Bu mhath leam cuid de bheachdan a cho-roinn mu cho riatanach no neo-riatanach a tha ann an leithid de rud mar phannal smachd airson pròiseact lìn aon-fhrithealaiche malairteach le rianadair fìor phàirt-ùine. Thòisich an sgeulachd o chionn bliadhna no dhà, nuair a dh’ iarr caraidean charaidean orm cuideachadh le bhith a’ ceannach gnìomhachas - làrach naidheachdan - bho shealladh teignigeach. Bha e riatanach beagan a sgrùdadh a-steach do na bha ag obair air dè, dèanamh cinnteach gu robh a h-uile mion-fhiosrachadh riatanach air a ghluasad ann an cruth agus meud ceart, agus gu ro-innleachdail obrachadh a-mach dè a ghabhadh leasachadh.
Chaidh an aonta a chrìochnachadh, cha robh feum air an fhìdhlear tuilleadh. Crìochnaich. Chan eil idir.
Bha an làrach a’ ruith air VM 4-GB dà-chridhe air Linode, air cuid de chòinneach Debian5 le ùrachadh de làithean 400 agus leithid de liosta de phasganan gun ùrachadh. Pàirt lìn air CMS fèin-sgrìobhte, nginx, php5.3 FPM, Percona air a ghleusadh le mysql. Ann am prionnsabal, dh'obraich e.
Ann an co-shìnte ri còmhraidhean leam, bha an sealbhadair ùr a 'coimhead airson prògramadair gus am pròiseact a thoirt gu dùil. Fhuaras. Rinn am prògramadair measadh air an trafaig agus na h-àireamhan agus cho-dhùin e gu robh fios aige mar a dhèanadh e an stiùireadh as fheàrr agus a chosgadh e. Rinn e imrich air an làrach gu lèir gu aoigheachd co-roinnte 700-ruble air a riaghladh leis an IS****er àbhaisteach aige. Beagan làithean às deidh sin thàinig fios eile bhon t-sealbhadair: “tha a h-uile dad slaodach agus tha e coltach gu bheil sinn briste.” Dh'fheuch mi ris an t-suidheachadh a cheartachadh tron phannal, ach an dèidh beagan ùine de dh'oidhirpean gun fheum gus an tionndadh PHP no an inneal-làimhseachaidh atharrachadh bho fcgi gu fpm, thug mi seachad agus chaidh mi a-steach don t-slige. An sin lorg mi deasbaid comasach a bha a’ deàrrsadh air an eadar-lìn gu lèir leis am facal-faire bhon fhèith, 777 air cuid de phasganan a bha ron àm sin a’ sgàineadh le malware agus neòinean coltach ris. Thuig an sealbhadair agus cho-dhùin e gu robh e ceàrr sàbhaladh air aoigheachd, prògramadair, agus rianadair a b’ urrainn sùil a chumail air mar a bha cùisean a ’dol.
Tha sinn a’ dol gu RuVDS. Beagan nas fhaisge na Linode Bhreatainn, agus ma tha thu gu h-obann airson dàta pearsanta a stòradh agus a h-uile càil seo, cha bhith agad ri gluasad an àite sam bith eile. Bhon a bhathas an dùil am pròiseact a leudachadh, ghabh sinn VM airson fàs: 4 cores, 8 gigabytes de chuimhne, 80GB de diosc. Chan e nach eil fios agam ciamar a nì mi rèiteachadh nginx le làimh, cha robh an dealas agam a bhith ag obair air a’ phròiseact seo cho dlùth (faic gu h-àrd mu dheidhinn pàirt-ùine). Sin as coireach gun do chuir mi a-steach Plesk (an seo fàgaidh mi mion-fhiosrachadh an stàlaidh, oir gu ìre mhòr chan eil gin ann: chuir mi air bhog an stàlaichear, shuidhich mi am facal-faire airson an rianaire, chuir mi a-steach an iuchair - sin e), aig an àm sin b’ e 17.0 a bh ’ann. Bidh suidheachaidhean bunaiteach ag obair gu fulangach a-mach às a’ bhogsa, tha fail2ban ann agus na dreachan as ùire a tha rim faighinn de PHP agus nginx.
Is dòcha gum b’ fhiach stad agus mìneachadh carson. Leis gur ann ainneamh a bhios mi a ’dèanamh rudan mar seo, agus nach eil innealan sònraichte no seata ullachaidh agam airson gach cùis, bha e soilleir gu robh feum air seòrsa de dh’ fèin-ghluasad de rudan bunaiteach, gus an robh an toiseach, gu sgiobalta, san dàrna àite, gu sàbhailte, agus san treas àite. , na cleachdaidhean as fheàrr a tha cuideigin air a chuir an gnìomh mu thràth.
