ПРОЕКТЫ 


  АРХИВ 


Apache-Talk @lexa.ru 

Inet-Admins @info.east.ru 

Filmscanners @halftone.co.uk 

Security-alerts @yandex-team.ru 

nginx-ru @sysoev.ru 


  СТАТЬИ 


  ПЕРСОНАЛЬНОЕ 


  ПРОГРАММЫ 



ПИШИТЕ
ПИСЬМА












     АРХИВ :: nginx-ru
Nginx-ru mailing list archive (nginx-ru@sysoev.ru)

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: IBM WAS Web server plug-in - заменить н а nginx?


  • To: nginx-ru@xxxxxxxxx
  • Subject: Re: IBM WAS Web server plug-in - заменить н а nginx?
  • From: Sergey Shepelev <temotor@xxxxxxxxx>
  • Date: Tue, 21 Jul 2009 21:23:54 +0400
  • Dkim-signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=gmail.com; s=gamma; h=domainkey-signature:mime-version:received:in-reply-to:references :date:message-id:subject:from:to:content-type :content-transfer-encoding; bh=07NSxkZTzNSeczrfOL4ANi7HROjmAtkIICgHBe/G9OA=; b=BquFNuokmNSADA147SeSWRXDFbYBYEEfoP0zbwRZIITp1NSYRjnxfPeeVOiJ4IGKZl vG4N7ENgF7CCsA30gEAf+SfsW+C9DgSgDnlnhXxCga0Fas54HZPrfse12Yxy7L2kAJ68 Wj1s8xrVUUapOp9vsQ++tt4JWuXOjCzzHUWlk=
  • Domainkey-signature: a=rsa-sha1; c=nofws; d=gmail.com; s=gamma; h=mime-version:in-reply-to:references:date:message-id:subject:from:to :content-type:content-transfer-encoding; b=Gh6RttXFqiwnqGCQ1beUSiZc68B9+fiq6b6gvc3POqMoWmkRMItNAITT141iUoUcEU J1SXpbpDVgjqaUEpXN0XD10wcT+3sb1svd5wIrSM9J6xakGHN1b0+j7sU1myNHULHFfX mwBcuZWt/fk8xkMFfVL2+FNR8alz+dnE0Ebo0=
  • In-reply-to: <8f7d0ce10907210956r4e1359e0w6b54ad92b8e27492@xxxxxxxxxxxxxx>
  • References: <8f7d0ce10907210640y6a6d33c1o7bea86f7d13b18bb@xxxxxxxxxxxxxx> <4A65DBD3.6060000@xxxxxxx> <8f7d0ce10907210956r4e1359e0w6b54ad92b8e27492@xxxxxxxxxxxxxx>

2009/7/21 Бондарец Иван <bondarets@xxxxxxxxx>:
> Спасибо, я так и думал, что это возможно.
> Кстати, я забыл кое-что упомянуть, сейчас работает такая схема:
>
> ИНТЕРНЕТ
>        |
> файервол (NAT)
>        |
> балансировщик (cisco ACE)
>        |
> ферма Apache+plugin (+ терминация SSL)
>        |
> AppServer (WAS)
>
> Терминирование SSL мы планируем переносить на ACE, а ферма апачей остается
> только как "носитель" плагина от айбиэм... Я предлагаю отказаться от апача
> (были случаи успешных атак на исчерпание ресурса серверов - атака типа Slow
> Lori) в пользу nginx, но пока упираюсь во фразу "схема с apache -
> рекомендована IBM, а nginx - не промышленное решение".

"промышленное решение" - такой же buzzword, как "мы поддерживаем XML".
Если начальнику нужны громкие слова, значит с ним нужно соответственно
работать.

 Да и вобще-то nginx еще какое промышленное решение.
http://news.netcraft.com/archives/2009/06/17/june_2009_web_server_survey.html

> Подробности работы плагина мне точно неизвестны (я его не внедрял и не
> сопровождаю, я лишь пытаюсь оптимизировать существующую архитектуру под
> реалии современных атак), я тут нашел доку на сайте ibm, сижу втыкаю:
> Understanding the WebSphere Application Server Web server plug-in:
> http://www.ibm.com/developerworks/websphere/library/techarticles/0310_cocasse/cocasse.html
> сопровожденцы говорят там якобы какой-то свой протокол, но в доке я такого
> не нашел, там говорится, что это тоже http, но с поддержкой failover и load
> balance.
>
>
> 21 июля 2009 г. 19:16 пользователь Kostya Alexandrov <koticka@xxxxxxx>
> написал:
>>
>> да. установив нужные хидеры, и убрав в вебсфере проверку контрольных сумм
>> от плагина, но оставив плагин включенным.
>>
>> Бондарец Иван wrote:
>>>
>>> Всем добрый день!
>>> У меня такой вопрос - работал ли кто-нибудь с IBM'овским http_plugin'ом
>>> для Apache? Можно ли отказаться от часто применяемой связки Apache+IBM
>>> http_plugin+Websphere в сторону nginx+websphere? В моем понимании, это
>>> плагин занимается двумя простыми вещами - проксированием запросов к
>>> Websphere и балансировкой между серверами Websphere
>>> (http://www.ibm.com/developerworks/websphere/library/techarticles/0310_cocasse/cocasse.html).
>>> На первый взгляд я не вижу технических проблем отказа от Apache (причина
>>> желания отказа - нерациональное использование apache в качестве
>>> реверс-прокси, как следствие - ДДоС атаки на ресурс сервера), может кто-то
>>> расскажет про возможные подводные камни или их отсутствие? За
>>> балансировочной фермой (несколько серверов с Apache+IBM http_plugin)
>>> находится вебсфера, на которой крутится несколько приложений на разных
>>> портах и с разными URL, по которым плагин раскидывает пользователей, т.е.
>>> например, если клиент идет по адресу https://server.ru/APP1 то апач+плагин
>>> этот запрос проксируют на http://webshpere.lan:1111/APP1
>>> <http://webshpere.lan:1234/APP1>, если запрос на https://server.ru/APP2,
>>> <https://server.ru/APP1> то проксируется http://webshpere.lan:2222/APP2
>>> <http://webshpere.lan:1234/APP1> на  и так далее - несколько разных
>>> приложений.
>>> Возможно ли такую же схему реализовать средствами nginx?
>>
>
>
>
> --
> С уважением,
> Бондарец Иван Григорьевич
>
>


 




Copyright © Lexa Software, 1996-2009.