Самое смешное, что большие боссы поддержали мою идею, но т.к. контора достаточно большая и структура сильно разветвленная, то принятие решений - долгий процесс, в который вовлечены многие люди. Я сам не занимаюсь сопровождением систем, а только выискиваю недостатки в текущей архитектуре и предлагаю пути решения, потому и не могу сделать все как я хочу, а лишь выношу вопросы на обсуждение. Сопровожденцы пока не поддаются (вполне их понимаю), что ж, буду потихоньку идею популяризовывать в их среде, т.к. боссы тоже не могут просто приказать, они учитывают экспертную оценку сопровожденцев. Главное, что я получил здесь ответ на вопрос, что подобный функционал реализуем с помощью nginx, дальше - дело больше политики, чем техники. В тяжелом энтерпрайзе всегда очень непросто новые идеи воплощаются в жизнь.<br>
<br><div class="gmail_quote">22 июля 2009 г. 1:51 пользователь Sergey Shepelev <span dir="ltr"><<a href="mailto:temotor@gmail.com">temotor@gmail.com</a>></span> написал:<br><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
А если непробиваемый начальник, я бы на вашем месте сказал, что всё<br>
работает как по схеме кого надо, а сам сделал бы хорошо - на nginx-е.<br>
<div><div></div><div class="h5"><br>
2009/7/21 Бондарец Иван <<a href="mailto:bondarets@gmail.com">bondarets@gmail.com</a>>:<br>
> Да, я тоже так считаю! И отчеты неткрафта я показывал, и приводил<br>
> внушительный список серьезных контор, которые используют nginx и приводил в<br>
> пример успешные атаки, которым nginx не подвержен в силу архитектуры - пока<br>
> дело продвигается не очень.<br>
><br>
> 21 июля 2009 г. 21:23 пользователь Sergey Shepelev <<a href="mailto:temotor@gmail.com">temotor@gmail.com</a>><br>
> написал:<br>
>><br>
>> 2009/7/21 Бондарец Иван <<a href="mailto:bondarets@gmail.com">bondarets@gmail.com</a>>:<br>
>> > Спасибо, я так и думал, что это возможно.<br>
>> > Кстати, я забыл кое-что упомянуть, сейчас работает такая схема:<br>
>> ><br>
>> > ИНТЕРНЕТ<br>
>> > |<br>
>> > файервол (NAT)<br>
>> > |<br>
>> > балансировщик (cisco ACE)<br>
>> > |<br>
>> > ферма Apache+plugin (+ терминация SSL)<br>
>> > |<br>
>> > AppServer (WAS)<br>
>> ><br>
>> > Терминирование SSL мы планируем переносить на ACE, а ферма апачей<br>
>> > остается<br>
>> > только как "носитель" плагина от айбиэм... Я предлагаю отказаться от<br>
>> > апача<br>
>> > (были случаи успешных атак на исчерпание ресурса серверов - атака типа<br>
>> > Slow<br>
>> > Lori) в пользу nginx, но пока упираюсь во фразу "схема с apache -<br>
>> > рекомендована IBM, а nginx - не промышленное решение".<br>
>><br>
>> "промышленное решение" - такой же buzzword, как "мы поддерживаем XML".<br>
>> Если начальнику нужны громкие слова, значит с ним нужно соответственно<br>
>> работать.<br>
>><br>
>> Да и вобще-то nginx еще какое промышленное решение.<br>
>><br>
>> <a href="http://news.netcraft.com/archives/2009/06/17/june_2009_web_server_survey.html" target="_blank">http://news.netcraft.com/archives/2009/06/17/june_2009_web_server_survey.html</a><br>
>><br>
>> > Подробности работы плагина мне точно неизвестны (я его не внедрял и не<br>
>> > сопровождаю, я лишь пытаюсь оптимизировать существующую архитектуру под<br>
>> > реалии современных атак), я тут нашел доку на сайте ibm, сижу втыкаю:<br>
