当前,通过 SSH 登录到我们的共享服务器的用户始终进入根挂载命名空间,例如,这允许所有用户查看同一个/var/tmp目录,使其成为由所有用户共享的争用资源(如果 /var/tmp 不是唯一的文件系统,则为根文件系统)。 使用 systemd,可以轻松地将服务(或服务实例)配置为唯一的挂载命名空间,例如,为它们提供该服务/会话所独有的私有(tmpfs)/var/tmp。 有没有一种好的方法可以为用户做类似的事情 - 例如,在登录时,用户将拥有一个新的挂载命名空间设置,其中他们/var/tmp实际上(例如)有一个符号链接/srv/vartempfs/$UID?...
我正在开发一款多租户 SaaS 应用,该应用通过 TCP/IP 上的最小底层协议与客户本地系统集成。顾名思义,MLLP 不支持任何加密,因此通常通过在主机之间配置 VPN 来实现安全性。 SaaS 应用程序在 EC2 实例上运行,并为每个新租户配置一个新的监听端口。连接是双向的,因此 SaaS 应用程序会监听/接收来自客户本地系统的消息,并向客户本地 API 端点发送消息。 +-----------------+ ...
在我们的服务器 (Apache/Ubuntu18) 上,我们有一个正在运行的 Web 应用,它是一个多租户 Web 应用。因此,对于每个新客户端,都会有一个新的租户设置,并且它会创建一个新的子域。所以: Web 应用程序/Vhost:domain.com 客户 A:A.domain.com(但想通过自己公司的网址访问应用程序。所以 A.nike.com) 客户 B:B.domain.com(但想通过自己公司的网址访问应用程序。所以 A.adidas.com) 等等等等。 因为他们想要使用自己的公司 URL,所以我们为我们的 Web 应用设置了通配符 SSL ...
最近,一位同事请我协助他进行 Office 365 重新架构。目前,他在美国有一个办事处,在德国也有一个办事处。Office 365 租户目前与单个域相关联,所有全球用户都属于此租户。 然而,为了进行重新架构,他们正在更改为新域名。根据 GDPR 法律,德国数据必须保留在德国(或其他欧盟国家)自己的租户中。他们自然不希望他们的美国用户群驻留在该租户中。 根据我对 Office 365 的了解,我告诉他,由于 Office 365 所需的 DNS 配置,他们无法将单个域扩展到多个租户。最好的解决方法是创建主域,然后在同一个林中创建其他域以应用于租户。 我...
Azure 门户中有一个开关(通过 Azure Active Directory/应用程序注册/查看所有应用程序/您的应用程序/设置/属性访问),标签为多租户,选项为是或否。标签上的工具提示显示: 指定是否允许外部组织中的用户授予您的应用对其组织目录中数据的访问权限。此控制仅影响授予访问权限的能力。它不会影响任何已授予的访问权限。 在我看来,这似乎并不意味着,对于单租户应用,除了 AD 中的用户之外,没有人可以访问你的应用。但是,许多其他个人博客文章明确表示,只有 AD 中的用户才能访问你的应用;例如,单租户与多租户之间的区别。 我在微软文档中...
根据我的研究,我相信使用微软的“Multigeo”可以实现这一点,但我认为这需要 5000 个用户,而不是 100 个。我记得还有其他方法可以解决这个问题,也许是多租户,但我不确定两个租户是否可以使用同一个域名完全同步。 ...
我们正在考虑将我们的网站托管在 amazon aws 上,以便它们可以按需扩展。目前,我们在多租户服务器上托管了大约 500 个网站,但我们希望摆脱这种架构,每个网站至少有 1 个服务器。看来 amazon aws 每个帐户最多有 5 个 IP 地址,因此我们无法为每个网站提供唯一的公共 IP 地址,考虑到 ipv4 地址的短缺,这是很公平的。 因此,接下来想到的办法是将每个网站作为应用程序托管在 elastic beanstalk 上,但似乎每个帐户最多只能有 75 个应用程序,所以我想这也不是一种选择。亚马逊说你可以请求更多,但他们真的会同意让我们再拥...
我有一个托管在 AWS EC2 和 RDS 上的 SAAS 应用程序。我们使用 django 和 Postgres 作为堆栈 我们的做法是,使用公共模式保存租户信息,但租户特定数据则保存在同一个数据库的单独模式中 最近我们收到一些请求,一些客户希望在自己的场所托管软件,因为他们希望完全控制数据。 这意味着我们失去了对源代码的控制,而且调试和部署托管在本地而不是云端的代码更加困难。 他们可能同意我们将其部署到他们的 AWS 账户上。所以这是他们的 ec2 和 rds。 这给了我们一个想法。 我们是否可以在我们的 AWS ec2 上部署源代码,并且它...
