如果这听起来有点新鲜,因为我对networking方面还是有点新的事情,所以提前道歉。 如果这个解决scheme能起作用,我想得到一个意见。
我有两个networkingAlpha&Gamma。 由于策略,两个networking不能直接连接。 但是我有一个需要和Gamma交谈的服务(两种方式)。
所以还有另外一个networking,Gamma信任的Beta,也可以从策略的angular度连接到Alpha。
所以我正在考虑只做一个简单的HAProxy,它将把stream量从Alpha中的一个IP路由到一个特定的Gamma中(反之亦然)。 一个VPN也可以使这个比特定IP更灵活,但是我只有特定的IP来连接(<10),而不是在hundreads。
除了一些自定义的TCP端口stream量之外,代理还可以处理HTTP(80)和HTTPS(443)stream量。
有没有更好的解决办法呢?
如果可能的话,最好的做法可能是把你的服务从“Alpha”移动到另一个独立的networking。 在这个和Alpha&Gamma之间放置2个防火墙。 这是一个类似于DMZ的概念。
考虑一个最坏的情况 – 如果你的服务受到威胁呢? 这样,来自Gammanetworking的恶意用户可以访问您的整个Alphanetworking,如果您有服务。 即使通过HAProxy进行代理,他仍然可以通过HTTP(S)门户在Alphanetworking上的服务器上执行任意命令。 如果你把服务放在单独的networking中,即使它被攻破了,他仍然需要穿透你的防火墙去达到其他的服务。