大家好,请问 反向代理 后,真实的服务器地址有必要 ssl 吗?

2021-05-19 08:12:19 +08:00
 frontEnd2020

域名解析在 A 服务器,并且配置了 ssl,所有访问都是 https,

然后 nginx 配置了反向代理到 B 服务器,B 是实际的服务器,存储了 前台 dist 文件夹、server.bundle.js 、数据库,

假设 B 服务器上的文件需要保证安全(并配置了其他安全策略,如禁止 root 远程 ssh 、隐藏真实服务器 ip 和版本号),

那么 有必要给 B 服务器单独配置域名 以及 ssl 吗?

我主要的疑惑是:B 单独配置了域名以及 ssl 和 直接是 ip 的情况下,安全效果是一样的还是有差异?

谢谢。

4788 次点击
所在节点    NGINX
29 条回复
frontEnd2020
2021-05-19 10:20:56 +08:00
@brader 好的,我得研究下内网方案。
frontEnd2020
2021-05-19 10:22:29 +08:00
@gam2046 明白,多谢提醒。
frontEnd2020
2021-05-19 10:32:49 +08:00
@yanzhiling2001 后端 B 屏蔽除了后端 A 之外的全部访问 -- 这个思路挺好的,我学习下。
gam2046
2021-05-19 11:05:57 +08:00
@ryd994 #20 这个其实和具体业务有关,如果通讯量比较大的情况下,其实 SSL 还是很费 CPU 的。握手的开销更多是网络 IO 慢。当然啦,如果调用量不大,可以无脑上 SSL,绝大多数情况下,机器性能是过剩的。

我以前做过一个中间件,内网调用也走的 HTTPS (调用频率比较高全天基本稳定在一个数值,没有低谷期),业务服务器 CPU 大量都被 nginx 占用了,后面找运维大哥说明一下情况,内网不再使用 HTTPS 后(同时为确保安全,只接受固定 IP 的请求),机器负载明显降低了。
iBugOne
2021-05-19 11:31:25 +08:00
如果两个机器有一边有公网地址的话,那么通过 WireGuard 建一个加密的端到端“内网”也是个不错的办法,只要两台机器都不被入侵,走 wg 内网也可以不用 SSL
no1xsyzy
2021-05-19 12:24:39 +08:00
@frontEnd2020 走公网可以 cloudflared,甚至不需要公网 IP (自带内网穿透
daimaosix
2021-05-19 17:23:50 +08:00
如果 AB 在同一内网下的话,可以不加,如果 AB 跨公网还是加上吧。
frontEnd2020
2021-05-19 20:12:27 +08:00
@iBugOne 好的,多谢,我简单了解了下,WireGuard 的原理是生成一个虚拟网卡,然后通过这个虚拟网卡通信,我学习下。
frontEnd2020
2021-05-19 20:23:00 +08:00
@no1xsyzy 好的哈,这方案挺有意思。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/777808

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX