Антон Пацев, хорошо, раз в другом, отвечаю так - постгрес занимает (стремится занимать) столько памяти, сколько ему разрешено соответствующими настройками. Сама по себе метрика использования памяти для мониторинга бесполезна.
meekes, ну вот, значит по SSH нужно куда-то зайти. "Куда-то" - это должен быть либо сервер, доступный из интернета, либо какой-то локальный, но при это у вас должен быть доступен внутренний сегмент компании.
Сергей, именно поэтому я и сделал оговорку "кроме самых обалдевших УЦ". Слава богу, теперь эти проблемы в прошлом, поскольку Let`s Encrypt даст всем этим бездельникам прикурить.
interprise, при такой настройке, как я указал, все клиенты, подключенные к OpenVPN-серверу, вне зависимости от того, через какие DNS-серверы резолвит хосты этот сервер, получат в настройках 8.8.8.8 и, скорее всего (тут возможны варианты) начнут резолвить через него, передавая соответствующий трафик через туннель.
Если же под фразой "независимо от настроек сервера" вы имеете в виду тот факт, что нет возможности менять конфиг OpenVPN-сервера - это другое дело. Тогда поможет захардкоженный DNS-сервер в настройках OpenVPN-клиента и прописанный вручную маршрут до 8.8.8.8, если на OpenVPN-сервере не настроено какой-либо блокировки.
З.Ы. - посмотрите директивы script-security и up в мануале openvpn.
Относительно причин, почему внутри не используют HTTPS - это как минимум оверхед по ресурсам и более сложная диагностика, если, например, нужно что-нибудь выловить в дампе трафика.
В вашем случае я бы оставил внутри сертификаты как есть, nginx`у в режиме проскирования всё равно, что внутри - валидный ли сертификат, самоподписанный или просроченный. Основная цель единого гейта - удобство последующего обслуживания (все конфиги и логи в одном месте, гейт можно легко мигрировать на другую виртуалочную ноду и т.д.) и единообразие получения сертификатов.
АртемЪ, Хоть ТС и не конкретизировал, с высокой долей вероятности речь идёт именно о listen-портах. Для ната в таких случаях используется пул адресов, да.
