Re: Ограничение соединений с backend

[Vladimir Latyshev]

16 июня 2009 г. 18:13 пользователь Sergej Kandyla <sk.paix at gmail.com>написал:

> Защита от перегрузок это отдельная песня.
> Я думаю, стоит определиться с характером запросов и выделять агрессивных
> клиентов.
> Желательно банить таких на основе фаервольных фильтров   --connlimit-above
> 15 -j REJECT  || source-track rule (pf)
> Возможно, conn_limit  для  $remote_addr$http_user_agent, чтобы кто-то
> избыточно агресивно не нагружал бекенд


верно но не всегда применимо, например в случае использования
централизованных http и WAP шлюзов

Против мелко-средних DDoS, которые не забивают полностью канал, ничего лучше
> скриптов вроде еще не придумали. Т.е. получается мониторинг + трезвый админ
> + скрипты. Ботов в фаерволл.
>
> Все остальное будут условно нормальные юзера.


наша задача как раз начинается здесь


> При этом, nginx получает максимально быстро ответ от бекенда и уже сам
> обслуживает медленных клиентов.
> Если число ликвидных пользователей превысит число свободных чаилдов бекенда
> (апача), то вы будете получать ваше
> error_page  503 =200 /sorry.html;
>

Нет! будет таймаут. Пожалуйста, еще раз перечитайте тред.

Чем проще - тем лучше!
>

ну это несомненно :)
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://nginx.org/pipermail/nginx-ru/attachments/20090616/b4f22626/attachment.html>