运维经理的运维经验总结
1. 从买域名开始,要买多个域名,50个甚至100个。分为主域名和推广域名(给推广链接用的)。要从godaddy上买域名,因为这里的域名稳定,不会出现被攻击等事情。同时还要买域名保护,这样互联网用户ping这个域名就解析不到真实的服务器地址。同时域名解析的操作不要在godaddy上进行,要把解析的操作放在cloudflare上或者dnspod上进行操作,也可以放到zndns上(这个dns可以做到一个域名解析多个IP地址,根据就近原则,把最快的IP地址解析给用户。)也可以自己搭建dns服务器,在godaddy上只想到自己搭建的dns服务器就可以了。这样,修改dns指向的时候会更快。
2. Cdn,一定要买cdn服务。如果出现部分用户访问不了就使用cdn服务。可以从cloudflare上购买cdn服务,这样域名解析到cdn上,然后cdn解析到肉盾击还是那个,然后肉盾击指向核心服务器上。Cdn充当一个缓存和转发的作用,大流量攻击的时候他可以防御至少200G的攻击。Cdn是全球缓存的。
3. 图片服务器,在国内租用几台服务器做图片缓存服务器即可,这样提高访问速度。其实nginx本身就是一个图片缓存服务器。
4. 机房:选择机房太重要了,一般来说用户在哪里,机房就要选择哪里,因为这样才最快。但是美国的服务器带宽很大,如果是需要大带宽的只能美国。买服务器之前一定要测试ping值,可以用chinaz工具,测试全国到这台服务器的ping值。要服务质量好的,还要高防好的,还要可靠性高的,还要相应及时的,还要能随时可以查看服务器状态的,最重要还要服务态度好了。机房要买香港九河(用户核心服务器),美国圣安娜机房(用于肉盾击)(虽然慢,但是安全高防做的真好,大流量攻击的时候,这里的机房还是可以访问,所以,鸡蛋不要放在一个篮子里头,要各个等级都有才叫好的,国内机房快,但是高防效果差,美国机房慢但是高防效果好)
5. 一个主页,就是招商或成为打广告的网站,可以租用云主机,这样被打死就被打死吧。里面可以有一个链接,指向游戏首页,这个链接可以是带端口号的,那就简单了。也可以是不带端口号的,这时候就一定要用cdn服务器,或者使用免备案机房,把肉盾击放在免备案机房,因为国内搭建网站都是要备案的,博彩这个行业是被禁止的,为了避免域名或者IP地址被和谐了(gwf)所以要用免备案机房。或者就把肉盾击也放到香港或者台湾或者韩国等等机房。这样用户可以不使用端口号,直接用域名就可以访问咱们的网站。
6. 要个网站要有监控系统,实时监控服务器是否有攻击,功过查看日志是否激增,还要把日志放到日志服务器上(syslog服务),使用cacti服务可以把日志放到cacti上。网速是一定要查看的,网速激增则证明一定是有攻击。每天要看日志,要用日志分析软件,看看访问源是单一访问源还是多个不同的访问源.监控服务器要有报警功能,一旦情况异常就要立刻报警,然后起床处理攻击。
7. 攻击一般看情况而定,一般的攻击都是直接攻击域名。小量的攻击可以通过nginx和iptables本身的防御功能就防掉。大量的攻击由于直接把网络带宽占用满了,服务器无法正常相应,只能依靠机房的高防了。所以要买大量的高防,建议至少200G。如果攻击源是单一IP或者几个IP,那么就让机房把这几个IP给屏蔽就可以了。遇到cc或者ddos攻击,只能靠机房解决。一台服务器被打死后,需要立刻把域名指向另一台服务器,(或者直接把域名指向百度)。大量的攻击还要使用cdn,让cdn直接指向核心服务器就可以了,这样能快一点,让用户还可以玩。总之大流量攻击是不能完全防止的。
8. 一个网站一定要有冗余,比如现在是1000人同时访问的并发量,一定要让网站的负载达到2000人的并发量,要不然一搞活动,网站负载不了那么多人就完了。
