DigitalOcean Droplet 和帶有負載均衡器的託管數據庫 - DDOS 保護
我首先要說我不是系統管理員,也不是對伺服器有任何了解,我只是一名開發人員,負責為我正在開發的 SaaS 應用程序設置基礎架構,所以請原諒我不完全了解一切。我一直在對此進行大量研究,但仍需要一些指導。
我正在考慮將 DigitalOcean Droplets 用於 Laravel 應用程序。將有 3 個 Droplet,其中 2 個用作網站/伺服器,而第 3 個用作負載均衡器,所有這些都將使用 Laravel Forge 進行設置。將有一個數字海洋管理數據庫,兩台伺服器都將連接到該數據庫,並使用數字海洋空間來通過其 CDN 傳遞資產。
Cloudflare 將用於 DDoS 保護,但我只是想知道如何設置它,我認為它最好放在負載均衡器上,因為這是查看/連接到站點時鏈中的第一行?因此,有一個請求進來,Cloudflare 處理它,將請求傳遞給負載均衡器,然後分發到任一伺服器,然後伺服器連接到託管數據庫,從而一次性保護伺服器和數據庫。
這被認為是一個好的設置還是有更好的方法來配置它?我還認為 Spaces CDN 需要額外的 DDoS 保護,因為它是一個單獨的區域,但我不確定如何最好地處理這個問題,或者是否有辦法將 Cloudflare 用於 Droplet/Database 和 CDN。
我還閱讀了有關隱藏可用於繞過 Cloudflare 的伺服器公共 IP 的資訊,我可以採取哪些步驟來防止這種情況,從而為我提供針對攻擊的最佳保護?
將 Cloudflare 放在負載均衡器前面是可行的方法,從那時起,您的負載均衡器就只能看到“真實”流量。Cloudflare 的 DDOS 保護通過將您的 Web 伺服器“隱藏”在其 Anycast 網路後面來工作,這實質上意味著 Cloudflare 作為您網站 DNS 查詢答案的特定 IP 可在全球 100 多個地點使用,並且可能成為攻擊者那麼就不能壓倒您的 Web 伺服器,因為它們不知道如何向它發送流量,除非通過 Cloudflare。
我還建議考慮將 Cloudflare 或 DigitalOcean 用於負載平衡部分,它們都為此目的提供了專用產品,該產品更易於設置且更強大。他們還可以執行 SSL 解除安裝、記憶體和其他操作,從而大大減少 Web 伺服器的負載。
至於將 Cloudflare 放在 DigitalOcean Spaces CDN 前面,這可能有點矯枉過正,因為 DO 的 CDN 應該已經非常有能力處理 DDOS 攻擊了。