对不起,混合标题,但让我试着更好地解释:
我们运行的托pipe解决scheme,迄今为止支持共享主机和VPS。 很简单。
我们现在正在得到更大的客户,这需要更复杂的设置。 我们或多或less的解决了服务器设置本身,其中包括:
我们正在处理的问题是同意一个灵活和易于维护的IP设置。 到目前为止,我们已经将自己的子网中的内部服务器划分为VLAN,但是我们已经为每个服务器分配了一个正式的IP,等等。
这里最好的办法是什么? 任何最佳实践? 在前端服务器上使用一个正式的IP,然后为这些服务器设置一个内部子网?
然后,我们可以直接在3306以上直接访问例如数据库服务器的任何最终来源的NAT。
这真的取决于你的目标。 您所在地区的注册pipe理机构是否会在不考虑实际需要的情况下提供所需数量的IP地址? 您是否需要所有服务器都可以在没有NAT或用于诊断/故障排除的某种隧道的情况下进行访问? 你是否在使用IPv6的地址保护问题无论如何不重要?
至lessRIPE确实鼓励申请人不要为不需要公共访问的主机使用公共IPv4地址,而是使用虚拟主机和负载平衡器来保存IPv4地址空间。
如果将内部服务器划分到自己的VLAN和IP子网的想法是出于安全考虑,那么是的,这在某些情况下可能是有意义的。 您需要定义一个威胁模型,并查看是否会从分段中获得安全收益,从而certificate额外networking的附加pipe理开销。 但是这与使用公共IPv4地址的问题又是分开的 – 您可以设置IPfilter来满足您的需求。
所以你需要一个高而薄的堆栈,在顶部和底部有2或3个单点故障。 我可以build议,这不会是提供这项服务最可靠的方法。
虽然体系结构在某种程度上可能受到实现它的技术的限制,但是您没有提供这些细节。
在自己的子网中对内部服务器进行VLAN划分,
WTF? vlan与子网不一样。 尽pipevlans的切换速度比IP路由稍微快一些,但IME的差别与在每一层进行的处理相比是微不足道的 – 使用不同的子网在安全性方面还有额外的好处。 事实上,如果你使用单独的NIC在节点本身上实现路由,那么与vlan相比,速度并没有减慢。
在前端服务器上使用一个官方IP
pipe理负载平衡的另一个单点故障和复杂性。 至less使用2个循环DNS或上游多path。
直接超过3306
啊,最后一些有用的信息 – 这是MySQL。 然后运行复制,使用被指定为memcache服务器的机器作为另一个节点(作为故障转移或主 – 主复制中的从机),这是一件容易的事情。 另外,在这一层的两个节点上运行memcache。
从这里最好的办法是回去重新开始。