1
從購買一個(gè)域名開始,購買多個(gè)域名,50個(gè)甚至100個(gè)����。分為主域名和推廣域名(用于推廣鏈接)��。從上面買一個(gè)域名�����,因?yàn)檫@里的域名是穩(wěn)定的��,不會(huì)有被攻擊的事情����。同時(shí)需要購買域名保護(hù),讓網(wǎng)民在ping這個(gè)域名時(shí)��,無法解析出真實(shí)的服務(wù)器地址�。同時(shí),域名解析的操作也不應(yīng)該在互聯(lián)網(wǎng)上進(jìn)行�����。解析的操作應(yīng)該放在外網(wǎng)或者外網(wǎng)����,或者zndns上(這個(gè)dns可以為一個(gè)域名解析多個(gè)IP地址��。按照就近的原則�,把最快的IP地址解析給用戶�。)也可以搭建自己的dns服務(wù)器,想著自己的dns服務(wù)器就好了���。這樣�����,更改dns指向時(shí)會(huì)更快�����。
2
cdn���,一定要購買cdn服務(wù)。如果部分用戶無法訪問���,請使用cdn服務(wù)����?��?梢詮纳厦嬗嗁廲dn服務(wù)���,這樣域名解析到cdn,然后cdn解析到肉盾墻或者任意一個(gè)�,然后肉盾墻指向核心服務(wù)器。 cdn起到緩存和轉(zhuǎn)發(fā)的作用���,在大流量攻擊時(shí)可以防御至少200G的攻擊�。 Cdns 被全局緩存����。
3
圖片服務(wù)器,可以在國外租多臺(tái)服務(wù)器作為圖片緩存服務(wù)器�,提高訪問率。雖然 nginx 本身就是一個(gè)圖片緩存服務(wù)器�。
4
機(jī)房:選擇機(jī)房很重要。一般來說��,用戶在哪里���,應(yīng)該選擇那里的機(jī)房�,因?yàn)樗亲羁斓摹6壹幽么蟮姆?wù)器帶寬非常大服務(wù)器運(yùn)維���,如果需要大帶寬�����,只能是日本了�����。在購買服務(wù)器之前�����,您必須測試 ping 值���。可以用工具測試這個(gè)省內(nèi)服務(wù)器的ping值�����。需要具備良好的服務(wù)質(zhì)量�、高防御、高可靠性�、及時(shí)響應(yīng)以及隨時(shí)查看服務(wù)器狀態(tài)的能力�����。最重要的是要有良好的服務(wù)態(tài)度。機(jī)房應(yīng)該在臺(tái)灣九和購買(用戶核心服務(wù)器)��,法國圣安妮機(jī)房(肉盾墻)(雖然速度慢�,但安全性和高防御都很棒,當(dāng)大流量攻擊時(shí)發(fā)生了����,這里的機(jī)房還是可以訪問的,所以���,豬肉不要放在一個(gè)籃子里�����,有各檔次就好�。國外機(jī)房速度快�����,高防效果差�,日本機(jī)房速度慢����,高防效果好)
5
主頁是吸引投資或成為廣告的網(wǎng)站�����。您可以租用云主機(jī)�。如果你被黑了,你就會(huì)被黑�����。上面可以有一個(gè)鏈接�����,指向游戲的首頁��,這個(gè)鏈接最后可以打個(gè)��,很簡單���。也可以不帶終端口號(hào)��。這時(shí)候一定要使用cdn服務(wù)器�,或者使用免錄機(jī)房,將肉盾墻放置在免錄機(jī)房���。由于所有在國外建的網(wǎng)站都需要注冊�,所以賭博行業(yè)是嚴(yán)禁的�,為了防止域名或IP地址被和諧(gwf)�,所以使用免備案機(jī)房?����;蛘咴谂_(tái)灣或日本或日本等機(jī)房放置肉盾墻����。這樣用戶就可以直接使用域名訪問我們的網(wǎng)站,而無需使用終端標(biāo)語�。
6
一個(gè)網(wǎng)站必須有監(jiān)控系統(tǒng),可以實(shí)時(shí)監(jiān)控服務(wù)器��,查看服務(wù)器是否有命中���,查看日志是否暴漲�����,并將日志放到日志服務(wù)器(服務(wù))上�����。使用 cacti 服務(wù)�,日志可以放在 cacti 上。網(wǎng)速一定要查����,網(wǎng)速飛漲一定要證明一定是攻擊成功。每天晚上看日志����,使用日志分析軟件,看訪問源是單個(gè)訪問源還是多個(gè)不同訪問源���。監(jiān)控服務(wù)器必須具有報(bào)告功能����。一旦情況出現(xiàn)異常���,立即報(bào)告��,然后早起應(yīng)對攻擊���。
7
