Обычно в среднем по больнице я считаю среднюю нагрузку к пиковой как 1/4.
Но в морге, как известно, температура ниже чем в инфекционке.
ТС, тут все зависит от радиуса кривизны настройки вами DLE и особенно самописа.
Ориентировочно - на дешевом атоме у вас страницы будут генерироваться порядка 0,5 сек.
т.е. 2-4 страницы в секунду может отдавать.
4 * 3600 *12 = 170 тыс в сутки (с половинной загрузкой)
Если вы выпилите все лишнее и настроите добротно кеширование, уменьшив отклик до 0,1 сек -
посещаемость можно будет поднять еще в пять раз.
===
сначала запуститесь на чем-то, потом постарайтесь оценить чего и насколько вам не хватает,
и подумайте что будет дешевле - платить сотни долларов програмистам за допиливание оди раз, или десятки за аренду оборудования, но каждый месяц.
В общем мое предложение такое - я вам выделяю 1 сервер на постоянной основе, на нем строится нетбут, мониторинг и раздача заданий.
Остальные аппараты могут появляться и исчезать по мере моих необходимостей.
а командный сервер будет это добро координировать.
Технически вас такой вариант устраивает?
Ага, по писульке из органов, на предмет того что сайт вреден, ибо на нем есть текст "трава была хороша" блокируют аж бегом, ибо вред безмерен!
А при человеческом обращении "домен используется для организации 50 гигабитного ддос" очень крепко и долго думают, ибо пофигу в реальности.
Как вы себе представляете техподдержку от хостера (особенно по телефону) под вашей будущей торговой маркой?
Реселлинг изжил себя как схема полностью.
Техподдержка, разделение ответственности, реакция на абузы, учет ресурсов -
это не полный список граблей.
Либо берите VPS/дедик с панелью управления и начинайте там поселять и _поддерживать_ своих клиентов своими силами.
либо ищите хостинг с партнеркой.
Т.е. хостинг делает вам одноразовое или постоянніе отчисления, клиенты знают что они живут у хостера, а не у вас.
Несколько раз перечитал ваш ответ - и так и не понял, подходит ли вам предложение.
Нужен высокий аптайм, но уход сервера со связи не критичен - уточните что вы понимаете под словом аптайм?
У меня ваш ответ в голове не укладывается.
Утонение - эти 10 серверов должны иметь высокий аптайм и быть всегда доступны,
либо они получают пачку работы (типа да, рендеринг видео) и если они вдруг ушли со связи
с потерей данных или без - это не критично.
Я могу вам отдать резерв в своем хостинг-кластере, загрузка соответственно из сети.
Но если будет какой-то скачек нагрузки - я перегружу их под свои нужды.
В теории можно отстроить suspend to disk через сеть, но готового конфига у меня еще нет.
1230 от 1220 отличается наличием HT (+10-20% производительности в среднем.)
При этом 1230v3 шустрее 1230v2 на 10%.
Не уточните еще раз - а что именно вы ищете?
да уж, если обсуждалось что raid5 тут лишнее, то raid51 (исходя из 2(N+1)) и подавно.
Я бы не назвал 20 гигабит недодосом.
И по моему проблема в том что вы не понимаете то, что здесь обсуждается.
Хотя информации в сети куча, в том числе достаточно внятно на педивикии, опишу еще раз суть проблемы пошагово.
1. Невозможно подделать IP адрес для полноценного tcp соединения, т.к. злоумішленник не сможет корректно закончить рукопожатие.
Однако одиночные пакеты UDP или TCP syn, s/a пакеты можно отсылать с поддельным обратным адресом.
А ответы на эти пакеты пойдут в сторону, где этот адрес действительно расположен.
Эта часть называется спуфинг, и без нее атака реально не возможна.
2. Обратный адрес в пакете подделан, а прямой - это адрес усилителя. В него приходит пакет размером 30 байт,
а в ответ вылетает ответ на 600 байт.
Все уже слышали что усилителем является dns сервер с открытой рекурсией. Однако это далеко не единственный случай. Уже упомниал выше.
=============
Как от этого защититься? Да никак. Если к вам эти 20-50-100 гигабит уже прилетели. Если у вас есть договоренности по блекхол анонсам с апстримами - часть они отфильтруют. Но если под угрозой будет их транспорт - они просто перестанут принимать анонсы вашей сети целиком.
Как не допустить того, чтобы вы стали участником такой атаки?
==============
1. проверить и закрыть возможность спуфинга из вашей сети.
пошагово:
назначаете на интерфейс какую либо ip
ifconfig eth0:10 193.19.152.74/24
запускаете ping -I 193.19.152.74 <ip>
<ip> это ваш сосед по сети или роутер
На соседе запускаете tcpdump - и видите icmp запросы от 193.19.152.74.
на роутере запускаете tcpdump, либо смотрите через netflow либо.... тут много вариантов.
tcpdump -i ix1 -n dst 193.19.152.74
И видите что ваш роутер спокойно отправляет в мир ответные пакеты от "соседа" в сторону 193.19.152.74,
в реальный интернет.
А если ваш роутер позволяет выпустить пакет с поддельным обратным адресом в мир - это вообще подарок
для кулхацкера!
Как защищаться?
1. IP-MAC binding, либо соответствующие ACL на портах свича.
2. заблокировать arp на клиентских портах, все arp запросы обслуживает только роутер со статик-arp таблицей.
3. блокировать на роутере исходящий трафик не с ваших сетей явными правилами.
======
2. усилитель.
Усилителей есть очень много типов.
От одного из них (дающего 4-х кратное усиление) вы не избавитесь никак.
Но от клссического DNS amplification защититься можно:
1. просканировать все IP своей сети на предмет ответов на dns запрос о каком то внешнем домене.
Кто ответил - тому прописать люлей.
2. просканировать на вверенных вам dns серверах зоны на предмет txt записей размером с килобайт.
В панели управления по возможности ограничить возможность создания таких больих записей.
3. просканировать зоны на предмет 100 и более одинаковых записей.
Обычно
IN A
или
@ IN A
ограничить их количество в панели управления, по возможности.
4. Не баловаться с dnssec. Он сам по себе офигенный усилитель.
С Новым Годом, товарищи.
З.Ы. reg.ru так и не снял с делегирования GHMN.RU. DDoS атака в 50 гигабит с использованием их
домена на их NS-ах для них нифига не аргумент.
Вот кондомы...