9. 服务器的配置,要用三网卡,一个用于用户连接,对外的访问(要好的网卡)。一个用于内网服务器之间的访问使用。一个用于ssh管理,这样大量攻击的时候咱们还可以操作服务器。每个网卡还要多个IP地址,这样防止某个IP被屏蔽了。国内网络和国外网络经常会有IP不好用的情况。硬盘至少要镜像(raid 1),cpu要两路的,双电源,总之不要有单点故障。至于肉盾击的配置可以低一些,甚至台式机的配置都可以,但是网络一定要好,尤其是和核心服务器之间的网络一定要好。
10. 数据库要做主从复制,要有异地备份,nginx服务器要做集群,就是upstream。前台(提供用户访问页面)和后台(员工管理界面)要用两台不同的机器,不要互相影响。其余的服务可以使用一台虚拟机完成。这样可以省钱,邮箱直接买google的gmail企业邮箱就好了,非常好用,最好没人一个。或者公司内部搭建自己的聊天软件(最好还钱买聊天软件)。
11. 测试环境要三套,开发人员电脑上自己的环境,要局域网一套测试环境,互联网一套测试环境,生产环境。局域网的测试环境一定要稳定,可以买一个机柜等等的网络设备放在一起,不要用普通电脑。局域网要有svn或git的代码管理工具。充分测试后在上传到生产环境。
12. 肉盾击和核心服务器之间一定要可以使用ping命令,这样可以看看那个IP地址不能使用了,网络连通性都可以看出来。
13. 运维人员至少两个,如果有运维经理一个运维人员就够了。这样所有运维工作必须有操作文档,两个人互相协调工作,不需要倒班,但是24小时待命。网管一个就够了。
14. 普通的运维部门大概就这样,如果是大的网络架构,会有自己的数据中心机房到时候在安排人手。
15. Linux系统要有优化和安全配置,比如说nginx基于cpu的优化,每个程序基于cpu和内存的限制。
16. 所有密码要有3个月就修改一次,尤其是域名的账号和邮箱密码,域名是最重要也是最脆弱的环节。
17. 局域网一定要稳定,可以买两条网线,至少10M带宽,还要买一个移动wifi,给员工手机上网。
18. 如果是大型网络架构,那得有自己的核心机房,就不是租用机房了,每个岗位都是若干人组成的,包括运维工程师,数据库管理工程师,网络工程师,安全工程师,存储备份系统工程师,运维经历负责协调各个部门间的工作。目前就是一个运维就能完成所有的工作。
19. 运维的工具要统一,比如连接数据库使用sqlyog工具,连接服务器使用crt工具,密码管理用keepass,上传服务器代码使用winscp工具,等等。这样运维人员之间工作比较好协调。另外运维一定要有大量时间学习,每天都要上网找新技术,好的资料,最好要懂英文,因为好的技术文档都是英文写的。这样对运维工作很有帮助,而且运维技术实力会有很大的进步的,为迎接更大的需求做准备。
20. 最后一定要有预案,就是服务器一旦出现重大问题,就是解决不了了,这个时候就不要去解决这台服务器,使用预案,把启用备用方案,尽快让网站可用。平时多做预案演习,还要多做备份的还原操作,因为有的备份不可用,这是常见现象。别到关键时刻备份不能用,整个网站就完了。
21. 服务器安全要有一整套的安全配置,包括用户安全,应用安全,系统安全,文件安全等。这样防止服务器被黑客侵入。
22. 一定要做高并发测试,模拟同时在线用户2000人,看服务器的负载情况,要有服务器高并发配置,网络方面是机房的事情,但是得选择最合适的IP地址,最适合的机房,及出口带宽。高并发是服务器架构的事情,不是单单一台服务器的事情。该花钱的地方一定要花,可以省钱的地方要知道怎么省钱。
23. 运维所有信息两个人共享,包括密码和服务器配置步骤,由运维经理带领团队,打造成一个互相学习,技术实力雄厚,目标一致的和谐团队。让每个人在团队中都得到自己想要的。运维经理的为人就很重要,要不然留不住人,大家心不往一起使劲。运维工作技术不是最重要的,因为这个职位现学现用也来得及,所以工作态度/为人和经验是最重要的。
24. 对服务器建立日志,所有服务器的所有操作都要有记录,并且写清时间操作内容。对生产服务器操作之前一定要做风险评估及解决方案。