Mar sin, chuir mi a-steach e. Shàbhail mi tòrr ùine, cha mhòr sa bhad ath-thòiseachadh an làrach air frithealaiche ùr. Cha robh air fhàgail ach a bhith a’ deasachadh na fèithe config, a’ toirt leth na cuimhne dha agus a’ meudachadh na h-àireimh de amaran bufair, agus a’ toirt leth nan coraichean dha nginx (chan eil Plesk a’ suathadh ri configs cruinneil), agus airson latha no dhà a’ dol a-steach don t-slige airson coimhead. aig na stats mysqltuner. Tha, agus cheannaich mi an ImunifyAV pàighte bhon chatalog leudachaidh gus faighinn cuidhteas an malware fo thuil. Chaidh timcheall air 11000 faidhle le galair a lorg. Is e an gràinealachd gun deach pìosan de chòd a dhòrtadh a-steach do na stats, agus gum biodh e gu tur gann a ghlanadh le làimh. An toiseach dh’ fheuch mi ClamAV, ach, mar a thionndaidh e a-mach, chan eil e a’ gabhail rudan mar sin, ach dh’ fhaodadh ImunifyAV. A bharrachd air an sin, tha na faidhlichean dì-ghalaichte fhathast ann an staid obrach; tha am pìos leis an malware dìreach air a dhubhadh às.
Tha an àireamhachd sìmplidh: $ 50 gach mìos airson VMka, $ 10 airson Plesk (gu dearbh nas lugha, oir cheannaich thu e airson bliadhna aig an aon àm le lasachadh dà mhìos) agus $ 3 airson antivirus. No tòrr airgid airson na h-ùine agam, a bhithinn air a chosg air an fhrithealaiche an toiseach, a’ ràcadh nan stàballan sin le làimh. Bha an sealbhadair gu math toilichte leis an rèiteachadh seo.
Anns an eadar-ama, lorg iad prògramadair ùr. Dh’ aontaich sinn leis mu sgaoileadh uallach, chruthaich sinn fo-àrainn airson an dreach deuchainn, agus thòisich an obair. Bha e a 'gearradh dreach ùr den làrach air Laravel, agus bha mi a' coimhead air fail2ban%).
Gu inntinneach, chan eil an sruth de dhaoine neònach a’ stad agus tha an-còmhnaidh timcheall air ceud seòladh air an liosta de dhaoine toirmisgte. Tha a’ bhuaidh inntinneach: gu sònraichte, mar as trice, ma logas mi a-steach do shlige, chì mi mu oidhirpean neo-shoirbheachail 20000-30000 airson logadh a-steach tro SSH aig an fhàilte. Le fail2ban air a chomasachadh, mu 70. Oidhirpean air an cur an seilbh: 0. Gu mì-fhortanach, cha b' ann às aonais boinne de dh'ola. Gu gnàthach, bha WAF (modsecurity) leth-chomasach: ann am modh lorg. Is e sin, sgrìobh e gnìomhachd amharasach don log, ach cha do rinn e gnìomh sam bith. Agus leugh fail2ban gu neo-làthaireach na logaichean uile, a rèir nam prìosan comasach, agus mharbh e gach nì a ghluais. Mar sin, chuir sinn casg air leth an luchd-deasachaidh :D. B’ fheudar dhomh am prìosan seo a chuir dheth, agus na seòlaidhean IP riatanach a liostadh airson earbsachd. Tha oidhirpean gan cur an seilbh: brùth an luchag dà uair agus ionnsaich don luchd-deasachaidh an seòladh IP agad innse dhut.
Is e an rud a chòrd ris a’ phrògramadair sa bhad an comas stòran-dàta a luchdachadh suas gu dìreach chun phannal agus ruigsinneachd luath gu phpMyAdmin
Is e an rud a chòrd rium na logaichean agus na cùl-taic. Tha logaichean air an sgrìobhadh agus air an cuairteachadh a-mach às a’ bhogsa; Tha cùl-taic gu math furasta a stèidheachadh. Aig na h-amannan as slaodaiche, thèid cùl-taic slàn a dhèanamh, timcheall air 10 gigs, agus an uairsin aon mean air mhean, 200 megabytes gach latha, airson seachdain. Tha ath-bheothachadh granular, sìos gu faidhle no stòr-dàta sònraichte. Ma dh'fheumas tu a thoirt air ais bho ìre mean air mhean, cha leig thu leas dragh a chuir air an toiseach le làn agus ath-nuadhachadh an t-sreath gu lèir, bidh Plesk a 'dèanamh a h-uile càil fhèin. Faodaidh tu cùl-taic a luchdachadh suas an àite sam bith: gu FTP, dropbox, s3 bucaid, google drive, msaa.
