Скорости 10 Gbps и выше перестали быть атрибутом только операторов связи. Для e-commerce это стабильный чекаут в пике распродаж, для финтеха — авторизации без «узких хвостов» p99, для медиа — 4K/8K без буферизации, для AI/ML — быстрая доставка датасетов и чекпоинтов. Но «толстый» канал сам по себе не решает проблему. Бизнесу нужна предсказуемость: одинаковое поведение сети под смешанной нагрузкой, отсутствие джиттера и пакет-лосса, контролируемые хвосты p95/p99 и чёткие процедуры масштабирования. Эта статья — о том, как Unihost строит сеть, превращая пропускную способность в измеримый результат продукта.
Магистраль и маршрутизация: ближе к пользователю, короче маршрут
Первая задача высокоскоростной сети — не «набрать гигабиты», а довезти трафик кратчайшим и стабильным путём. Мы строим multi-homed магистраль с несколькими апстримами и активным пирингом в ключевых IX-точках. Политика BGP опирается на LocalPref/MED и комьюнити для оперативного управления анонсами, селективного блэкухола и быстрой реакции на деградацию провайдера. Для публичных сервисов применяем anycast, чтобы пользователь попадал в ближайшую точку присутствия; для приватных — сегментацию с чётким контуром маршрутов. Такой подход сокращает число транзитных AS-хопов, стабилизирует джиттер и улучшает предсказуемость хвостов p95/p99.
Профили каналов и QoS: управляем не только пиком, но и хвостами
У разных нагрузок различная чувствительность к потере пакетов и к задержке. Репликация баз не должна вытеснять пользовательские запросы, а ingest видео — ломать авторизации платежей. Поэтому мы применяем профили каналов и качество обслуживания: 10/25 Gbps — для односерверных API и OLTP, 40/100 Gbps — для тяжёлых ETL, CDN-оригинов и межкластерных обменов. На границах включаем QoS/CoS, отделяя классы трафика и применяя полисинг/шейпинг, а также ECN, чтобы сигнализировать о перегрузке до потерь. В агрегации используем LAG и ECMP, добиваясь равномерного распределения потоков и избегая «зубчатой» загрузки из-за хэширования.
Сетевая карта как процессор: offload, RSS и SR-IOV
При скоростях свыше 10 Gbps накладные на обработку пакетов быстро съедают CPU. Мы рассматриваем NIC как сопроцессор: включаем checksum offload, TSO/LRO, GRO/GSO, тщательно настраиваем RSS/RPS и IRQ-пиннинг по ядрам с учётом NUMA. В средах виртуализации используем SR-IOV с выделенными виртуальными функциями, чтобы снизить гипервизорные накладные и латентность, а в критичных по задержке сервисах — DPDK/AF_XDP/eBPF-датаплан, обходя часть пользовательского стека. Там, где это безопасно по пути MTU, используются jumbo-кадры — это уменьшает overhead и повышает эффективную пропускную способность.
Kernel-тюнинг: очереди, буферы и управление перегрузкой
Linux «из коробки» настроен консервативно. В высокоскоростной сети мы валидируем net.core/net.ipv4 параметры (rmem/wmem, somaxconn, backlog), настраиваем TCP congestion control под маршрут: BBR/BBRv2 для WAN и высокоскоростных магистралей, CUBIC/HyStart++ в низколатентных доменах. Для распределения очередей используем RPS/RFS/XPS и tx-ring-тюнинг, добиваясь кэш-локальности. На приложении включаем HTTP/3/QUIC, чтобы ускорить установление соединений и лучше переносить умеренные потери пакетов. Итог — меньше ретрансмитов и стабильные хвосты p95/p99 под смешанной нагрузкой.
IPv6, MTU и «чистота» L2/L3-ландшафта
Эра 10+ Gbps неизбежно ведёт к повсеместному IPv6: меньше NAT-аномалий, предсказуемее маршрутизация, проще политика адресации и ACL. Мы стремимся к единой MTU-политике: где возможно — jumbo, где нет — строгая консистентность, чтобы не ловить фрагментацию и Path MTU black-hole. На L2 минимизируем широковещательный шум, дробим домены отказа, стандартизируем драйверы и версии прошивок NIC, чтобы избежать «зоопарка» и нестабильных комбинаций.
DDoS-профили: защита сервиса, а не блок всего трафика
С ростом ширины канала растёт и поверхность атаки. Наш подход — многоуровневая защита: scrubbing и фильтрация на краю до попадания в L3/L4, CoPP/ACL на периметре для защиты маршрутизаторов и ToR, адаптивные профили под тип атаки (volumetric, L3/L4, L7 с медленными подключениями). Включены регулярные «учебные тревоги» и проверка процедур эскалации: команда знает, что делать, каналы выдерживают, легитимный трафик обслуживается. Цель — сохранить сервисность и предсказуемость ответа под атакой, а не «залить всё бетоном».
