ovz_ebrana_proxy2

Proxy-2 (update z proxy-1) slouzi k proxovani provozu a terminaci SSL spojeni na weby. Je tam nginx prelozeny u nas, ktery ma navic modul testcookie. Navic je proxy "zalohovana" sekundarni proxy bezici na LH3 pomoci VRRP.

Testcookie antiddos modul

Zde: https://github.com/kyprizel/testcookie-nginx-module

Funguje tak, ze pri requestu klienta mu nevrati obsah webu, ale vrati mu redirect a posle mu cookie, ktera je nejakym zpusobem overitelna, viz dokumentace. Pokud klient reaguje na redir, modul ocekava cookie, jinak ho dale nepusti. Funguje to na pricipu toho, ze tooly na ddosovani nemaji podporu cookies, takze se pres toto dale nedostanou. Nedostanou se pres to ani crawlery atp, takze neni vhodne to mit pustene dele.

Konfigurace je na proxy pripravena a pokud je potreba to pro nejaky virtualhost zapnout, staci do nej vlozit tento knob:

testcookie on;

VRRP

Na primarni i stby proxy bezi VRRP demon (keepalived), ktery je na primaru jako MASTER, na sekundaru jako BACKUP. VRRP jednak drzi IP adresy, na ktere smeruje http provoz a druhak pomoci skriptu dela pozadovane ukony pri zmene stavu z BACKUP na MASTER a opacne pri vraceni primaru do provozu.

Konfigurace nginxu se rsyncuje na stby proxy spolecne s logy a adresarema s certifikaty (aby byl nginx schopen na druhe strane nabehnout). Abysme si byli jisti ze nginx na sekundaru je schopen bezet, dela se na nej centreonech check na syntax atp.

Nicmene v normalni konfiguraci neni schopen nabehnout ani zvalidovat konfig, protoze konfigurace obsahuje listen na IP, ktere normalne drzi master instance. Proto je tam adresar include.d, kteryzto je symlink na include.master nebo include.stby podle toho, kde se konfigurace nachazi. Tim je funkcni i nginx check na BACKUPU.

Jakmile se primar odmlci, keepalived na sekundaru nahazuje plovouci IP adresy a pomoci vrrp-onmaster skriptu prehazuje symlink include.d z stby na master (uz mame spravne IP) a spousti nginx. Pri zmene stavu zpet se nginx vypne a adresare se opet prelinkuji.