Latha F: chuir am prògramadair crìoch air an einnsean ùr mu dheireadh, chuir sinn suas e gu cinneasachadh, thug sinn a-steach seann dàta agus shuidh sinn sìos gus dath ar Maserati san àm ri teachd a thaghadh. Tha sinn fhathast a 'suidhe agus a' taghadh.
Thòisich a 'chiad dhuilgheadasan. Bha dùil gum biodh an làrach ùr nas truime na an t-seann fhear, ach b’ e an fhìor ràcan a bha iad a’ cleachdadh airson trafaic a thàladh, am measg rudan eile, Yandex.Zen, a thug a-steach mòran luchd-tadhail. Thuit an làrach le 150 ceangal aig an aon àm (chan eil mi a’ bruidhinn mu RPS, oir cha do thomhais iad e). Thòisich sinn a’ putadh phutanan agus a’ tionndadh snaidhmeannan ann an raon nan roghainnean php_fpm:
Hey, tha 500 ceangal aige mu thràth. Mar a chaidh cairtean creideis a chur ris na dòighean adhartachaidh, dh'fhàs na tonnan trafaic na bu mhotha. Is e an ath chlach-mhìle 1000 ceangal aig an aon àm. An seo dh'fheumadh sinn an còd ath-sgeadachadh agus coimhead a-steach do anam na fèithe. Cha do chuidich an frasadh, ach cha robh sinn an dùil ris. Leig sinn le log cheistean slaodach, chuir sinn clàran-amais ris an stòr-dàta, thug sinn air falbh ceistean neo-riatanach bhon chòd, agus a-rithist ghlan sinn an rèiteachadh mysql a rèir comhairle mysqltuner.
Dùbhlan ùr - 2000 ceangal. Chaidh an dreach de Plesk 17.8 dìreach a leigeil ma sgaoil, anns an deach, am measg rudan eile, caching nginx a chuir ris. Air ùrachadh (gu h-iongantach furasta). Feuch sinn. Ag obair! Agus an uairsin rinn iad ceum air an taobh bhog, stad am biadhadh Yandex.Zen ag obair. Tha an làrach ag obair, chan eil am biadhadh ag obair. Chan eil am biadhadh ag obair, chan eil trafaic ann. Tha an t-àile a 'teasachadh suas. Fo chuideam bho shuidheachadh agus bho dìth mac-meanmna, chaidh mi sa bhad gu strace and nginx agus lorg mi na bha mi a’ sireadh. Tha e a’ tionndadh a-mach gun do thaisg nginx gòrach aig àm air choreigin an 500mh mearachd air seachran mar fhreagairt do Yandex get feed.xml. Chàirich sinn e le bhith a’ cur eisgeachdan ris na roghainnean tasgadan:
Tha e soilleir gu bheil feum aig an neach-seilbh TUILLEADH, tha na tonnan a 'meudachadh gu slaodach. Tha sinn a’ dèiligeadh airson a-nis, ach thòisich sinn a’ feuchainn le memcached ro-làimh, gu fortanach tha Laravel a’ toirt taic dha cha mhòr a-mach às a’ bhogsa. Ann an dòigh air choreigin cha robh mi airson memcached a chuir a-steach le làimh dìreach airson “cluich timcheall”, agus mar sin chuir mi a-steach ìomhaigh docker. Dìreach bhon phannal.
Uill, ceart gu leòr, tha mi nam laighe, bha agam ri dhol a-steach don t-slige agus am modal a chuir a-steach tro pecl. Dìreach air adhart . Chan eil dad ri ràdh mun àrdachadh ann an teachd-a-steach fhathast; chan eil sruthadh a-steach mòr gu leòr air a bhith ann. Tha einnsean na làraich ceangailte ri localhost: 11211, tha stats air an sealltainn, tha cuimhne ga chaitheamh. Mas toil leat e, chì sinn dè an ath rud a nì thu. An dàrna cuid fàgaidh sinn e mar sin, no cuiridh sinn am fear “fìor” ceart san Ais. No feuch sinn redis san aon dòigh
An uairsin bha e riatanach liosta puist a cheangal. Gun ath-chraolaidhean, dìreach dearbhadh smtp. Stèidhich mi seòladh puist agus cleachdaidh mi am mion-fhiosrachadh gus cuairt-litir a chuir a-mach tro PHP.
