Reverse Proxy für interne Anwendungen
Guten Abend zusammen,
ich habe kein wirklich "technisches Problem", sondern eher ein organisatorisch und wäre an euren Meinungen interessiert.
Wir betreiben bei uns intern aktuell einen Ubuntu Server auf Basis von 20.04.6 LTS.
Diese Maschine beherbergt unter anderem auch einen MariaDB Server in der Version 10.11.
Die Datenbank wird aktuell für folgende Webanwendungen verwendet: Teampass, PHPIPAM, Wiki.js
Sowohl die Anwendung "Teampass" als auch "PHPIPAM" sind bei uns abgängig, da wir den Newtrix SecurePassword Server nun einsetzen und als PHPIPAM Ersatz auf Netbox migriert sind.
Bleibt also nur noch die Datenbank für Wiki.js, welches noch eingesetzt wird.
Wiki.js wird dabei jedoch in einem Docker Container betrieben.
Meine Idee dazu: Einfach die Datenbank ebenfalls als Docker Container hosten, dann hat sich das Thema MariaDB erledigt.
Ebenfalls ist der Apache2 Webserver auf dem Server installiert und arbeitet dabei primär als Reverse Proxy.
Hierbei arbeiten die folgenden Webanwendungen: Teampass, PHPIPAM, PHPMyAdmin
Als Reverse Proxy kommt das System für weitere Systeme zum Einsatz, die zum Beispiel lediglich http sprechen, hier erledigt der Proxy dann das https Protokoll und per Firewall ist geregelt, dass lediglich der ReverseProxy per http auf das "Altsystem" zugreifen darf.
Auch der Wiki.js Docker Container wird über den Reverse Proxy angesteuert:
Nun planen wir mit Docker den Einsatz der Dashboard Software "homarr", wo wir vorerst 3 Dashboards bereitstellen wollen.
Diese URL's sind natürlich alles andere als Benutzerfreundlich und basieren auch lediglich auf http, da die Docker Kollegen es vermeiden wollen unsere internen Webserver Zertifikate in die Container zu deployen. (Die Zertifikate haben eine Laufzeit von aktuell 6 Monaten und werden von einer 3 Stufigen Windows PKI bereitgestellt. Das ausstellen und deployen der Zertifikate erfolgt dabei automatisch mit einem eigens dafür geschrieben Skripts.
Ziel URL's sollten wie folgt sein:
Die Dashboards können von jedem beliebigen User aufgerufen werden, da unsere Webanwendungen, welche dort hinterlegt sind noch mit eine Authentifizierung benötigen. (Im Regefall OpenID Connect, zu einem Microsoft ADFS)
Nun stellt sich uns aber aktuell die Frage aller Fragen, zum zukünftigen Design:
Jeder Lösungsweg hat so seine Vor- als auch Nachteile.
Erster Vorschlag: + Never touch a running System ; - wird uns auf kurz oder lang einholen, wenn der Support ausläuft
Zweiter: + Neues Ubuntu mit neuen Package Versionen ; + loswerden von Altlasten ; - die einen Kollegen mögen den apache2 nicht, die anderen nginx und wiederum anderen favorisieren den netscaler (ich + ein Kollege) [was manche Kollegen aber Vertäufeln]
Dritte: + mein Favorit, da bereits der interne Citrix Storefront darüber angesprochen wird und diverse andere Dienste (NTP, LDAPS, RADIUS) per Loadbalancing zentral bereitgestellt werden.
Deshalb die Frage an die Community:
Was wäre euer favorisierter Weg?
Bei dem Netscaler habe ich natürlich das Thema mit der 25 MBit/s Datendurchsatz Lizenz (Freemium) was aber bei uns intern (noch) zu keinen Problemen geführt hat.
Am Ende des Tages werden ca. 50 Personen auf die Dashboards zugreifen und das jeweilige Dashboard als "Startseite" im Edge verpasst bekommen.
Ich freue mich auf eure Anregungen und wünsche noch ein schönes Wochenende.
ich habe kein wirklich "technisches Problem", sondern eher ein organisatorisch und wäre an euren Meinungen interessiert.
Wir betreiben bei uns intern aktuell einen Ubuntu Server auf Basis von 20.04.6 LTS.
Diese Maschine beherbergt unter anderem auch einen MariaDB Server in der Version 10.11.
