Мегасогласен - это лучший на сегодня способ получить производительность и контроль над ресурсами. Но есть масса пользователей, которые в .htaccess имеют страшные конструкции типа php_flag и при переходе на FastCGI они, как известно, перестают работать :)
Нет ничего идеального - просто компромиссы разного уровня.
"Тормоза" itk заметны при большой посещаемости. Обычно на VDS такого не бывает, а с точки зрения удобства для клиента и снижения кол-во тикетов типа "я его загружаю, а оно не загружается" это вполне удобный и рабочий вариант.
А ТС и его magento я рекомендую перейти на сервис с большим кол-вом памяти, благо это сейчас недорого и вполне будет в бюджете.
tvds верно заметил, что обычно настройки стандартные, универсальные - для кого-то в самый раз, а другому нужно хотя бы mysqltuner прогнать. Поэтому не поскупитесь привлечь грамотного администратора, чтобы Вам он подкрутил настройки под выполняемые задачи. Многие хостеры это сделают для Вас бесплатно, благо это не занимает много времени.
Используем и одно, и второе. Для новой инсталляции стоит использовать VMmanager - он "правильнее" идеологически, современнее и гибче.
Но в любом случае - внимательно читайте документацию, да и на официальный форум к ispsystem стоит заглядывать.
p.s. Есть триальные версии - возьмите, погоняйте. Обычно недельки тестов хватает для того, чтобы сложилось впечатление.
Уважаемый andrey89,
Могу предложить несколько "несимметричный" вариант - взять недорогой выделенный сервер (тот же DS08, где 4гб памяти и 500гб диска), куда можно вполне установить бесплатный Proxmox VE или коммерческий VDSManager/VMManager. Мы делаем первоначальную установку данных систем и панелей для наших пользователей.
Несомненно, это эксплуатация потребует чуть больше внимания, чем просто реселлинг, но и возможностей данный вариант предоставит значительно больше.
С уважением,
Дмитрий
foxi, нет, это и близко не http. Это атаки, когда для генерации трафика используются промежуточные узлы с некорректно настроенным софтом (например, узлы с открытыми резолверами). Атаки подобного плана - огромная проблема на протяжении последних 6-8 месяцев.
Qwesaf, Вы правильно все поняли. В случае с udp вы можете контролировать трафик, который идет с Вашего узла в интернет. Входящий (из интернета к узлу) трафик будет приходить всегда, а с учетом легкой "подделки" отправителя либо атак типа DrDoS достаточно легко нанести ущерб.
Для того, чтобы соседям по VDS-ноде стало неуютно (а у хостера появились к вам претензии), достаточно утилизировать полосу от 100 до 500-600мбит/с любым способом - хоть с вашего ftp стягивать список файлов во много потоков. Подобный объем трафика подготовить - не проблема, поверьте, и без ботнета.
(если есть желание почитать об атаках типа DrDos - см. white paper от prolexic, познавательно об атаках с помощью принтсерверов :)
Коллеги,
poiuty и Den73 ведь верно сказали, что защита iptables от флуда бессмысленна. Давайте включим логику. VDS-нода в 99.9% случаев включена на скорости от 100мбит/с до 1гбит/с. Во времена активности больших ботнетов редкая атака udp была с полосой менее 3-5гбит/с, что гарантировано приводит к неприятным эффектам (как минимум - для доступности VDS-ноды и всех "соседей"). Так как udp и icmp являются протоколами, фактически, без контроля отправителя на стороне получателя, эти атаки обычно делаются со случайно сгенерированных ip-адресов и фильтровать нужно не на "получателе", а на бэкбоне.
Так что борьба с подобным флудом средствами iptables сродни попытке остановить снежную лавину саперной лопаткой. Попробовать можно, но результат, эээ, предсказуем :)
В случае udp-флуда noc в ДЦ обычно блокирует получателя на некоторое время (nullroute, blackhole) в автоматическом или ручном режиме. В ряде случаев можно обратиться в ДЦ, описать ситуацию и попросить ограничить полосу udp на указанный хост (либо полностью блокировать udp), поиграться с фильтрами по размеру пакета и так далее. Если атаки возможны часто, стоит обратиться к специализированным компаниям (тот же cloudflare).
К сожалению, да. Мы эту машинку храним больше как музейный экспонат, так как без жесткого напильника часть современного (читай - не дырявого) софта не такой старой ветке BSD уже просто не собирается.
p.s. А я еще помню FreeBSD 1.1.5.1 и BSDi 1.1 :)
Хочу оставить небольшой отзыв. Время от времени рекомендую нашим клиентам обратиться к коллегам из Secom для решения различных задач, с которыми мне и моим коллегам разбираться непрофильно (у нас своя специфика).
Ребята круглосуточно на связи. Дело свое знают. Рекомендую.
Коллеги верно все отметили и здорово, что у ТС все получилось.
Но вообще, лично мое мнение, FreeBSD настолько solid-rock, что про сервера с ней достаточно часто забывают :)
Вот, нашел один из наших:
Стоит и работает себе лет 10 :) Два слотовых(!) пентиума, если правильно помню:
RAID-контроллер такой, о котором более молодое поколение и не слышало:
Извините за оффтопик :)
