Windows IIS-ARR 负载平衡器是否可以使用 MAC 绑定 IP,或者 ARR 负载平衡服务器必须具有虚拟 IP。我指的是这个 ARRhttps://docs.microsoft.com/en-us/iis/extensions/configuring-application-request-routing-arr/http-load-balancing-using-application-request-routing。我想检查这个可行性,因为虚拟 IP 比为 ARR 服务器获取 MAC 绑定 IP 的成本高得多。
答案1
通过以太网使用 TCP/IP,所有 IP 地址都需要进行 MAC 绑定才能进行通信。
”虚拟 IP” 与”mac 绑定 IP”仅仅是您的 ISP 的一种推销手段,使用以太网时所有 IP 地址实际上都是 mac 绑定的。
所谓的“mac 绑定”ip 只是 ISP 网络实施的过滤器,配置为需要预定义的 mac 地址才能使用预定义的 ip 地址。这是您的 ISP 确保只有一台计算机正在使用连接的简单方法。这项措施可以通过 NAT 网关(即位于 ISP 和使用连接的计算机之间的代理,例如防火墙)轻松规避。
因此,回答是,IIS/ARR 的功能与“虚拟 IP 连接”服务器和“mac 绑定连接”服务器一样好。您的服务器实际上无法区分两者。但是,ISP 网络部门和 ISP 计费部门将看到差异,如果您尝试将 ISP 提供的 IP 地址绑定到具有与在 ISP 注册的 MAC 地址不同的 MAC 地址的另一个网络适配器,您也会看到差异。
但是,将服务器直接连接到互联网并不安全。您应该将防火墙直接连接到互联网,让它向您的 ISP 提供自己的 MAC 地址并声明公共 IP 地址,然后将您的 IIS 服务器连接到该防火墙的内部网络并使用来自内部地址空间的私有地址对其进行配置。
使用防火墙中的端口转发,您可以使内部的 IIS(使用私有地址)从外部的互联网(使用公共地址)访问。通过这样做,您不仅可以以最基本的方式保护您的服务器,还可以绕过以“mac 绑定 ip 地址”的形式出售给您的 ISP 过滤器(ISP 甚至看不到您服务器的 mac 地址,只能看到防火墙的 mac 地址)。使用防火墙中的端口转发,您实际上可以通过“mac 绑定”ip 地址发布任何数量的服务器,因为您的 ISP 只会看到防火墙 mac 地址,因为您的服务器 mac 地址将隐藏在其后面。
这是推荐的方法,也是行业最佳实践(但不是唯一的方法)。但是,您应该查看与 ISP 的协议,看看他们是否限制了允许通过防火墙发布的服务器数量,这关乎您的良心和 ISP 的法律部门。