通过内部DMZ访问内部API

Question

我有一个API，由于防火墙的原因，它不能放在内部DMZ上，而必须驻留在内部网络上。有人建议我构建一个“shell”API，它基本上具有所有相同的端点，但只是在API和Web之间来回传递数据。

那么，创建另一个API以位于内部DMZ，以便在DMZ应用程序和内部web之间传递消息是实现这一目标的最佳方法吗？或者更重要的是:通过内部DMZ将HTTP请求从DMZ转发到内部的标准方法是什么？

理想的方法是在内部DMZ上设置ARR发送到内部API吗？

Answer 1

根据我的经验，使用像nginx提供的反向代理是最简单的方法，因为它只需要通过防火墙转发相关的外部请求。

https://www.nginx.com/resources/admin-guide/reverse-proxy/

shell或facade (有人称之为shell或facade)的问题是，随着代码的发展，经常需要在两个代码库和至少两个服务器上进行更新。使一个API工作良好，并保护它将是一个更容易的任务，并降低维护的复杂性。使用nginx，您可以限制将被代理的URL路径。