25. 运维之道: 网站可用性/监控与报警/容量规划/流程规范/知识管理与积累/自动化管理
26. 应用上线后,运维工作才刚开始,具体工作可能包括:升级版本上线工作、服务监控、应用状态统计、日常服务状态巡检、突发故障 处理、服务日常变更调整、集群管理、服务性能评估优化、数据库管理优化、随着应用PV增减进行应用架构的伸缩、安全、运维开发工作:
27. 图片服务器和其他服务器要分开,肉盾击可做图片缓存。
28. 查看了连接数和当前的连接数,分别是 netstat -ant | grep $ip:80 | wc -l netstat -ant | grep $ip:80 | grep EST | wc -l
最近和几个运维同行沟通,总结如下:
29. 登录可以使用RSA server,这样基本不会被密码破解,但是只用于高安全环境。
30. 在cdn服务器厂商做这样一个操作,如果流量被打爆,比如说20G高防流量满了,那么就自动指向nexusguard,他可以帮助挡流量。
31. 如果在中国某个城市被域名劫持了。那就到这几个城市的ISP供应商购买域名解析服务,比如说南方的省就买电信的dns服务,让电信帮你解析。
32. 比较好的几个监控工具:站长工具,监控宝,监控专家,whois。
33. 用户都是国内的话,就用dnspod,因为这个dns服务器在国内,国内用户直接问这台服务器,所以不会出现域名被墙的现象。另外要买高等级的域名服务器,低等级的会出现域名解析宕机10分钟的情况,高等级的会给你多个ns记录,直接在godaddy上指向多个ns record值就行了。
34. 如果域名被墙的话,使用免备案301跳转,可以去淘宝搜索301。或者买个新域名,将被墙的域名暂停解析并跳转到新域名即可,跳转可用cname或301跳转。最好是判断域名在那块被墙了,如果是国内的长城防火墙,把出国的地方被墙了,那么好说,在国内每个域名提供商,跳转到新域名上,新域名指向国外的服务器。这个情况下,服务器肯定是在国外。如果是某个城市的ISP提供商把域名给墙了,那只能在这个ISP找人内部人买域名跳转服务,跳转到别的域名上,然后再由别的域名解析到真实服务器上。也可以不用dns的跳转功能,将域名跳转到一台web服务器上,然后由web服务器做301跳转,当然,要在被墙的范围之内搭建这台web服务器哈。不然域名被墙后,无法解析到这台web服务器的。最后讲一个最笨的办法,在每个省的ISP供应商都买一个域名解析,这样所有域名解析问题都不用担心了。最好是每个省每个市,电信联通移动,都要。要在第一层的缓存DNS上购买。以上是对被墙的做法的一些总结,也成被和谐。
35. 买服务器注意事项,如果你的网站内容涉及到非法信息,千万别用自己的账户购买服务器,这样最终会进jail的。服务器买在国外,如香港就没问题。
36. 域名要备案,网站也要备案,也有免备案的,没用过哈。不然只能放在香港了。
37. 代理域名的使用,要在搭建一台服务器,一个代理域名,对应一个nginx+php服务器,指向核心数据库,然后代理域名用主域名。代理域名也可以使用三级域名,比方:aaa.baidu.com,bbb.baidu.com.也可以让用户填写上级代理是谁。都是解决方法。最便宜方法是:使用cloudflare作为cdn,指向现有的源服务器,这样就保证了隐藏源服务器不被攻击。实在不行就把代理域名给熟悉的人,不对外。DNS可以使用国内的免费的dns,或者域名注册商的dns解析就行,DNSpod挺好。
38. 备用域名:
备用域名就买一个域名,然后买几个cdn服务器,自己搭建cdn节点,使用智能dns,不要和主域名用同样的cdn节点。也可以使用别的厂商的cdn服务。然后搭建一个全新的nginx+php服务器,指向核心数据库。
39. nginx方向代理搭建在国内机房。
