Re: IBM WAS Web server plug-in - заменить на nginx?

Бондарец Иван bondarets at gmail.com
Wed Jul 22 07:31:00 MSD 2009


Самое смешное, что большие боссы поддержали мою идею, но т.к. контора
достаточно большая и структура сильно разветвленная, то принятие решений -
долгий процесс, в который вовлечены многие люди. Я сам не занимаюсь
сопровождением систем, а только выискиваю недостатки в текущей архитектуре и
предлагаю пути решения, потому и не могу сделать все как я хочу, а лишь
выношу вопросы на обсуждение. Сопровожденцы пока не поддаются (вполне их
понимаю), что ж, буду потихоньку идею популяризовывать в их среде, т.к.
боссы тоже не могут просто приказать, они учитывают экспертную оценку
сопровожденцев. Главное, что я получил здесь ответ на вопрос, что подобный
функционал реализуем с помощью nginx, дальше - дело больше политики, чем
техники. В тяжелом энтерпрайзе всегда очень непросто новые идеи воплощаются
в жизнь.

22 июля 2009 г. 1:51 пользователь Sergey Shepelev <temotor at gmail.com>написал:

> А если непробиваемый начальник, я бы на вашем месте сказал, что всё
> работает как по схеме кого надо, а сам сделал бы хорошо - на nginx-е.
>
> 2009/7/21 Бондарец Иван <bondarets at gmail.com>:
> > Да, я тоже так считаю! И отчеты неткрафта я показывал, и приводил
> > внушительный список серьезных контор, которые используют nginx и приводил
> в
> > пример успешные атаки, которым nginx не подвержен в силу архитектуры  -
> пока
> > дело продвигается не очень.
> >
> > 21 июля 2009 г. 21:23 пользователь Sergey Shepelev <temotor at gmail.com>
> > написал:
> >>
> >> 2009/7/21 Бондарец Иван <bondarets at gmail.com>:
> >> > Спасибо, я так и думал, что это возможно.
> >> > Кстати, я забыл кое-что упомянуть, сейчас работает такая схема:
> >> >
> >> > ИНТЕРНЕТ
> >> >        |
> >> > файервол (NAT)
> >> >        |
> >> > балансировщик (cisco ACE)
> >> >        |
> >> > ферма Apache+plugin (+ терминация SSL)
> >> >        |
> >> > AppServer (WAS)
> >> >
> >> > Терминирование SSL мы планируем переносить на ACE, а ферма апачей
> >> > остается
> >> > только как "носитель" плагина от айбиэм... Я предлагаю отказаться от
> >> > апача
> >> > (были случаи успешных атак на исчерпание ресурса серверов - атака типа
> >> > Slow
> >> > Lori) в пользу nginx, но пока упираюсь во фразу "схема с apache -
> >> > рекомендована IBM, а nginx - не промышленное решение".
> >>
> >> "промышленное решение" - такой же buzzword, как "мы поддерживаем XML".
> >> Если начальнику нужны громкие слова, значит с ним нужно соответственно
> >> работать.
> >>
> >>  Да и вобще-то nginx еще какое промышленное решение.
> >>
> >>
> http://news.netcraft.com/archives/2009/06/17/june_2009_web_server_survey.html
> >>
> >> > Подробности работы плагина мне точно неизвестны (я его не внедрял и не
> >> > сопровождаю, я лишь пытаюсь оптимизировать существующую архитектуру
> под
> >> > реалии современных атак), я тут нашел доку на сайте ibm, сижу втыкаю:
> >> > Understanding the WebSphere Application Server Web server plug-in:
> >> >
> >> >
> http://www.ibm.com/developerworks/websphere/library/techarticles/0310_cocasse/cocasse.html
> >> > сопровожденцы говорят там якобы какой-то свой протокол, но в доке я
> >> > такого
> >> > не нашел, там говорится, что это тоже http, но с поддержкой failover и
> >> > load
> >> > balance.
> >> >
> >> >
> >> > 21 июля 2009 г. 19:16 пользователь Kostya Alexandrov <koticka at mail.ru
> >
> >> > написал:
> >> >>
> >> >> да. установив нужные хидеры, и убрав в вебсфере проверку контрольных
> >> >> сумм
> >> >> от плагина, но оставив плагин включенным.
> >> >>
> >> >> Бондарец Иван wrote:
> >> >>>
> >> >>> Всем добрый день!
> >> >>> У меня такой вопрос - работал ли кто-нибудь с IBM'овским
> >> >>> http_plugin'ом
> >> >>> для Apache? Можно ли отказаться от часто применяемой связки
> Apache+IBM
> >> >>> http_plugin+Websphere в сторону nginx+websphere? В моем понимании,
> это
> >> >>> плагин занимается двумя простыми вещами - проксированием запросов к
> >> >>> Websphere и балансировкой между серверами Websphere
> >> >>>
> >> >>> (
> http://www.ibm.com/developerworks/websphere/library/techarticles/0310_cocasse/cocasse.html
> ).
> >> >>> На первый взгляд я не вижу технических проблем отказа от Apache
> >> >>> (причина
> >> >>> желания отказа - нерациональное использование apache в качестве
> >> >>> реверс-прокси, как следствие - ДДоС атаки на ресурс сервера), может
> >> >>> кто-то
> >> >>> расскажет про возможные подводные камни или их отсутствие? За
> >> >>> балансировочной фермой (несколько серверов с Apache+IBM http_plugin)
> >> >>> находится вебсфера, на которой крутится несколько приложений на
> разных
> >> >>> портах и с разными URL, по которым плагин раскидывает пользователей,
> >> >>> т.е.
> >> >>> например, если клиент идет по адресу https://server.ru/APP1 то
> >> >>> апач+плагин
> >> >>> этот запрос проксируют на http://webshpere.lan:1111/APP1
> >> >>> <http://webshpere.lan:1234/APP1>, если запрос на
> >> >>> https://server.ru/APP2,
> >> >>> <https://server.ru/APP1> то проксируется
> >> >>> http://webshpere.lan:2222/APP2
> >> >>> <http://webshpere.lan:1234/APP1> на  и так далее - несколько разных
> >> >>> приложений.
> >> >>> Возможно ли такую же схему реализовать средствами nginx?
> >> >>
> >> >
> >> >
> >> >
> >> > --
> >> > С уважением,
> >> > Бондарец Иван Григорьевич
> >> >
> >> >
> >
> >
> >
> > --
> > С уважением,
> > Бондарец Иван Григорьевич
> >
> >
>
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://nginx.org/pipermail/nginx-ru/attachments/20090722/330e21e5/attachment.html>


More information about the nginx-ru mailing list