acoshift
diff --git a/‎2022/0003-assets/dropped-packets.png
127 KB b/‎2022/0003-assets/dropped-packets.png
127 KB
diff --git a/‎2022/0003-assets/gcp-ingress-limit.png
340 KB b/‎2022/0003-assets/gcp-ingress-limit.png
340 KB
diff --git a/‎2022/0003-assets/gcp-max-certs.png
130 KB b/‎2022/0003-assets/gcp-max-certs.png
130 KB
diff --git a/‎2022/0003-assets/high-packets.png
125 KB b/‎2022/0003-assets/high-packets.png
125 KB
diff --git a/‎2022/0003-no-reverse-proxy-ddos.md
Lines changed: 37 additions & 0 deletions b/‎2022/0003-no-reverse-proxy-ddos.md
Lines changed: 37 additions & 0 deletions
diff --git a/‎README.md
Lines changed: 1 addition & 0 deletions b/‎README.md
Lines changed: 1 addition & 0 deletions
@@ -0,0 +1,37 @@
+# อย่าเปิด Reverse Proxy เองถ้าไม่มีระบบป้องกัน DDoS
+
+> บทความนี้มาเล่าว่าทำไมเราถึงไม่ควรเปิด reverse proxy ให้ทุกคนเข้ามาจาก Internet ได้
+
+## เล่าที่มา
+
+เนื่องจากระบบของผมต้องรองรับ HTTPS จากหลาย ๆ domains ทำให้ไม่สามารถใช้ L7 Load Balancer ได้ เพราะโดนข้อจำกัดตรงที่จำนวน Ceritificate ที่สามารถเพิ่มได้อย่างจำกัด
+
+![gcp-max-certs](./0003-assets/gcp-max-certs.png)
+
+เลยมีความจำเป็นที่จะต้องใช้ Network Load Balancer แล้วส่งตรงเข้า Instance Group ของ Ingress ทำให้เวลามีคนเข้าเว็บ คน ๆ นั้นจะต้อง connect TCP ตรงกับ VM ของเรา
+
+## ปัญหา
+
+พอ VM เรารับ TCP ตรง ๆ จาก user ก็อาจจะมีคนไม่หวังดีส่งจำนวน network packet มาเยอะมาก ๆ จน OS ไม่สามารถ process ได้ทัน ทำให้ reverse proxy เราล่มได้
+
+![gcp-max-certs](./0003-assets/high-packets.png)
+
+ถึงแม้เราจะ scale up vCPU ไปเยอะมาก ๆ แต่ก็โดน limit จาก Cloud Provider อยู่ดี
+
+![gcp-ingress-limit](./0003-assets/gcp-ingress-limit.png)
+
+## วิธีแก้ปัญหา
+
+จริง ๆ วิธีแก้ปัญหามีหลายวิธี เช่น
+
+1. ก็ย้ายไปใช้ Cloud ที่มีระบบป้องกัน L4 DDoS สิ
+
+    มี Cloud หลายเจ้าที่มีระบบป้องกัน L4 DDoS เราสามารถย้ายทั้งระบบไป หรือจะย้ายแค่ reverse proxy ไปก็ได้ เราก็จะมีระบบป้องกัน DDoS ที่เป็น Network layer
+
+1. ใช้ DDoS Protection Provider
+
+    เช่น Cloudflare แน่นอนว่ามีค่าใช้จ่ายค่อนข้างสูง(มาก)
+
+## สรุป
+
+เราไม่ควรรัน reverse proxy แล้วเปิด port ให้เข้ามาจาก Internet ถ้า Cloud ที่ใช้ไม่มี service DDoS protection มาให้
@@ -4,6 +4,7 @@
 
 ## 2022
 
+- [0003 - อย่าเปิด Reverse Proxy เองถ้าไม่มีระบบป้องกัน DDoS](./2022/0003-no-reverse-proxy-ddos.md)
 - [0002 - Max HTTP Header Size](./2022/0002-max-http-header.md)
 - [0001 - Concurrent Queue Ratelimit](./2022/0001-concurrent-queue-ratelimit.md)