Когда хостинг-провайдер FirstVDS затеял большую модернизацию своей сети для роста и отказоустойчивости, стало ясно: схему работы с защищённым трафиком тоже нужно пересмотреть. Услуга защищённого канала от DDoS-Guard уже много лет работала у клиентов FirstVDS через GRE-туннель, и менять партнёра провайдер не планировал.
У FirstVDS стояла конкретная задача: не поменять защиту, а встроить уже проверенное решение DDoS-Guard в новую архитектуру так, чтобы качество услуги стало более прогнозируемым и контролируемым в рамках обновлённой архитектуры — с запасом по масштабированию и отказоустойчивости.
Совместно с инженерами FirstVDS команда DDoS-Guard вывела путь трафика на прямой физический стык между сетями, GRE был сохранён как резерв. В рабочем режиме это снижает зависимость защищённого канала от публичного транзита и даёт более предсказуемые характеристики по RTT (время приёма-передачи), jitter (разброс RTT) и доступной полосе — без изменений для клиентов, которые по‑прежнему подключают DDoS‑защиту как отдельную услугу.
Обновлённый дизайн
Организован прямой физический стык по ВОЛС с DDoS-Guard. Защищаемые префиксы анонсируются исключительно в сторону DDoS-Guard, поэтому защищённый трафик ходит через DDG и возвращается по согласованному пути. Весь трафик по этим адресам проходит L3/L4‑фильтрацию на стороне DDoS-Guard. Подключение реализовано через площадку дата-центра Ixcellerate. GRE‑туннель был сохранён как резервный путь на случай обрыва основной линии связи.
О клиенте
FirstVDS работает на рынке хостинга с 2002 года, предоставляя в аренду виртуальные серверы (VDS/VPS). Клиенты компании — две ключевые аудитории: бизнес, которому важна стабильная работа сервисов в интернете, и технические специалисты (разработчики, DevOps, системные администраторы), которым нужна надёжная среда для создания и поддержки проектов. Для всех клиентов критична стабильная работа сети — чтобы сайты и сервисы работали предсказуемо и без сбоев.
Задача клиента: сделать защищённый канал предсказуемым в новой сети
В рамках общей модернизации сети FirstVDS нужно было пересмотреть именно ту её часть, которая отвечала за услугу защиты от DDoS. Инженеры выделили три ключевых задачи для этой зоны:
- Сделать качество услуги максимально прогнозируемым.
В прежней схеме защищённый трафик шёл через внешних операторов, поэтому путь определялся их маршрутизацией. Это приводило к асимметрии трафика и усложняло контроль между FirstVDS и DDoS-Guard, из-за чего такие показатели, как время отклика (RTT) и разброс (Jitter) становились менее стабильными. - Улучшить характеристики защищённого канала.
Требовалось снизить задержку (RTT/ping), стабилизировать джиттер, убрать возможную асимметрию и увеличить доступную полосу пропускания. - Заложить основу для роста.
Необходимо было зафиксировать схему обработки защищённых префиксов и предусмотреть резерв, чтобы дальнейшее развитие сети не требовало пересмотра логики работы услуги.
Главное: для клиентов FirstVDS всё должно было остаться по‑прежнему просто и быстро для подключения защищенного канала.
Решение: перейти на прямое подключение
Чтобы достичь целей, было решено изменить схему подключения. Старая цепочка с промежуточными операторами на пути снижала контроль над ситуацией и могла влиять на качество сервиса.
- Уменьшить число транзитных участков между сетями.
FirstVDS организовали прямой физический стык своей сети с сетью DDoS-Guard, чтобы убрать промежуточные узлы на маршруте и стабилизировать параметры канала. - Более контролируемая маршрутизация.
В штатном режиме защищённые префиксы анонсируются только в сеть DDoS‑Guard, и трафик по ним возвращается к FirstVDS по прямому физическому каналу. Резервный путь через GRE сохранён на случай проблем на линии. - Запас по пропускной способности.
Трафик идёт по прямому стыку и как следствие в новом дизайне сети исчез оверхед GRE‑инкапсуляции: полезный MTU становится стандартным (1500), что помогает уменьшить риск фрагментации и связанных с этим проблем.
Почему FirstVDS снова выбрали DDoS-Guard
Хостинг-провайдер отмечает несколько ключевых причин такого выбора. Во‑первых, готовность DDoS‑Guard работать совместно над инфраструктурой — в результате реализовано подключение под давнего клиента. Во‑вторых, фокус на практичный результат: решение было направлено на повышение качества и предсказуемости услуги. И, наконец, техническая экспертиза команды DDoS‑Guard, которая быстро разобралась в текущей схеме и помогла с внедрением изменений.
«Мы давно и успешно работаем с DDoS‑Guard, и нас всегда устраивало качество предоставляемой защиты. Ключевая экспертиза наших партнёров — это именно веб‑трафик, а у нас подавляющее большинство клиентов как раз работает с сайтами и веб-приложениями. Поэтому для решения инфраструктурной задачи мы снова обратились к ним за помощью. И они действительно подключились — не как сторонний вендор, а как партнёр, который готов погрузиться в детали и помочь найти оптимальное решение».
Алексей Чекушкин, FirstVDS
Итог: что изменилось для FirstVDS
В результате у FirstVDS улучшились параметры защищённого трафика более стабильными: снизилась задержка (RTT/ping), уменьшились её колебания, а доступная пропускная способность стала выше. Этого удалось добиться за счёт выделенного подключения к DDoS-Guard и исключения лишних промежуточных операторов на маршруте.
Для клиентов FirstVDS, с одной стороны, сохранился привычный сценарий работы: защита подключается как отдельная услуга и может быть активирована даже при уже идущей атаке. С другой, качество соединения выросло: ниже задержка, меньше её скачки, а на случай проблем со связью предусмотрен резервный канал.
