У нас есть 4 сервера, работающих в центре обработки данных, с назначенным внутренним IP: 192.168.3. *. Аппаратный (FORTIGATE) межсетевой экран настроил NAT, и он будет вести трафик как: внешний IP:
111.222.333.10 -> 192.168.3.10 www.server1.com
111.222.333.11 -> 192.168.3.11 www.server2.com
111.222.333.12 -> 192.168.3.12 www.server3.com
В DNS у нас есть www.server1.com A 111.222.333.10.
Теперь, если я отправлю много данных на www.server1.com с www.server2.com, данные будут отправлены через 111.222.333.10 (внешний IP-адрес), и это приведет к огромному использованию полосы пропускания (дорого!).
Моя работа заключается в том, чтобы добавить отображение локального хоста на server2:
192.168.3.10 www.server1.com.
Таким образом, при отправке файлов с server2 на www.server1.com они будут внутренними.
Однако у нас появляется все больше и больше серверов, было бы сложно вручную добавить сопоставление на каждый сервер.
Просто интересно, есть ли у нас другое решение для этого? Можем ли мы что-нибудь сделать в фаерволе FORTIGATE?
пс. Используемый DNS-сервер является общедоступным, например opendns, Google dns и т. Д.
Вы можете получить внутренние адреса из /etc/hosts файл. Вам нужно будет скопировать это на все серверы. Если вы не можете настроить файл так, чтобы он имел приоритет над DNS-серверами, вы можете настроить dnsmasq на сервере и передать ему файл hosts. Затем настройте серверы для обращения к нему.
Что вы используете для DNS-серверов? Вы полагаетесь на то, что можете контролировать?
Если вы можете контролировать DNS-серверы для всех машин, вы можете настроить раздельный DNS. На самом деле это еще проще, если вы используете DNS-сервер только для своей локальной сети. Вам просто нужно настроить его так, чтобы он возвращал 192.168.3.10 для server1.com вместо общедоступного IP-адреса.
Нет, ваша внешняя пропускная способность не должна зависеть от 192.168.3.10 общение с www.server2.com.
Трафик будет перенаправлен с server1 на fortigate, затем fortigate отправит его на server2. Он никогда не будет проходить через внешнюю сеть на фортигате.
Статический файл хоста на каждом сервере - лучший способ. Напишите его один раз, а затем используйте простой скрипт, чтобы отправить его на каждый хост. Ваша альтернатива - запустить собственный DNS-сервер и создать разделенный DNS, где внутренние хосты получают локальный IP-адрес, а другие - нет.