Sto lavorando al trasferimento della maggior parte del nostro stack software su alcuni server in upcloud per ottenere un tempo di attività migliore. Ci sono tuttavia alcuni servizi che per diversi motivi non possono funzionare al di fuori della rete aziendale, ad esempio un servizio che controlla un robot di masterizzazione CD e una grande quantità di file audio (~100TB) che semplicemente non siamo pronti a spostare.
Sto pensando a queste opzioni:
-
Esporre l’accesso a questi servizi con nginx e una whitelist di indirizzi IP
-
configurare un bastion SSH o una connessione VPN che dia accesso alla rete interna
Ho altre opzioni migliori o una di queste ha senso?
Dato che una di queste ragioni è probabilmente “sicurezza”, eviterei assolutamente di aprire le porte dal tuo on-prem al cloud.
Un tunnel VPN è probabilmente il più semplice da implementare, (sia un server openVPN ospitato nel cloud, o una VPN peer-to-peer come zerotier), ma di fatto dà pieno accesso alla rete on-prem al punto di ingresso.
A seconda della configurazione del router/rete, potresti essere in grado di gestire l’ingresso all’esterno della tua rete e controllare il traffico con regole del firewall e eseguire il client VPN locale sul firewall (come faccio con la mia implementazione OPNSense), altrimenti adotterei una combinazione delle opzioni 1 e 2 e avrei una scatola proxy dedicata che esegue il client VPN oltre al reverse proxy appropriato per raggiungere i server di destinazione.
Un account di servizio collegato alle VM cloud. Se i tuoi server on-prem utilizzano l’autenticazione cloud, quello è tutto. Altrimenti dovrai sincronizzare il tuo account di servizio con il servizio di autenticazione on-prem e dargli i permessi per i servizi on-prem.
Proprio qui entra in gioco uno strumento di overlay network peer-to-peer a basso livello di configurazione come https://enclave.io (da controllare anche zerotier e tailscale). Installazioni di agent sui sistemi che vuoi collegare. I firewall rimangono chiusi. Nessun server VPN o configurazione di rete richiesta.
Full disclosure, co-fondatore di enclave.io.
I nostri server on-prem non usano l’autenticazione cloud.
Mi piace molto che condividi questa informazione.
Dannazione, ottima scoperta - grazie https://enclave.io (è abbastanza divertente :p)