Re: IBM WAS Web server plug-in - заменить на nginx?

Бондарец Иван bondarets at gmail.com
Tue Jul 21 21:58:10 MSD 2009


Да, я тоже так считаю! И отчеты неткрафта я показывал, и приводил
внушительный список серьезных контор, которые используют nginx и приводил в
пример успешные атаки, которым nginx не подвержен в силу архитектуры  - пока
дело продвигается не очень.

21 июля 2009 г. 21:23 пользователь Sergey Shepelev <temotor at gmail.com>написал:

> 2009/7/21 Бондарец Иван <bondarets at gmail.com>:
> > Спасибо, я так и думал, что это возможно.
> > Кстати, я забыл кое-что упомянуть, сейчас работает такая схема:
> >
> > ИНТЕРНЕТ
> >        |
> > файервол (NAT)
> >        |
> > балансировщик (cisco ACE)
> >        |
> > ферма Apache+plugin (+ терминация SSL)
> >        |
> > AppServer (WAS)
> >
> > Терминирование SSL мы планируем переносить на ACE, а ферма апачей
> остается
> > только как "носитель" плагина от айбиэм... Я предлагаю отказаться от
> апача
> > (были случаи успешных атак на исчерпание ресурса серверов - атака типа
> Slow
> > Lori) в пользу nginx, но пока упираюсь во фразу "схема с apache -
> > рекомендована IBM, а nginx - не промышленное решение".
>
> "промышленное решение" - такой же buzzword, как "мы поддерживаем XML".
> Если начальнику нужны громкие слова, значит с ним нужно соответственно
> работать.
>
>  Да и вобще-то nginx еще какое промышленное решение.
>
> http://news.netcraft.com/archives/2009/06/17/june_2009_web_server_survey.html
>
> > Подробности работы плагина мне точно неизвестны (я его не внедрял и не
> > сопровождаю, я лишь пытаюсь оптимизировать существующую архитектуру под
> > реалии современных атак), я тут нашел доку на сайте ibm, сижу втыкаю:
> > Understanding the WebSphere Application Server Web server plug-in:
> >
> http://www.ibm.com/developerworks/websphere/library/techarticles/0310_cocasse/cocasse.html
> > сопровожденцы говорят там якобы какой-то свой протокол, но в доке я
> такого
> > не нашел, там говорится, что это тоже http, но с поддержкой failover и
> load
> > balance.
> >
> >
> > 21 июля 2009 г. 19:16 пользователь Kostya Alexandrov <koticka at mail.ru>
> > написал:
> >>
> >> да. установив нужные хидеры, и убрав в вебсфере проверку контрольных
> сумм
> >> от плагина, но оставив плагин включенным.
> >>
> >> Бондарец Иван wrote:
> >>>
> >>> Всем добрый день!
> >>> У меня такой вопрос - работал ли кто-нибудь с IBM'овским http_plugin'ом
> >>> для Apache? Можно ли отказаться от часто применяемой связки Apache+IBM
> >>> http_plugin+Websphere в сторону nginx+websphere? В моем понимании, это
> >>> плагин занимается двумя простыми вещами - проксированием запросов к
> >>> Websphere и балансировкой между серверами Websphere
> >>> (
> http://www.ibm.com/developerworks/websphere/library/techarticles/0310_cocasse/cocasse.html
> ).
> >>> На первый взгляд я не вижу технических проблем отказа от Apache
> (причина
> >>> желания отказа - нерациональное использование apache в качестве
> >>> реверс-прокси, как следствие - ДДоС атаки на ресурс сервера), может
> кто-то
> >>> расскажет про возможные подводные камни или их отсутствие? За
> >>> балансировочной фермой (несколько серверов с Apache+IBM http_plugin)
> >>> находится вебсфера, на которой крутится несколько приложений на разных
> >>> портах и с разными URL, по которым плагин раскидывает пользователей,
> т.е.
> >>> например, если клиент идет по адресу https://server.ru/APP1 то
> апач+плагин
> >>> этот запрос проксируют на http://webshpere.lan:1111/APP1
> >>> <http://webshpere.lan:1234/APP1>, если запрос на
> https://server.ru/APP2,
> >>> <https://server.ru/APP1> то проксируется
> http://webshpere.lan:2222/APP2
> >>> <http://webshpere.lan:1234/APP1> на  и так далее - несколько разных
> >>> приложений.
> >>> Возможно ли такую же схему реализовать средствами nginx?
> >>
> >
> >
> >
> > --
> > С уважением,
> > Бондарец Иван Григорьевич
> >
> >
>



-- 
С уважением,
Бондарец Иван Григорьевич
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://nginx.org/pipermail/nginx-ru/attachments/20090721/e85cdac5/attachment.html>


More information about the nginx-ru mailing list