如果你们的网站是合法的,只要备案就可以把cdn放在国内机房,如果是不合法的,尽量别把cdn放在国内机房。放之前也要问一下机房敢不敢接这个服务器。因为国家的网监对机房是有管控的,第一要备案,第二要内容不要违法。网监发现有问题的网站,就找机房,机房就会把网站停了。所以,核心服务器千万不能够放国内,cdn节点尽量不要放国内。还有,国家找机房,机房就找个人,找到个人就完蛋了哈。
40. 域名跳转的操作要在cdn上做是最好的。因为有的dns只做域名解析,有的dns不做域名跳转功能。所以cdn是用户访问的第一个节点。也可以在nginx上做,也可以在php代码上实现。
41. 域名备案掉了或者白名单掉了,或者被和谐了,这样做:首先要准备另一个备案的域名,因为备案域名可以放在国内,速度快。然后把坏了的域名通过dns解析到香港CDN服务器上,香港CDN做一个跳转,用nginx的rewrite就行,跳转到新的域名上,然后新的域名放在国内的CDN服务器。这样,用户还是访问老域名,虽然被屏蔽了,但是已经放在香港了,用户直接访问到香港的服务器,香港的服务器直接跳转到国内的新域名,这样访问又回到国内了。这时候用户就是访问新域名了。浏览器的地址也变成新域名了。虽然第一次访问到香港有点慢,但是之后所有的连接都是指向国内的新域名。用户通过老域名访问,然后不知不觉的就访问新域名了。实现了域名跳转。
42. 域名最好 在国外买,国内买的话容易被封。
43. 关于 服务器防攻击:架构 设计好之后,能防住大部分的攻击。就要多台Web服务器,然后用用多个IP地址,dns上面通过智能DNS根据网通或电信线路指向不同的服务器,重点是ttl值要设置的很低,10秒。这样随时遇到攻击了。dns可以判断哪条线路断了,就及时调整到其他线路。
44. 现在的网站考虑劫持等安全问题,都会使用https协议,所以,必须要有https。
45. 作为集群的nginx系统,一定要有一个前端nginx,来分配流量,这样所有cdn节点就指向这个前端nginx就可以了。都是这么做的。
46. 至于数据同步问题,就要有一个staging环境,然后开发在staging上面做开发,一旦代码成熟,就用脚本上传到所有web服务器,这样的好处就是web服务器中网站代码的权限可以随意设置,设置到最低,不用考虑开发人员会有权限修改代码的。然后只要Staging环境的代码会权限能大一点。
47. 有些网站需要有用户上传数据,又为了做集群,那么怎么共享这个用户上传数据呢,用nfs就可以。nfs的服务器最好用存储。这样避免nfs服务器坏了,存储可以直接指向某一台web服务器,可以快速恢复。数据还在存储上,不至于丢数据。
48. 最近还发现,源服务器买CN2香港线路,然后cdn买大陆的BGP线路。最好带高防的,可以自己搭建cdn服务器。这样速度就很快了。
49. 如果有的网站含有不健康信息,就需要买香港的服务器,香港服务器不会慢多少的,因为如果是买大陆服务器,他就有可能遇到域名备案掉的危险(备案时用一个网站,正式使用时用另一个网站),如果掉了,只能切换到香港服务器。如果有的机房帮你开白名单,可以尝试放在国内。但是域名备案掉了就不好解决了。那么就一句话,放在香港,百病不犯;
50. 如果是集群环境,那么必须集群中所有 服务器用户ID要 一样,其他配置尽可能一样,最好使用镜像的方法,或者两台机器所有配置都一样。
51. 域名拆分优化网站打开速度,多个域名要用www作为主机名,这样加快dns缓存,dns解析节点越少越好,用站长工具可以测试出来解析时间。用大品牌dns可以加快dns解析速度;
52. dns服务器设置600s就行,客户端根据当地运营商有不同的ttl值,大概3分钟就可以修改完;
53. cdn节点带快大小等于首页或整页大小乘以3,因为保证一秒就能打开网页,3个人同时发出请求,一般来说,5M至少,10M足够;因为用户带宽是有限的;
