LINUX.ORG.RU
ФорумAdmin

Есть ли смысл ставить nginx+apache внутри openvz?

 , , ,


0

1

Есть сервер на vds'ке(2 ядра, 1гб RAM, 30гб диск), хочу поставить на него веб сервер для бложика на wp. Но поскольку там будут висеть и другие немаловажные сервисы, решил поместить apache в безопасный контейнер, чтобы в случае дыры в wp, его плагинах или ещё где удар по серверу был минимальный, а ещё чтобы ограничить отжирание ресурсов самого сервера. В качестве контейнера выбрал OpenVZ, поскольку он считается достаточно быстрым. Nginx в этой связке будет находиться на основном сервере и иметь роль прокси, перенаправляя трафик apach'у внутри виртуалки, может ещё будет отдавать статику. Насколько обдуманно такое решение и что можно изменить?

Если vds на KVM, XEN или ещё какой-то полноценной виртуалке то можно, если на том-же OpenVZ (или аналогах) то не получится.
В принципе можно ограничиться отдельным пользователем, от подавляющего большинства атак это защитит не хуже контейнера.

MrClon ★★★★★
()
Ответ на: комментарий от MrClon

Если верить хостеру, KVM. Как проверить, увы, не знаю.

devalone ★★
() автор топика
Ответ на: комментарий от melkor217

Как я понял у топикстартера потребность в бложике на WP, для бложика на WP нужен PHP, а для PHP нужна какая-нибудь пускалка, например Apache. Можно конечно заменить Apache на php-fpm или hhvm, но разве, в контексте задачи, от этого что-то изменится?

MrClon ★★★★★
()

Вообще огородить апач с вп контейнером - это решение вполне нормальное. Единственное что непонятно - это как в такой схеме без костылей заставить nginx отдавать статику. Если так уж важно заставить его это делать - то возможно будет проще засунуть его во все тот же контейнер, а апач перевесить на какой-то другой порт, да еще и только локалхост пусть слушает.

По поводу того, что еще изменить - а чтов итоге этих изменений хочется получить ?

Balantay
()
Ответ на: комментарий от Balantay

Получить хочется безопасность сервера, чтобы при взломе какой-то одной части злоумышленник не мог получить доступ ко всему серверу и ограничение по ресурсам, чтоб можно было, допустим, выделить 10 гб диска и 1 cpu wordpress'у. Возможно в будущем во втором подобном контейнере будет работать сервис на джаве.

devalone ★★
() автор топика
Ответ на: комментарий от melkor217

Так-ли важно по какому протоколу nginx будет дёргать сервер приложений, по fpm (over tcp) или по http?
Мне тоже PHP-FPM больше нравится, но это в значительной степени вкусовщина.

MrClon ★★★★★
()
Ответ на: комментарий от devalone

Ну, если не запускать апач с рутовыми правами, то даже при взломе wp до доступа ко всему серваку будет еще очень далеко.

Если будет работать несколько сервисов - то имеет (имхо конечно) смысл ставить nginx общий на всех, чтобы он занимался проксированием и заодно терминировал https, а дальше уже по потребностям - если нужно отдавать статику - проксировать на еще один nginx уже внутри контейнера (хотя тут я не уверен, даст ли это прибавку к производительности), если не критично - то на контейнер на апач.

Balantay
()
Ответ на: комментарий от MrClon

Ну да, бложику от прослойки в виде апача сильно хуже не станет.

melkor217 ★★★★★
()

Можно, но не нужно, учитывая небольшое количество памяти и усложнение всего на пустом месте. Ставьте nginx + php-fpm через unix-сокет. Для обеспечения безопасности вовремя обновляйте WP, закройте доступ к админке средаствами nginx. Если совсем боитесь последствий возможного взлома — настройте SELinux и сделайте для php-fpm полное огораживание.

trancefer ★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Admin