Ahoj,
přes týden jsem se snažil nastudovat nasazení Nginx jako proxy a vrtá mi hlavou několik věcí. Chtěl jsem proto poprosit o radu zkušenější, abych něco "nezkonil" hned na začátku :-)
1) Spojení mezi proxy a backendem
V jiném vlákně tady proběhla diskuze ohledně "vnitřních" IP adres. Na KB jsem se dočetl, že se o ně musí žádat a můžou se měnit. Mají pro spojení mezi proxy a backendem vnitřní adresy nějaký význam, například z hlediska bezpečnosti nebo rychlosti? Můj plán byl dělat spojení mezi stroji pomocí přidělených IPv6 adres.
2) Šifrování mezi proxy a backendem
Myslím, že v tom samém vlákně Snajpa psal něco ve smyslu, že na síti mezi VPS je těžké odposlechnout provoz (myslím, že se tam řešili privátní vlany nebo tak něco). Úplně se v tomhle neorientuji a proto jsem se chtěl zeptat, zda byste v našem prostředí považovali za bezpečné, kdybych SSL spojení ukončoval na proxy a mezi proxy a backendem posílal jen klasické HTTP? Na webu Nginxu jsem našel, že je možné mezi proxy a backendem rozjet také SSL spojení, ale nevím, zda to není overkill.
3) SSH tunel na proxy
Aktuálně mám na serveru jednu stránku, pro kterou Nginx poslouchá na 127.0.0.1 a klienti se k ní propojují pomocí SSH tunelu a port forwardingu. V případě nasazení jako "proxy - backend" bych na proxy opět udělal server poslouchající na 127.0.0.1 a předávající požadavky na proxy. Bude stačit, když na backendu pro tuto stránku nastavím omezení přístupu jen z IP adresy proxy? Nebo bych to měl ošetřit ještě nějak dál?
Předem díky za pomoc!
Všechny zdraví
Honza