如果这听起来有点新奇,请提前致歉,因为我对网络方面的事情还不太熟悉。我想听听大家的意见,看看这个解决方案是否可行。
我有两个网络 Alpha 和 Gamma。由于政策原因,这两个网络无法直接连接。但我在 Alpha 中有一个服务需要与 Gamma 通信(双向)。
因此,还有另一个网络,Beta,它受到Gamma的信任,并且从策略角度来看也被允许连接到Alpha。
因此,我考虑在 Beta 中托管一个简单的 HAProxy,它将流量从 Alpha 中的 IP 路由到 Gamma 中的特定 IP(反之亦然)。VPN 也可以帮助使其比特定 IP 更灵活,但目前我只有特定的 IP 可以连接(<10),而不是数百个。
除了一些自定义 TCP 端口流量外,代理还将处理 HTTP(80) 和 HTTPS(443) 流量。
有没有更好的解决办法?
答案1
最好的做法(如果可能的话)可能是将您的服务从“Alpha”移至另一个单独的网络。并在该网络与 Alpha 和 Gamma 之间放置 2 个防火墙。这是一个类似于 DMZ 的概念。
考虑最坏的情况 - 如果您的服务受到攻击怎么办?这样,如果您在 Alpha 网络上提供服务,来自 Gamma 网络的恶意用户就可以访问您的整个 Alpha 网络。即使您通过 HAProxy 代理,他仍然可以通过 HTTP(S) 门户在 Alpha 网络上的服务器上执行任意命令。如果您将服务放在单独的网络中,即使它受到攻击,他仍然需要穿透您的防火墙才能访问其他服务。