Portal與Cache服務(wù)集成方案設(shè)計

引言：隨著互聯(lián)網(wǎng)業(yè)務(wù)的急速增加，越來越多的企業(yè)服務(wù)需要在保證內(nèi)網(wǎng)互聯(lián)的基礎(chǔ)上，進行公網(wǎng)的交互訪問。這時對于業(yè)務(wù)的訪問加速、安全增強、穩(wěn)定性鞏固，就變得越來越重要。為了提升網(wǎng)絡(luò)安全，設(shè)計并部署了Protal+Cache集成服務(wù)。

隨著互聯(lián)網(wǎng)業(yè)務(wù)的急速增加，越來越多的企業(yè)服務(wù)需要在保證內(nèi)網(wǎng)互聯(lián)的基礎(chǔ)上，進行公網(wǎng)的交互訪問。這時對于業(yè)務(wù)的訪問加速、安全增強、穩(wěn)定性鞏固，就變得越來越重要。以筆者單位為例，本地某平臺需要能夠在內(nèi)網(wǎng)環(huán)境下訪問公網(wǎng)上的某些資源，并且可以通過寬帶及手機流量訪問平臺中的某些信息。

為了提升網(wǎng)絡(luò)安全，我們沒有給相應(yīng)的服務(wù)器和終端提供直接的網(wǎng)絡(luò)環(huán)境，而是設(shè)計并部署了Protal+Cache集成服務(wù)，并利用自己的DNS平臺為用戶提供網(wǎng)絡(luò)中繼，目前平臺已經(jīng)安全穩(wěn)定運行半年。

整套平臺采用NGINX的proxy_pass和DNS解析作為核心，即反向代理功能與域名解析功能，整體網(wǎng)絡(luò)拓撲如圖1所示，其中服務(wù)器集群分布式部署在各個縣區(qū)機房，防火墻與DNS服務(wù)統(tǒng)一放置在市級機房。

圖1 平臺網(wǎng)絡(luò)拓撲圖

網(wǎng)內(nèi)擁有多臺互為備份的服務(wù)器，當公網(wǎng)用戶訪問網(wǎng)內(nèi)設(shè)備時，通過兩臺暴露在公網(wǎng)環(huán)境的服務(wù)器與防火墻互備組合，利用反向代理提供負載均衡服務(wù)。網(wǎng)內(nèi)用戶訪問公網(wǎng)設(shè)備時，使用另外兩臺部署在公網(wǎng)NAT后面的服務(wù)器與防火墻互備組合，除了提供反向代理外，還設(shè)計了緩存機制，加快訪問速度。

除上述公網(wǎng)、內(nèi)網(wǎng)互訪機制，單位還部署了自己的DNS服務(wù)，通過定向解析的方式加速服務(wù)，即：平臺的全部域名，在公網(wǎng)上正常解析公網(wǎng)地址；……