我们的应用程序套件包括一个采购平台,通过FTP将采购订单传送给数十家供应商。 到目前为止,这个应用程序已经运行在一台服务器上,所以这些FTP传输源于一个IP地址。 多年来,许多供应商已经在其内部networking上列出了这一个IP地址。 我们的基础设施正在不断增长,我们需要在多个服务器上托pipe我们应用程序的这一方面,因此FTP传输将从新的IP地址发送给这些供应商。 我们担心的是,如果我们采取这一举措,传输将开始失败,因为传输被供应商的防火墙拒绝等。如果可能的话,我们希望避免与供应商的数量和每个供应商协调这种举措,他们的IT资源的可靠性变化。
我们目前正在研究FTP代理,但我想知道我们可能有什么其他select。 我确信还有其他的SaaS商店出现过类似的问题,我很想听听他们是如何与他们联系的。
谢谢!
如果将防火墙设置为将所有服务器NAT为一个IP地址,则可以保持单个公共IP,但将服务托pipe在多个FTP服务器上。 你可以使用思科的dynamicNAT来做到这一点:
access-list DNAT-FTP permit <first ip> <subnet> access-list DNAT-FTP permit <second ip> <subnet> access-list DNAT-FTP permit <...> <...> access-list DNAT-FTP permit <last ip> <subnet> static (DMZ,outside) <ip to nat to> access-list DNAT-FTP 坦率地说,我只是咬紧牙关。 你不想永远依靠你的旧地址空间。
尽早从新地址空间开始对您的供应商进行testing。 如果您想关注IP白名单,则不需要模拟更多的login和目录列表。
了解明确地通过testing的供应商的情况。 让其他人知道更改,即使testing成功。 当你满意的时候,所有的testing都通过了,那么你可以继续进行重新编号。
我们自己是一家SaaS商店。 但不同之处在于,我们直接从RIR获取PI地址空间,并且没有任何像您描述的过程。
如果你说明了供应商,你的客户和你自己之间的关系,这可能是相关的。 例如,如果服务合同是通过代理您的客户,那可能会更棘手一些,因为这将要求他们代表您追求更改请求。 但是,如果您在专业上明确表示变更必须按时完成,以便为客户提供他们期望的服务水平,那么就不会有任何问题。
一个可能的解决scheme可能是通过VPN隧道为客户提供服务。 这将需要改变,但是一旦你实现了隧道,你可以随意进行服务器端的改变。
如果服务器是Linux,则可以使用iptables作为另一个外部IP地址。