Сети хранения и NVMe: чтобы диск не «душил» гигабиты
Сеть 40/100 Gbps моментально упрётся в медленное хранилище. Мы строим хранение от профиля нагрузки: локальные NVMe U.2/U.3 с RAID-настройкой под запись или смешанные паттерны, выравнивание блоков под СУБД, вынос журналов/redo на быстрые носители, разделение путей репликации и клиентского трафика. Для кластеров — NVMe-oF/ROCE/iSER, если требуется общий пул с высокой скоростью. Дополняем это сетевым QoS и приоритезацией RPC, чтобы репликация не выталкивала пользовательские запросы. Так достигается сквозная производительность: сеть не ждёт диск, а диск не «забивает» сеть.
Многорегион и GSLB/anycast: отказоустойчивость как процедура
Высокая скорость не заменяет отказоустойчивость. Мы проектируем active-active или active-standby топологии с чёткими RTO/RPO, используем GSLB и anycast-эндпойнты для быстрой маршрутизации к ближайшему работоспособному региону. Переключения выполняются через canary-cutover с возможностью мгновенного rollback; регулярно проводим DR-репетиции. В результате минуты простоя стремятся к нулю, а релизы и расширение географии становятся рутинной операцией, а не «ночным штурмом».
Наблюдаемость: метрики, трейсы и алёрты на хвостах
На скоростях 10+ Gbps главное — вовремя видеть деградацию хвостов. Мы собираем метрики L3–L7: латентность, джиттер, p95/p99, packet loss, коннекты/сек, retransmits, буферные очереди; строим трейсинг с разрезом по регионам и версиям релизов; ведём централизованные логи. Алёрты завязаны на динамику хвостов, а не на средние. Runbook’и фиксируют первые точки проверки и шаги эскалации. Постмортемы обязательны: по ним улучшаем тюнинг, схемы алертинга и BGP-политику. Итог — меньше MTTR/MTTD, выше аптайм и стабильнее продуктовые метрики (конверсия, удержание).
Автоматизация и IaC: скорость изменений без конфиг-дрейфа
Ручные правки в высокоскоростной сети — гарант дрейфа. Мы описываем сеть и периметр кодом (Terraform/Ansible): LAG/ECMP, VLAN/VRF, ACL, CoPP, профили интерфейсов, маршруты, BGP-комьюнити. Изменения проходят через CI/CD инфраструктуры: план, ревью, canary-применение, автоматический откат. Секреты — в централизованном хранилище с ротацией. Это даёт повторяемость, прозрачность и уверенность, что вчерашний тюнинг не «потеряют» при расширении.
Сценарии применения: где 10/25/40/100 Gbps дают деньги
- Финтех и платежи. Стабильный p99 на авторизациях под пиковые всплески, сегментация по странам, приватные VLAN и строгие SLO.
- E-commerce и маркетплейсы. Распродажи без брошенных корзин: QoS не позволяет репликации и бэкапам «съедать» фронтовые ответы, IX-проксимити сокращает путь до клиента.
- Медиа и стриминг. Ingest/транскодирование на гибриде CPU+GPU, ровный битрейт при 4K/8K, быстрая доставка превью/тайлов из кэшей.
- AI/ML и data-engineering. Межузловые 25/40/100 Gbps, локальные NVMe и NVMe-оF для пайплайнов, короткие окна обучения/инференса.
- SaaS и API-платформы. Рост клиентской базы без пересборки сети: ECMP, шаблоны конфигураций, автоматические проверки SLO.
Экономика: считать не гигабиты, а результат
Цена за гигабит ничего не говорит о бизнесе. Мы считаем стоимость результата: минут простоя, медленного p99 на чекауте, ретрансмитов при стриминге, «замороженных» релизов из-за ручных изменений. Правильно спроектированная сеть с QoS, offload и наблюдаемостью снижает TCO и одновременно повышает выручку за счёт лучшего UX, конверсии и удержания. Плюс — предсказуемость бюджетов: каналы и регионы добавляются процедурно, а не «вручную ночью», а биллинг и документы подстраиваются под структуру группы компаний.
Как мы проводим внедрение: первые 30 дней
Дни 1–3 — бриф, цели, SLO, инвентаризация маршрутов и IX, согласование платежей. Неделя 2 — пилот в целевой локации, базовый тюнинг ядра/NIC, QoS-профили, включение наблюдаемости, тестовые окна canary. Неделя 3 — нагрузочные испытания, проверка DDoS-профилей и процедур эскалации, корректировка BGP-политики. Неделя 4 — cutover, отчёты, план масштабирования и бюджет на квартал. Запуск превращается из «лучший инженер не спит» в управляемую рутину с обратимостью на каждом шаге.
Заключение
Эпоха 10 Gbps и выше — это не только скорость канала, но и культура сети: BGP-архитектура, пиринг и IX-проксимити, QoS и ECN, offload и kernel-тюнинг, DDoS-профили, наблюдаемость и IaC. Unihost строит именно такую инфраструктуру: предсказуемую на хвостах p95/p99, устойчивую к пикам и атакам, готовую к расширению по процедурам, а не «на героизме». Если вам нужна сеть, которая ускоряет продукт и приносит деньги, а не сюрпризы, — выберите Unihost. Мы подберём профиль каналов, настроим маршрутизацию и QoS под ваши SLO и перенесём продуктив без простоя.