@
deyu260 以下长文,带有强烈各人主观色彩,纠结于此的人士可以考虑飘过~~~(●ˇ∀ˇ●)
上面@是因为我太浮躁,修行不够,所以没忍住吐槽。没细回原因,是基于两个“主观”的考虑:
1,不想嘴仗,不愿试着去改变对方想法,何况对方也不一定真心探讨呢,只是路过分享下而已
2,若他真心关注,他也许会追根究底ask why。结果你看到了,所以我感谢他对我蠢的评价,同时我为我的浮躁面壁。( ▼-▼ )
回你是因为,show the code and给你多一个参考,同时我再次“主观”的不想一些人受以上方式误导
(不是说他方式用不了,只是“我”主观认为他也许是在搞笑)
~~~~~~~~~~~~~我的吐槽分割线~~~~~~~~~~~~~~~~~~~~~~
idc线直接接 一个外网交换机,nginx三网卡绑定
------专门搞个外网交换机,这个算ok吧,我认可各人思维方式差异性,但nginx三网卡绑定,这不是多次一举么(2个足矣),目测题主这点服务器,千万别扯我要加强3倍带宽,再然后4个端口要占掉一个外网交换机·····我更呵呵呵呵呵,我就不说ip管理事情了
-----要冗余。就2组堆叠 还要上4台交换机------
有钱我也不这么干!题主才10台服务器,为了你心中的冗余效果,上到4台交换机!!真是好经验!!
----最后,这么诚恳的真心说,我才不会选择防火墙呢---------
不选就不选呗,尊重你,可我终究还是太嫩太浮躁,听他最后强调这句还这么诚恳的话总是想笑笑
以上吐槽我没@他,是这些吐槽本身就是笑笑背后的,没想与人分享的。
~~~~~~~~~~~~~准备让各位来吐槽的分割线~~~~~~~~~~~~~~~~~~~~~~
至少一台防火墙,一台交换机(担心这两个设备挂掉考虑冗余,请自行+1)
防火墙负责安全区域隔离(我以juniper防火墙为例)
untrust区域接idc给的线路,idc如果直接分公网ip,那么最少1个,两个最佳, 1个用来配接口ip,一个专门负责做vip映射,这样我可以通过(映射+策略)控制方式随便“直接”远程管理我的里面10台服务器和发布服务,
trust选择放数据库,
dmz区域选择放nginx和web。
三个区域默认全隔离,根据需求开最小化权限!当然你也可以按你自己需求规划区域和起名。
对比下用外网交换机方案,优势不言而喻吧
(几个服务器对公网,就要几个公网ip,想管理服务器,你要么全部配个公网ip,要么某个服务器公网ip,然后内部跳登。 关于公网ip的安全问题,= = 我知道你也许会说,我还有linux防火墙呢,怕啥? 对对!不怕,可你都不怕,我还多了个硬件防火墙,我更不怕,我还更灵活,配置,维护更方便呢,而且我还带附加属性的!!再说我一个ip足矣,哦 忘了你也可以iptable 实现 呵呵! (¬︿̫̿¬☆)
什么···你说专门防火墙价格好贵啊,浪费。你都四个交换机了啊,何况作为码农的们一个月动不动20k 30k,而在马云家搜索防火墙,那价格 吓屎了(-。-;))
24口交换机*2 只用二层功能即可 ( 10*2业务口+10*1管理口+3*2上行防火墙+2*2口互联=40口)
nginx,web服务器划一个vlan,服务器网关是防火墙
数据库单独一个vlan,服务器网关是防火墙
服务器2个网卡绑定,分别接A,B交换机。
最后,若考虑所有设备的带外管理,可再划分一个vlan,防火墙再启用一个接口。
双线路接入问题的话,也是很常见吧,比如,默认电信,明细走联通,分别配vip映射
最后,避免处女座人纠结文字太多。。
附简图
http://pan.baidu.com/s/1c0dFWRI