Сделать отказоустойчивость задача не простая.
Есть много решений для этого со своими плюсами и минусами.
Самый простой способ и весьма эффективный это балансировка с помощью ДНС.
В поисковике найдете много материалов по этой теме.
Round robin DNS
балансировка днс
Также можете делать балансировку с помощью nginx на несколько бэкендов.
Здесь это тема так же обсуждалась
/ru/forum/685836
Catprog, озвучьте силу атаки от которой хотите защититься. Сколько Мбит? Сколько пакетов в секунду?
Сколько рассчитываете тратить на защиту в месяц?
Я делаю следующее.
1) Устанавливаю анализатор логов access.log и коннектов netstat, который обнаруживает IP ддос ботов и заносит их в штатный фаервол iptables. Благодаря нескольким удачным алгоритмам удается обнаруживать IP ддос ботов в логах с низкой вероятностью ложных срабатываний.
Например, бан ботов начинается только при превышении суммарного количества запросов некоторого порога, то есть только во время ддос атаки.
2) В nginx задаю лимиты limit_zone и limit_req_zone для снижения нагрузки от быстрых ботов при начале атаки.
Пример.
limit_zone limz $binary_remote_addr 10m;
limit_conn limz 10;
limit_req_zone $binary_remote_addr zone=lphp:10m rate=1r/s;
limit_req zone=lphp burst=10 nodelay; # ставтся только в location / {
3) корректирую параметры стека tcp/ip для лучшей работы в условиях ддос.
echo '1'>/proc/sys/net/ipv4/tcp_syncookies
echo '2'>/proc/sys/net/ipv4/tcp_synack_retries
echo '60'>/proc/sys/net/ipv4/tcp_keepalive_time
echo '10'>/proc/sys/net/ipv4/tcp_keepalive_intvl
echo '2'>/proc/sys/net/ipv4/tcp_keepalive_probes
echo '60'>/proc/sys/net/ipv4/tcp_fin_timeout
4) Создаю правила фаервола, которые ограничивают количество входящих пакетов с одного IP.
iptables -I INPUT -p tcp --syn --dport 80 -m connlimit --connlimit-above 20 --connlimit-mask 24 -j DROP
iptables -I INPUT -p tcp --syn --dport 80 -m hashlimit --hashlimit-above 1/second --hashlimit-burst 20 --hashlimit-mode srcip --hashlimit-srcmask 24 --hashlimit-name blip -j DROP
Вывод WMR на привязанную карту Океан-банка.
Комиссия 1%
Лимит в сутки 300к
Лимит в месяц 600к
Здесь, наверное, будет выгоднее брать несколько серверов, чем один сервер с гигабитным каналом.
На одном сервере разместить лишь сам сайт, а на другие сервера перенести все картинки и статику.
Не знаю про какие 91 день идет речь.
По карте Связной-банк можно снять всю сумму в любой момент.
Снятие без комиссии в любом банкомате.
Сумму более 500 000 руб можно снять за раз в центральном офисе.
Проценты на остаток рассчитываются за каждый день.
Если сумма на карте более 10 000 руб. То в этот день на нее начисляется процент исходя из ставки 10% годовых.
Полезный бонус.
Любой человек может вам положить деньги на вашу карту без комиссии в любом магазине связной через терминал или кассу магазина. Для этого ему нужно сказать номер на штрихкоде карты.
Есть несколько банков, где дают высокие проценты не зависимо от срока вклада.
Вклад можно в любой момент пополнить, снять.
Банк-Т 10,5% годовых
Банк-навигатор 10,7% годовых (минимум месяц)
Связной банк 10% годовых.
Использую эти банки для вкладов, поэтому знаю.
Более высоких процентов при возможности вклада на срок до 1-2 месяца не видел.
Не получится на этом заработать.
За снятие кредитных денег берется около 4%.
600 руб стоит обслуживание карты.
У банков могут быть разные скрытые платежи и допусловия, о которых не говорится в рекламе, но они есть в договоре.
Банк не благотворительная организация.
Что за маски-шоу в Hetzner ?
Ссылку не дадите?
Мне было интересно, но вы и мне не ответили о причинах возникновения ошибки в конфиге, сославшись на то что из своей избы сор не выносите.
Представьте ситуацию.
Клиент обратился в сервисную службу. Остался не доволен работой сервиса. Написал публично претензию.
Какому сервису вы бы больше доверяли? В том в котором руководство сообщает о результатах проверки или тому, где результаты проверки руководством скрываются?
