ПРОЕКТЫ 


  АРХИВ 


Apache-Talk @lexa.ru 

Inet-Admins @info.east.ru 

Filmscanners @halftone.co.uk 

Security-alerts @yandex-team.ru 

nginx-ru @sysoev.ru 


  СТАТЬИ 


  ПЕРСОНАЛЬНОЕ 


  ПРОГРАММЫ 



ПИШИТЕ
ПИСЬМА












     АРХИВ :: nginx-ru
Nginx-ru mailing list archive (nginx-ru@sysoev.ru)

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: IBM WAS Web server plug-in - заменить н а nginx?


  • To: nginx-ru@xxxxxxxxx
  • Subject: Re: IBM WAS Web server plug-in - заменить н а nginx?
  • From: Бондарец Иван <bondarets@xxxxxxxxx>
  • Date: Tue, 21 Jul 2009 20:56:19 +0400
  • Dkim-signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=gmail.com; s=gamma; h=domainkey-signature:mime-version:received:in-reply-to:references :from:date:message-id:subject:to:content-type; bh=q5xDxX4bCODJWZNx2q2ZQk9xWQP4OzB5mEGQK1Z2lW8=; b=SuEod1JTO8Pw3adHjqTUg5w6ja4/3w79LNtVB6f1yhL4Q82H8MgC6HFG45ool4GCX5 TIpH9eXCZcxFs2IZGco/AKC/GlR9yzOUZAcuU9NYEX+Nx3S7nYu7WFXmBuAzQpici/cE mTIL9nr0xEHK7S54ZrZUSkKz8nZ11Ht1If6qs=
  • Domainkey-signature: a=rsa-sha1; c=nofws; d=gmail.com; s=gamma; h=mime-version:in-reply-to:references:from:date:message-id:subject:to :content-type; b=XF+ruuBpES/KIAFB9JL4XLucEClaCsOpqKaMZOtSpf0ehzAIIIG1PXQaB1NKn6JzD7 m6OUfGRzJwWUGM5jF90Hv4qOJLo6pL3uzs5ixB4gqxFiuA1Pe7+mQLXJZdfg9k9Es9Hf v1tyyuhjMZ3VO05Yol8PIOumlqQwwgqPM7+lg=
  • In-reply-to: <4A65DBD3.6060000@xxxxxxx>
  • References: <8f7d0ce10907210640y6a6d33c1o7bea86f7d13b18bb@xxxxxxxxxxxxxx> <4A65DBD3.6060000@xxxxxxx>

Спасибо, я так и думал, что это возможно.
Кстати, я забыл кое-что упомянуть, сейчас работает такая схема:

ИНТЕРНЕТ
       |
файервол (NAT)
       |
балансировщик (cisco ACE)
       |
ферма Apache+plugin (+ терминация SSL)
       |
AppServer (WAS)

Терминирование SSL мы планируем переносить на ACE, а ферма апачей остается только как "носитель" плагина от айбиэм... Я предлагаю отказаться от апача (были случаи успешных атак на исчерпание ресурса серверов - атака типа Slow Lori) в пользу nginx, но пока упираюсь во фразу "схема с apache - рекомендована IBM, а nginx - не промышленное решение".
Подробности работы плагина мне точно неизвестны (я его не внедрял и не сопровождаю, я лишь пытаюсь оптимизировать существующую архитектуру под реалии современных атак), я тут нашел доку на сайте ibm, сижу втыкаю:
Understanding the WebSphere Application Server Web server plug-in: http://www.ibm.com/developerworks/websphere/library/techarticles/0310_cocasse/cocasse.html
сопровожденцы говорят там якобы какой-то свой протокол, но в доке я такого не нашел, там говорится, что это тоже http, но с поддержкой failover и load balance.


21 июля 2009 г. 19:16 пользователь Kostya Alexandrov <koticka@xxxxxxx> написал:
да. установив нужные хидеры, и убрав в вебсфере проверку контрольных сумм от плагина, но оставив плагин включенным.

Бондарец Иван wrote:
Всем добрый день!
У меня такой вопрос - работал ли кто-нибудь с IBM'овским http_plugin'ом для Apache? Можно ли отказаться от часто применяемой связки Apache+IBM http_plugin+Websphere в сторону nginx+websphere? В моем понимании, это плагин занимается двумя простыми вещами - проксированием запросов к Websphere и балансировкой между серверами Websphere (http://www.ibm.com/developerworks/websphere/library/techarticles/0310_cocasse/cocasse.html).
На первый взгляд я не вижу технических проблем отказа от Apache (причина желания отказа - нерациональное использование apache в качестве реверс-прокси, как следствие - ДДоС атаки на ресурс сервера), может кто-то расскажет про возможные подводные камни или их отсутствие? За балансировочной фермой (несколько серверов с Apache+IBM http_plugin) находится вебсфера, на которой крутится несколько приложений на разных портах и с разными URL, по которым плагин раскидывает пользователей, т.е. например, если клиент идет по адресу https://server.ru/APP1 то апач+плагин этот запрос проксируют на http://webshpere.lan:1111/APP1 <http://webshpere.lan:1234/APP1>, если запрос на https://server.ru/APP2, <https://server.ru/APP1> то проксируется http://webshpere.lan:2222/APP2 <http://webshpere.lan:1234/APP1> на  и так далее - несколько разных приложений.

Возможно ли такую же схему реализовать средствами nginx?




--
С уважением,
Бондарец Иван Григорьевич



 




Copyright © Lexa Software, 1996-2009.