Кластер через интернет — очень плохая идея, не смотря на то что можно меня gmcast.segment=, проблемы будут. Этого делать не стоит. Разве что у Вас нет своей собственной оптики между ДЦ.
Потери производительности безусловно есть, но в секундах они не измеряются точно, это мс. В процентах — не представляю как это вывести. Просто, считайте что сеть должна быть железобетонная и сервера одинаковые или близкие по конфигурации дисков и процессора, тогда потери будут минимальные.
Цикл статей как раз и рассказывает, как сделать ряд одинаковых серверов с унифицированными окружениями. И как обеспечить их высокую доступность за счет друг друга
Наш сервер на котором находится внешний адрес это просто хост-фаервол
файлы находятся на другом сервере куда проброшен порт 80
как не имея на файловом сервере ssh сервера вы сольете файлы через bash?
без ssh они не попадут на сервер, все личные данные под ssl обычно, у вас есть сведения что ssl легко расшифровать просто находясь в той же сети что и получатель ssl пакетов?
во первых как он попадет на сервер в принципе? нет портов по которым он мог бы подключиться
Во вторых, что он сможет сделать снифером? в серой сети нет никакого секретного трафика, пароли к mysql? mysql авторизует по имя%адрес?
утянуть файлы? как без ssh, ftp и прочего?
Мне кажется ваши опасания мягко говоря затянуты за уши
У вас есть два адреса: (допустим)
5.5.5.5 и 5.6.6.6
Ваш сайт мойсайт.рф находится на адресе 5.6.6.6
Злоумышленнык делает nmap адреса 5.6.6.6 и обнаруживает там лишь 80-ый и 443 порт, ни 22 и 21 и 53, 25,110 видны не будут
те он не может попасть на этот сервер
допустим это случилось и он это сделал, тогда он попадает на голую систему без ничего вообще
Ваши данные и службы находятся на других виртуальных машинах этого сервера, так же без SSH
Те единственный способ взломать ваш сервер это выйти из уровня изоляции ваших виртуальных машин, открытых багов на эту тему нет и нужно следить за своевремееным обновлением гипервизора
решение в этой статье помогает избежать подобного простоя, да возможно оно сложно в реализации. я постарался сделать пошаговую инструкцию с которой не должно возникнуть затруднений
если будет ddos и на обоих серверах будет висеть один и тот же адрес, работать при этом будет один
как только второй прийдет в себя, он пошлет garp запрос и получит ответ о том что этот адрес уже занят. Тогда он будет слать сообщение о том что он уже доступен и хочет принять мастера.
Как только это сообщение получит бекап сервер, то он опустит у себя бекапный адрес и его этот адрес возмет мастер
и столько раз сколько это будет нужно или в тот период который мы укажем в конфиге
я так понимаю, вы говорите о ситуации когда оба сервера отвечают что они владельцы этого адреса, но при этом не в состоянии обмениваться сообщениями по multicast
Коммутатор не должен позволить возникнуть такой ситуации
Вторая особенность такого запроса позволяет резервному файловому серверу заменить основной, послав самообращенный запрос со своим МАС-адресом, но с IP вышедшего из строя сервера. Этот запрос вызовет перенаправление кадров, адресованных основному серверу, на резервный. Клиенты сервера при этом могут и не знать о выходе основного сервера из строя. При этом возможны и неудачи, если программные реализации в ЭВМ не в полной мере следуют регламентациям протокола ARP.
Во-вторых, в случае смены сетевой карты производится корректировка записи в АRP-таблицах ЭВМ, которые содержали старый МАС-адрес инициатора. Машина, получающая ARP-запрос c адресом, который содержится в ее таблице, должна обновить эту запись.
innodb_file_per_table=1 нужен как минимум, для нормальной работы xtrabackup.
Потери производительности безусловно есть, но в секундах они не измеряются точно, это мс. В процентах — не представляю как это вывести. Просто, считайте что сеть должна быть железобетонная и сервера одинаковые или близкие по конфигурации дисков и процессора, тогда потери будут минимальные.
о том как обезопасить наши web приложения я напишу позже
но сразу скажу технология jailkit и suEXEC спасет мир
файлы находятся на другом сервере куда проброшен порт 80
как не имея на файловом сервере ssh сервера вы сольете файлы через bash?
Во вторых, что он сможет сделать снифером? в серой сети нет никакого секретного трафика, пароли к mysql? mysql авторизует по имя%адрес?
утянуть файлы? как без ssh, ftp и прочего?
Мне кажется ваши опасания мягко говоря затянуты за уши
5.5.5.5 и 5.6.6.6
Ваш сайт мойсайт.рф находится на адресе 5.6.6.6
Злоумышленнык делает nmap адреса 5.6.6.6 и обнаруживает там лишь 80-ый и 443 порт, ни 22 и 21 и 53, 25,110 видны не будут
те он не может попасть на этот сервер
допустим это случилось и он это сделал, тогда он попадает на голую систему без ничего вообще
Ваши данные и службы находятся на других виртуальных машинах этого сервера, так же без SSH
Те единственный способ взломать ваш сервер это выйти из уровня изоляции ваших виртуальных машин, открытых багов на эту тему нет и нужно следить за своевремееным обновлением гипервизора
как только второй прийдет в себя, он пошлет garp запрос и получит ответ о том что этот адрес уже занят. Тогда он будет слать сообщение о том что он уже доступен и хочет принять мастера.
Как только это сообщение получит бекап сервер, то он опустит у себя бекапный адрес и его этот адрес возмет мастер
и столько раз сколько это будет нужно или в тот период который мы укажем в конфиге
я так понимаю, вы говорите о ситуации когда оба сервера отвечают что они владельцы этого адреса, но при этом не в состоянии обмениваться сообщениями по multicast
Коммутатор не должен позволить возникнуть такой ситуации