Webhosting - Diverse Domain auf selben Webserver

[GCCM]

Hi

Zu Entwicklungszwecken möchten wir mehrere Kunden Domains auf unseren Webserver zeigen lassen (steht bei uns im Geschäft).
Nun im DNS Eintrag kann man ja jeweils "nur" die Externe IP Angeben (statische IP).
Wie kann ich nun einrichten, dass die Firewall erkennt, welcher Webserver nun verwendet werden soll?

Das Problem: Wir können die Domains nicht zu uns Transferieren, da die Kunden die Hoheit über diese haben.

Ich hoffe ihr versteh was ich meine.

Vielen Dank.

Liebe Grüsse

 

[LieberNetterFlo]

der Webserver muss entsprechend konfiguriert werden ... geht ja schon seit Ewigkeiten dass ein Server mehrere Domains bedienen kann.

(Bei Apache sind das zb mehrere <VirtualHost *:443> Einträge, bei nginx server { ...}-Tags )

oder hast du mehrere Server bei euch mit verschiedenen IPs?

 

[TrueAzrael]

Welcher Webserver? Und nur einer?
Wenn ein einzelner Apache genutzt wird, dann alle Domains auf die IP vom Apache setzen und in der Apache Dokumentation in Virtual Hosts einlesen.

z.B. hier: https://httpd.apache.org/docs/2.4/vhosts/examples.html

 

[GCCM]

Genau, das ist mir soweit klar.
Jedoch wird die Problematik ja bestehen:
DNS --> Firewall -> Webserver
Woher weiss die Firewall (die erkennt ja nur die weitergegebene IP) den Webserver?
Wahrscheinlich ist es ganz einfach und ich mache nur einen überlegungsfehler

Also schlussendlich soll jeder Kunde einen eigenen Webserver haben. (Eigene VM auf unserem Server)
Apache mit vorgeschaltener NGINX Chache oder so.. Hierbei sind wir noch nicht definitiv in der Evaluierung.

 

[TrueAzrael]

Die Firewall wird doch sowieso alle htttp(s)-Anfragen an den Webserver weiterleiten oder?
Die muss dann gar nichts entscheiden.

Edit: Ah ok ein Webserver pro Website... Ist das Pflicht?

Wäre aber vermutlich mit vorgeschaltetem Reverse-Proxy auch kein Problem, dann schickt die Firewall halt alle http(s)-Anfragen an den Proxy und der verteilt die auf die Webserver.

 

[LieberNetterFlo]

na dann nen Proxy davor, zb haproxy

 

[kartoffelpü]

Also schlussendlich soll jeder Kunde einen eigenen Webserver haben. (Eigene VM auf unserem Server)

Was denn nun, jeder Kunde eine eigene VM oder nur einen VirtualHost auf eurem Webservers?
Falls ersteres ist das Stichwort "Reverse Proxy".

Da die grundlegenden Sachen für Fremdhosting anscheinend nicht klar sind, würde ich an eurer Stelle davon lieber Abstand nehmen. Denn ihr dürftet dann auch für entsprechende Absicherung der Webserver zuständig sein...

 

[GCCM]

Ja, alle 443 Anfragen gehen dann an den Webserver bzw. die Webserver.

Uns wäre lieber eine eigene VM, da man so besser auf Kundenwünsche eingehen kann.
Somit Reverse Proxy.

@kartoffelpü danke für deinen Freundlichen Hinweis, dass wir keine Ahnung haben. Dies hat in diesem Forum nichts verloren und trägt der Lösungssuchung überhaupt nicht bei.
Schlussendlich nach der Entwicklung wird die Webseite nämlich nicht mehr bei uns sein sondern beim Kunden direkt bzw. wieder bei seinem Hoster wo auch die Domain liegt.

 

[LieberNetterFlo]

hier is zB ne Anleitung

https://blog.entrostat.com/routing-multiple-domains-using-haproxy-http-and-https-ssl/

Conclusion
So there you have it, it's possible to use HAProxy to route HTTP and HTTPS traffic to different hosts. This allows for easy setups of multiple domains on one host machine where each domain is a new VM or different port on the current host. I hope this helps, it's certainly been useful for some of the setups at Entrostat!

 

[Yuuri]

Schonmal Docker angesehen? Ne eigene VM ist ein absoluter Overkill und auch nicht das, was man machen sollte, außer man hat die komplette Kontrolle über die Server. Wenn der Hoster des Kunden nur MySQL 5.4 fährt und nur noch 5.6 in den Repos von eurer Distribution liegt, knallts irgendwo. Stattdessen einfach nen mysql:5.4 Container hochfahren und schon hat sich die Versionsinkompatibilität erledigt. Wäre dann noch das Problem der Configs...

Verstehe aber auch nicht ganz das Problem. Einfach auf ne andere Domain legen - bspw. local.kunde.tld. Alternativ einfach mit localhost oder direkt mit der IP arbeiten. Ggf. Hostnamen in die hosts-Datei eintragen oder die IPs entsprechend im firmeninternen DNS eintragen oder entsprechende DNS Records kunde.dev.deine-firma.tld setzen oder oder oder... Spätestens wenn mehrere Entwickler dran arbeiten ists Essig mit ner zentralen VM und jeder muss seine eigene Virtualisierung nutzen.

 

[GCCM]

Vielen Dank @LieberNetterFlo
In etwa so hatte ich es mir auch angedacht. Es war in diesem Falle mehr ein Verständnisfehler meiner seits.
Ich hatte irgendwie gedacht der Ablauf wäre dann so:
Domain --> Nur IP wird weitergegeben --> Firewall - Weiss nicht was mit der Anfrage machen bzw. leitet dies einfach intern weiter und dort geht es nicht weiter.


Ja Docker haben wir auch angeschaut. Jedoch kann es auch sein, dass ein Kunde nicht nur einen Webserver Benötigt bzw. keinen Apache sondern einen IIS. usw. Oder generell weitere Services (im Konstrukt) also Abhängigkeiten von anderen Systemen. Dann ist es für uns bzw. nach Aussage der Entwickler einfacher für diese das zu bearbeiten.
Langfristig werden wohl schon einige Services auf Docker übertragen wie bspw. Datenbanken usw.
Geplant ja, aber wegen aktuellen Know-How möchten wir dies noch nicht einsetzen sondern eher zuerst schauen, dass dies alles läuft

 

[gaym0r]

Welche Firewall ist das denn? (Hersteller / Modell / Firmware) Es gibt genug Firewalls die einen Reverse-Proxy integriert haben und HTTP(S) Anfragen anhand der Domain oder des Pfads an verschiedene interne Server leiten kann.

 

[GCCM]

Fortinet Fortigate 60C mit FW: v5.2.13,build762 (GA) - Soll Anfang nächstes Jahr ersetzt werden durch ein neuers Model mit neuerer Firmware
diese leitet weiter an eine OPNSense (neueste Firmware). Von dort geht es auf die entsprechenden Webserver.

 

[LieberNetterFlo]

na in OPNsense is ein Reverse Proxy als Plugin verfügbar