權(quán)力攻擊通常視情況而定�����,通常的權(quán)力攻擊是直接攻擊域名�����。 nginx及其自身的防御功能可以防止少量的power攻擊�����。因?yàn)榇罅康碾娏糁苯诱加镁W(wǎng)絡(luò)帶寬,服務(wù)器很難正常響應(yīng)��,只能利用機(jī)房的高防御�����。所以要買很多高防的����,建議至少200G。如果攻擊的來源是單個(gè)IP??或多個(gè)IP���,就讓機(jī)房封鎖這些IP�。遇到cc或ddos攻擊時(shí),只能通過機(jī)房解決�。服務(wù)器被黑后,需要立即將域名指向另一臺(tái)服務(wù)器(或直接將域名指向百度)�����。大量的權(quán)力攻擊也需要用到CDN���,讓CDN直接指向核心服務(wù)器就夠了����,這樣可以更快����,用戶還能玩。事實(shí)上���,高流量攻擊是無法完全避免的��。
8
網(wǎng)站必須有冗余��。比如必須達(dá)到1000人同時(shí)訪問的并發(fā)量��。網(wǎng)站的負(fù)載必須達(dá)到2000人的并發(fā)量����。
9
服務(wù)器的配置需要三張網(wǎng)卡,一張用于用戶連接和外部訪問(更好的網(wǎng)卡)���。一種用于外網(wǎng)服務(wù)器之間的訪問�����。一個(gè)是用來ssh管理的�,所以我們也可以在攻擊比較多的時(shí)候操作服務(wù)器�����。每個(gè)網(wǎng)卡也需要多個(gè)IP地址����,以免某個(gè)IP被阻塞�。國外網(wǎng)絡(luò)和美國網(wǎng)絡(luò)經(jīng)常有IP不好用。硬盤至少要鏡像(raid1)���,cpu必須是雙向的�,雙電源,其實(shí)應(yīng)該不會(huì)出現(xiàn)單點(diǎn)故障�。至于肉盾墻的配置,可以再低點(diǎn)服務(wù)器運(yùn)維����,連臺(tái)式機(jī)的配置,網(wǎng)絡(luò)一定要好����,尤其是核心服務(wù)器的網(wǎng)絡(luò)一定要好。
10
數(shù)據(jù)庫做主從復(fù)制��,必須有異地備份����,而且nginx服務(wù)器要集群,也就是���。前臺(tái)(提供用戶訪問頁面)和后臺(tái)(員工管理界面)應(yīng)該使用兩臺(tái)不同的機(jī)器���,互不影響。其余的服務(wù)可以使用虛擬機(jī)完成�。這樣可以省錢。郵箱直接購買的gmail商務(wù)郵箱就可以了。這是非常容易使用���。最好沒有人擁有�?�;蛘咴诠緝?nèi)部搭建自己的聊天軟件(最好借錢買聊天軟件)����。
11
需要三組測試環(huán)境。開發(fā)者需要自己的筆記本電腦環(huán)境�,局域網(wǎng)上的一套測試環(huán)境,互聯(lián)網(wǎng)上的一套測試環(huán)境�����,以及生產(chǎn)環(huán)境����。局域網(wǎng)的測試環(huán)境一定要穩(wěn)定?�?梢再I一個(gè)機(jī)柜和其他網(wǎng)絡(luò)設(shè)備一起買����,不要用普通的筆記本。局域網(wǎng)必須有svn或git代碼管理工具�����。完整測試后��,上傳到生產(chǎn)環(huán)境�����。
12
肉盾墻和核心服務(wù)器之間必須有ping命令���,這樣才能看到哪個(gè)IP地址不能用���,才能看到網(wǎng)絡(luò)連通性。
13
至少有兩名運(yùn)維人員��,如果有一名運(yùn)維主管����,一名運(yùn)維人員就足夠了。這樣����,所有的運(yùn)維工作都必須有操作文件���,兩個(gè)人協(xié)同工作,不需要輪班�����,24小時(shí)隨叫隨到�。一個(gè)網(wǎng)絡(luò)管理員就足夠了。
14
一般的運(yùn)維部門是這樣的����。如果是大型網(wǎng)絡(luò)結(jié)構(gòu),會(huì)有自己的數(shù)據(jù)中心機(jī)房���,后期安排人員��。
15
Linux 系統(tǒng)必須經(jīng)過優(yōu)化和安全配置�。比如nginx是基于cpu優(yōu)化的�����,每個(gè)程序都是基于cpu和顯存的限制�����。
16
所有密碼應(yīng)每3個(gè)月更換一次���,尤其是域名的賬號(hào)密碼和郵箱密碼�。域名是最重要也是最容易受到攻擊的鏈接���。
17
局域網(wǎng)一定要穩(wěn)定����,可以買兩條10M以上帶寬的網(wǎng)線����,也可以買一個(gè)聯(lián)通wifi,讓員工手機(jī)上網(wǎng)���。
18
