Powered by NGINX
1 мин
ВКонтакте — один из миллионов сервисов, которые используют NGINX. Open source технологии должны быть свободными.
Что на самом деле значит наезд Rambler Group на Nginx и к чему готовиться онлайн-индустрии
3 мин
В посте «Что значит наезд Rambler Group на Nginx и основателей и как это отразится на онлайн-индустрии» deniskin привёл четыре возможных последствия этой истории для российской интернет-индустрии:
Всё перечисленное — не последствия, а, скорее всего, причины атаки «Рамблера» на Nginx. Точнее, это описание условий, в которых уже существует российская онлайн-индустрия — условий, в которых атаки, подобные этой — не ошибка, не случайность, а закономерность.
Иными словами, пирог — в смысле мест в экономике, откуда ещё можно вытрясти денег — скукоживается всевозрастающими темпами, а разинутых ртов меньше не становится. Как следствие — борьба за каждый кусок обостряется.
Так что пытаться разбудить «Рамблер», чтобы сообщить, что ониобосрались не ведают, что творят, бесполезно — они не спят, и очень даже ведают.
Напугать их списком возможных последствий для онлайн-индустрии в России не получится, потому что это давно уже не гипотетическая возможность, а объективная реальность. И реальность эта уже не следствие, а причина разгоняющегося беспредела.
Отстоять Nginx и Игоря Сысоева, возможно, и получится. Как получилось, например, недавно отстоять Ивана Голунова. Но это частный, пусть и счастливый, случай. Устоявшейся практики фальсификации уголовных дел это никак не отменяет.
Так и исход атаки на Nginx и Сысоева, каким бы он ни был, условий, в которых она созрела и произошла, не изменит.
- Ухудшение инвестиционной привлекательности стартапов из России.
- Стартапы будут чаще инкорпорироваться не в России.
- В стремлении государства контролировать важный онлайн-бизнес больше нет никаких сомнений.
- Компрометация HR-бренда Rambler Group.
Всё перечисленное — не последствия, а, скорее всего, причины атаки «Рамблера» на Nginx. Точнее, это описание условий, в которых уже существует российская онлайн-индустрия — условий, в которых атаки, подобные этой — не ошибка, не случайность, а закономерность.
- Инвестиционный климат в России давно плохой;
- стартапы (и не только), если есть возможность, давно инкорпорируются не в России;
- в стремлении государства контролировать важный онлайн-бизнес давно нет никаких сомнений;
- бренд «Рамблера» давно скомпрометирован.
Иными словами, пирог — в смысле мест в экономике, откуда ещё можно вытрясти денег — скукоживается всевозрастающими темпами, а разинутых ртов меньше не становится. Как следствие — борьба за каждый кусок обостряется.
Так что пытаться разбудить «Рамблер», чтобы сообщить, что они
Напугать их списком возможных последствий для онлайн-индустрии в России не получится, потому что это давно уже не гипотетическая возможность, а объективная реальность. И реальность эта уже не следствие, а причина разгоняющегося беспредела.
Отстоять Nginx и Игоря Сысоева, возможно, и получится. Как получилось, например, недавно отстоять Ивана Голунова. Но это частный, пусть и счастливый, случай. Устоявшейся практики фальсификации уголовных дел это никак не отменяет.
Так и исход атаки на Nginx и Сысоева, каким бы он ни был, условий, в которых она созрела и произошла, не изменит.
[Обновление] Наших бьют, а мы будем молчать?
4 мин
Касательно обысков в офисе nginx и аресте Игоря Сысоева на хабре уже написано и сделан подробный разбор, я о том же, но с другой стороны...
Что же это делается, братцы? Вон оно как журналисты встали стеной за Голунова. А мы чем хуже?
Это же беспредел какой-то, или просто позор чистой воды. То ли берега попутали, то ли нам показывают, кто в доме хозяин. Бездари за копейку используют чужие таланты — мы к этому давно привыкли. Таланту много не надо, дай творить, ну и на поесть кроху.
Но теперь им и этого мало! Мяса им подавай, с кровью! Ведь, как повезло, у нас в стране много талантов, всех не зарубишь — народятся ещё, не сегодня, так завтра. Считай неисчерпаемый ресурс.
Что же это делается, братцы? Вон оно как журналисты встали стеной за Голунова. А мы чем хуже?
Это же беспредел какой-то, или просто позор чистой воды. То ли берега попутали, то ли нам показывают, кто в доме хозяин. Бездари за копейку используют чужие таланты — мы к этому давно привыкли. Таланту много не надо, дай творить, ну и на поесть кроху.