54. 一个网站 最好推广多个域名,避免一个域名备案掉了,可以还有其他的,或者一个被打了,还有其他的可用。所以最好首页做成静态页,配置上自动跳转,跳转到一个域名(或者让用户选择最佳线路),或者手动配置,跳转到最佳页面。这样 一个域名死了,还可以使用其他的域名。吧似的域名IP解析到其他IP地址。不影响真正用户访问,先尽量防住,实在不行 在解析到其他地方;
55. 国外 的cdn也要有,被攻击的时候,阻挡所有国外的攻击,有大量攻击时,不行就直接停止服务。因为还有别的域名和cdn是可用的。意思就是把通过dns解析过来的从国外过来的攻击,停掉在这个cdn上,不要传到核心服务器。
56. 网站开站前,要先买域名,然后备案,在买域名保护;然后在去开发运维前端seo等等。
57. 不同的网站不同设计方案,如果是游戏网站,可以不使用cdn直接对外,这时候就要靠机房的防御能力。现在也有游戏加速产品,可以使用,价格有点贵。
58. 网站在国外,用户在国内,就要使用cn2线路。香港到国内最快,但是没有防御,香港线路太贵,尤其是cn2线路,而且机房资源紧缺,更不用提流量清洗设备了。所以最多5G防御,如果遇大流量攻击还是迁到国内或韩国。日本不建议使用,因为高峰期会被看A片的用户沾满流量。韩国的防御还是很好,而且使用cn2线路,ping值会达到30到深圳。同样上海也有cn2服务器,这样上海的cn2服务器可以作为VPN来使用,这样国外链接的快。
59. 上海机房也没有高仿,就广东佛山机房高仿好,所以就广东机房作为cdn服务器,在租用香港作为核心机房,用户在大陆访问。
60. 如果做期货,就找期货机房,在上海,因为连接到期货大厦很快,现在国内都不让有期货服务器了,所以逐渐迁移到香港,可以web服务器放在广东或深圳,有高仿,数据库服务器放在香港。
61. 有钱的网站可以使用专线,深圳到香港的,这样还是快,不过是vpn建立的,再有钱的就自己拉专线,一个机房拉倒另外一个机房,这样会显示大陆的IP地址。
62. 说道香港的服务器线路,目前没找到全cn2线路,高峰期都会绕其他链路的。刚找到一家,cn2价格是800元每兆,比专线还贵。香港绕过hkix的机房;
63. 做游戏服务器如何防止攻击:找一个高防机房,最好是防200G攻击以上的机房,然后用多台web服务器,每台web服务器要10个IP地址,用dns轮训功能,并且要有服务器存活检测功能,DNSpod的D检测功能就可以。这样在攻击的时候一个IP被打死了,就可以自动切换到另一个IP,被打死的IP会被机房冻结一段时间,这个时间也许是几个小时,没关系,使用另外一个IP地址,每台机器都有10个IP地址,可以等到第一个IP解封,其他的IP地址还没用完。
64. 阿里云的高仿IP挺好的,就类似于cdn功能,有的游戏平台可以直接使用IP访问服务器,不用担心这一个IP被打死。
65. 用域名还担心域名的备案掉了的问题,如果备案掉了就尽快指向香港的服务器,如果还想其他方法的话,就用域名跳转功能,因为只有机房才查域名备案,域名解析的时候不会查域名备案。机房都会根据工信部备案情况来屏蔽你的服务器的ip。所以先解析到其他域名,在解析到真实IP,这样就担心权重的问题。
66. 听说fikker做动态加速挺好。
67. 专业运维和开发运维的区别就是开发运维不懂集群,还有单点故障,还有预案。还有这个行业的很多产品及解决方案,还得厂家他们不会有很多,当前最好的产品他们不会去寻找。在就是架构,他们设计不出防攻击优化的架构,无单点故障的架构;
68. 运维分2个阶段,第一是建设节点,分析需求,及判断未来的趋势,把网站假设起来,可以投入生产环境,这就要一个可扩展的,有安全防护的,架构,产品选型很关键。第二阶段就是维护阶段,主要是针对需求进行扩展和调整配置,然后服务器监控,判断未来趋势。日志可视化监控,一旦有攻击要能立刻反应。监控用户体验,有相关的软件可以购买,有监控客户端的,U云就行,有服务器端的slk就行。要经常巡检数据库,做备份的还原测试。还要用cnzz统计流量。
