我们有一组供业务应用程序使用的内部服务。
有些是通过 IP 定义的。我们正在考虑将它们全部替换为服务子域,而不是指向私有 IP。
例子:
- data.corp.com
- reporting.corp.com
我们可以将其添加到我们的路由器并简单地将它们设为私有,但由于 VPN 和全球办事处的存在,这还不够。
因此,我们正在考虑为实际域创建子域并将其绑定到本地 IP。
这是否违反建议?这在某种程度上会将我们的内部结构和我们服务的私有 IP 暴露给所有人,如果有人能访问网络,他们就知道该去哪里找。
除此之外我看不到任何危险。
答案1
您真正需要做的是为内部和外部使用设置单独的 DNS 区域,其中外部视图是内部视图的子集,仅包含引用可从公共 Internet 访问的公共 IP 地址空间中的 A 记录的名称(假定有防火墙),而内部视图包含所有内容,并且所有内部网络上的业务用户都可以访问,包括那些使用 VPN“进入内部”的用户。这非常常见,可以使用单个 DNS 服务器上的“视图”来完成,或者您可以拥有两组不同的 DNS 服务器,这完全取决于您使用的 DNS 服务。
谷歌是你的朋友,搜索“split DNS and BIND”。那里有很多示例/操作方法。