这看上去似乎是一个愚蠢的问题...或者很可能是一个愚蠢的问题(哈哈)...但这是我从未处理过并且知之甚少的事情。
我在数据中心有 15 台物理服务器,其中大约一半现在位于域中(该域面向公众 - 所有互联网连接的 IP 等)。我打算最终将它们全部纳入域中,但我希望在将所有内容上线之前一切顺利运行,以防我需要进行彻底的更改 :)(这是我第一次使用 Active Directory,但我有多年的非 AD Windows 管理员经验)。
每台域连接服务器都有多个 NIC,其中大多数都包含外部子网,但其中一个是一个非常基本的私有千兆 LAN。目前它没有任何 DHCP 或任何东西 - 我只是手动为每个服务器分配一个 10.5.5.x IP 地址,子网为 255.255.255.0,没有网关或 DNS。
当我需要手动将文件从一台服务器传输到另一台服务器时,这种方法很有效,到目前为止,我只用过这种方法(例如,浏览到 \10.5.5.x\c$ 或其他地方)。明显的问题是,随着这个网络上的服务器数量的增长,我记不住哪台服务器属于哪个 IP 的能力越来越弱,哈哈。
好吧,我开始比以前更加自动化,我需要学习如何更好地处理这种内部流量,当然还要更好地处理 LAN 本身。所以我想我有两个问题:
现在,如果我通过名称在我的网络上 ping 一个服务器(从我网络上的另一台服务器),ping 将解析为服务器的公共 IP,该 IP 通过 100mb/s 连接,我需要为通过数据中心路由器(例如跨子网)的带宽付费。我如何让服务器知道我希望这种类型的流量改为连接到该服务器的 10.5.5.x IP?
我是否应该考虑在网络上设置 DHCP 服务器来处理为该内部网络分配 IP,而不是像现在这样使用静态 IP?这样做有什么优点/缺点?我确实有很多资源,所以我可以很容易地投入主 DHCP 服务器和辅助 DHCP 服务器 VPS,但我不是网络专家……所以需要一些建议 :)
答案1
您确实应该研究内部 DNS,而不是 DHCP,因为通过 DHCP 分配服务器 IP 的情况相当罕见。
您最终应该会得到两个 DNS 域: - 一个供您内部使用,绝对不会暴露给互联网,例如“mycompany.local”或“internal.mycompany.com”。从您的网络外部应该无法解析此域 - 一个供外部使用,通常是 mycompany.com
您的每台服务器都会在内部域 (server123.internal.mycompany.com) 中获得一个条目,您可以在日常操作中使用这些名称。如果您正确设置了网络配置,并使用默认 DNS 域,则可以使用 server123 作为管理任务的简称。同时,您确实应该考虑在服务器前设置某种安全过滤,例如反向代理和防火墙。外部 DNS 名称将解析为分配给安全设备的公共 IP,而不是服务器本身。FW 或反向代理将执行其安全功能,然后将流量传输到适当的内部服务器,从而最大限度地减少后者的暴露。通常可以在不破坏面向客户的服务界面的情况下做到这一点。