Somos uma empresa de pequeno porte e tentamos decidir sobre a melhor arquitetura para nossas caixas internas. Temos alguns ambientes de desenvolvimento, produção e preparação. Todos eles são publicamente acessíveis (mas, obviamente, restritos por senha).
Para uma necessidade bastante simples, eu realmente não vejo a necessidade de ter múltiplos endereços IP para cada caixa. Parece adicionar complexidade desnecessária. Ao invés disso, estou debatendo que é melhor, neste estágio, ter apenas um endereço IP público com um Proxy Reverso (por exemplo, Squid) ou apenas reescrever no Apache para encaminhar os pedidos para os servidores apropriados (dependendo do nome do domínio).
Quais são seus pensamentos? Eu entendi errado e vários endereços IP são o caminho a percorrer, independentemente do tamanho da organização? Qual abordagem você escolheu normalmente?
Eu preferiria verniz ou ha-proxy sobre lula para proxies reversas. No entanto, ter endereços IP separados oferece muito mais flexibilidade - por exemplo, se você quiser acessar as caixas remotamente usando diferentes protocolos, como o ssh. Proxying também envolve mais um nível, afetando o desempenho e complicando os diagnósticos.
Usamos o apache para reescrever / proxing em servidores web internos e funciona muito bem. No entanto, tenha cuidado ao configurar seus hosts virtuais no servidor, pois a primeira regra que corresponde ao padrão é a escolhida. A ordem pode ser importante. Por exemplo, se você tiver um local padrão ou de retorno para encaminhar para (como seu site principal), ele precisará ser o último.
Além disso, o SSL fica um pouco mais complicado. Você precisaria de um certificado curinga para * .seudominio.com e, em seguida, usaria a correspondência de URL para cada host virtual a ser encaminhado. Os certificados curinga podem ser um pouco mais complicados, mas não tão ruins.
Eu não vejo nenhuma maldade herdada com o uso do Apache para fazer o proxy de volta para os servidores internos apropriados. Basta configurar o windcard DNS para que você possa ter dev.foo.com, test.foo.com, etc, em seguida, configure as definições de vhost com as regras de proxy correspondentes para rotear de volta para as caixas apropriadas. Dito isso, você pode usar algumas ferramentas para fazer isso; O Apache não é a única solução.
Quanto a certs, a menos que você realmente precise de certificados válidos de dev / test, basta criar seu próprio certificado curinga.
Além disso, o Squid é um bom proxy FORWARD, mas é bem pesado / lixo o contrário.