Евгений Хлебников

CNAME - не редирект
прописывая CNAME вы всего лишь направляете запросы с именем хоста www.oldsite.com на IP адрес, выданный www.newsite.com
Логично, что есть какие-то проблемы, потому что CloudFlare ничего не знает про www.oldsite.com
если вы используете именно www.oldsite.com (а не oldsite.com), для имени сайта, то трансферните в cloudflare субзону www.oldsite.com, оставив зону oldsite.com у прежнего регистратора, для того, чтобы сохранить настройки почты и прочая

вот тут объяснение: скорее всего, у вас включен неверный агент в bluetoothctl - надо включить agent KeyboardOnly чтобы вводить пины. Но может быть в вашем случае проблема не в этом - надо будет вчитываться в man bluetoothctl и искать варианты
https://stackoverflow.com/questions/34709583/bluet...

зачем редирект, не проще реврайтить на лету конвертируя к lower case, вы же все равно тем же серверам этот реквест скормите
http-request set-path %[path,lower]
если дополнительно хотите и кверю преобразовать в lower -
http-request set-query %[query,lower]
или можно вообще весь URI обработать

http-request set-uri https://%[req.hdr(Host),lower]%[path,lower]?%[query,lower]

если все же хотите редирект то

http-request redirect  code 301  location https://%[hdr(host),lower]%[capture.req.uri,lower]

примеры выше - почти все из документации HAProxy или блога HAProxy

если бэкенд сервера не резолвятся в паблик (да и в других случаях) вы можете использовать опцию ssl verify none
в бэкенде
server BACKEND_SERVER IP:443 ssl verify none
таким образом при соединении будет использованo https соединение, но не будет проверяться сертификат, который отдается бэкенд сервером
Как правило, если вы хотите проверять сертификат бэкенд сервера - хапрокси должен иметь возможность это сделать, если же бэкенды слушают на самоподписанном сертификате или внутреннем - проще ( вы же не добавите кого попало в конфиг, хотя можно и заморочиться) использовать ssl verify none

https://www.haproxy.com/blog/introduction-to-hapro... - но нужно определять параметры стикнеса самому

можно прилипнуть к кукам, которые устанавливаются из параметра квери resumableIdentifier, взяв его с помощью
https://cbonte.github.io/haproxy-dconv/2.1/configu...
пример прилипания к кукам https://www.haproxy.com/blog/enable-sticky-session...

Я, в общем то, никогда не делал такого, но начал бы с документации по `stick on` :D

вот вам максимально похоже на PoSH

Test-Connection -Ping ya.ru -count 100 | FT -HideTableHeaders {Get-Date -Format "ddd MMM dd HH:mm:ss z yyyy"},{$_.BufferSize.ToString()+' bytes'},{'from '+$_.Destination+' ('+$_.Address+'):'},{'icmp_seq='+$_.Ping},{'time='+$_.Latency+' ms'}

Учитывая, что ваши клиенты раньше работали с вашим сайтом - городить инфраструктуру и разные схемы репликации - не имеет особого смысла
Ваши варианты, которые стоит попробовать:
1. CloudFlare
настраиваете domain2.name на вашем сайте, отдаете его под управление CF
не будет работать если для cloudflare наш сайт тоже заблокирован
2. VPS\Cloud
тут схема простая
- domain2.name на VPS там, установка и настройка haproxy или nginx с прокси
- (опционально) VPN до вашего хостинга
- domain.name на вашем хостинге
Почему VPN опционален: трафик в прокси может ходить через ssl

дистриб ничем не отличается
OEM - проверка (если она вообще когда будет) будет проверять что ключ OEM установлен на том пк, с которым покупался

Я поддержу Вадим : опишите эту инфраструктуру как код и поднимайте тестовый стенд только тогда, когда вам надо
В идеале, да - лучше создать второй аккаунт AWS( и связать их в организацию для централизованного управления), чтобы изменениями инфраструктуры теста случайно не задеть прод.
Подход разделения, как описывает ваш коллега, правильный(пункты дальше описывают далеко не все кейсы, так, что в голову пришло пока ответ писал):
1. Трафик теста не пересекается с трафиком прода, что позволяет измерять нагрузку (и планировать, в том числе, расходы на инфраструктуру, у AWS вы как раз в основном за нагрузку и платите) на приложение прямо на балансировщике (если у вас все таки появится больше нагрузки и придется применять горизонтальное масштабирование - добавлять нод приложения за балансером)
2. Трафик теста не пересекается с трафиком прода - не возникнет коллизий, "лишней" нагрузки на балансировщик, всплеска ошибок в мониторинге балансировщика из-за тестового стенда
3. Правила на балансировщике могут быть обезличены(не иметь отношения к среде) и протестированы до внедрения в прод - важно для развития приложения

тот же terraform plan вам напишет почему он хочет заменить инстансы - какие параметры общей для инстансов конфигурации изменились, при невозможности их замены на лету
Если вы меняете важный элемент в настройке, который невозможно заменить без пересоздания инстанса, его надо игнорировать через lifecycle -> ignore changes
Однако так вы потенциально можете получить исключительно увеличение количества объектов
Если вы деплоите в AWS то ASG может помочь - она не пересоздает инстансы без надобности, при добавлении необходимого количества инстансов. При уменьшении, базовая политика удаления инстансов - удалять наиболее старый.

https://habr.com/ru/post/448312/
https://habr.com/ru/company/ruvds/blog/583784/
начните изучение вопроса с этих двух ссылок
В самих статьях есть еще ссылки, в комментариях тоже
Там ответы не на все ваши вопросы но поможет копать в правильном направлении (а так же есть возможность задать вопрос авторам)

P.S. в долгоиграющих планах есть ровно такая же задача, поэтому понемногу собираю данные

защита работала из коробки, без доп. манипуляций.

универсальной защиты не бывает, а это значит, что или надо будет предпринимать какие-то меры на основе того, что происходит (когда настроенная защита не предотвращает ddos), или довериться профессионалам, тем же qrator и подобным, если вы возьмете их услуги. Или же смириться с достаточным уровнем защиты от сетевых атак, которые закроют условные 80% всех случаев DDOS

решение с которого можно начать, чтобы не думать, как мне кажется, это cloudflare
aws предоставляет достаточный уровень базовой защиты всех публичных эндпойнтов, но для более продвинутой защиты используются дополнительные сервисы, за дополнительные деньги, а еще их настраивать надо. самому.

вторая строка в гугле ведет на сайт MS где написано : сбросьте биос
дампы расшифровали, что гораздо более сложно, а погуглить не захотели?