- Proxyverbund
-
Inhaltsverzeichnis
Proxyverbund
Die meisten Proxyserver erlauben es, ein Netz von Servern zu konfigurieren. Es gibt mehrere Gründe, ein solches Netz aufzubauen:
- Performance
- Verfügbarkeit
- zentrale Kontrolle (z. B. Filter)
Natürlich können diese Ziele auch kombiniert auftreten.
Im folgenden wird die Terminologie des Proxyservers Squid verwendet. Wichtige Begriffe sind:
- Parent (übergeordneter Server)
- Sibling (engl. Geschwister, gleichberechtigte Nachbarserver)
- Direct (Der Server soll/darf direkt aufs Internet zugreifen oder nicht)
- prefer_direct
- allow/deny_direct
- Hinweis: Squid prüft über das Protokoll Internet Cache Protocol (ICP) die Verfügbarkeit von Parents und Siblings. Ausfälle und Wiederverfügbarkeit werden automatisch erkannt.
Beispiel-1, hierarchisches Netz
Ein Unternehmen hat mehrere Subnetze, die jeweils einen eigenen Proxy haben. Die Zugriffsregeln sind auf einem zentralen Proxy definiert, der bei den lokalen Proxys als Parent definiert ist. Direkter Zugriff ist nur bei Ausfall des zentralen Proxys erlaubt (prefer_direct=off).
Beispiel-2, wie 1, aber mit Siblings
Einige Proxies liegen im gleichen lokalen Subnetz mit schneller Verbindung über Ethernet. Diese Proxies sind gegenseitig als Sibling (Bruder) eingetragen. Bevor sie eine Anfrage an den zentralen Proxy richten, fragen sie sich gegenseitig, ob sie die angeforderte Seite schon haben. Über DNS im lokalen Netz lassen sich hier auch Lastverteilung und Ausfallsicherheit realisieren.
Beispiel-3, wie 1, aber mit zwei zentralen Proxies
Beide zentrale Server sind bei in den Subnetzen als Parent eingetragen – falls gewünscht auch mit Gewichtung. Das bewirkt Lastverteilung und Ausfallsicherung. Wenn beide zentrale Server über eine schnelle Leitung verbunden sind, können sie auch als Siblings gegenseitig arbeiten. In diesem Fall kann man direkten Zugriff verbieten (never_direct allow). Wie oben angeführt, erkennt Squid automatisch die Verfügbarkeit von Parents.
Aufstellungsort
Wenn die Verbundteilnehmer ohnehin über WAN auf das Proxynetz zugreifen (z. B. bei einem Unternehmen mit Außenstellen) ist es eine interessante Alternative, den zentralen Proxy gleich im Internet aufzustellen. Rootserver sind inzwischen günstig zu haben, haben Hochgeschwindigkeitsanbindung und bieten freie Übertragungskapazitäten, die auch von mittelgroßen Unternehmen kaum auszuschöpfen sind. Für kleinere bis mittlere Netze kann es auch ein Vserver tun.
In diesem Fall sollte man natürlich durch Firewallregeln - ggf. in Verbindung mit Dyndns - sicherstellen, dass nur die eigenen Rechner auf den Proxy zugreifen dürfen.
Kategorie:- Rechnernetze
Wikimedia Foundation.
