物理分离安全和非安全 Web 请求答案

【问题标题】：Physically Separating Secure and Non Secure Web Requests物理分离安全和非安全 Web 请求
【发布时间】：2010-09-28 17:14:56
【问题描述】：

我们一直在进行一些研究，以将 Web 应用程序的安全和非安全部分物理隔离为两个应用程序。所有“http”请求将由一台服务器（或集群）提供服务，所有“https”请求将由另一台服务器（或集群）提供服务。

我们对此进行研究的部分原因是为了应用程序的生存能力。由于应用程序的安全部分是创收的，例如，我们可以拥有一个更大和/或更强大的集群来服务请求。相反，当我们升级安全应用程序中的硬件时，它可以重新用于为非安全站点提供服务 - 基本上可以延长服务器的使用寿命。

有人使用过这种方法吗？去年，我们向一家（知名）供应商提交了一份 RFP 以进行架构评估，这是推荐的可能途径之一。虽然我看到了潜在的好处，但我担心维护、部署、版本控制等问题。

【问题讨论】：

【解决方案1】：

根据您的应用程序的架构，在我看来，如果您使用虚拟化/负载平衡，您可以获得相同的好处，即保证资源和付费区域的隔离，同时还能够动态突发资源以处理峰值在任一区域的负载。您当前的提案允许您保证资源并确定资源的优先级，但这可能会导致其中一些资源闲置。

另外，通过配置管理负载会更容易，因为这将是一个纯粹的部署问题，并且是一个完全独立的问题。您还可以更加独立于硬件升级路径，因为您只需将虚拟机添加/分配到新硬件。

【讨论】：