ky0

В верстальщике у вас баг, а не в нгинксе.

Ограничить доступ по расширению файла легко - достаточно добавить соответствующий локейшен.

Если не нужна высокая производительность и надёжность - ставьте.

Релевантная статья: https://habr.com/ru/company/southbridge/blog/329876/

Даже 100 мсек на таблицах такого размера - это много. Первое, что приходит в голову - СУБД не хватает памяти/проца, либо она не настроена (это касается и нужных индексов).

Если оба впна хотят у вас установить свой маршрут 0.0.0.0/0, то одновременно без приседаний никак. Если же эниконнект пушит только отдельные адреса/подсети - проблем быть не должно. Лично у меня спокойно сосуществуют опенвпн, wireguard и anyconnect.

"Конкретные сайты" видны в начальных пакетах HTTPS, заблокировать их можно только в этот момент (до внедрения ECH, поскорее бы). Лучше всего для этого подходит HTTP-прокси в прозрачном режиме.

Нужно перечитывать конфиг squid каждую секунду или быстрее

Вы явно что-то делаете не так.

Докер именно для этого и нужон. Настраивайте.

Вангую, что где-то стоит return, которому на deny начхать.

Выяснить, на какой стадии происходит неполадка и устранить её.

А где настройки шифрования-то? Сертификат, ключ и т. д?

HTTP? Всё выпускать наружу через отдельный сервис типа нгинкса/ингресса, там же терминировать шифрование и выпуск сертификатов. Как сервисы будут общаться между собой локально - непринципиально.

Хаускипинг при использовании постгреса можно легко заменить партиционированием таблиц с последующим их дропом.

В целом, на таких масштабах, наверное, правильнее юзать SSD.

Никаким, покупайте на авито б/у, пока всё окончательно не закончилось. Ну или готовбтесь к карению мануалов на китайском.

Это не ребята хитрые, а вы. Но на каждую хитрую попу, как известно...

Давно существует набор бест-практиксов от практически любого производителя железа - с указанием конкретных моделей, топологиями, способами масштабирования и т. д. В качестве примера можете взять одну из первых ссылок гугла по фразе "cisco network design best practices".

Почему cut-то сразу, когда есть гораздо более гибкий awk '{print $какой-там-у-вас-номер-поля}'?

Докер без бубна в WSL (даже версии два) не работает. У меня были потуги обойтись без виртуалки в винде - но на докере терпение закончилось и я взгромоздил настоящую Убунту в виртуалбоксе, что решило 99% проблем.