regular expression 都給出來了：「Details of the Cloudflare outage on July 2, 2019」。

ReDoS 不算是新的問題，但卻是不太好避免的問題，因為需要有經驗的工程師 (中過獎的工程師) 才比較容易知道哪些 regular expression 是有問題的... 另外就是有花時間研究 regular expression 演算法的工程師也比較容易避開。

也因次，ReDoS 算是這十年來大家在還的債，各家 framework 都因為這個問題改寫了不少 regular expression。

這次的重點在這串式子導致了 ReDoS：

(?:(?:\"|'|\]|\}|\\|\d|(?:nan|infinity|true|false|null|undefined|symbol|math)|\`|\-|\+)+[)]*;?((?:\s|-|~|!|{}|\|\||\+)*.*(?:.*=.*)))

通常容易中獎的地方就是無限制字元與 * & + 連發的地方，後面這塊 )*.*(?:.*=.*))) 看起來就不太妙，果然在後面的分析也有提到：

The critical part is .*(?:.*=.*).

以前應該是在 Formal language 裡學到的，在課堂裡面其實會學到不少業界常用工具的基礎理論...

Cloudflare 弄了 time.cloudflare.com，不過 latency 沒有很好...

Cloudflare 提供的 NTP service，使用 time.cloudflare.com：「Introducing time.cloudflare.com」。

官方是號稱所有的機房 (應該就包括台北的點)：

Now, anyone can get time securely from all our datacenters in 180 cities around the world.

但在 HiNet 下測試可以看到是從東京的點服務：

  2.|-- snuh-3302.hinet.net        0.0%    10    9.5  10.5   9.5  12.7   0.8
  3.|-- tpdt-3022.hinet.net        0.0%    10   11.1  10.8  10.1  11.8   0.3
  4.|-- r4103-s2.tp.hinet.net      0.0%    10   27.2  11.9   9.3  27.2   5.4
  5.|-- r4003-s2.tp.hinet.net      0.0%    10   11.3  10.7   9.5  11.6   0.3
  6.|-- xe-0-0-0-3-6.r02.osakjp02  0.0%    10   47.9  48.7  47.6  49.9   0.6
  7.|-- ae-2.a00.osakjp02.jp.bb.g  0.0%    10   44.9  47.3  42.8  66.4   6.9
  8.|-- ae-20.r03.osakjp02.jp.bb.  0.0%    10   43.7  43.2  42.5  44.7   0.3
  9.|-- 61.120.144.46              0.0%    10   69.6  52.4  48.0  69.6   6.8
 10.|-- 162.159.200.123            0.0%    10   48.3  48.8  47.9  49.3   0.0

如果從 APOL (有線電視) 的點則是透過台灣的機房連線：

  3.|-- 10.251.11.6                0.0%    10   19.8  29.6  11.1  80.2  21.7
  4.|-- 10.251.231.5               0.0%    10   25.3  24.9  16.4  43.6   8.0
  5.|-- 10.251.231.1               0.0%    10    8.7   6.3   3.4   9.1   1.9
  6.|-- 10.251.230.34              0.0%    10    4.6   7.4   2.6  14.5   3.2
  7.|-- 10.251.230.29              0.0%    10    3.0   6.6   3.0  11.9   2.8
  8.|-- 202-178-245-162.cm.static  0.0%    10    4.8   7.3   4.8   9.9   1.4
  9.|-- 192.168.100.14             0.0%    10    7.3   8.0   5.4  11.1   2.0
 10.|-- 192.168.100.9              0.0%    10    8.2   8.0   4.9  11.1   1.7
 11.|-- 203-79-250-65.static.apol  0.0%    10    9.1   9.0   6.4  11.3   1.5
 12.|-- 211.76.96.92               0.0%    10    7.8   8.1   4.3  15.8   3.3
 13.|-- 39-222-163-203-static.tpi  0.0%    10    9.9   9.1   6.7  12.4   1.8
 14.|-- 162.159.200.1              0.0%    10    5.0   7.2   5.0   9.7   1.4

看起來又是有東西沒搞定了...