複数のIPアドレスとリバースプロキシ/ Apacheの書き換え
私たちは中小企業であり、内部ボックスに最適なアーキテクチャを決定しようとしています。いくつかの開発、本番、ステージング環境があります。それらはすべて公的にアクセス可能です(ただし、もちろんパスワードによって制限されています)。
かなり単純な必要性のために、私は実際には各ボックスに複数のIPアドレスを持つ必要はないと思います。不必要な複雑さを追加するようです。代わりに、この段階では、リバースプロキシ(Squidなど)を使用して単一のパブリックIPアドレスを使用するか、Apacheで書き換えを使用してリクエストを適切なサーバーに転送する方がよいと考えています(ドメイン名によって異なります)。
あなたの考えは何ですか?私はこれを間違えましたか?組織の規模に関係なく、複数のIPアドレスを使用する方法がありますか?通常、どのようなアプローチを選択しましたか?
リバースプロキシには、イカよりもニスまたはha-proxyの方がいいと思います。ただし、個別のIPアドレスを使用すると、柔軟性が大幅に向上します。 sshなどのさまざまなプロトコルを使用してリモートでボックスにアクセスする場合。プロキシにはもう1つの層が必要であり、パフォーマンスに影響を与え、診断を複雑にします。
内部Webサーバーへの書き換え/プロキシにはApacheを使用しており、非常にうまく機能します。ただし、パターンに一致する最初のルールが選択されるため、サーバー上で仮想ホストをセットアップする方法に注意してください。順序は重要です。たとえば、転送先のデフォルトまたはフォールバックの場所(メインサイトなど)がある場合は、最後にする必要があります。
また、SSLは少し注意が必要です。 * .yourdomain.comのワイルドカード証明書が必要になり、転送するには各仮想ホストのURLマッチングを使用します。ワイルドカード証明書は少し注意が必要ですが、それほど悪くはありません。
Apacheを使用して適切な内部サーバーにプロキシバックすることによる継承の問題は見られません。 dev.foo.com、test.foo.comなどを使用できるようにwindcard DNSを設定してから、対応するプロキシルールを使用してvhost定義を設定し、適切なボックスにルーティングします。そうは言っても、これを行うにはいくつかのツールを使用できます。 Apacheだけが解決策ではありません。
証明書に関しては、有効な開発/テスト証明書が絶対に必要でない限り、独自のワイルドカード証明書を作成するだけです。
また、Squidは優れたFORWARDプロキシですが、逆にかなり重い/がらくたです。