Jak przyspieszyć serwer bez wymiany sprzętu?
Optymalizacja wydajności zaczyna się od diagnozy. Najczęściej winne są nieaktywne moduły Apache’a, przestarzałe wersje PHP oraz brakujące indeksy w bazach danych. Po przeprowadzeniu standardowego audytu potrafimy zredukować czas odpowiedzi nawet o 40% bez dodatkowych inwestycji.
Sprawdź szczegóły
Zacznij od włączenia modułu mod_deflate i kompresji odpowiedzi. Następnie ustaw opcache.enable=1 w PHP — wystarczy to, by zmniejszyć zużycie CPU o 15–20%. Na koniec przepnij bazę danych na innodb_buffer_pool_size równy 70% dostępnej pamięci RAM. Te trzy kroki kosztują zero złotych, a efekt jest natychmiastowy.
Kopie zapasowe, które naprawdę działają
Testujemy każdą kopię w cyklu 30-dniowym. Tylko taka praktyka daje pewność, że w dniu awarii nie usłyszysz „plik jest uszkodzony”. Stosujemy regułę 3-2-1: trzy kopie, dwa nośniki, jedna poza siedzibą.
Co to oznacza w praktyce?
Pierwsza kopia trafia lokalnie na dysk w systemie BTRFS z włączoną kompresją i automatycznymi migawkami. Druga wędruje przez szyfrowane rsync do serwera off-site w innym datacenter. Trzecia — najważniejsza — jest zapisywana na taśmie LTO i przechowywana w sejfie ognioodpornym. Regularnie sprawdzamy integralność hash-em SHA-256. Dzięki temu nawet atak ransomware nie jest w stanie pozbawić Ci dostępu do danych.
Bezpłatne certyfaty SSL bez wychodzenia z biura
Let’s Encrypt to już standard, ale wciąż wiele firm zapomniało o automatyzacji odnowień. W efekcie strona przestaje działać dokładnie w najmniej odpowiednim momencie. My wdrażamy certbot w trybie DNS-challenge, dzięki czemu nie musisz otwierać portu 80.
Jak to działa?
Skrypt generuje token i aktualizuje rekord TXT w Twojej domenie przez API dostawcy DNS. Po weryfikacji certyfiat jest wystawiany i instalowany. Całość odbywa się co 60 dni bez Twojego udziału. W ten sposób zabezpieczamy nie tylko główną witrynę, ale też subdomeny poczty, panelu zarządzania i usług zewnętrznych.
Monitoring, który budzi administratora wcześniej niż klient
Używamy stosu Prometheus + Alertmanager z własnymi regułami opartymi na SRE. Średnio otrzymujemy alert 3 minuty przed tym, zanim użytkownik zauważy problem. Dzięki temu możemy reagować jeszcze zanim awaria stanie się faktem.
Co dokładnie obserwujemy?
Poza podstawowymi metrykami typu CPU, RAM, HDD monitorujemy slabinfo, liczbę otwartych plików, wskaźnik błędów SMART, czas odpowiedzi każdej pojedynczej kwerendy oraz ruch sieciowy pod kąmem anomalii. Jeśli którykolwiek z parametrów przekroczy 2-średnie odchylenie standardowe, wysyłamy powiadomienie na Slacka i SMS-y do dyżurnego. Taka precyzja pozwala nam utrzymywać 99.9% SLA.
Firewall bez wydawania złotówki
Nie potrzebujesz drogiego urządzenia, żeby filtrować ruch. Wystarczy Debian z NFTables i zestaw reguł przygotowanych przez nasz zespół. W ten sposób blokujemy ataki DDoS, skanery portów i brute-force SSH już na poziomie łącza.
Jak wygląda konfiguracja?
Tworzymy zestaw łańcuchów: input, forward i output. W input odrzucamy wszystko oprócz portów 22, 80, 443 z limitem 10 połączeń na minutę z jednego IP. Do forward przepuszczamy tylko zdefiniowane podsieci VLAN-owe. Na koniec włączamy conntrack, by monitorować sesje i automatycznie blokować nietypowe zachowania. Konfiguracja zajmuje 15 minut, a chroni lepiej niż markowe firewalle za kilkanaście tysięcy.