V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
cxytz01
V2EX  ›  Amazon Web Services

有什么组建内网的解决方案?

  •  
  •   cxytz01 · 2022-07-29 21:49:57 +08:00 · 6133 次点击
    这是一个创建于 608 天前的主题,其中的信息可能已经有所发展或是发生改变。

    公司全员远程,人员分布在中美新三国。

    云服务选用的北美 aws ,开发过程中有些内部组件、服务、系统不能暴露出外网,比如 DB 、ES 、运营系统等。当前访问这些服务都是通过 aws 跳板机进行 ssh 代理到本地,来访问这些系统。想搞一个 vpn ,将大家的办公机器和 aws 打通,这样子就可以直接连接这些系统了。

    运行在 aws kubernetes 上的系统,是否也可以通过 vpn 解决?

    有什么解决方案吗,收费的软件也可。

    30 条回复    2023-01-11 21:10:33 +08:00
    me221
        1
    me221  
       2022-07-29 22:10:04 +08:00
    WireGuard. 我是自己用了,不知道企业之间稳定性怎么样 供参考
    natsji
        2
    natsji  
       2022-07-29 22:42:02 +08:00 via Android
    单用 wireguard 容易被墙吧
    SbloodyS
        3
    SbloodyS  
       2022-07-29 22:48:33 +08:00
    公司用飞塔吧
    lingly02
        4
    lingly02  
       2022-07-29 23:00:26 +08:00 via iPhone   ❤️ 1
    sshuttle ,穷人的 vpn
    coolcoffee
        5
    coolcoffee  
       2022-07-29 23:06:06 +08:00
    纯 wireguard 只适合个人,因为有配置更改,每个客户端都要重新去配置,这个对于企业多人团队是噩梦。


    如果包含了国内,那么 openvpn 是比较好的选择,主要是 openvpn 支持 socks5 作为前置代理加速和抗干扰,同时支持服务端下发内网和集群网段的路由表。
    pendulum
        6
    pendulum  
       2022-07-29 23:08:45 +08:00
    还是 openvpn 吧,自定义程度高
    datocp
        7
    datocp  
       2022-07-29 23:11:37 +08:00 via Android
    似乎没见过比 softether 更牛的,三地 l3 路由打通,acl 访问控制,radius 接入,感觉比较专业。。。而且还是纯图形控制界面。
    m4d3bug
        8
    m4d3bug  
       2022-07-29 23:16:39 +08:00 via Android   ❤️ 1
    WireGuard

    再次复制粘贴

    借花献佛

    🔥🔥🔥欢迎加入 WireGuard SIG (特别兴趣小组)!!!本群主要用来讨论 WireGuard 相关技术话题。

    WireGuard 相关资料(复制到浏览器打开): https://fuckcloudnative.io/tags/wireguard/

    WireGuard 相关项目:

    ◉ Headscale: https://github.com/juanfont/headscale
    ◉ Netamker: https://github.com/gravitl/netmaker
    ◉ Wiretrustee: https://github.com/wiretrustee/wiretrustee
    ◉ Tailscale: https://github.com/tailscale/tailscale
    ◉ wesher: https://github.com/costela/wesher
    ◉ Kilo: https://github.com/squat/kilo
    ◉ Wg Gen Web: https://github.com/vx3r/wg-gen-web
    ◉ WireGuard Portal: https://github.com/h44z/wg-portal
    ◉ udppunch: https://github.com/yinheli/udppunch

    有条件的同学可加入神秘群组: https://t.me/cloudnativer
    xgfan
        9
    xgfan  
       2022-07-29 23:19:44 +08:00   ❤️ 2
    wireguard
    用 netmaker 做中央配置就好。
    billzhuang
        10
    billzhuang  
       2022-07-29 23:38:14 +08:00 via iPhone
    Tailscale 是最简单的选择
    msg7086
        11
    msg7086  
       2022-07-30 01:50:45 +08:00
    不懂就问:AWS 自己的 VPN 方案不能用吗。
    dann73580
        12
    dann73580  
       2022-07-30 02:18:53 +08:00 via iPhone
    Tailscale 团队版还有权限管理,挺不错的。
    另外 Cloudflare Zero Trust 也是个不错的选择吧。
    documentzhangx66
        13
    documentzhangx66  
       2022-07-30 04:57:58 +08:00
    国内公司,去电信申请出国线路并备案。