69. 有条件就自己买一台防火墙,防火墙用多个IP地址,供外网访问,内网服务器包括web,全部是内网ip,有专线的情况下,可以用防火墙可以做基于源IP的策略路由,主要是屏蔽端口的作用,然后服务器上的IPtables就用来屏蔽内网的ip及端口。ssh连接的时候就用端口映射,映射到一台机器,用这个机器做跳板机来进行管理。
70. 一台防火墙,下面无论多少台web服务器,所有的web都是两张网卡,同一网段,同一网关,两张网卡一个实192.168.3.1,一个实192.168.3.101,网关都是192.168.3.254.都指向防火墙。在 防火墙上配置,基于源IP的策略路由。源IP1对应外网IP1,源IP2对应专线IP2.这样一个网卡走专线,一个网卡走外网。这就保证了从外网过来的数据包,就从外网返回,从专线过来的数据包就从内网返回。
71. 现在双线机房都是这样做的,给我两个IP,电信和联通的,我在自己服务器上配置默认 路由指向电信的网关,然后电信网段加一个静态路由到电信网关ip,网通网段加一条静态路由指向网通网关ip,注意只有一个默认网关,也就是每台服务器或电脑只能配置一个网关,就是默认网关,也就是默认路由,也就是说,每台电脑都是一个路由器,只能有一个默认网关。其他的都配置成静态路由的方式。重点:默认只走一个ip的网关,如果要走另外一个ip,就需要静态路由,配置成要走的目标ip地址或地址段,指定静态路由走另外IP的网关即可。(上网查ip原路返回)
其实也可以这么配置,都指向网卡就好了。其他的就是机房路由器自己的配置了。例如:
[root@localhost network-scripts]# route
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
default 133.132.215.1 0.0.0.0 UG 100 0 0 eno1
133.132.215.0 0.0.0.0 255.255.255.128 U 100 0 0 eno1
222.132.205.0 0.0.0.0 255.255.255.128 U 100 0 0 eno1
注意,只有一个默认网关,其他的都配置成默认 路由。但是网络工程师一定要注意,路由器要配置源近源出,而且根据geoIP,要配置策略路由(电信走电信线路,联通走联通线路),用户访问域名的时候,要配置智能dns。使用dnspod就行;
72. 最近租用国内机房的一点总结:国内机房分三星/四星/五星/超五星(不超过10个),一般只有三星/四星才对小企业,也有自建机房:BGP机房和普通机房。一般北上广深机房为最好的机房,二三线城市的机房速度都会查几毫秒。针对于不光彩的网站,最好用自建机房,因为没有内容监管,也没有国家的安全设备进行检测。如果要高防的话,就租用电信级的高防机房。第三方机房服务很好,电信机房服务就能差点,有些服务不及时。真正的动态bgp机房只有北京的世纪互联一家有,其余的BGP机房都是静态bgp,一条线断掉了,就只能用其他的8线了。普通机房带宽都是750元/M租来的,然后再450元/M租出去,因为他们有带宽复用技术,每兆带宽可以给多人用。世纪互联的BGP机房都是1400元/M。国内所有机房都有不同等级的监管,一旦有违法信息,最终会把机器拿走,所以最好数据做异地备份。互联王有一个深圳机房,国内BGP线路,国外香港专线,显示香港IP地址,这样web放在国内,数据库放在香港,深圳连接香港专线和局域网一样,ping值3ms。
73. 国内的cn2使用总结:国内的cn2不多,主要有上海深圳等几大出口,ip段为59.43.73.0-59.43.213.255这个区段属于CN2的骨干网络路由节点,可以用mtr来追踪节点。真正的cn2是直连cn2网络,也就是说第2/3跳就是cn2线路了。而且可以在ipip.net中可以查到,是cn2的网络。普通的电信线路也会走cn2,但不是直连,都是城域网或省域网后在接入cn2的。
