여기서 올바른 용어를 사용했는지 잘 모르겠습니다. 이것이 기본적으로 제가 묻는 이유입니다(올바른 용어를 사용하면 확실히 Google에서 검색할 수 있습니다).
저는 Windows 2008에 여러 개의 가상 머신(Linux, win7.win2k8)이 있는 "하나의 큰 서버"를 가지고 있습니다. 공용 IP 주소로 서버에 접속할 수 있습니다. 다음을 활성화하고 싶은데 어디서부터 시작해야 할지 모르겠습니다.
- 서로 다른 가상 머신에 웹사이트 배치(즉, VM1은 a.com을 호스트하고 VM2는 b.com을 호스트)
- 사이트는 http 및 https(ssl) 프로토콜과 함께 작동해야 합니다.
- 각 VM에서 원격 데스크톱 또는 유사한 RDP 허용
- webdav, scp 또는 ftp와 같은 다른 프로토콜을 각 시스템에 허용
나는 원격 데스크톱 액세스를 위해 VPN이 필요하고 일종의 호스트 기반 또는 호스트 기반 + 프로토콜 기반 NAT가 필요하다고 가정합니다.
이것은 이미 백만 번 수행된 일인 것 같습니다. 어디서 시작해야 할지, 어떤 소프트웨어를 사용해야 할지, 무엇을 Google에 검색해야 할지 모르겠습니다. 또한 핸드셰이크 전에 호스트 이름이 표시되지 않기 때문에 SSL이 이런 방식으로 작동하지 않을까 걱정됩니다.
답변1
귀하의 질문에는 다루어야 할 내용이 정말 많지만 SSL 웹사이트 부분은 기술 수준/지식을 넘어서는 실제적인 한계가 있으므로 집중적으로 다루겠습니다. VPN 구성, WebDAV, FTP 등에 대한 구체적인 도움이 필요한 경우 나머지 질문을 작은 덩어리로 나누는 것이 좋습니다.
몇 개의 SSL 웹사이트만 호스팅할 계획이거나 해당 웹사이트가 와일드카드 사이트(예: *.example.com)이고 앞에 역방향 프록시 서버가 있는 경우 하나의 공용 IP 주소를 사용할 수 있습니다. 여러 도메인(example.com, example.net, foo.com, bar.com 등)이 필요한 경우 역방향 프록시에 설치된 SAN(주체 대체 이름) 또는 UCC 인증서를 가져올 수 있습니다. 거기에편리한 차트인기 있는 인증서 공급업체 목록과 해당 업체가 제공하는 도메인 수를 보여주는 Wikipedia Global Sign은 인증서로 최대 40개를 제공합니다.
https://vm1:443대체 포트( 등 https://vm2:444)와 적절한 NAT 규칙(VM 앞의 방화벽에서)을 사용할 수도 있지만 일반적으로 공개 사이트에서는 바람직하지 않습니다.
이제 서버가 SSL을 사용하여 다른 사이트를 처리하도록 할 수 없는 이유는 SSL 작동 방식 때문입니다. SSL 대화(핸드셰이크)가 발생합니다.~ 전에호스트 헤더("호스트 이름")는 클라이언트에서 전송되고 SSL 연결을 종료하는 서버(예: Apache 또는 IIS와 같은 웹 서버 또는 역방향 프록시/웹 서버)에 의해 해석됩니다.nginx. 이는 서버가 해당 시점에 어떤 인증서를 제공할지 "알지" 못하고 (일반적으로) 구성에 정의된 기본(또는 첫 번째) 인증서만 제공하기 때문입니다. 이 "기본" SSL 인증서~할 수 있다SAN(주체 대체 이름) 인증서 또는 와일드카드 인증서이면 필요에 따라 적합할 수 있습니다.
서버 이름 표시(SNI)는 다중 SSL 사이트 문제에 대한 새로운 대안(실제로 클라이언트가 SSL 대화의 일부로 호스트 헤더를 지정할 수 있도록 하는 SSL/TLS 프로토콜의 확장)이지만 노후화된 브라우저로 인해 보류됩니다. 인구는 IE7+(Vista+만 해당), Firefox 2+ 등에서만 사용할 수 있습니다. 따라서 SSL 사이트에 많은 사용자가 접속할 것으로 예상하는 경우에는 적합하지 않을 수 있습니다.
귀하가 일종의 호스팅 제공업체(완전히 다른 웜 캔)가 되려고 하는 것처럼 들리기 때문에 저는 ISP/콜로 제공업체로부터 가능한 한 많은 IP 블록을 얻고 싶습니다. ARP를 프록시하거나 프로비저닝 프로세스의 일부로 VM에 공용 IP 주소를 물리적으로 할당하고 자체 인증서 등을 얻을 수 있도록 합니다. NAT 없이도 더 잘 작동하고 관리 오버헤드가 줄어듭니다. 각 VM이 다중 테넌트(예: VM에 가능한 한 많은 사이트를 포함하는 필수 "공유 호스팅")인 경우 SAN 인증서/IP 주소 조합을 사용할 수 있지만 원할 때마다 인증서에 도메인을 추가/제거할 수는 없습니다. 인증서 요청/서명 프로세스를 다시 거쳐야 하며 비용이 다시 청구될 수 있습니다.
또한 호스트("하나의 큰 서버")를 보호하기 위해 매우 주의를 기울이고 Hyper-V를 사용한다고 가정하고 물리적 NIC를 전용으로 지정합니다(즉, Hyper-V 구성에 가상 네트워크로 포함하지 않음). 실제 (하드웨어) 방화벽으로 보호되는 상자의 원격 관리 및 별도의/보장된 인터넷 연결* 또는 최소한 공용 IP에서 보안 연결(상시 IPSec 터널과 같은)을 설정합니다. 방화벽 ACL 목적과 "클라이언트" 블록 외부의 다른 블록QoS. 또한 귀하의 서버가 지원하는지 확인하고 싶습니다.IPMI(Dell에서는 DRAC라고 함) 공용 인터넷에서 액세스할 수 없는 관리 네트워크의 일부로 전용 물리적 NIC와 함께 이를 사용합니다. 이를 통해 상자에 대한 베어 메탈 액세스를 얻을 수 있으므로 재부팅하고 펌웨어 업그레이드 등을 원격으로 수행할 수 있습니다.
*이 전용 연결 요구 사항은 SLA를 통해 가동 시간/대역폭/복원성을 보장/보장하기 위해 자체 조치를 취한 관리 시설에서는 문제가 되지 않을 수 있습니다.
답변2
저는 Windows 사용자는 아니지만 Google에서 Windows 사용 방법을 알아볼 수 있는 올바른 용어를 알려드릴 수 있습니다.
당신이 찾고 있는 것은 웹사이트를 VM의 로컬 IP 주소로 라우팅하는 "역방향 프록시"입니다. 제 경우에는 nginx를 역방향 프록시로 사용했습니다. 이것이 도움이 되기를 바랍니다. 다른 사항이 있으면 알려주시기 바랍니다.