如果是小型網(wǎng)絡(luò)架構(gòu)����,必須有自己的核心機(jī)房���,而不是租機(jī)房����。每個(gè)職位由數(shù)人組成,包括運(yùn)維工程師�、數(shù)據(jù)庫管理工程師、網(wǎng)絡(luò)工程師��、安全工程師��、存儲(chǔ)備份系統(tǒng)工程師��,具有運(yùn)維經(jīng)驗(yàn)��,負(fù)責(zé)協(xié)調(diào)各部門之間的工作���。目前����,一個(gè)運(yùn)維就可以完成所有的工作���。
19
運(yùn)維工具要統(tǒng)一�,比如使用連接數(shù)據(jù)庫的工具���,使用crt工具連接服務(wù)器�����,使用密碼管理工具��,使用上傳服務(wù)器代碼的工具等等��。這樣�,運(yùn)維人員之間的工作就更好的協(xié)調(diào)了���。此外�,運(yùn)維必須有大量的時(shí)間去學(xué)習(xí)�����。每天都要上網(wǎng)找新技術(shù)�����、好資料�����,而且最好懂英文�����,因?yàn)楹玫募夹g(shù)文檔都是用英文寫的。這對運(yùn)維工作很有幫助����,但運(yùn)維的技術(shù)實(shí)力會(huì)大大提高,并計(jì)劃滿足更大的需求�����。
20
最后�,要有一個(gè)計(jì)劃,就是一旦服務(wù)器出現(xiàn)大問題����,就無法解決。這個(gè)時(shí)候不要解決服務(wù)器��,使用計(jì)劃��,啟用備份計(jì)劃����,盡快使網(wǎng)站可用。平時(shí)多做計(jì)劃演練�,也多做備份還原操作,因?yàn)橛行﹤浞莶豢捎茫@是普遍現(xiàn)象��。關(guān)鍵時(shí)刻不要讓備份不可用��,整個(gè)網(wǎng)站就完蛋了���。
21
服務(wù)器安全必須有一套完整的安全配置�����,包括用戶安全、應(yīng)用安全�����、系統(tǒng)安全�、文件安全等。這樣可以防止服務(wù)器被黑客入侵����。
22
一定要做好高并發(fā)測試,模擬2000個(gè)用戶同時(shí)在線�,看看服務(wù)器的負(fù)載情況。服務(wù)器必須有高并發(fā)配置��。網(wǎng)絡(luò)方面是機(jī)房的事情,一定要選擇最合適的IP地址�。機(jī)房和出口帶寬。高并發(fā)是服務(wù)器架構(gòu)的問題��,而不僅僅是單個(gè)服務(wù)器����。應(yīng)該花的地方一定要花,能省錢的地方一定要懂得省錢����。
23
所有運(yùn)維信息由兩個(gè)人共享,包括密碼和服務(wù)器配置步驟����。團(tuán)隊(duì)由運(yùn)維總監(jiān)帶隊(duì),形成了一個(gè)相互學(xué)習(xí)��、技術(shù)實(shí)力強(qiáng)��、目標(biāo)一致的和諧團(tuán)隊(duì)����。讓團(tuán)隊(duì)中的每個(gè)人都得到他們想要的。運(yùn)維總監(jiān)的人很重要���,否則���,留不住人��,就不會(huì)一起努力����。運(yùn)維工作技術(shù)不是最重要的��。由于來不及學(xué)習(xí)和使用這個(gè)職位�,所以工作心態(tài)/性格和經(jīng)驗(yàn)是最重要的。
24
對于服務(wù)器搭建日志���,必須記錄所有服務(wù)器的所有操作,時(shí)間操作內(nèi)容要寫清楚�。在生產(chǎn)服務(wù)器上運(yùn)行之前,必須進(jìn)行風(fēng)險(xiǎn)評估和解決方案����。
25
運(yùn)維方式:網(wǎng)站可用性/監(jiān)控上報(bào)/容量規(guī)劃/流程規(guī)范/知識(shí)管理與積累/人工管理。
26
應(yīng)用上線后���,運(yùn)維工作才剛剛開始���。具體工作可能包括:升級(jí)版本上線工作���、服務(wù)監(jiān)控、應(yīng)用狀態(tài)統(tǒng)計(jì)��、日常服務(wù)狀態(tài)檢查����、突發(fā)故障處理、日常服務(wù)變更調(diào)整�、集群管理、服務(wù)性能評估優(yōu)化���、數(shù)據(jù)庫管理優(yōu)化����、應(yīng)用框架擴(kuò)展���、安全�、運(yùn)維隨著應(yīng)用PV的增減而發(fā)展��。
27
圖片服務(wù)器要和其他服務(wù)器分開�����,肉盾墻可以作為圖片緩存。
28
分別查看了連接數(shù)和當(dāng)前連接數(shù) -ant|grep$ip:80|wc-l-ant|grep$ip:80||wc-l
(完)
文章出處:
鏈接:/uid--id-.html
售前咨詢專員
