Это прям очень сложный вопрос. Каким образом вы измеряете загруженность? Дело в том, что load average мало о чем может сказать, а утилизация проце ссора уж тем более. По этому поводу достаточно хорошо написано у брендана грегга. В случае с nginx, который не знает что такое многопоточность, важнее "время отклика". То есть, очень важно: скорость работы процессора, скорость работы дисков, если предполагается много файлового IO. Также, нужно с умом подходить к конфигурированию всего этого.

насколько хватит открытых портов

если не терминировать ssl

Более того, очень важно что вы делаете. Если есть SSL, то у вас все не так радужно. Там нужен процессор.

И еще, в случае с ssl желательно использовать более-менее свежую openssl с ecdsa. Плюс к этому, выбирать алгоритмы шифрования, которые процессор умеет из коробки.

И даже если вы все это сделаете, настроите по уму, вас ждет засада. Вы не сможете так уж легко мониторить скорость работы вашего сервера, если не будете собирать RUM. Все что будет вам доступно - bcc-tools, в котором мы гипотетически сможете увидеть блокировки event loop, но для этого должны сойтись сотни звезд.

Добрый день, а для Octavia какие есть методы подключения Nginx Plus? (я конечно спрошу у их саппорта потом, но вдруг тут люди уже подключали?)

Octavia?

Да, это OpenStack LoadBalancer стандартом там идет haproxy. Но в блоге nginx есть такое https://www.nginx.com/blog/nginx-plus-cloud-load-balancer-openstack/

Спасибо за ответы!

> в случае с ssl желательно использовать более-менее свежую openssl с ecdsa

У меня openssl 1.1.1, ssl_ciphers EECDH+AESGCM:EDH+AESGCM; ECDSA нет в данное время, но A+ на sslabs получается.

Вопрос по шифрованию, кстати. Сертификат стоит на балансере, который общается по http с апстримами. Сильно ли плохо что это общение не зашифровано? С одной стороны все проще настроено и нет оверхеда по шифрованию. С другой стороны, трафик наверное при каких-то определенных условиях может быть поснифен. Все сервера в одном дц, апстримы открыты только балансеру.

А плюс не всегда хорошо на самом деле

Ну тут уже вам решать, насколько это критично. Если у вас там нет конфеденциальных данных или сетка между серверами контроллируется только вами, то какая разница что там бегает?

Чтобы вы понимали, это почти нормальная ситуация, когда между вашими серверами нет SSL. Даже гугл, который так переживает за безопасность, грешил этим в свое время.
https://habr.com/ru/post/200276/

вопрос. При заходе на сайт по урл /a/b/c/////////////

до бекенда доходит корректно, но в урл браузера остается куча слешей, как можно убрать (редирект 301) если слешей >1 подряд ?

если параноить, то ставь свой УЦ и выпускай сертификаты

разобрался спс

так nginx урезает

урезает то да надо было чтоб в урл небыло потом

но уже починил

и как?