目前,我的公司正在准备发布,并且正在逃避一些肮脏的黑客攻击。最大的问题是我们的 staging、ci 和监控盒可在 staging.ourcompany.com、ci.ourcompany.com 和 surveillance.ourcompany.com 上使用。由于它们都有很好的 HTTP 接口,在浏览器中访问这些 URL 将显示一个不错的网站--致每一个路过的人,无论他们是否和我们在一起。
在理想情况下,除非用户是我们中的一员,否则这些机器将无法访问。我无法预测在家办公的人/等等,所以我不想只将 IP 地址列入白名单。
我的理解是,这就是 VPC 派上用场的地方。我们的机器都托管在 EC2 上,所以我开始研究 VPC,这让我头疼不已。
在这种情况下,我到底需要什么?我的基本理解(几乎肯定是有缺陷的)是,我们将通过 VPN 接入一个具有某种自定义路由表的盒子,并且我们的公共 DNS(例如 staging.company.com)将指向一个无法为任何其他人解析的内部 IP。然后流量通过该 VPN 盒子进行隧道传输?
显然,这是一件非常重要的事情,但我显然超出了我的能力范围。我受过非常扎实的计算机科学教育,并且多年来一直使用 Linux 机器,但 VPN 和高级网络对我来说真的很新。任何帮助都将不胜感激。
答案1
VPC 实际上是用于扩展您的企业网络,它的表现方式与公共云不同,并且并非所有功能都与公共云相同。
您应该考虑在非生产 URL 中添加某种替代身份验证或 IP 检查。如果您使用 ELB,安全组也不会帮助您(ELB 本身没有 ACL 功能),您需要使用 X-Forwarded-For 标头构建软件 ACL 或以其他方式对用户进行身份验证。