У меня есть 3 подсети в Amazon VPC: общедоступное, частное приложение, частная база данных. Мои веб-серверы в настоящее время находятся в подсети частных приложений и используют экземпляр NAT для доступа в Интернет.
Мне нужно настроить почтовый сервер Win 2012, который также будет использоваться для Jabber и других служб. Я надеялся использовать ту же настройку, что и серверы приложений, чтобы любые веб-сайты на почтовом сервере использовали Elastic Load Balancer для добавления общедоступного адреса, а затем я подумал добавить ENI с общедоступным адресом для почтового IP-адреса и второго адрес для Jabber.
Я хотел сделать его более безопасным, разместив его в частной подсети, но если общее правило заключается в размещении их в общедоступных подсетях, я учту это.
ELB хорош для HTTP и HTTPS, но может быть проблематичным для других протоколов ... Для полного контроля над балансировкой нагрузки / безопасностью периметра используйте haproxy-бокс с общедоступным эластичным IP-адресом в сочетании с правилами группы безопасности ec2 vpc и iptables на основе хоста
«Общее» правило - трехуровневая архитектура.
Обычно это подходит для веб-серверов с динамическим контентом и базой данных.
Первый уровень: Frontend - Webserver - в вашем случае - общедоступный IP
Второй уровень: здесь выполняется работа - сервер приложений - в вашем случае: сервер электронной почты.
Третий уровень: база данных - в вашем случае допустимые группы хранения для почтового сервера.
В вашем случае первый уровень может содержать балансировщик нагрузки, брандмауэр веб-приложений или просто выделенный брандмауэр.