Re: [FRsAG] Protéger au mieux son serveur http

Fri, 06 Apr 2012 14:07:20 -0700 

Merci pour ces infos

Toujours fan de perl... je cherchais qlq chose qui remplace les MVC en php
( je ne supporte plus de coder en php c'est trop la misère... ) - Dancer a l'air bien a première vue 


je chercher un moyen de déporter le LB et le SSL sur un serveur en amont 
des serveurs applicatifs



Jusqu’à présent j'utilisais Openbsd avec ses fonctions de répartition de 
charge inclus dans PF



Deux firewall sous Openbsd + CARP ( un équivalent de cisco VRRP ) + PF + 
relayd et voila j'avais ma

haute dispo, et mon LB- mais pas de prise en charge du SSL.


Es ce que c'est une bonne idée d'ajouter la prise en charge du ssl sur 
les firewall ?



Vu que, même quand il y a du traffic ils dorment..; sinon il faut que je 
dédie un serveur pour la gestion du SSL


bye
Hugues.

Le 06/04/2012 22:44, Michel Blanc a écrit :

On 06/04/2012 15:25, Hugues wrote:

Bonjour
j'ai jamais testé HA Proxy mais j'en ai toujours entendu que du bien.

je suis en train de travailler avec Dancer http://perldancer.org/

dans la doc il propose de déployer les appli dancer avec Perlbal comme
load balancer

détails sur : https://metacpan.org/module/Dancer::Deployment#Using-perlbal

est ce que quelqu'un a déjà testé ça en prod ?

Bonsoir Hugues,

Non, et bien que (ex-) fan de perl (et sans connaitre tes besoins), je
te conseille vraiment HAProxy. C'est la rolls pour du LB http, tu peux
faire quasiment tout ce que tu veux : router vers les backends en
fonction d'en-têtes HTTP (parfait pour les virtualhosts), en fonction du
chemin (sympa pour renvoyer les assets statiques depuis un serveur
specifique), authentification, LB avec des poids, montée en charge
progressive des noeuds qui reviennent up, serveurs de backup, arrêt des
noeuds depuis l'interface web, etc..., j'en découvre encore tous les jours.
C'est vraiment un petit bijou. Par ailleurs, même si nous avons un
trafic modeste (50k-100k hits par jour), je ne l'ai jamais vu défaillir
(malgré la version tagguée -dev, (oui c'est mal, non pas la claque)).

Si tu as besoin de faire du SSL pour ton appli, un petit nginx par
dessus est bien pratique. HAProxy ne gère pas encore "vraiment" (mais
c'est en vue pour la 1.5), et peut juste forwarder du TCP dur le port
443. Dans tous ls cas, ça me parait mieux de terminer le SSL sur le LB
pour les soulager les backends et pour présenter un certificat valide.

A+

M

_______________________________________________
Liste de diffusion du FRsAG
http://www.frsag.org/




























					Répondre à