Извините за перепутанное название, но позвольте мне попытаться объяснить лучше:
У нас есть хостинговое решение, которое до сих пор поддерживало виртуальный хостинг и VPS. Достаточно просто.
Сейчас у нас появляются более крупные клиенты, которым требуется более сложная настройка. Мы более-менее определились с самой настройкой сервера, которая будет состоять из:
Проблема, с которой мы имеем дело, заключается в согласовании гибкой и простой в обслуживании настройки IP. До сих пор мы занимались VLAN, объединяющей внутренние серверы в свою подсеть, мы думали о назначении официального IP-адреса каждому серверу и так далее.
Что здесь будет лучшим подходом? Какие-нибудь лучшие практики? С помощью один официальный IP на сервере Frontend, а затем просто настроить внутреннюю подсеть для серверов, стоящих за этим?
Затем мы могли бы просто использовать NAT в любых возможных источниках, необходимых для доступа, например, к серверу БД напрямую через 3306.
Это действительно будет зависеть от ваших целей. Может ли регистрирующий орган в вашем регионе выдать необходимое количество IP-адресов, не подвергая сомнению фактическую потребность? Вам нужно, чтобы все серверы были доступны без NAT или какого-либо туннелирования для целей диагностики / устранения неполадок? Вы используете IPv6, где вопросы сохранения адреса в любом случае не имеют значения?
По крайней мере СОЗРЕТЬ поощряет кандидатов не использовать общедоступные адреса IPv4 для хостов, которые не необходимость общедоступный доступ и вместо этого используйте vhosts и балансировщики нагрузки, чтобы сохранить адресное пространство IPv4.
Если ваша мысль о сегментировании внутренних серверов на собственную VLAN и IP-подсеть возникла из соображений безопасности, тогда да, в определенных случаях это может иметь смысл. Вам нужно будет определить модель угрозы и посмотрим, будет ли выигрыш в безопасности от сегментации, которая оправдывает дополнительные издержки управления для дополнительной сети. Но это опять же отдельно от вопроса использования общедоступных адресов IPv4 или нет - вы можете настроить IP-фильтры в соответствии с вашими потребностями в любом случае.
Итак, вам нужен высокий тонкий стек с двумя или тремя точками отказа вверху и внизу. Могу ли я предположить, что это будет не самый надежный способ предоставления услуги.
Хотя архитектура может до некоторой степени ограничиваться технологиями, которые ее реализуют, вы не предоставили подробностей об этом.
VLAN для внутренних серверов в своей собственной подсети,
Какого черта? Vlan - это не то же самое, что подсеть. Хотя виртуальные локальные сети переключаются немного быстрее, чем IP-маршрутизация, для IME разница тривиальна по сравнению с обработкой, происходящей на каждом уровне, а использование отдельных подсетей дает дополнительные преимущества с точки зрения безопасности. Действительно, если вы реализуете маршрутизацию на самих узлах с отдельными сетевыми адаптерами, то замедления по сравнению с vlan не будет.
Использование одного официального IP-адреса на Frontend-сервере
Еще одна единственная точка отказа и сложности в управлении балансировкой нагрузки. Используйте как минимум 2 с циклическим перебором DNS или восходящим потоком с несколькими путями.
прямо через 3306
Ах, напоследок полезная информация - это MySQL. Тогда нетрудно запустить репликацию, используя машину, выделенную в качестве сервера кэша памяти, в качестве другого узла (либо в качестве подчиненного устройства при аварийном переключении, либо в качестве репликации мастер-мастер). Кроме того, запустите memcache на обоих узлах на этом уровне.
Лучший подход отсюда - вернуться и начать заново.