集成底座内外网访问配置说明

，而再基于Nginx进行代理和负载均衡、域名解析等，最终实现外部访问和使用。而在实际的部署和使用过程中，出于安全性考虑，都

。而作为中间件类产品，IDM、ESB等产品往往需要内外网的不同访问方式，从而满足不同场景。

在最近的一个集成底座（IDM+MDM+ESB）项目中，由于IDM提供的统一认证，而考虑到外部访问以及内部系统的认证集成，所以需要集成底座提供内、外网两种访问入口，并且保证相互的访问不会互相冲突。

，从而实现从外网访问各个产品，同时需要保证内网的各个产品、接口都是可用的，从而保证内网环境下业务系统与集成底座进行集成、认证的需要。

，包括产品的访问、各个产品功能模块，以及产品预置、通过ESB开发的各个服务接口都是可用的；

，能够通过IP或域名的方式进行集成底座产品访问，以及产品内相关功能的正常使用；

实现内外网的代理访问，由于集成底座平台本身采用云平台的部署方案，也是使用Nginx代理实现的内网虚拟IP访问各个平台，并且通过Nginx分别代理开发、测试、生产各个不同端口的访问，该Nginx定为内网Nginx。

考虑到外网访问的需要，在服务器DMZ区部署一台外网服务器，解析外网IP，在服务器上部署Nginx，通过Ngixn代理的方式代理集成底座内网的访问地址，改Nginx定为外网Nginx。

在通过内、外网Nginx代理后，内网由于都是走的内网IP，所以无论是产品访问和功能使用都不存在问题，包括和业务系统对接时的内网接口调用都是可以的。但是由于外网访问的相关配置和Nginx代理问题，导致

1.外网Nginx代理之后，通过OAuth进行统一认证的系统通过外网IP访问时，在跳转统一认证登录页面时显示外网IP + 内网端口；

2.外网Nginx代理之后，通过CAS认证的系统在通过外网域名访问时跳转到了集成底座内网的CAS地址上；

3.通过外网IP访问IDM平台后，在第一次登录进行密码初始化修改时，会通过到内网IP打开修改密码页面。

针对集成底座进行内外网代理时出现的内外网IP交叉跳转的问题，进行了问题定位与排查，由于集成底座内网访问交互是没问题，所以首先考虑从网络层面进行处理，所以在内部进行单机环境环境验证，并且尽量模拟项目的网络环境。

由于本地资源有限，无法模拟现场环境基于云平台、DMZ数据隔离以及网络防火墙的处理，所以

，内部部署K8S集群和相关产品，通过内网Nginx对外提供统一的访问入口，并在Nginx中配置不同的端口从而实现开发、测试、生产环境的隔离访问；再通过外网Nginx代理内网Nginx，从而提供外网的访问入口。

（或者在本地局域网访问），通过内网IP和端口直接访问内网Nginx，从而访问各个产品；

2.两台服务器分别部署Linux和Window系统（需要安装浏览器进行访问）；

3.Linux系统下部署idm（单机部署）、数据库和Nginx（内网）；

4.Window系统下部署Nginx（外网）以及浏览器，主要通过这里进行访问测试；

7.10.0.0.9和101.101.81.156两台服务器已经完成了内网的互通，可以通过内网IP相互访问，并且相互开放了防火墙，不存在端口限制。

云平台采用标准的5台服务器