Am 30. August werde ich nicht von Web- zu Premiumtraffic wechseln, das bringt fast nix. Außerdem werde ich keine 2Gbit Leitung bestellen, die wäre nicht genutzt.
Stattdessen werde ich mit unserem Provider 2 Atom-Server als Front-End und den Root hier als eigentlichen Auslieferer verwenden.
Das sollte ein hohes Maß an DDoS Schutz gewährleisten :)!
Lasst euch überraschen!
Das ganze ist dann im Endeffekt so gedacht:
Vor dem eigentlichen High-End Server stehen 2 Load-Balancer. Die Webseite wird auf beide per DNS-Loadbalancer geleitet. Auf beiden LoadBalancern ist eine Firewall drauf, die einen Großteil herausfiltert. Die Load-Balancer fragen beim Webserver die Daten an und leiten diese weiter (Ähnlich wie mit einem Proxy). Die Webserver IP ist extern nicht bekannt und nur einer der beiden load balancer wird angegriffen.
Im Prinzip ein guter Ansatz. Doch das Problem ist dabei die Skalierung. Die Hauptarbeit wird ohnehin der Root machen durch die ganzen DB-Queries und die PHP-Parserei. Durch 2 Reverse-Proxies vornedran erhöhst du sogar die Last.
Die 2 Frontend-Server machen dabei nicht viel. Die sollten nur cachen und den statischen Content ausliefern. Und dabei werden kaum System-Peaks auf den 2 Maschinen verursacht. Anders ist es halt beim Root, da kannste zwar auch noch etwas durch Cachen von DB-Queries und PHP-Objekten dagegenwirken, aber letzenendes wird der die ganze Arbeit machen müssen und kippt daher wesentlich schneller aus den Latschen als die 2 Frontends. Du musst die 3 Systeme also so dimensionieren, dass der Rootserver selbst bei Volllast der Frontends nicht über 90% Load kommt.
Die Firewalls auf den Frontend-Servern wird dir leider auch nur begrenzt helfen, denn du kannst ohne DPI oder spezielle Heuristiken die DDoS-Pakete kaum von regulärem Besuchertraffic unterscheiden (zumindest nicht bei einem ausgereiften DDoS-Angriff).
Nichts desto Trotz, wüsste ich auch kein besseres Setup ohne spezielle dedizierte Firewalls. 🙂