Является ли ферма серверов абстрактной с обеих сторон?

Question

Я пытаюсь понять, как будет вести себя решение при развертывании в ферме серверов. У нас есть веб-приложение на Java, которое будет общаться с FTP-сервером для загрузки и выгрузки файлов.

Желательно также защитить FTP-сервер с помощью брандмауэра, чтобы он разрешал входящий трафик только с веб-сервера.

В настоящее время, поскольку у нас нет фермы серверов, все запросы к FTP-серверу поступают с одного и того же IP-адреса (IP-адрес веб-сервера), что позволяет добавить простое правило в брандмауэр. Однако, если приложение перемещено в ферму серверов, я не знаю, какая машина в ферме отправит запрос на FTP-сервер.

Так же, как ферма скрыта за фасадом для своих клиентов, она скрыта за фасадом для служб, которые она может вызывать, так что независимо от того, какая машина из фермы делает запрос на FTP-сервер, она всегда видит тот же IP?

Все ли серверные фермы реализованы одинаково или это поведение зависит от типа серверной фермы? Я подумываю об использовании Amazon Elastic CLoud.

Answer 1

Обычно вы можете вводить имена или подсети при настройке правил брандмауэра, что упростит их обслуживание. Вы также можете отправлять весь трафик через балансировщик нагрузки или прокси. По сути, так работает любая облачная / кластерная / фермерская служба.

много клиентских ips <-> балансировщик нагрузки <-> много серверов

Answer 2

Это очень сильно зависит от того, как настроен ваш веб-кластер. Если ваш кластер находится за брандмауэром NAT, то да, все исходящие соединения будут появляться с одного адреса. В противном случае IP-адреса будут другими, но они почти наверняка будут находиться в довольно небольшом диапазоне адресов, и вы сможете добавить этот диапазон в список исключений брандмауэра или даже просто перечислить IP-адрес каждой машины в индивидуальном порядке.