AWS ELB + Apache httpd + Tomcat

Question

我们目前正在使用由AWS OpsWorks创建的“标准”架构。 我们已经在多台机器之前设置了AWS ELB，它使用循环算法将请求发送到一台机器（我们有无状态应用程序，没有任何cookie）。 Apache httpd + Apache tomcat安装在每台机器上（所有内容由AWS OpsWorks设置和配置）。 因此，Apache httpd处理该连接，然后通过AJP连接将其发送到Tomcat。

我想摆脱Apache httpd。 几个原因：

• 简化架构，简化配置
• 也许性能略有提高
• 更少的监视（仅需要监视Tomcat，而不必监视Apache httpd）

我已经检查了以下线程： 为什么在Glassfish或Tomcat之前使用Apache Web Server？

并没有找到我不应该从体系结构中删除apache httpd的任何原因。

但是，我知道某些应用程序在Tomcat之前具有nginx的原因如下：

• 缓慢的客户端处理（即，tomcat的工作线程已释放，但异步nginx线程发送了客户端）
• DDoS SYN（使用SYN cookie）保护

要考虑的问题：Apache httpd是否可以防止这些DDoS技术的侵害？ AWS ELB是否可以抵御这些DDoS技术？ 我应该删除apache httpd吗（鉴于我不需要列表中的任何内容）？ 我应该用nginx取代它吗？ 我应该用nginx代替它（考虑到我们在Incapsula中具有DDoS保护）？

任何其他建议/评论将不胜感激！ 先感谢您！

Answer 1

Apache httpd是否可以免受这些DDoS技术的影响？

没有Apache httpd不会自动防御DDOS攻击，您必须启用和配置安全模块。

AWS ELB是否可以抵御这些DDoS技术？

AWS ELB功能包括高可用性，运行状况检查，安全性功能通过管理关联的安全组，SSL卸载进行加密等。没有任何一种AWS ELB不受DDOS和DDoS技术的保护。

我应该删除apache httpd吗？

通过使用Apache HTTP作为前端，您可以让Apache HTTP充当通往多个Apache Tomcat实例的内容的大门。 如果您的Apache Tomcat之一发生故障，Apache HTTP将忽略它，并且您的Sysadmin可以整夜睡眠。 如果您使用硬件负载平衡器和Apache Tomcat的集群功能，则可以忽略这一点。 当您不使用AWS ELB时，此选项。

我应该用nginx取代它吗？

如果您具有Incapsula for DDOS，则无需通过添加nginx来使过程复杂化。