Но теперь им и этого мало! Мяса им подавай, с кровью! Ведь, как повезло, у нас в стране много талантов, всех не зарубишь — народятся ещё, не сегодня, так завтра. Считай неисчерпаемый ресурс.
Не благодаря, а вопреки!
Что значит наезд Rambler Group на Nginx и основателей и как это отразится на онлайн-индустрии
5 мин
Сегодня российский интернет буквально взорвался от новости об обысках в московском офисе Nginx — всемирно известной IT-компании с российскими корнями. Спустя 15 лет Rambler Group вдруг вспомнила, что бывший сотрудник компании программист Игорь Сысоев разработал популярное во всем мире программное обеспечение для управления веб-серверами. По разным данным Nginx установлено на трети всех мировых веб-серверов, а сама компания была продана в марте этого года американской F5 Networks за $670 млн.
[Обновлено в 10:52, 14.12.19] В офисе Nginx прошел обыск. Копейко: «Nginx был разработан Сысоевым самостоятельно»
7 мин
Другие материалы по теме:
Eng version
Что значит наезд на Nginx и как это отразится на индустрии — deniskin
Open source — наше всё. Позиция Яндекса по ситуации с Nginx — bobuk
Официальная позиция Программных комитетов Highload++ и других IT-конференций на претензии к Игорю Сысоеву — olegbunin
По информации от одного из сотрудников, в московском офисе опенсорс-разработчиков Nginx проводят обыски в рамках уголовного дела, истцом по которому выступает Рамблер (ниже официальный ответ пресс-службы компании по этому вопросу и подтверждение наличия претензий к Nginx). В качестве доказательств приводится фото постановления о производстве обыска в рамках уголовного дела, возбужденного 4 декабря 2019 года по статье 146 УК РФ «Нарушение авторских и смежных прав».
Фото постановления о производстве обыска
Как предполагается, истцом выступает компания Рамблер, а ответчиком пока «неустановленная группа лиц», а в перспективе — основатель Nginx Игорь Сысоев.
Суть претензии: Игорь начал работу над Nginx, будучи сотрудником Рамблера, а только после того, как инструмент стал популярен, основал отдельную компанию и привлек инвестиции.
Почему Рамблер вспомнил о своей «собственности» только спустя 15 лет — неясно.
Битва WEB-серверов. Часть 1 – оторванный от реальности HTTP:
3 мин
В этой статье мы попробуем себя в реверс-инжиниринге, можно сказать. Мы заглянем своими грязными руками под капот каждого из веб-серверов, эксплуатируя их так, как никто бы никогда не эксплуатировал.
Этот тест – замер сферического коня в вакууме, не более чем данные, которые были получены, и мы теперь не знаем, что с ними делать.
Этот тест – замер сферического коня в вакууме, не более чем данные, которые были получены, и мы теперь не знаем, что с ними делать.
Собираем логи из Nginx с помощью nginx-clickhouse, отправляем в Clickhouse и отображаем в Grafana
18 мин
Я из компании Luxoft. В этой статье будет рассматриваться проект nginx-clickhouse, который будет читать логи nginx, отправлять их в clickhouse. Для просмотра аналитики по логам есть дашборд для Grafana.
Nginx VTS Stats, Mockify — mock API, сравнение Wiremock и Mockify
4 мин
В этом посте я хотел сделать демо Nginx VTS + Prometheus + Grafana. Для демо необходимо было чтобы upstream могли выдавать разные http коды. Это могли сделать следующие проекты: Mockify, написанный на Golang, и WireMock, написанный на Java.
Небольшое оглавление
- установка и настройка Nginx VTS + Prometheus + Grafana;
- Mockify — легкое, конфигурируемое эмулирование API, написанное на Golang;
- Сравнение использования CPU для Mockify, написанный на Golang, и WireMock, написанный на Java.
Типовое внедрение мониторинга. Николай Сивко
12 мин
Расшифровка доклада "Типовое внедрение мониторинга" Николая Сивко.
Меня зовут Николай Сивко. Я тоже делаю мониторинг. Okmeter это 5 мониторинг, который я делаю. Я решил что я спасу всех людей от ада мониторинга и мы избавим кого-то от этих страданий. Я всегда в своих презентациях стараюсь не рекламировать окметер. Естественно картинки будут оттуда. Но идея того, что я хочу рассказать заключается в том что мы делаем мониторинг несколько другим подходом, чем все делают обычно. Мы очень много об этом рассказываем. Когда мы каждого конкретного человека пытаемся в этом убедить, в итоге он убеждается. Я хочу рассказать о нашем подходе именно для того чтобы, если вы будете делать мониторинг сами, чтобы вы избежали наших граблей.
