16 июня 2009 г. 18:13 пользователь Sergej Kandyla
<sk.paix@xxxxxxxxx> написал:
Защита от перегрузок это отдельная песня.
Я думаю, стоит определиться с характером запросов и выделять агрессивных клиентов.
Желательно банить таких на основе фаервольных фильтров --connlimit-above 15 -j REJECT || source-track rule (pf)
Возможно, conn_limit для $remote_addr$http_user_agent, чтобы кто-то избыточно агресивно не нагружал бекенд
верно но не всегда применимо, например в случае использования централизованных http и WAP шлюзов
Против мелко-средних DDoS, которые не забивают полностью канал, ничего лучше скриптов вроде еще не придумали. Т.е. получается мониторинг + трезвый админ + скрипты. Ботов в фаерволл.
Все остальное будут условно нормальные юзера.
наша задача как раз начинается здесь
При этом, nginx получает максимально быстро ответ от бекенда и уже сам обслуживает медленных клиентов.
Если число ликвидных пользователей превысит число свободных чаилдов бекенда (апача), то вы будете получать ваше
error_page 503 =200 /sorry.html;
Нет! будет таймаут. Пожалуйста, еще раз перечитайте тред.
Чем проще - тем лучше!