O chionn ghoirid chaidh Plesk Obsidian (18.0) a leigeil ma sgaoil, dh’ ùraich sinn stèidhichte air eòlas san àm a dh’ fhalbh gun eagal. Chaidh a h-uile càil gu math rèidh, cha robh eadhon dad ann airson bruidhinn. Is e an rud tlachdmhor gu bheil càileachd an eadar-aghaidh air leasachadh gu mòr, tha e air fàs nas ùire agus air fàs nas goireasaiche ann an cuid de dh'àiteachan. Deagh rud Sgrùdadh adhartach air Grafana.
Cha do dhèilig mi ris gu mionaideach fhathast, ach faodaidh tu, mar eisimpleir, rabhaidhean a chuir air dòigh airson paramadair sam bith sa phost-d agad. Don t-sealbhadair, lol.
Fhad ‘s a tha mi a’ bruidhinn mun eadar-aghaidh, tha e freagairteach agus ag obair gu math air a ’fòn. Anns na tràth ìrean, fhad ‘s a bha sinn a’ feuchainn ris na roghainnean as fheàrr a lorg airson PHP agus rudan eile, chuidich seo gu mòr. Agus gu h-àraidh nuair a bhios prògramadair, ann an deagh dhùrachd obrach, a 'dèanamh rudeigin aig 23:XNUMX, agus tha mi, ann an deagh dhùrachd obrach, ag òl bhodka anns an taigh-ionnlaid, agus feumaidh mi gu h-èiginneach rudeigin atharrachadh.
O, leis an t-slighe. Tha an dealbh a’ sealltainn gu bheil PHP Composer air nochdadh. Chan eil sinn air cluich leis fhathast, ach, can, airson Laravel, faodaidh e logadh a-steach no dhà a shàbhaladh agus beagan ùine air eisimeileachd a chuir a-steach. Tha an aon siostam ann airson Node.JS agus Ruby.
Le SSL tha a h-uile dad sìmplidh. Ma rèiticheas an àrainn mar a bhiodh dùil, thèid Let's Encrypt a dhèanamh ann an aon bhriogadh agus an uairsin ùrachadh, an dà chuid airson an àrainn fhèin, agus airson fo-roinnean, agus eadhon seirbheisean puist.
Tha Plesk fhèin mar bhathar-bog an-dràsta gu math tlachdmhor agus seasmhach. Bidh e ag ùrachadh e fhèin agus an Axis gu sàmhach, ag ithe glè bheag de ghoireasan, agus ag obair gu rèidh. Chan eil cuimhne agam eadhon gun do rinn mi ceum air rudeigin an àiteigin, a bhiodh air a bhith na locht follaiseach san toradh. Bha duilgheadasan ann, gu dearbh, ach bha iad an dàrna cuid mar thoradh air rèiteachadh neo-fhoirfe no an àiteigin aig an t-snaim, agus mar sin chan eil dad ri ghearan. Tha na beachdan mu bhith ag obair le Plesk sa chumantas tlachdmhor. Is e an rud nach eil aige, agus feumaidh sinn seo a thuigsinn, cruinneachadh sam bith (sam bith). Chan eil LB no HA. Faodaidh tu feuchainn, ach bidh an oidhirp cho mòr is gum bi e nas fheàrr rudeigin a dhèanamh eadar-dhealaichte bhon toiseach.
Tha mi a’ smaoineachadh gun urrainn dhuinn geàrr-chunntas a dhèanamh air. Airson a 'chùis nuair nach eil rianadair ann, no nach eil gu leòr dheth, nuair a tha prìs aoigheachd agus an làrach / na làraich a tha a' snìomh air a 'dol thairis air, uill, can, 100 USD, nuair nach eil sinn a' bruidhinn mu dheidhinn roinneadh as fheàrr de 1500 làraich air frithealaiche, nuair a tha an neach-co-dhùnaidh mu choinneimh Ma tha roghainn agad rianadair pàirt-ùine fhastadh, no bathar-bog a cheannach agus rianadair a bhith agad airson leth boc, no gun a bhith agad idir - tha e gu cinnteach a’ dèanamh ciall. Bho shealladh an rianadair iomallach - an aon rud. $10 gach mìos, agus a’ sàbhaladh ùine agus a’ toirt sùbailteachd ann an obair airson ùine mhòrоmeud nas motha. Ma thèid iarraidh orm, mar eisimpleir, pròiseact coltach ris a ghabhail fo mo sgèith, iarraidh mi a ghluasad gu Plesk.
Source: www.habr.com