让我们想象一个部署在 GCP 上的简单系统。我们的系统公开了公开的、经过身份验证的(令牌、IP 白名单)API。API 可以访问一个受保护的资源 R(SQL 数据库)。我们想为我们的系统增加一些客户通过 VPN 访问的额外可能性,这意味着 R 的一部分应该只能通过 VPN 访问,而 R 的其他部分应该仍然可以通过公共 API 访问。你能提示我如何正确设计它吗?
VPN 受保护的资源,可通过经过身份验证的 API 访问 - 设计
网络工程
虚拟专用网
2022-02-13 21:08:41
1个回答
通常,您将公共服务器放置在非军事区 (DMZ)。
最好将公共服务和私有服务配置到不同的接口/IP 地址。或者,您可以使用不同的 TCP 端口(例如,端口 443 用于公共 HTTPS 访问,端口 8443 用于私有/管理 HTTP 访问)。
在面向公众的防火墙上,您允许到公共 IP/端口的流量(可能使用端口转发/目标 NAT,具体取决于设计)。在面向专用网络的防火墙上,您可以允许更多服务的流量。
然后您可以添加一个 VPN 网关,允许 VPN 对等方访问更多的公共服务。
其它你可能感兴趣的问题