Cборка динамических модулей для Nginx
8 мин
Недавно мы собирали динамический модуль для Nginx, а когда всё было уже готово, то выяснилось, что наш модуль оказался не совместимым с Nginx, который уже был установлен на сервере. Готового решения возникшей проблемы нам найти не удалось и мы начали бороться с ней самостоятельно. Мы потратили много времени, но получили новый опыт и, самое главное, работающее решение. Которым и хотелось бы поделиться.
Начнём с описания процесса сборки динамического модуля на примере https://github.com/vozlt/nginx-module-vts. А затем покажем какая возникает ошибка и что с ней делать.
Запускаем PHP-скриптики через php-fpm без web-сервера. Или свой FastCGI-клиент (под капотом)
12 мин
Приветствую всех читателей "Хабра".
Дисклеймер
Статья получилась довольно длинная и тем кто не хочет читать предысторию, а хочет перейти сразу к сути прошу прямиком к главе "Решение".
Вступление
В данной статье хотелось бы рассказать о решении довольно нестандартной задачи, с которой пришлось столкнуться во время рабочего процесса. А именно, нам понадобилось запускать в цикле кучу php скриптов. О причинах и о спорности подобного архитектурного решения в данной статье распространяться не буду, т.к. собственно она и не про это вовсе, просто была задача, ее нужно было решить и решение показалось мне достаточно интересным чтобы им поделиться с Вами, тем более манов по данному вопросу в интернете я не нашел совсем (ну разумеется кроме официальных спецификаций). Спеки конечно это хорошо и в них конечно все есть, но думаю вы согласитесь, что если вы не особо знакомы с темой, да и еще и ограничены по времени то разбираться в них то еще удовольствие.
Почему надо создавать модули для nginx
15 мин
Nginx — это веб-сервер, который решает десятки бизнес-задач, гибко настраивается, масштабируется и работает почти на всех ОС и платформах. Список функций, возможностей и решаемых проблем из коробки можно расписать в небольшой брошюре. Но порой, ряд бизнес-задач можно решить, только разработав собственные модули для nginx. Это модули, которые ориентированы на бизнес и содержат некоторую бизнес-логику, а не только обобщенное системное решение.
Вообще все в nginx — это модули, которые когда-то кем-то были написаны. Поэтому писать модули под nginx не только можно, но и нужно. Когда это необходимо делать и зачем, расскажет Василий Сошников (dedokOne) на примере нескольких кейсов.
Поговорим о причинах, которые побуждают писать модули на C, об архитектуре и ядре nginx, анатомии HTTP-модулей, о C-модулях, NJS, Lua и nginx.conf. Это важно знать не только тем, кто разрабатывает под nginx, но также тем, кто использует nginx-конфиги, Lua или другой язык внутри nginx.
Примечание: статья написана на основе доклада Василия Сошникова. Доклад постоянно модернизируется и обновляется. Информация в материале довольно техническая и, чтобы извлечь максимум пользы, читателям необходимо иметь опыт работы с кодом nginx на среднем уровне и выше.
Вообще все в nginx — это модули, которые когда-то кем-то были написаны. Поэтому писать модули под nginx не только можно, но и нужно. Когда это необходимо делать и зачем, расскажет Василий Сошников (dedokOne) на примере нескольких кейсов.
Поговорим о причинах, которые побуждают писать модули на C, об архитектуре и ядре nginx, анатомии HTTP-модулей, о C-модулях, NJS, Lua и nginx.conf. Это важно знать не только тем, кто разрабатывает под nginx, но также тем, кто использует nginx-конфиги, Lua или другой язык внутри nginx.
Примечание: статья написана на основе доклада Василия Сошникова. Доклад постоянно модернизируется и обновляется. Информация в материале довольно техническая и, чтобы извлечь максимум пользы, читателям необходимо иметь опыт работы с кодом nginx на среднем уровне и выше.
Ближайшие события
Миграция с Nginx на Envoy Proxy
10 мин
Перевод
Привет, Хабр! Предлагаю вашему вниманию перевод поста: Миграция с Nginx на Envoy Proxy.
