我有一个用例,在客户站点,我必须指示客户将多个外部服务器 IP 地址列入白名单。公司中的用户必须能够连接到每个单独的服务器。这对他们的 IT 部门来说很麻烦。我正在尝试制定一个解决方案,让他们可以只将一个 IP 地址或域名列入白名单。
一种解决方案是使用用户将要连接的反向代理,但用户将要连接的端口除了 80 和 443 之外还有其他端口。我可以将其与用于 ssh 的跳转框一起使用,但我不太喜欢这种方法,而且用户还需要连接其他不知名的端口。
第二种选择是使用客户可以连接的 vpn。然后他们就可以连接到我的 vpc (AWS) 内的服务器。
第三个选项是给每个服务器一个 DNS 名称,如 server1.example.com、server2.example.com 等。然后客户就可以将 example.com 列入白名单。不过,我不确定客户的 DNS 设置会如何处理这种情况。
有其他人解决过这样的问题吗?我正在尝试找出最简单的解决方案。
是
答案1
如果您的客户对安全性要求较高,您将不被允许从/到他们的网络创建 VPN。如果他们允许您创建 VPN,他们会将其置于防火墙后面,并且他们仍然必须输入您的 40 个地址(或 400 个)。一般来说,将 DNS 名称列入白名单仅在代理中完成;真正的防火墙不信任 DNS。
因此,如果您愿意,可以选择使用代理/jumphost,或者向他们提供 400 个 IP 地址。我认为他们不会感到惊讶。
您也可以为他们提供一个子网。如果您以这样的方式组织服务器,您可以为他们提供一个 /25 或 /26,并保证他们只有该子网中的服务器,这可能会更容易。