    国内别用三大云,用天翼云,和他们谈出国线路问题,让他们提供其他两国的运营商线路选择。

    其他两国,在电信建议的运营商,选择运营商,买云主机。

    国内天翼云,国外两家运营商,用 Headscale 部署中转节点,并打通,实时监控流量情况。

    最后一步有点麻烦,但安全。收集每家公司、每个节点的 IP ,全网用白名单模式。
    defunct9
        14
    defunct9  
       2022-07-30 07:31:24 +08:00 via iPhone
    ovpn
    javerlei
        15
    javerlei  
       2022-07-30 10:31:53 +08:00
    wireguard 配合各种隧道 ws ,v2 ,frp 等,可以避免干扰,最稳定的还是利用海外云和国内云进行中转,国内 wg 只要不过墙封锁不严重。
    ihipop
        16
    ihipop  
       2022-07-30 12:14:03 +08:00 via Android
    @javerlei 国内的 wg 因为运营商流控问题几乎没法用,UDP 速度太慢了
    shengyu
        17
    shengyu  
       2022-07-30 13:33:21 +08:00
    都用云了 为啥不继续使用 AWS VPN
    idblife
        18
    idblife  
       2022-07-30 14:22:19 +08:00 via iPhone
    AWS Direct Connect
    话说没有 BD 和 SA 支持吗?
    photon006
        19
    photon006  
       2022-07-30 14:50:56 +08:00
    单纯 wireguard 过墙容易被检测屏蔽,可以用 udp2raw 把 udp 协议转换成 fake tcp 过墙,国内找个云服务器中转还原成 udp 进行连接。
    davidshao
        20
    davidshao  
       2022-07-30 16:15:37 +08:00
    IPsec
    中文解释的话可以看下-->
    [IP-Sec]( https://info.support.huawei.com/info-finder/encyclopedia/zh/IPsec.html)
    davidshao
        21
    davidshao  
       2022-07-30 16:16:28 +08:00
    @davidshao 打扰了。没注意到开头-->公司全员远程,
    Marionic0723
        22
    Marionic0723  
       2022-07-31 08:24:09 +08:00
    @datocp 只是有点可惜,对 ipv6 支持的一般,自带的不一定够用,像 DHCPv6 得自己搞,不能用它的 Secure NAT 。
    l3 组网也只能转发 ipv4.
    另外的有些功能打不开,说是开源版受限制怎么的,难道还有其他版本?
    hbytw1
        23
    hbytw1  
       2022-07-31 15:06:26 +08:00
    zerotier+自建 planet 内网使用软旁路由,我搭建的自用网络在国内、俄罗斯、韩国、日本、美国都很 OK
    AntonChen
        24
    AntonChen  
       2022-07-31 15:11:26 +08:00 via Android
    任意 VPN 服务都能满足需求。
    楼主的情况最大难点在于 GFW ,所以要先解决网络问题,需要为国内员工专门配备 IEPL 专线作为登录入口才靠谱。
    fiveStarLaoliang
        25
    fiveStarLaoliang  
       2022-08-01 10:06:53 +08:00   ❤️ 1
    都规模这么大了,你们公司不搞个专线说的过去吗,碰上 GFW 严查期间能搞死你们
    yulgang
        26
    yulgang  
       2022-08-01 11:00:08 +08:00
    aws vpn
    haofly
        27
    haofly  
       2022-08-02 08:47:52 +08:00
    vpn 吧,10 分钟搞定
    salmon5
        28
    salmon5  
       2022-08-02 10:23:04 +08:00
    @documentzhangx66 #13
    "国内别用三大云",为什么呢?
    documentzhangx66
        29
    documentzhangx66  
       2022-08-03 01:52:50 +08:00
    @salmon5 因为他们自己就是一个商业机构,如果你与他们或子公司有业务竞争关系,或者他们想开拓贵司的业务,他们可能会偷窃你的商业数据与机密。

    国有资本的运营商云则没这个问题。
    shenyuzhi
        30
    shenyuzhi  
       2023-01-11 21:10:33 +08:00
    用什么 VPN 都可以。工作需要的话,可以买 iplc 转发一下。虽然流量费比较贵,但是极其稳定,办公估计也花不了多少流量。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   我们的愿景   ·   实用小工具   ·   1555 人在线   最高记录 6543   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 31ms · UTC 23:59 · PVG 07:59 · LAX 16:59 · JFK 19:59
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.