74. 如果用国内到香港的专线,要在国内机器上搭建一个网站,用于规避监管,然后这台机器用iptables配置nat一对一转发到香港的服务器。
75. 域名被墙了,我就在国内找一个免备案机房,然后搭建一个web服务器,上面只做301跳转,把域名解析到这台免备案服务器上,然后直接跳转到香港服务器;最后还得再香港找一个服务器作为国外的301跳转服务器,这个服务器服务于国外的用户,最后在DNSpod上做智能DNS解析把大陆用户解析到国内免备案服务器,把国外用户解析到香港服务器即可;
76. 要自己搭建cdn防攻击,北方用户就选择青岛机房,奇乐机房可以试试。南方用户就选择佛山机房。ddos高防很厉害,带宽几乎是3T带宽。另:河南郑州是联通和电信的交界处。如果只买一台服务器,可以考虑这里的机房。
77. 最近使用cdn出现两个严重问题:1. 登录地址有缓存,所以负责登录的域名不能缓存,直接转发就好,还有player_main.js不能缓存;这就导致了一个帐号登录后,读取另外账号的信息,两个账号混乱了。2.启用cdn后通过百度访问返回状态码403,浏览器提示"You do not have permission to get URL '/' from this server."。因为启用了防盗链,把防盗链关闭就好了。 或者在referer白名单中增加*.baidu.com及其他搜索引擎、外链referer。3. 加一个百度的dns解析地址,这样有助于优化seo。
78. 核心机房要用非80端口,也不要用443端口,这样用cdn做端口转发进来。但是要开启80端口,随便放一个网站,让别人以为这是正规网站。
79. 如果远程桌面卡的话,但系统负载又不高,那就是ping值超过100了,一般远程桌面ping值在60左右是不会卡的。
80. 网站都是动静态分离,所以静态文件可以放在cdn上,也可以放在OSS上,然后使用oss的cdn做加速。
81. 行情服务器要有多个,从一个交易所获取数据,然后分配和多个行情服务器,用户通过客户端软件有个地址池进行判断,地址池包含所有行情服务器的地址,每次都判断哪个服务器最快,就走那个行情服务器,所以这样被打死了一个行情服务器,也不用担心。
82. 每个域名都要一个代理服务器,这样分开不互相影响。
83. 今天和jinx聊到买ssl证书,一定要买根证书颁发机构的,然后要ecc算法的。推荐最贵的symantec,在就是globalsign,百度就用这个。感觉rapidssl也不错。GeoTrust据说排名第二。其他证书很多都是二手的。
84. 香港服务器,将军澳最靠谱,公司名叫鸿网互联
85. 运维必备工具:一个网站运维需要有的技术:听云/性能魔方/zabbix/日志可视化/百度统计/17ce/自动化运维工具/dns.com企业版/cdn防100Gddos和CC/ip monitor/kvm/docker/专线机房,AWS云管理平台/Shell脚本/Python语言;
86. 网站运维:动静态页面分离,用户直接访问高防ip,然后转发到源服务器,源服务器返回index.html文件,指定静态资源的URL,然后,用户通过URL去获得静态资源,最后获得网页。这样黑客直接攻击高防IP,因为域名解析到高防ip,动态资源就铜鼓高防IP传到后端;这也是不全站cdn;
87.内网网络管理linux路由,panabit,以前公司内网就用。服务器局域网防火墙用pfsense很不错。
至于想监控所有网络流量的每个ip的每个进程的内容,比方说,我们服务器跑了10m,都是跑的什么信息,这个还解决不了;
88. ssl正式最好的就是comodo/geotrust/rapidssl/thawte/symantec,这些称为根证书。 如果要买便宜的,就用gogetssl,要免费的就用Startssl、let's Encrypt,国内的证书不要用,没有所有浏览器的认可。