Мы - малый бизнес и пытаемся выбрать лучшую архитектуру для наших внутренних боксов. У нас есть несколько сред разработки, производства и подготовки. Все они общедоступны (но, конечно, ограничены паролем).
Для довольно простой потребности я действительно не вижу необходимости иметь несколько IP-адресов для каждого ящика. Кажется, добавляет ненужной сложности. Вместо этого я спорю о том, что на данном этапе лучше иметь только один общедоступный IP-адрес с обратным прокси (например, Squid) или просто использовать перезапись в Apache для пересылки запросов на соответствующие серверы (в зависимости от имени домена).
Что ты думаешь? Я ошибаюсь, и использование нескольких IP-адресов подходит независимо от размера организации? Какой подход вы обычно выбираете?
Мы используем apache для перезаписи / проксирования на внутренние веб-серверы, и он работает очень хорошо. Однако будьте осторожны при настройке виртуальных хостов на сервере, поскольку первое правило, которое соответствует шаблону, - это то, которое выбрано. Порядок может иметь значение. Например, если у вас есть место по умолчанию или резервное место для пересылки (например, ваш основной сайт), оно должно быть последним.
Кроме того, SSL становится немного сложнее. Вам потребуется сертификат с подстановочными знаками для * .yourdomain.com, а затем использовать сопоставление URL-адресов для каждого виртуального хоста для пересылки. Сертификаты с подстановочными знаками могут быть немного сложнее, но не так уж и плохо.
Я не вижу ничего плохого в использовании Apache для прокси-сервера на соответствующие внутренние серверы. Просто настройте DNS windcard, чтобы у вас были dev.foo.com, test.foo.com и т. Д., А затем настройте определения vhost с соответствующими правилами прокси-сервера для возврата в соответствующие поля. Тем не менее, вы можете использовать несколько инструментов для этого; Apache - не единственное решение.
Что касается сертификатов, если вам абсолютно не нужны действительные сертификаты для разработки / тестирования, просто создайте свой собственный сертификат с подстановочными знаками.
Кроме того, Squid - хороший прокси FORWARD, но он довольно тяжелый / хреновый наоборот.
Я бы предпочел varnish или ha-proxy вместо squid для обратного проксирования. Однако наличие отдельных IP-адресов дает гораздо большую гибкость - например, если вы хотите получить доступ к ящикам удаленно, используя разные протоколы, такие как ssh. Проксирование также влечет за собой еще один уровень, влияющий на производительность и усложняющий диагностику.