V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Recommended Services
Amazon Web Services
LeanCloud
New Relic
ClearDB
rv54ntjwfm3ug8
V2EX  ›  云计算

大厂是怎么通过内网 IP 访问生产环境后台的?

  •  2
     
  •   rv54ntjwfm3ug8 · 2022-02-20 20:18:42 +08:00 · 7945 次点击
    这是一个创建于 1014 天前的主题,其中的信息可能已经有所发展或是发生改变。
    某厂后台地址格式 console.xxxx-inc.com 在内网解析出来的地址是 10.197.*.* ,是一个内网地址,可以操作阿里云上的生产环境。这一般是怎么实现的,内网里有反代服务器还是用了什么组网方案?还是内网服务器,通过调用生产环境的某些 API 进行操作?
    22 条回复    2022-02-27 05:33:36 +08:00
    documentzhangx66
        1
    documentzhangx66  
       2022-02-20 20:40:31 +08:00
    1.阿里云操作 API ,所以内网还是外网,与这个没关系。

    2.VPN 组网也能实现。
    ClericPy
        2
    ClericPy  
       2022-02-20 22:21:03 +08:00
    同好奇来看看

    目前小作坊用的 VPN 和堡垒机感觉还凑合, 虽然更喜欢云原生甚至 Serverless 层面, 越来越不喜欢自己搞运维了, devops 往前一小步能省一大笔时间和精力
    duke807
        3
    duke807  
       2022-02-20 22:28:38 +08:00 via Android
    我曾經為了方便同事在公司內部訪問局域網服務器,在我私人的域名上,用一個子域名綁定 IP 地址為 192.168.1.xx

    域名綁定的 IP 地址又不會有什麼限制(當年用的還是 GoDaddy ),當然可以綁定內網 IP
    exiaohao
        4
    exiaohao  
       2022-02-20 22:37:29 +08:00
    靠特定的机器所在的 VPC 能访问就好了
    或者通过 VPN 进去
    crazycen
        5
    crazycen  
       2022-02-20 22:43:19 +08:00   ❤️ 1
    ipsec site to site
    zhzy0077
        6
    zhzy0077  
       2022-02-20 23:16:58 +08:00
    阿里云 堡垒机
    ZXCDFGTYU
        7
    ZXCDFGTYU  
       2022-02-21 00:14:35 +08:00
    SSLVPN
    LeeReamond
        8
    LeeReamond  
       2022-02-21 00:41:33 +08:00
    我倒很好奇外网解析出来是啥地址。。
    rv54ntjwfm3ug8
        9
    rv54ntjwfm3ug8  
    OP
       2022-02-21 01:08:31 +08:00
    @LeeReamond #8 只有通过内网 DNS 才有解析,外网没解析
    tohuer00
        10
    tohuer00  
       2022-02-21 01:34:36 +08:00
    专线接入?
    xupefei
        11
    xupefei  
       2022-02-21 05:43:47 +08:00
    VPC 里加 VPN IP 白名单。
    kwanzaa
        12
    kwanzaa  
       2022-02-21 05:58:12 +08:00
    虚拟局域网?
    msg7086
        13
    msg7086  
       2022-02-21 07:54:27 +08:00
    我们是公司内网认证以后进两层堡垒机连到服务器上。
    hawhaw
        14
    hawhaw  
       2022-02-21 08:11:46 +08:00 via Android
    一个字:打洞
    Davic1
        15
    Davic1  
       2022-02-21 08:46:01 +08:00
    会在云上规划一台跳板机, 这台跳板机有公网 IP 地址. 并且和生产环境的 VPC 相同或者同处于一个 VPC 里.
    为了安全起见, 企业还会使用一个堡垒机,一般登录生产环境先要登录堡垒机, 然后通过堡垒机登录跳板机然后就可以对生产机器进行操作了.

    console.xxxx-inc.com 可能有很多种可能, 可能是某个云的弹性负载均衡, 有可能是 WAF 防火墙的 IP. 也有可能直接就是跳板机的 IP
    Davic1
        16
    Davic1  
       2022-02-21 08:46:56 +08:00
    # 15 相同->相通
    imbushuo
        17
    imbushuo  
       2022-02-21 10:28:45 +08:00
    在某些公司,要用专用的安全笔记本,用专用的 Prod 账户 (+MFA),登录专用的管理网络,获得一次性授权后,登上专用堡垒机然后限时进入生产环境(
    zifangsky
        18
    zifangsky  
       2022-02-21 14:45:38 +08:00
    一般都是 LocalNDS ,只在内网才能解析,解析到的服务器基本也是 Nginx 之类的,经过反向代理后才指向真正的业务服务器 IP
    qmm0523
        19
    qmm0523  
       2022-02-25 16:10:43 +08:00   ❤️ 1
    一般是通过 VPN 或者专线将办公网和线上打通,具体实现的方式不同的公司千差万别。以 lz 提到的阿里为例,办公网 ping 线上服务解析出来的地址往往不是服务器的真实地址,而是负载均衡器( LB )的地址。这个 LB 一般不会对外提供服务,仅供内部用户访问线上。LB 所在的网络区域可以同时访问线上与办公网,所有涉及跨办公网与线上的流量都会经过这个 LB 。同时,这个 LB 在很多公司也会承载其他业务,比如认证鉴权、日志审计、WEB 防火墙等。这么做的好处是把所有功能收口到一处,以免未经授权直接访问线上服务器。不过很多小公司路子比较野的话就直接一个 VPN/专线直连机房,不通过 LB 直接访问线上服务器,这种操作是非常不安全的。
    如果还有问题欢迎回复。
    rv54ntjwfm3ug8
        20
    rv54ntjwfm3ug8  
    OP
       2022-02-25 19:54:43 +08:00
    @qmm0523 #19 请问这个 LB 一般是用什么实现的,用办公内网的服务器还是云计算厂商的现成方案?
    qmm0523
        21
    qmm0523  
       2022-02-25 20:57:53 +08:00
    @theklf4
    1.请问这个 LB 一般是用什么实现的
    一般用 openresty 开发比较多,openresty 实际上就是带 lua 的 nginx,兼具了 nginx 的效率和 lua 的灵活性。
    2.用办公内网的服务器还是云计算厂商的现成方案
    只需要保证能向内部用户提供服务,并且可以反代到生产网络的机器即可,放办公网(一般是办公室的小机房)和放线上服务器所在的机房均可,两种方案都有企业那么干。不过大企业一般偏向于放在机房的网络边界处,原因是办公室网络 /电源等无法保证高可靠性,如果放在机房,在办公网出问题的情况下依然能保证员工通过 VPN 等连上内网(没错,大企业的 VPN 很多也直接放在线上,而小公司则放在办公室的居多)。
    mytsing520
        22
    mytsing520  
       2022-02-27 05:33:36 +08:00
    1.解析层面
    内网有 DNS ,直接在 DNS 层面做解析;或者外网权威 DNS 上针对特定来源做特定策略。这个方法有很多。

    2.内网地址能访问到云上
    第一种,这里叫私网地址好了,是企业内部地址,做了反代去访问云端资源
    第二种,这是云上分配的私网地址,企业和云上专线打通即可,包括但不限于 SD-WAN 、IPsec 等
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2814 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 12:50 · PVG 20:50 · LAX 04:50 · JFK 07:50
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.