在我的环境中,我有一些通过 nginx 反向代理暴露在互联网上的 Web 服务。此外,对于其中一些服务,nginx 会进行端口转换(例如,内部 8080 -> 公共 80)。我们还有一些来自 LAN 的内部服务需要联系反向代理服务:实现此目的的最佳做法是什么?以下是我的想法:
- 在我们的内部 DNS 中创建一个虚假的 DNS 区域,因此如果内部服务联系 publicservice1.example.com ,则会直接重定向到 nginx DMZ IP
- 不要触碰任何东西,但流量会循环进入我们的网络(LAN-> Internet(公共 IP)-> DMZ 中的 nginx 反向代理)
答案1
这是主观的,但除非有任何新信息,否则我将提出以下建议:
让 LAN 客户端访问公共 IP 并路由回 DMZ。对于最终用户来说,这更简单、更清晰、更一致。
您无需解释为什么办公室缓存的 DNS 条目会阻止从家里进行访问。您无需担心水平分割同步以及保持每个记录更新。
如果您有部署水平分割的其他原因,并且您有其他以此方式配置的系统,那么请尽可能保持一致。