一个典型的中小公司基础设施环境如上图，可能没有云商的Office VPC（办公VPC），转而使用线下小机房，但都大差不差。

先说结论，对于一个基础IT环境，至少需要准备三套域名（二级域名SLD），按不同的使用场景：

1. 接入域名/外网域名，a.com
   1. 定义：用于外部客户访问，仅用于接入，暴露给外网；
   2. 注意：不可用于服务间调用，服务间调用使用服务域名/内网域名
   3. 如果业务有出海需求，海外请单独准备一套顶级域名，甚至分地区准备；
      1. 至少需要将境内和境外域名拆分，并且注意拆分域名注册局和权威托管商。
      2. 海外的到海外注册，托管到海外去，并且用海外主体。
2. 服务域名/内网域名， b.com
   1. 定义：用于内部服务之间调用，服务间自动注册等，不面向公众暴露；
   2. 注意：不可用于办公域名，不可用于内部运营系统；
   3. 当接入域名遇到特殊事件，例如clienthold，应当避免影响到内网域名和办公运营活动，可以通过替换外部域名恢复，或者在日常就准备多套接入域名，遇事顶上。如果混用，各类系统瘫痪，一锅粥，睁眼瞎，恢复起来手忙脚乱。
3. 办公域名，c.com
   1. 定义：仅用于办公系统，面向内部员工的运营平台与服务
   2. 如果一定要省域名，最多也就是将服务域名和办公域名混用一套，外网域名需要独立。
   3. 运营系统域名必须和线上域名，内网域名分开，甚至在流量路径上也需要拆分。以避免遇到故障时，互相影响，参考B站故障总结

BTW，既然域名已经拆开了，证书也拆开吧，不要为了省钱/省事，搞成一套Multi SAN。