Envoy — это высокопроизводительный распределенный прокси-сервер (написанный на C++), предназначенный для отдельных сервисов и приложений, также это коммуникационная шина и «universal data plane», разработанный для больших микросервисных архитектур «service mesh». При его создании были учтены решения проблем, которые возникали при разработке таких серверов, как NGINX, HAProxy, аппаратных балансировщиков нагрузки и облачных балансировщиков нагрузки. Envoy работает вместе с каждым приложением и абстрагирует сеть, предоставляя общие функции независимо от платформы. Когда весь служебный трафик в инфраструктуре проходит через сетку Envoy, становится легко визуализировать проблемные области с помощью согласованной наблюдаемости, настройки общей производительности и добавления основных функций в определённом месте.
Возможности
- Архитектура вне процесса: envoy — это автономный, высокопроизводительный сервер занимающий небольшой объем оперативной памяти. Он работает совместно с любым языком приложения или фреймворком.
- Поддержка http/2 и grpc: envoy имеет первоклассную поддержку http/2 и grpc для входящих и исходящих соединений. Это прозрачный прокси от http/1.1 до http/2.
- Расширенная балансировка нагрузки: envoy поддерживает расширенные функции балансировки нагрузки, включая автоматические повторные попытки, разрыв цепи, глобальное ограничение скорости, затенение запросов, локальную балансировку нагрузки зоны и т. д.
- API для управления конфигурацией: envoy предоставляет надежный API для динамического управления своей конфигурацией.
- Наблюдаемость: глубокая наблюдаемость трафика L7, встроенная поддержка распределенной трассировки и наблюдаемость mongodb, dynamodb и многих других приложений.
Когда 'a' не равно 'а'. По следам одного взлома
6 мин
Пренеприятнейшая история случилась с одним моим знакомым. Но насколько она оказалась неприятной для Михаила, настолько же занимательной для меня.
Надо сказать, что приятель мой вполне себе UNIX-пользователь: может сам поставить систему, установить mysql, php и сделать простейшие настройки nginx.
И есть у него десяток-полтора сайтов посвященных строительным инструментам.
Один из таких сайтов, посвященный бензопилам, плотненько сидит в ТОПe поисковиков. Сайт этот — некоммерческий обзорник, но кому-то поперек горла и повадились его атаковать. То DDoS, то брутфорс, то комменты напишут непотребные и шлют абузы на хостинг и в РКН.
Неожиданно всё стихло и это затишье оказалось не к добру, а сайт начал постепенно покидать верхние строчки выдачи.
То была присказка, дальше сама админская байка.
Время близилось ко сну когда раздался звонок телефона: «Сань, ты не глянешь мой сервер? Мне кажется меня хакнули, доказать не могу, но ощущение не покидает уже третью неделю. Может мне просто пора лечиться от паранойи?»
Надо сказать, что приятель мой вполне себе UNIX-пользователь: может сам поставить систему, установить mysql, php и сделать простейшие настройки nginx.
И есть у него десяток-полтора сайтов посвященных строительным инструментам.
Один из таких сайтов, посвященный бензопилам, плотненько сидит в ТОПe поисковиков. Сайт этот — некоммерческий обзорник, но кому-то поперек горла и повадились его атаковать. То DDoS, то брутфорс, то комменты напишут непотребные и шлют абузы на хостинг и в РКН.
Неожиданно всё стихло и это затишье оказалось не к добру, а сайт начал постепенно покидать верхние строчки выдачи.
То была присказка, дальше сама админская байка.
Время близилось ко сну когда раздался звонок телефона: «Сань, ты не глянешь мой сервер? Мне кажется меня хакнули, доказать не могу, но ощущение не покидает уже третью неделю. Может мне просто пора лечиться от паранойи?»
Комфортный DevOpsSec: Nemesida WAF Free для NGINX с API и личным кабинетом
3 мин
Nemesida WAF Free — бесплатная версия Nemesida WAF, обеспечивающая базовую защиту веб-приложения от атак класса OWASP на основе сигнатурного анализа. Nemesida WAF Free имеет собственную базу сигнатур, выявляет атаки на веб-приложения при минимальном количестве ложных срабатываний, обновляется из Linux-репозитория, устанавливается и настраивается за несколько минут, не требует компиляции и может быть подключена к уже установленному NGINX версии 1.12.2 или выше.
Что может произойти, если не следить за безопасностью и не использовать WAF
Некоторое время назад мы анонсировали поддержку Nemesida WAF Free для NGINX Mainline и Plus версий (раньше поддерживалась только Stable ветка). Решив на этом не останавливаться, мы добавили во Free-версию функционал отправки выявленных атак в личный кабинет.
