Виртуальный IP или Выравнивание нагрузки для http/mysql кластер
При установке большого количества отказов от различных IP-адресов сервер является целью распределенной атаки перебором. некоторые ключевые пункты:
- если бы Вы работали, ssh на порте кроме 22 этих нападений никогда не предназначался бы для Вас
- выполнение чего-то как denyhosts обычно не будет помогать вообще, потому что нападения как они настраиваются, чтобы иметь достаточно низкое количество попыток на IP - последнее нападение как это, я видел, использовал несколько тысяч дюйм/с
Так, ступает в обеспечение Вашего сервера SSH:
- Измените порт. Каждое автоматизированное нападение только сканирует порт 22. Если Вы выполняете ssh на порте 22, и Вы начинаете видеть отказы входа в систему, это просто означает, что Вы были забраны в порте 22 развертки в какой-то момент. Если Вы выполняете ssh на порте 12501, и Вы начинаете видеть отказы входа в систему, у Вас есть намного большие проблемы. Если все остальное перестало работать, не имея порта, 22 открытых препятствуют тому, чтобы Вы были легкой целью.
- Блокируйте доступ к ssh порту отовсюду, но Вашей сети. Если у Вас нет статического IP, то установите knockd или VPN, чтобы позволить Вам соединяться отовсюду. Установка knockd значительно более проста, чем установка VPN.
Требование основанной на ключе аутентификации действительно не защищает ssh сервер, это защищает аутентификацию. Если Вы только полагаетесь на основанную на ключе аутентификацию для обеспечения сервера, Вы открываете себя до любого потенциального использования против openssh. Если использование 0day было выпущено против openssh, и Вы выполняете ssh на порте 22 и полагаетесь на ключи для "защищения" сервера, это будет взломано в течение часов.
Намного лучшая практика даже не должна позволять людям соединяться с ssh сервером во-первых.
Да, это определенно возможно.
Основная проблема, которую Вы собираетесь иметь, решает, как установить mysql серверы. Если они находятся в основном/основном режиме репликации, означая, что любой сервер может взять записи, то то решение прекрасно. Но основная/основная репликация является редкой, и более вероятно, что они - установка в основной/ведомой ситуации, означая, что записи могут только goto основная база данных. Вы могли установить подсистему балансировки нагрузки перед ними, если Вы уверены, что эта подсистема балансировки нагрузки будет только использоваться для ЧТЕНИЙ.
Можно все еще установить подсистему балансировки нагрузки перед двумя для записей, но это должно будет быть достаточно интеллектуально к всегда goto основная база данных пока ее здоровое, и только перестать работать к ведомой базе данных, если ведущее устройство спускается. В этой точке Вам нужно ручное вмешательство для фиксации вещей, так как старый мастер не будет получать новых записей.
Установка этого типа системы нетривиальна, особенно обрабатывая случай когда эталонные матрицы.Удачи.
Несколько Вопросов делают Вы хотите, это, чтобы быть загрузкой сбалансировало причину, если у Вас есть 4 машины 2apache и 2 mysql, Вы настраиваетесь сбой по установке, таким образом, что, если один сервер понижается, он будет использовать другой сервер. И к achive это можно использовать HeartBeat http://www.linuxjournal.com/article/5862
ЕСЛИ у Вас есть высокая загрузка Вы, maby имеют 3 узла с apache/mysql все копируемые и преобразовывают 1 из поля в dedeicated подсистему балансировки нагрузки.
Самый надежный набор является 2 подсистемами балансировки нагрузки 3 апачских сервера 1 сильный mysql сервер и 1 резервное копирование посредством сердцебиения
больше читать
мне действительно понравилось руководство по штамповочному прессу с практическими рекомендациями
http://www.howtoforge.com/high_availability_loadbalanced_apache_cluster
Учитывая Ваши физические ограничения, Вы действительно могли установить 2 хоста подсистемы балансировки нагрузки и 2 сервера Apache/MySQL. MySQL должен был бы быть в Основной/Основной конфигурации, но это должно быть возможно. Это не даст Вам высокую эффективность на стороне приложения, но действительно дает высокую доступность (предполагающий, что загрузка не слишком высока),