LINUX.ORG.RU

Энтерпрайз под кроватью

 , ,


0

1

ЛОР, а вот смотри какая идея, сделать энтерпрайз под кроватью.

Подключаемся к двум-трём провайдерам, все они подключены к одному серверу под кроватью, но на самом деле используется только один провайдер, остальные линки как резервные, то есть на случай, когда отвалился основной провайдер, делаем

ip route del default
ip route add default dev ppp1 # вместо ppp0

Дальше берём штук десять VDS'ок в разных уголках планеты, настраиваем их абсолютно одинаково, а именно как обратные прокси-серверы для nginx

server {
  listen 80 default_server;
  server_name _;

  location / {
    proxy_pass http://localhost:8081/;

    proxy_set_header X-Real-IP $remote_addr;
    proxy_set_header Host $http_host;
  }
}

Потом на нашем доменном имени добавляем A-записи для всех имеющихся VDS.

И проксируем все VDS'ки по ssh-тоннелю.

# ssh -fnNT -R 8081:localhost:80 user@vds1
# ssh -fnNT -R 8082:localhost:80 user@vds2
# ssh -fnNT -R 8083:localhost:80 user@vds3

Получается так. Клиент обращается к домену, делается рандомная выборка A-записи, далее обращение к одной VDS, VDS по ssh-тоннелю передает запрос на наш энтерпрайз под кроватью, который хоть и имеет гигабитный линк, но вообще находится за провайдерским NAT'ом, а в сеть смотрит при помощи VDS'ок.

Ну как, хорошо придумал? Какие подводные камни? Заддосить такую схему наверно не получится? Попробуй, 5-10 VDS'ок на разных концах света положи. И всегда стабильный аптайм, не? =)

★★★★★

Заддосить такую схему наверно не получится?

Я у мамы сисадмин.

xtraeft ★★☆☆ ()

остальные линки как резервные, то есть на случай, когда отвалился основной провайдер

У меня инет отваливается по вине провайдера раз в пол года. А платить то надо за трёх.

nihil ★★★★★ ()

Ну как, хорошо придумал?

Нет.

1. SSH-туннели медленные. Твой гигабит превратится dial-up.
2. Пинг между кроватью и VPS будет слишком большим. Нужно хотя бы кэшировать проксированные странички.
3. Класть 5-10 VPS не придется. Узкое место не nginx на VPS'ках, а твое приложение, которому нужно много времени на обработку запроса, а так же медленный канал между кроватью и VPS'ками. В твоем случае нет разницы сколько у тебя VPS, достаточно одной.

Black_Roland ★★★★ ()
Последнее исправление: Black_Roland (всего исправлений: 1)

И вообще в чем смысл резервных каналов, если можно пускать трафик по всем трем каналам? Разупорись.

Black_Roland ★★★★ ()

а если электричество под кроватью кончится?

Erfinder ()
Ответ на: комментарий от Black_Roland

Очень жаль. Так хотелось пофапать на камаз перевозящий CD-диски.

Spoofing ★★★★★ ()

Если есть 5-10 VDS'ок, то не проще ли на них HAcluster сделать?

MyLittleLoli ★★★★ ()
Ответ на: комментарий от Black_Roland

Нужно хотя бы кэшировать проксированные странички.

И много их закешируется? 1 страничка с 1000, смысла нет вообще.

CHIPOK ★★★ ()
Ответ на: комментарий от CHIPOK

1 страничка с 1000, смысла нет вообще.

Почему? Все зависит от самого сайта и размера кэша. Если это read-only бложек, то его можно кэшировать целиком (GET-запросы).

Black_Roland ★★★★ ()
Ответ на: комментарий от Black_Roland

ну вот, read-only сайтов осталось 1 с 1000 если не меньше, плюс сами браузеры умеют хорошо кешировать, да и соременные сайты сами указывают что кешировать а что нет. Думаю что этот функционал у прокси подвергся прогрессу.

CHIPOK ★★★ ()
Ответ на: комментарий от CHIPOK

ну вот, read-only сайтов осталось 1 с 1000 если не меньше

У ТС как раз такой бложек. А что еще серьезного может быть под кроватью?

