V2EX = way to explore V2EX 是一个关于分享和探索的地方
Sign Up Now For Existing Member Sign In
${title}
`; switch(displayFormat) { case 'text-only': html += ` `; break; case 'small-with-description': html += ` ${campaign.img_small_cid ? ` 
` : ''}
`; break; case 'banner-only': html += `${description}
${description}
Promoted by ${campaign.member.username}
This topic created in 1527 days ago, the information mentioned may be changed or developed.
某厂后台地址格式 console.xxxx-inc.com 在内网解析出来的地址是 10.197.*.* ,是一个内网地址,可以操作阿里云上的生产环境。这一般是怎么实现的,内网里有反代服务器还是用了什么组网方案?还是内网服务器,通过调用生产环境的某些 API 进行操作?
 | 1 documentzhangx66 Feb 20, 2022 1.阿里云操作 API ,所以内网还是外网,与这个没关系。 2.VPN 组网也能实现。 |
 | 2 ClericPy Feb 20, 2022 同好奇来看看 目前小作坊用的 VPN 和堡垒机感觉还凑合, 虽然更喜欢云原生甚至 Serverless 层面, 越来越不喜欢自己搞运维了, devops 往前一小步能省一大笔时间和精力 |
 | 3 duke807 Feb 20, 2022 via Android 我曾了方便同事在公司部局域服器,在我私人的域名上,用一子域名定 IP 地址 192.168.1.xx 域名定的 IP 地址又不有什限制(年用的是 GoDaddy ),然可以定 IP |
 | 4 exiaohao Feb 20, 2022 靠特定的机器所在的 VPC 能访问就好了 或者通过 VPN 进去 |
 | 5 crazycen Feb 20, 2022  1 ipsec site to site |
 | 6 zhzy0077 Feb 20, 2022 阿里云 堡垒机 |
 | 7 ZXCDFGTYU Feb 21, 2022 SSLVPN |
 | 8 LeeReamond Feb 21, 2022 我倒很好奇外网解析出来是啥地址。。 |
 | 9 rv54ntjwfm3ug8 OP @LeeReamond #8 只有通过内网 DNS 才有解析,外网没解析 |
 | 10 tohuer00 Feb 21, 2022 专线接入? |
 | 11 xupefei Feb 21, 2022 VPC 里加 VPN IP 白名单。 |
 | 12 kwanzaa Feb 21, 2022 虚拟局域网? |
 | 13 msg7086 Feb 21, 2022 我们是公司内网认证以后进两层堡垒机连到服务器上。 |
 | 14 hawhaw Feb 21, 2022 via Android 一个字:打洞 |
 | 15 Davic1 Feb 21, 2022 会在云上规划一台跳板机, 这台跳板机有公网 IP 地址. 并且和生产环境的 VPC 相同或者同处于一个 VPC 里. 为了安全起见, 企业还会使用一个堡垒机,一般登录生产环境先要登录堡垒机, 然后通过堡垒机登录跳板机然后就可以对生产机器进行操作了. console.xxxx-inc.com 可能有很多种可能, 可能是某个云的弹性负载均衡, 有可能是 WAF 防火墙的 IP. 也有可能直接就是跳板机的 IP |
| 16 Davic1 Feb 21, 2022 # 15 相同->相通 |
 | 17 imbushuo Feb 21, 2022 在某些公司,要用专用的安全笔记本,用专用的 Prod 账户 (+MFA),登录专用的管理网络,获得一次性授权后,登上专用堡垒机然后限时进入生产环境( |
 | 18 zifangsky Feb 21, 2022 一般都是 LocalNDS ,只在内网才能解析,解析到的服务器基本也是 Nginx 之类的,经过反向代理后才指向真正的业务服务器 IP |
 | 19 qmm0523 Feb 25, 2022 1 一般是通过 VPN 或者专线将办公网和线上打通,具体实现的方式不同的公司千差万别。以 lz 提到的阿里为例,办公网 ping 线上服务解析出来的地址往往不是服务器的真实地址,而是负载均衡器( LB )的地址。这个 LB 一般不会对外提供服务,仅供内部用户访问线上。LB 所在的网络区域可以同时访问线上与办公网,所有涉及跨办公网与线上的流量都会经过这个 LB 。同时,这个 LB 在很多公司也会承载其他业务,比如认证鉴权、日志审计、WEB 防火墙等。这么做的好处是把所有功能收口到一处,以免未经授权直接访问线上服务器。不过很多小公司路子比较野的话就直接一个 VPN/专线直连机房,不通过 LB 直接访问线上服务器,这种操作是非常不安全的。 如果还有问题欢迎回复。 |
| 20 rv54ntjwfm3ug8 OP @qmm0523 #19 请问这个 LB 一般是用什么实现的,用办公内网的服务器还是云计算厂商的现成方案? |
| 21 qmm0523 Feb 25, 2022 @theklf4 1.请问这个 LB 一般是用什么实现的 一般用 openresty 开发比较多,openresty 实际上就是带 lua 的 nginx,兼具了 nginx 的效率和 lua 的灵活性。 2.用办公内网的服务器还是云计算厂商的现成方案 只需要保证能向内部用户提供服务,并且可以反代到生产网络的机器即可,放办公网(一般是办公室的小机房)和放线上服务器所在的机房均可,两种方案都有企业那么干。不过大企业一般偏向于放在机房的网络边界处,原因是办公室网络 /电源等无法保证高可靠性,如果放在机房,在办公网出问题的情况下依然能保证员工通过 VPN 等连上内网(没错,大企业的 VPN 很多也直接放在线上,而小公司则放在办公室的居多)。 |
 | 22 mytsing520 PRO 1.解析层面 内网有 DNS ,直接在 DNS 层面做解析;或者外网权威 DNS 上针特定来源做特定策略。这个方法有很多。 2.内网地址能访问到云上 第一种,这里叫私网地址好了,是企业内部地址,做了反代去访问云端资源 第二种,这是云上分配的私网地址,企业和云上专线打通即可,包括但不限于 SD-WAN 、IPsec 等 |
Select Language