当部署到生产环境时,我们的.net核心API将位于IBM DataPower反向代理之后,执行身份验证; SSL / TLS终止;缓存等。
我们是否需要在此设置中使用IIS?
该服务应为HTTPS,因为DataPower服务器将使用该服务重新进行身份验证(使用一组不同的凭据)
我可以(或应该)避免在此设置中使用IIS吗?
答案 0 :(得分:3)
如果将应用程序公开到Internet,则必须使用IIS,Nginx或Apache作为反向代理服务器。反向代理服务器接收来自Internet的HTTP请求,并在进行一些初步处理后将它们转发给Kestrel。
我建议他们很好地了解这些产品以推荐它们,但其他反向代理服务器(如IBM DataPower)也可以。所以非常欢迎你完全避开IIS。
此外,这就是为什么你不应该使用直接连接到互联网的Kestrel:
出于安全原因,边缘部署(暴露于来自Internet的流量)需要反向代理。红隼相对较新,尚未完全抵御攻击。这包括但不限于适当的超时,大小限制和并发连接限制。
值得注意的是,目前正在对Kestrel进行大量工作,在版本2中他们可能会更改此建议,但我怀疑这可能还为时过早。