Терминирование SSL мы планируем переносить на ACE, а ферма апачей остается только как "носитель" плагина от айбиэм... Я предлагаю отказаться от апача (были случаи успешных атак на исчерпание ресурса серверов - атака типа Slow Lori) в пользу nginx, но пока упираюсь во фразу "схема с apache - рекомендована IBM, а nginx - не промышленное решение".
Подробности работы плагина мне точно неизвестны (я его не внедрял и не сопровождаю, я лишь пытаюсь оптимизировать существующую архитектуру под реалии современных атак), я тут нашел доку на сайте ibm, сижу втыкаю: Understanding the WebSphere Application Server Web server plug-in:http://www.ibm.com/developerworks/websphere/library/techarticles/0310_cocasse/cocasse.html
сопровожденцы говорят там якобы какой-то свой протокол, но в доке я такого не нашел, там говорится, что это тоже http, но с поддержкой failover и load balance.
21 июля 2009 г. 19:16 пользователь Kostya Alexandrov <koticka@xxxxxxx> написал:
да. установив нужные хидеры, и убрав в вебсфере проверку контрольных сумм от плагина, но оставив плагин включенным.
Бондарец Иван wrote:
Всем добрый день!
У меня такой вопрос - работал ли кто-нибудь с IBM'овским http_plugin'ом для Apache? Можно ли отказаться от часто применяемой связки Apache+IBM http_plugin+Websphere в сторону nginx+websphere? В моем понимании, это плагин занимается двумя простыми вещами - проксированием запросов к Websphere и балансировкой между серверами Websphere (http://www.ibm.com/developerworks/websphere/library/techarticles/0310_cocasse/cocasse.html).
На первый взгляд я не вижу технических проблем отказа от Apache (причина желания отказа - нерациональное использование apache в качестве реверс-прокси, как следствие - ДДоС атаки на ресурс сервера), может кто-то расскажет про возможные подводные камни или их отсутствие? За балансировочной фермой (несколько серверов с Apache+IBM http_plugin) находится вебсфера, на которой крутится несколько приложений на разных портах и с разными URL, по которым плагин раскидывает пользователей, т.е. например, если клиент идет по адресу https://server.ru/APP1 то апач+плагин этот запрос проксируют на http://webshpere.lan:1111/APP1 <http://webshpere.lan:1234/APP1>, если запрос на https://server.ru/APP2, <https://server.ru/APP1> то проксируется http://webshpere.lan:2222/APP2 <http://webshpere.lan:1234/APP1> на и так далее - несколько разных приложений.
Возможно ли такую же схему реализовать средствами nginx?