Как Badoo добился возможности отдавать 200k фото в секунду
12 мин
Современный веб практически немыслим без медиаконтента: смартфоны есть практически у каждой нашей бабушки, все сидят в соцсетях, и простои в обслуживании дорого обходятся компаниям. Вашему вниманию расшифровка рассказа компании Badoo о том, как она организовала отдачу фотографий с помощью аппаратного решения, с какими проблемами производительности столкнулась в процессе, чем они были вызваны, ну и как эти проблемы были решены с помощью софтового решения на основе Nginx, обеспечив при этом отказоустойчивость на всех уровнях (видео). Благодарим авторов рассказа Олега Sannis Ефимова и Александра Дымова, которые поделились своим опытом на конференции Uptime day 4.
— Начнем с небольшого введения о том, как мы храним и кэшируем фотографии. У нас есть слой, на котором мы их храним, и слой, где мы фотографии кэшируем. При этом, если мы хотим добиваться большого хитрейта и снижать нагрузку на стораджи, нам важно, чтобы каждая фотография отдельного пользователя лежала на одном кэширующем сервере. Иначе нам пришлось бы ставить во столько раз больше дисков, во сколько у нас больше серверов. Хитрейт у нас в районе 99%, то есть мы в 100 раз снижаем нагрузку на наши storage, и для того, чтобы это сделать, еще 10 лет назад, когда все это строилось, у нас было 50 серверов. Соответственно, для того, чтобы эти фотографии отдавать, нам нужно было по сути 50 внешних доменов, которые эти серверы обслуживают.
Естественно, сразу встал вопрос: а если у нас один сервер упадет, будет недоступен, какую часть трафика мы теряем? Мы посмотрели, что есть на рынке, и решили купить железку, чтобы она решила все наши проблемы. Выбор пал на решение компании F5-network (которая, кстати, не так давно купила NGINX, Inc): BIG-IP Local Traffic Manager.
Собственный сервер Commento с Docker Compose
9 мин
Перевод
Апдейт (2023): Проект Commento заброшен и больше не развивается. Я настоятельно рекомендую переходить на Comentario — мой форк, в котором переработано почти всё.
Примечание: это перевод моего поста (англ.), описывающий реализацию сервера комментариев, используемую на том же сайте, где находится оригинал.
TL;DR-версия: я разработал конфигурацию Commento-сервера, которая легко и просто развёртывается в полуавтоматическом режиме. Скопируйте себе этот репозиторий с GitHub и следуйте инструкциям в README.
Некоторое время назад мне неудержимо захотелось сменить Disqus — который является, пожалуй, самой распространённой системой для добавления комментариев к страницам — на свободный и открытый Commento.
Почему именно Commento?
Проблема Disqus, как и многих других «бесплатных» продуктов, в том, что продуктом в данном случае является пользователь — то есть вы. Помимо этого, Disqus «обогащает» каждую страницу, где он используется, мегабайтами скриптов и более чем сотней дополнительных HTTP-запросов.
Плюс к этому, бесплатная его версия показывает рекламу, от которой можно откупиться «всего лишь» за 9 долларов в месяц (план Plus). Уже только этого достаточно, чтобы захотелось найти что-нибудь получше.
В какой-то момент я наткнулся на этот пост и узнал о существовании свободного сервера комментариев под названием Commento. По счастливому совпадению, Commento как раз не так давно стал полностью открытым — раньше он выпускался в двух вариантах, бесплатном Community и коммерческом Enterprise. Спасибо его разработчику Adhityaa Chandrasekar.
Раздаем файлы с Google Drive посредством nginx
4 мин
Предыстория
Так уж случилось, что нужно мне было где-то хранить более 1.5тб данных, да еще и обеспечить возможность скачивания их обычными пользователями по прямой ссылке. Поскольку традиционно такие объемы памяти идут уже на VDS, стоимость аренды которых не слишком вкладывается в бюджет проекта из категории «от нечего делать», а из исходных данных у меня был VPS 400GB SSD, куда при всем желании 1.5тб картинок без lossless сжатия поместить не удастся.
Новый билд Nemesida WAF Free для NGINX
3 мин
В прошлом году мы выпустили Nemesida WAF Free — динамический модуль для NGINX, блокирующий атаки на веб-приложения. В отличие от коммерческой версии, основанной на работе машинного обучения, бесплатная версия анализирует запросы только сигнатурным методом.
Особенности релиза Nemesida WAF 4.0.129
До текущего релиза динамический модуль Nemesida WAF поддерживал только Nginx Stable 1.12, 1.14 и 1.16. В новом релизе добавлена поддержка Nginx Mainline, начиная с 1.17, и Nginx Plus, начиная с 1.15.10 (R18).