Запуск веб-сервиса в другой подсети
https://stackoverflow.com/questions/154207
-
03-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianВопрос
Я знаю, что это своего рода вопрос сервера, но я все равно хотел спросить, вдруг кто-то делал это раньше.
У меня есть веб-служба, которая находится в нашей внутренней подсети 172.x.x.x, и веб-сервер, который находится в нашей внутренней подсети 10.x.x.x.Веб-серверу необходимо подключиться к веб-сервису 172, но он не может выполнить маршрутизацию туда.Реальным решением было бы убедить наших сетевых администраторов разместить сервер в сети 172 за DMZ, но это решение кажется далёким.
Мое быстрое и грязное решение — создать прокси-сервер на компьютере, который подключается к обеим сетям, чтобы затем я мог запрограммировать вызовы веб-служб для обращения к прокси-серверу.Однако я разработчик и мало знаю, как это настроить.
У меня есть друзья, которым повезло с прокси-сервером Squid в Nix, но единственная доступная мне машина — это Windows Server 2003.В идеале мне нужен какой-то прокси-сервер, который можно было бы настроить поверх IIS.Ребята, вы что-нибудь знаете?Я видел несколько обзоров ISA Server 2006, но мне не хотелось бы увеличивать корпоративный бюджет, поскольку он нужен нам только для этого одного веб-сервиса.
Решение
Как вы упомянули, лучший вариант — запихнуть веб-сервер в демилитаризованную зону.Поскольку это невозможно, посмотрите, смогут ли Wiremonkeys открыть соответствующий порт в брандмауэре. только между сервером и веб-службой (и только для трафика http/https).Если и то, и другое невозможно, я думаю, что прокси-сервер возможен (если прокси-серверу разрешено ретранслировать между двумя сетями).
Однако я постоянно задаюсь вопросом: при каких обстоятельствах у вас может быть веб-сервис, в котором у вас есть бизнес-потребность, но вам не разрешено раскрывать его на 'Z?Ваши Wiremonkeys настолько сопротивляются изменениям, что вы не можете выполнять свою работу?Если да, то прыгай с корабля, чувак!Жизнь слишком коротка.
Другие советы
Это действительно быстро и грязно, но вы можете использовать tcpmon инструмент на компьютере с Windows, который имеет доступ к обеим сетям.
Я должен согласиться с Danimal, что правильный способ справиться с этой проблемой — проделать соответствующие дыры в брандмауэре.Особенно, если, как вы сказали, интерфейс важен для приложения, ориентированного на клиента.
Мне кажется, что «затронутые клиенты > 1000» — это отличный бизнес-кейс, позволяющий убедить сетевых администраторов или, возможно, их начальников приложить усилия для безопасного разрешения вашего трафика.
