各位大佬,公司部署软件,要求 mysql ,redis ,minio 等存放数据的软件放在内网服务器上,Web 和 api 放在 DMZ 服务器上。原本我想的部署方案是 api 服务放在内网服务器,通过 DMZ 上部署 Nginx 转发访问 api 服务,这样就只需要一个端口。公司的领导说这样不安全,让把 api 放到 DMZ 服务器上,这样到内网的数据就多一层过滤,但是这样的话 api 访问内网的数据库,redis 和 minio 就需要三个端口,开端口的流程特别长,时间来不及,有其他的解决方案吗。
 |
1
opengps 4 小时 31 分钟前
“外网访问内网中的 mysql ,redis 和 minio”这事本身就不靠谱,你确定真的需要开放端口?
正常来说 mysql 类这种内网服务即使公网要用也是先拨入 vpn 再访问,而不是直接暴露公网端口。否则等于把危险请进来 |
 |
2
sagnitude 4 小时 24 分钟前
时间来不及是你的责任吗?要学会甩锅,问你进度你就说在跟进了,表格交上去了,目前在 XXX 审核阶段,需要 XXX 签字,需要领导帮忙
|
 |
3
LoNeZ 4 小时 3 分钟前
SNI
|
 |
4
zzh0410 4 小时 0 分钟前 via Android
Haproxy 可以针对协议进行分流,你可以抓包看下 tcp 头部几个字节,然后分流打不同后端。测试过 mysql ,mstsc 等,minio 这种 web 服务,再用 nginx 分流
|
 |
5
potatowish 3 小时 59 分钟前 via iPhone
那就是领导的问题,又考虑安全、又考虑进度,只能选一个,让他自己看着办
|
 |
6
caola 3 小时 44 分钟前
内网服务器和 DMZ 服务器只有一个端口?那直接用 frp 吧,稳定性是不错的
|
 |
7
jiangzm 3 小时 10 分钟前
外网为什么要直接访问内网的 mysql,redis,minio?
DMZ 服务器不应该是直接暴露给外网但自身又能访问内网的跳板机吗? 还是你们 DMZ 服务器到内网还有一层网关吗 |
 |
8
hefish 2 小时 41 分钟前
问领导啊。以领导的意见为准。
|
 |
9
cheng6563 2 小时 18 分钟前
套 SSH 呗
|
 |
10
Ipsum 2 小时 16 分钟前
外网访问数据层,你不得上个 vpn 还安全点?
|
 |
14
xuanbg 1 小时 45 分钟前
不是,外什么要在外网直接访问内网中的 mysql 、redis 和 minio 。就不能通过 VPN 先进内网嘛?
|
 |
19
julyclyde 1 小时 6 分钟前
你这属于架构设计问题啊,不是后期能打嘴仗解决的,而是前期就不该这么设计
|
Select Language