>> > Understanding the WebSphere Application Server Web server plug-in:<br>
>> ><br>
>> > <a href="http://www.ibm.com/developerworks/websphere/library/techarticles/0310_cocasse/cocasse.html" target="_blank">http://www.ibm.com/developerworks/websphere/library/techarticles/0310_cocasse/cocasse.html</a><br>
>> > сопровожденцы говорят там якобы какой-то свой протокол, но в доке я<br>
>> > такого<br>
>> > не нашел, там говорится, что это тоже http, но с поддержкой failover и<br>
>> > load<br>
>> > balance.<br>
>> ><br>
>> ><br>
>> > 21 июля 2009 г. 19:16 пользователь Kostya Alexandrov <<a href="mailto:koticka@mail.ru">koticka@mail.ru</a>><br>
>> > написал:<br>
>> >><br>
>> >> да. установив нужные хидеры, и убрав в вебсфере проверку контрольных<br>
>> >> сумм<br>
>> >> от плагина, но оставив плагин включенным.<br>
>> >><br>
>> >> Бондарец Иван wrote:<br>
>> >>><br>
>> >>> Всем добрый день!<br>
>> >>> У меня такой вопрос - работал ли кто-нибудь с IBM'овским<br>
>> >>> http_plugin'ом<br>
>> >>> для Apache? Можно ли отказаться от часто применяемой связки Apache+IBM<br>
>> >>> http_plugin+Websphere в сторону nginx+websphere? В моем понимании, это<br>
>> >>> плагин занимается двумя простыми вещами - проксированием запросов к<br>
>> >>> Websphere и балансировкой между серверами Websphere<br>
>> >>><br>
>> >>> (<a href="http://www.ibm.com/developerworks/websphere/library/techarticles/0310_cocasse/cocasse.html" target="_blank">http://www.ibm.com/developerworks/websphere/library/techarticles/0310_cocasse/cocasse.html</a>).<br>
>> >>> На первый взгляд я не вижу технических проблем отказа от Apache<br>
>> >>> (причина<br>
>> >>> желания отказа - нерациональное использование apache в качестве<br>
>> >>> реверс-прокси, как следствие - ДДоС атаки на ресурс сервера), может<br>
>> >>> кто-то<br>
>> >>> расскажет про возможные подводные камни или их отсутствие? За<br>
>> >>> балансировочной фермой (несколько серверов с Apache+IBM http_plugin)<br>
>> >>> находится вебсфера, на которой крутится несколько приложений на разных<br>
>> >>> портах и с разными URL, по которым плагин раскидывает пользователей,<br>
>> >>> т.е.<br>
>> >>> например, если клиент идет по адресу <a href="https://server.ru/APP1" target="_blank">https://server.ru/APP1</a> то<br>
>> >>> апач+плагин<br>
>> >>> этот запрос проксируют на <a href="http://webshpere.lan:1111/APP1" target="_blank">http://webshpere.lan:1111/APP1</a><br>
>> >>> <<a href="http://webshpere.lan:1234/APP1" target="_blank">http://webshpere.lan:1234/APP1</a>>, если запрос на<br>
>> >>> <a href="https://server.ru/APP2" target="_blank">https://server.ru/APP2</a>,<br>
>> >>> <<a href="https://server.ru/APP1" target="_blank">https://server.ru/APP1</a>> то проксируется<br>
>> >>> <a href="http://webshpere.lan:2222/APP2" target="_blank">http://webshpere.lan:2222/APP2</a><br>
>> >>> <<a href="http://webshpere.lan:1234/APP1" target="_blank">http://webshpere.lan:1234/APP1</a>> на и так далее - несколько разных<br>
>> >>> приложений.<br>
>> >>> Возможно ли такую же схему реализовать средствами nginx?<br>
>> >><br>
>> ><br>
>> ><br>
>> ><br>
>> > --<br>
>> > С уважением,<br>
>> > Бондарец Иван Григорьевич<br>
>> ><br>
>> ><br>
><br>
><br>
><br>
> --<br>
> С уважением,<br>
> Бондарец Иван Григорьевич<br>
><br>
><br>
</div></div></blockquote></div><br>