我们正在为公司创建一个内容管理系统。这个 CMS 必须在动态数量的服务器上支持动态域名,这一点很重要。经过几个小时的研究,我们认为亚马逊的 Elastic Beanstalk 是最佳选择。我们还需要能够为与我们的系统关联的域动态启用 SSL。 因此,在我们的系统中,我们可以创建一个与域名关联的“站点”。创建站点时,我们还可以选择是否通过 SSL/TLS 托管该域名。我们计划对系统进行白标,并预计有大量域名与其关联。 我一直在探索在服务器(或负载均衡器)上设置 SSL 以及能够动态更改受保护域的不同可能性。我目前的情况如下: 使用亚马逊的证书管理器:这...
我们提供的服务可让客户运行自己的 CMS。我们的客户希望使用自己的 SSL 证书,无论是自签名证书还是由其他公司签名的证书。 我们的应用程序运行PHP。我原本想使用反向代理技术,但是它们太多了,无法手动重新加载nginx。 我们在上运行gcloud,因此我们有能力拥有大量 SSL 证书。 我们准备使用SNI,因此,不再支持WinXP。 我们需要接受 SSL 证书并以极少的基础设施交互(重新加载守护进程等)来实现它们。 我们愿意使用您推荐的任何网络服务器或反向代理技术。 我们不想使用UCC,因为我们想让客户端自带 SSL。 IPv4 非常稀缺,因此,我们...
我有一台运行多个 IIS Web 站点的多租户 Windows 2012 机器,每个网站都运行自己的应用程序池并具有自己的 Windows 用户标识,我需要限制每个应用程序池的所有出站网络访问。 我一直在寻找解决方案,但收效甚微。我认为可以限制每个 Windows 用户的连接,或者将 IP“映射”到 Windows 用户并按 IP 进行限制。但似乎没有任何东西允许我采用这两种方法。我调查了: 使用 Windows 防火墙 -> 不允许按用户创建规则,仅允许按 IP/端口/进程名称创建规则 使用 ASP.NET/IIS 安全限制 -> 它们都...
我们是一个多租户服务,并在负载均衡器(HAProxy + Apache 用于 SSL 终止)上终止 SSL,这因专用 IP 要求而导致成长烦恼。但时代变了,我们正在考虑转向 SNI,所以我希望在 2015 年获得关于将其作为我们的标准的明智意见。 我将概述我们的假设: 由于 POODLE 攻击,SSL 已失效(TLS 万岁), TLS 内置了 SNI IE6 / Windows XP (<sp3) 已死,原因有很多,其中最重要的原因是 XP 即将 EOL 目前,我们已经终止了对 IE7 和 IE8 的支持 我是否可以正确地假设 SNI 现在基...
我们目前拥有以下环境(托管在服务器 2003 上,终端服务器托管在 2008 R2 上),我们需要将其升级到 2012 版本。我们将从头开始创建一个新环境。 域控制器 DC01 DC02 文件服务器 文件01 Exchange 服务器 Exchange01 终端服务器 TS_客户端A TS_客户端B 客户端C 每个客户端在我们的 AD 中都有自己的 OU,并且使用拒绝(ADSIedit),他们无法在 Exchange 中看到彼此,也无法将其作为普通对象(例如文件夹权限)。 我们不想再次使用这些技巧,而是希望有一个深思熟虑的...
我有一个多租户网站。它在美国托管多年,没有出现任何问题。 近年来,我的澳大利亚、加拿大和欧盟的客户都表示担心,因为他们国家的隐私法与美国的隐私法相冲突。 那么问题是,有什么方法可以解决这个问题?我知道没有“一刀切”的解决方案,但有人遇到过类似的障碍吗?你做了什么来解决这个问题? 我是否在澳大利亚、加拿大、欧盟等地设置服务器并托管相同代码的多个版本,但将数据存储在该国家/地区? 我想如果澳大利亚客户知道他们的数据托管在澳大利亚,他们就会安心…… 或者有更好的选择?我很想听听大家的想法 提前致谢! 本...
我们的 Web 应用程序突然出现间歇性性能下降(页面加载缓慢,ajax 调用缓慢,从不到 1 秒到超过 20 秒)。唯一的线索是当应用程序变慢时,我们会看到 MS SQL 服务器报告 ASYNC_NETWORK_IO 等待。这些错误和速度下降发生在服务器负载重和轻的情况下(由连接数决定)。 此应用程序已运行数月,没有出现任何问题,Azure 方面最近的唯一变化是几个月前添加了自动扩展和 SQL 服务器回退功能。应用程序本身正在进行常规开发和部署。 我们查看了代码,看看最近的编码更改是否会从应用程序 --> SQL 的角度影响性能,但没有发现任何东西...