а сейчас он что, не открытый? клоудфларя голубями отправляет траф?
ну запихай на своих виртуалках в hosts домен с реал ипом и обращайся к нему по https на здоровье.

логично...

а в фаер просто вбить список своих ипов и список ипов клоудфлари. остальное в дроп

супер

Если допустим какой-то админ украл с nginx private.key то забампить инфу это не проблема. Я бы развернул на GCP openvpn access server а на виртуалках наставил бы клиентов и к нему соединялся, естественно сам VPN-сервер нужно жестко зафайрволить ACLами на доступ только от маленьких виртуалок.

привет всем)
есть кто-то, кто немного понимает в NetCat, не получается разобраться в некоторых моментах :(
а именно, как вывести две похожие рандомные статьи на странице

то есть vpn решает проблему защиты данных, а не защиты от ddos, верно?

сори, я немного чувствую себя тупым, никогда не делал таких сложных (для меня) вещей как vpn сервера)

Если Вас серьёзно решат задудосить то в этом случае не переживайте, у гугла есть свой антиддос который срежет серьёзную атаку или на худой конец заблекхолит атакующие подсети. Если Вы переживаете за ддос на свои ресурсы то есть google cloud armor для GCP, во всех остальных случаях хватит и просто allow/deny на nginx и простого iptables. Степень паранойи зависит от критичности данных которые передают маленькие виртуалки на гугл.облако, я бы сделал сразу vpn с default to deny all/allow from bob,alice, чтобы сразу решить вопрос

(В Вашем случае VPN это будет не так просто как allow/deny nginx, для начала можно и простой способ)

@XngA7f @r6_admin спасибо большое за подсказки! Я пока что настрою firewall для nginx, все равно нужно фильтровать все IP кроме cloudlare. А затем добавлю туда список виртуалок, в виртуалках пропишем в hosts доменное имя. Я еще подумаю на счет vpn, надо нормально протолкнуть эту идею. За инфраструктуру с nginx отвечаю я и тут можно чудить, а за изменения на маленькие виртуалки надо общаться и аргументировать.

Незачто. Если бы все хотя бы немного заботились о своей архитектуре и чуть о безопасности мир был бы другим.

но не факт что он был бы лучше

тогда мне пришлось бы гораздо больше знать и делать за те же деньги

не надо 🙂

Если бы он был таким как я его вижу то Вас бы небыло потому что бы всем управлял нейроИИ с полным NoOps/NoIT.

так меня и нет
у Вас ничего кроме Вашей нервной системы нет

как и у меня

собственно все моделируют нейросети и прочие штуки в этой нервной системе

поэтому Вы уже живете в таком мире