> Честно говоря, мне не понятно, чем прокси в данном случае был бы
> лучше, чем проброс портов.
> На внешний интерфейс GATEWAY разрешено стучаться трем ip. По сути, это просто
> торчащее наружу API для трех удаленных адресов.Причин много разных. В каких-то случаях будут более существенны одни из них, в каких-то - другие.
Например:
- Обратный прокси сервер ведёт компактные и удобочитаемые логи. Можно меньше прибегать к снифферу при поиске источника проблем.
- До настоящего веб приложения долетают только заведомо корректные HTTP запросы, а не какой попало мусор который послали в открытый порт. Дешовая защита от атак, эксплуатирующих особенности сетевого уровня, типа Slowloris.
- Легко публиковать не весь корень веб сервера апстрима, где может быть админка или другие приложения, а только избранные пути.
- Централизованное терминирование сессий TLS позволяет снизить риск ошибок конфигурации.
- Легко контролировать текущую конфигурацию "что куда и как пробрасывается" и делегировать поддержку.
- Удобно стандартизировать. Одно и то-же решение покрывает множество кейсов, от простого "опубликовать в интернете" до баланисровки нагрузки и кэширования статичного контента.
- Решение находится на одном и том-же уровне абстракции (веб сервис) что и задача (опубликовать в Интернете).
- И т.д.
> А на ближайшее будущее - планируется перенос приложения с сервака iis на
> linsrv в виде пачки docker-контейнеров. Постепенно, понемножку, чтобы в общем приложение
> всегда было рабочим. А потом и полностью отказаться от iis, а
> следовательно, и от проброса портов на него
Хороший план. Докерские best practices всё равно рекомендуют reverse proxy. Имеет смысл с него и начать, используя IIS в качестве апстрима для всех сервисов, и постепенно переводя их куда надо.
