Jump to content

magheinz

Members
  • Content Count

    2,323
  • Joined

  • Last visited

Community Reputation

99 Good

2 Followers

About magheinz

  • Rank
    Board Veteran
  • Birthday 11/12/1980

Webseite

Recent Profile Visitors

3,685 profile views
  1. nimm haproxy. du brauchst ein frontend und für jeden der dienste ein backend, welches per acl unterschieden wird. (vorsicht, ganz grob!) frontend foobar bind IP:80 bind IP:443 ssl crt /etc/ssl/certs/mysite.pem http-request redirect scheme https unless { ssl_fc } use_backend foo_servers if { path_beg /foo/ } use_backend bar_servers if { path_beg /bar/ } backend foo_server balance roundrobin cookie SERVERUSED insert indirect nocache option httpchk HEAD / default-server check maxconn 20 server foo_Server01 IP1-intern:80 cookie serv
  2. The basic definitions are simple: A reverse proxy accepts a request from a client, forwards it to a server that can fulfill it, and returns the server’s response to the client. A load balancer distributes incoming client requests among a group of servers, in each case returning the response from the selected server to the appropriate client. hab ich bei nginx geklaut: https://www.nginx.com/resources/glossary/reverse-proxy-vs-load-balancer/ nginx kann halt noch viel mehr. Wer viel mehr kann macht auch viel mehr Fehler.
  3. Sonst wäre es ja ein reiner Loadbalancer... Aber ja, mit einem reverseproxy kannst du natürlich alle Zugriffe Steuern, verändern etc. z.B. terminieren die SSL-Verbindungen bei uns am Ha-proxy. Von dort werden nur ganz bestimmte Verbindungen weitergereicht. Allerdings wird Exchange demnächst hinter die netscaler wandern und alle https-Verbindungen werden, soweit möglich, mit einem zweiten Faktor abgesichert. Weil ha-proxy genau dafür da ist. nginx ist in erster Linie ein Webserver.
  4. Für die Juristen bedeutet es: Die Regel ist so, aber es gibt Ausnahmen. Es ist also eine Abschwächung der Aussage. Ich wollte ja keine Pauschalaussage treffen natürlich nicht. Aber um z.b. über einen ha-proxy auf den exchange zu kommen musst du zwei Systeme aufmachen und nicht nur eins. Außerdem kann ich am vorgelagerten LB/reverseproxy bei vielen Protokollen noch eine extra Authentifizierung einbauen Also: automatisch macht es nichts sicherer, aber es bringt zahlreiche Möglichkeiten, das ganze System sicherer zu machen.
  5. ich finde ICH nicht pauschal. andere können das ja anders machen. Bei mir stehen in der DMZ grundsätzliche keine Windowsserver, sondern maximal Loadbalancer/Reverseproxys die dann verbinden. In anderen Umgebungen mag es sinnvolle andere Lösungen geben.
  6. Sind ein paar Klicks im Webinterface. trivialer gehts nicht. ich würde nie einen Windowsserver direkt ins Internet stellen...
  7. Wenn du auch https-Dienste vom Exchange online hast ist ein Reverseproxy eh eine gute Sache...
  8. Wir fahren unsere netapps alle hybrid. Das geht ganz gut. Mal sehen, nächstes Jahr steht eigentliche der Austausch an. Hoffentlich macht uns das Corona keinen Strich durch die Rechnung und das Geld kommt trotzdem wie geplant., Leider läuft das bei uns noch einmal anders. Die interne IT wird gerne ignoriert und externe Experten auch, außer sie sagen dass, was bestimmte Leute hören wollen. Golem hat das schön beschrieben. Man könnte meinen, die haben die erste Analyse bei uns gemacht: https://www.golem.de/news/digitalisierung-in-firmen-warum-it-teams-oft-uebergangen-werden-2010-
  9. Danke für die Info. Manchmal gibt es es interessante Unterschiede zwischen Dienstleistern und Inhouse-IT. Wir sind übrigens auch öffentlicher Dienst. Dank corona war tatsächliche einiges finanziell und vergaberechtlich moglich, wovon wir sonst nur träumen. Mal sehen obs beim nächsten Systemwechsel für AFF reicht, ich hatte es ja schon beim letzten Systemwechsel gehofft...
  10. Ja, bei grossen Projekten. Aber einfach mal Umstellen ist bei uns z. B. schwierig.
  11. Wie schaffen deine Kunden das alle finanziell? Ich hab mir unsere Speicherkapazität mal als all-Flash von NetApp anbieten lassen. Das war jenseits von gut und Böse. Wir fahren die FAS-Systeme deshalb als hybrid.
  12. Welches Bundesland? Einige haben doch Rahmenverträge, oder gilt das nur für Berlin? Hier kostet eine CAL ein paar cent mehr als einen € inklusive SA (Preisliste ca ein halbes Jahr alt), genau 1,03€
  13. Hahaha, das passt perfekt in ein IT-Forum... Ich persönlich empfinde die Web-GUIs nicht als Fortschritt gegenüber der Cli. Eine REST-Api empfinde ich als Fortschritt. Dann kann man die gesamte Config zentral auslagern und z.B. Einem Puppet o.ä. Übergeben. Im Besprechungsraum würde ich ein Gäste-VLAN einrichten. Bei uns führt das sogar auf einen separaten DSL-Anschluss...
  14. Ich würde es gleich richtig machen. Schau dir mal opsi... Meiner Erfahrung nach kommt man auch bei WSUS+WPP Recht schnell an die Grenzen.
  15. Um wie viele Mailboxen und um welches Datenvolumen geht es denn?
×
×
  • Create New...