物理分隔安全和不安全的Web請求

Question

我們一直在做一些研究，將我們的Web應用程序的安全和非安全部分隔離爲兩個應用程序。所有「http」請求將由一個服務器（或羣集）提供服務，所有「https」請求將由另一個服務器（或羣集）提供服務。

我們正在研究這個問題的原因部分是因爲應用程序的生存能力。由於應用程序的安全部分是創收的，因此我們可以擁有更大和/或更強大的羣集來爲請求提供服務。相反，當我們升級安全應用程序中的硬件時，它可以重新用於服務於非安全站點 - 基本上延長了服務器的使用壽命。

有沒有人使用過這種方法？去年，我們向一家（知名）供應商提供了一份RFP，用於架構評估，這是推薦的可能路徑之一。雖然我看到潛在的優勢，但我擔心諸如維護，部署，版本控制等問題。

Answer 1

根據您的應用程序架構如何，在我看來，如果您使用虛擬化/負載平衡，您可以擁有相同的保證資源的利益以及對付費區域的隔離，同時還能夠動態地突發資源來處理任一區域的負載峯值。您目前的建議允許您保證資源的優先順序，但可能會導致其中一些閒置。

此外，通過配置來管理負載會更容易，因爲這將是一個純粹的部署問題，也是一個完全獨立的問題。您也可以更獨立於硬件升級路徑，因爲您只需向新硬件添加/分配虛擬機。