manimani.cc

うちのシステム構成とか。kvm で仮想化しているので、むやみやたらと単機能サーバーが乱立しています。でもこっちの方がメンテナンスとかリプレイスとかやりやすいんですよね。

なんとなくこんな構成になってます。

なんとなく構成イメージ

基本的にフロントのサーバーには一切データを持たせずに、リバースプロキシと ssl終端に徹して貰っています。できれば全部の通信を nginx に集約したかったんですが、自ドメインからの送信メールだけは放っておくと vlan2 のデフォルトゲートウェイに投げてしまうので、フォワードプロキシというか、smtp アウトバウンド専用のリレーサーバーとして postfix をフロントに置いています。その上で、バックエンドの postfix には relayhost = [ip.addr.front.postfix]:10025 として、ローカル配送するメール以外は全部 vlan1 のリレーサーバーに投げるようにしてあります。もちろん tcp:10025 なんてポートはファイアウォールで遮断しているため、外からはアクセスできません。そんなワケで、vlan1 の postfix は完全にアウトバウンド専用になっています。

バックエンド側の postfix が tcp:10025 で listen しているのは、nginx との接続に haProxy プロトコルを使用しているからです。これを tcp:25 で listen することもできるのですが、そうすると内部……たとえばどこかのサーバーが障害検知してアラートメールを飛ばそうとした際に、単純に tcp:25 に smtp でメールを飛ばすことができなくなります。なので tcp:25 は、いわゆる permit_mynetworks で普通の smtp を受信できるようにしてあります。

https://manimani.cc/lib/plugins/linkback/exe/trackback.php/wiki:manimani.cc:start