2009/7/21 Бондарец Иван <
bondarets@xxxxxxxxx>:
> Да, я тоже так считаю! И отчеты неткрафта я показывал, и приводил
> внушительный список серьезных контор, которые используют nginx и приводил в
> пример успешные атаки, которым nginx не подвержен в силу архитектуры - пока
> дело продвигается не очень.
>
> 21 июля 2009 г. 21:23 пользователь Sergey Shepelev <
temotor@xxxxxxxxx>
> написал:
>>
>> 2009/7/21 Бондарец Иван <
bondarets@xxxxxxxxx>:
>> > Спасибо, я так и думал, что это возможно.
>> > Кстати, я забыл кое-что упомянуть, сейчас работает такая схема:
>> >
>> > ИНТЕРНЕТ
>> > |
>> > файервол (NAT)
>> > |
>> > балансировщик (cisco ACE)
>> > |
>> > ферма Apache+plugin (+ терминация SSL)
>> > |
>> > AppServer (WAS)
>> >
>> > Терминирование SSL мы планируем переносить на ACE, а ферма апачей
>> > остается
>> > только как "носитель" плагина от айбиэм... Я предлагаю отказаться от
>> > апача
>> > (были случаи успешных атак на исчерпание ресурса серверов - атака типа
>> > Slow
>> > Lori) в пользу nginx, но пока упираюсь во фразу "схема с apache -
>> > рекомендована IBM, а nginx - не промышленное решение".
>>
>> "промышленное решение" - такой же buzzword, как "мы поддерживаем XML".
>> Если начальнику нужны громкие слова, значит с ним нужно соответственно
>> работать.
>>
>> Да и вобще-то nginx еще какое промышленное решение.
>>
>>
http://news.netcraft.com/archives/2009/06/17/june_2009_web_server_survey.html
>>
>> > Подробности работы плагина мне точно неизвестны (я его не внедрял и не
>> > сопровождаю, я лишь пытаюсь оптимизировать существующую архитектуру под
>> > реалии современных атак), я тут нашел доку на сайте ibm, сижу втыкаю:
>> > Understanding the WebSphere Application Server Web server plug-in:
>> >
>> >
http://www.ibm.com/developerworks/websphere/library/techarticles/0310_cocasse/cocasse.html
>> > сопровожденцы говорят там якобы какой-то свой протокол, но в доке я
>> > такого
>> > не нашел, там говорится, что это тоже http, но с поддержкой failover и
>> > load
>> > balance.
>> >
>> >
>> > 21 июля 2009 г. 19:16 пользователь Kostya Alexandrov <
koticka@xxxxxxx>
>> > написал:
>> >>
>> >> да. установив нужные хидеры, и убрав в вебсфере проверку контрольных
>> >> сумм
>> >> от плагина, но оставив плагин включенным.
>> >>
>> >> Бондарец Иван wrote:
>> >>>
>> >>> Всем добрый день!
>> >>> У меня такой вопрос - работал ли кто-нибудь с IBM'овским
>> >>> http_plugin'ом
>> >>> для Apache? Можно ли отказаться от часто применяемой связки Apache+IBM
>> >>> http_plugin+Websphere в сторону nginx+websphere? В моем понимании, это
>> >>> плагин занимается двумя простыми вещами - проксированием запросов к
>> >>> Websphere и балансировкой между серверами Websphere
>> >>>
>> >>> (
http://www.ibm.com/developerworks/websphere/library/techarticles/0310_cocasse/cocasse.html).
>> >>> На первый взгляд я не вижу технических проблем отказа от Apache
>> >>> (причина
>> >>> желания отказа - нерациональное использование apache в качестве
>> >>> реверс-прокси, как следствие - ДДоС атаки на ресурс сервера), может
>> >>> кто-то
>> >>> расскажет про возможные подводные камни или их отсутствие? За
>> >>> балансировочной фермой (несколько серверов с Apache+IBM http_plugin)
>> >>> находится вебсфера, на которой крутится несколько приложений на разных
>> >>> портах и с разными URL, по которым плагин раскидывает пользователей,
>> >>> т.е.
>> >>> например, если клиент идет по адресу
https://server.ru/APP1 то
>> >>> апач+плагин
>> >>> этот запрос проксируют на
http://webshpere.lan:1111/APP1
>> >>> <
http://webshpere.lan:1234/APP1>, если запрос на
>> >>>
https://server.ru/APP2,
>> >>> <
https://server.ru/APP1> то проксируется
>> >>>
http://webshpere.lan:2222/APP2
>> >>> <
http://webshpere.lan:1234/APP1> на и так далее - несколько разных
>> >>> приложений.
>> >>> Возможно ли такую же схему реализовать средствами nginx?
>> >>
>> >
>> >
>> >
>> > --
>> > С уважением,
>> > Бондарец Иван Григорьевич
>> >
>> >
>
>
>
> --
> С уважением,
> Бондарец Иван Григорьевич
>
>