Die Datenbank wird aktuell für folgende Webanwendungen verwendet: Teampass, PHPIPAM, Wiki.js
Sowohl die Anwendung "Teampass" als auch "PHPIPAM" sind bei uns abgängig, da wir den Newtrix SecurePassword Server nun einsetzen und als PHPIPAM Ersatz auf Netbox migriert sind.
Bleibt also nur noch die Datenbank für Wiki.js, welches noch eingesetzt wird.
Wiki.js wird dabei jedoch in einem Docker Container betrieben.
Meine Idee dazu: Einfach die Datenbank ebenfalls als Docker Container hosten, dann hat sich das Thema MariaDB erledigt.
Ebenfalls ist der Apache2 Webserver auf dem Server installiert und arbeitet dabei primär als Reverse Proxy.
Hierbei arbeiten die folgenden Webanwendungen: Teampass, PHPIPAM, PHPMyAdmin
Als Reverse Proxy kommt das System für weitere Systeme zum Einsatz, die zum Beispiel lediglich http sprechen, hier erledigt der Proxy dann das https Protokoll und per Firewall ist geregelt, dass lediglich der ReverseProxy per http auf das "Altsystem" zugreifen darf.
Auch der Wiki.js Docker Container wird über den Reverse Proxy angesteuert:
ProxyPass / http://docker.p.01.intra.domain.tld:8300/
ProxyPassReverse / http://docker.p.01.intra.domain.tld:8300/
ServerName wiki.intra.domain.tld
Nun planen wir mit Docker den Einsatz der Dashboard Software "homarr", wo wir vorerst 3 Dashboards bereitstellen wollen.
http://docker.p.01.intra.domain.tld:7575/board/Allgemein
http://docker.p.01.intra.domain.tld:7575/board/Technik
http://docker.p.01.intra.domain.tld:7575/board/Verwaltung
Ziel URL's sollten wie folgt sein:
https://dashboard.intra.domain.tld/Allgemein
https://dashboard.intra.domain.tld/Technik
https://dashboard.intra.domain.tld/Verwaltung
Die Dashboards können von jedem beliebigen User aufgerufen werden, da unsere Webanwendungen, welche dort hinterlegt sind noch mit eine Authentifizierung benötigen. (Im Regefall OpenID Connect, zu einem Microsoft ADFS)
Nun stellt sich uns aber aktuell die Frage aller Fragen, zum zukünftigen Design:
- Reverse Proxy auf der Ubuntu 20.04 Kiste weiterlaufen lassen und lediglich die MariaDB umziehen
- Reverse Proxy auf ein neueres Ubuntu und apache2 oder nginx migrieren
- Die Abbildung des Reverse Proxys mit einem internen Citrix Netscaler (Freemium) im HA lösen
Jeder Lösungsweg hat so seine Vor- als auch Nachteile.
Erster Vorschlag: + Never touch a running System ; - wird uns auf kurz oder lang einholen, wenn der Support ausläuft
Zweiter: + Neues Ubuntu mit neuen Package Versionen ; + loswerden von Altlasten ; - die einen Kollegen mögen den apache2 nicht, die anderen nginx und wiederum anderen favorisieren den netscaler (ich + ein Kollege) [was manche Kollegen aber Vertäufeln]
Dritte: + mein Favorit, da bereits der interne Citrix Storefront darüber angesprochen wird und diverse andere Dienste (NTP, LDAPS, RADIUS) per Loadbalancing zentral bereitgestellt werden.
Deshalb die Frage an die Community:
Was wäre euer favorisierter Weg?
Bei dem Netscaler habe ich natürlich das Thema mit der 25 MBit/s Datendurchsatz Lizenz (Freemium) was aber bei uns intern (noch) zu keinen Problemen geführt hat.
Am Ende des Tages werden ca. 50 Personen auf die Dashboards zugreifen und das jeweilige Dashboard als "Startseite" im Edge verpasst bekommen.
Ich freue mich auf eure Anregungen und wünsche noch ein schönes Wochenende.
Please also mark the comments that contributed to the solution of the article
Content-ID: 669549
Url: https://administrator.de/contentid/669549
Printed on: December 5, 2024 at 15:12 o'clock
1 Comment
Reverse Proxy als Container ist kein Weg?
Certmonger ist auch nicht gewollt?
Wir haben gefühlt 100+ PR als Container die sich automatisch mit Certmonger versorgen lassen.
Das geht tadellos. DNS ist King, wie immer ;)
Certmonger ist auch nicht gewollt?
Wir haben gefühlt 100+ PR als Container die sich automatisch mit Certmonger versorgen lassen.
Das geht tadellos. DNS ist King, wie immer ;)