плюс сами браузеры умеют хорошо кешировать

Причем здесь это? У сайта, как понимаешь, больше одного пользователя. И если на сайт вдруг придет 100 новых посетителей, то благодаря кэширующему фронтенду не придется 100 раз дергать бэкенд, достаточно 1 раза.

Думаю что этот функционал у прокси подвергся прогрессу.

ШТА? Ты только что говорил про браузеры. Какие прокси, причем тут прокси, какой прогресс?

Black_Roland ★★★★ ()
Ответ на: комментарий от Black_Roland

я к тому веду что кеширование как таково уже морально устарело, если и используется то крайне редко.

CHIPOK ★★★ ()

ssh туннель нестабилен, у меня, бывало, по несколько раз в день падал.
А у тебя их будет 10 штук. Есть конечно autossh, но меня не впечатлил.
Советую, либо выбрать что другое, либо учесть в своём скрипте эту проблему.

dzirtt ()

Ты же ресурс экономишь, какие три провайдера?!

Ну а прокинуть порт для проксирования http-запросов — просто эпично.

Anakros ★★★★ ()
Ответ на: комментарий от xtraeft

еще года 3 назад настраивал у себя кешиширующий прокси, тогда кое что кешировалось, ради интереса попробовал настроить кеширующий прокси и за пару дней было всего несколько записей. так что не нужно.

CHIPOK ★★★ ()
Ответ на: комментарий от Spoofing

Ключевые слова: аптайм, авторитет хостера.

dk- ()
Ответ на: комментарий от CHIPOK

Админу локалхоста конечно виднее, что нужно а что нет.

xtraeft ★★☆☆ ()
Ответ на: комментарий от Spoofing

Отныне навсегда забудьте о существовании root'а на удалённом сервере.

Какая в хер разница, кем логиниться по ключу, рутом или обычным юзером?

xtraeft ★★☆☆ ()
Ответ на: комментарий от dk-

ой да ладно, всё упирается в обычный обслуживающий персонал. я когда увольнялся от провайдера, прихватил с собой базу абонентов и его потроха (биллинг, настройки сервисов и пароли к ним). какая бы бюрократия внутри компании не царила, если взяли на работу удака, то ничего не поделаешь.

Spoofing ★★★★★ ()
Ответ на: комментарий от xtraeft

ну если ключ украдут, то получат либо моментальный root-доступ к серверу, либо только к пользовательскому аккаунту — разница есть.

Spoofing ★★★★★ ()
Ответ на: комментарий от Spoofing

вот поэтому еще лучше не использовать sudo, ведь как, его обычно настраивают для собственного удобства: чтобы использовать без пароля. а получается в итоге такая дыра.

в СССР помните как было, все документы без разбора подвергали секретности, на всё лепили лэйбл «государственная тайна». и правильно делали, потому что если на первый взгляд и даже при детальном разборе вы не увидели бреши в безопасности системы, это вовсе не значит, что ее нет.

доверять нельзя даже самому себе, и лишними сущностями, типа того же sudo, лучше не пользоваться. :)

Spoofing ★★★★★ ()
Ответ на: комментарий от Spoofing

ну если ключ украдут, то получат

Пароль от ключа тоже украдут?
Если такой доступ есть, то и кейлоггер поставят.

xtraeft ★★☆☆ ()
Ответ на: комментарий от Spoofing

я когда увольнялся от провайдера

Так и думал. Спуфинг нас просто тролит. Не удивлюсь, если он еще и многоженец, уклоняющийся от алиментов

vmx ★★ ()
Ответ на: комментарий от Pinkbyte

ssh-copy-id имеется не во всех системах, зависит от мейнтейнеров дистрибутива. ssh-copy-id находится в папке contrib сырцов openssh и следовательно не является частью openssh.

в CRUX её потому и нету, извините.

Spoofing ★★★★★ ()
Ответ на: комментарий от Spoofing

зависит от мейнтейнеров дистрибутива
в CRUX её потому и нету

<толсто>CRUX-опроблемы</толсто>

А если серьезно - хорошо что предупредил. Я думал, ssh-copy-id нет только в лютых embedded-системах с dropbear на борту вместо openssh. А тут вот оно чё...

Pinkbyte ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.