阿里云服务器设置了安全组,大家是怎么在外网环境访问服务器的呢?

2020-09-09 12:36:39 +08:00

yestodayHadRain

楼主这边的情况是这样,有一台阿里云服务器 A 设置了安全组,只有公司内网才能访问到其他的 ip 访问不到.怎么做才能做到在外网也能访问到服务 A 呢?

尝试过在 A 服务器上运行一个 openVPN server,然后本地通过 openVPN 客户端去访问.发现在外网环境,因为 A 服务器设置了安全组外网的 ip 会被拦截,请求根本打不过去.这种情况要怎么做呢?

最后解释一下为什么 A 服务器要设置安全组不让别的 ip 访问,因为 A 服务器上运行着环境部署平台,害怕被人登录上去后回滚线上或者测试环境的代码,所以设置了阿里云安全组只让公司内网访问

2628 次点击

所在节点

问与答

31 条回复

finian

2020-09-09 12:42:24 +08:00

1. 安全组开放相应的端口 or
2. 先连跳板机，再连 A

yestodayHadRain

2020-09-09 12:44:11 +08:00

@finian 安全组开放了 openVPN 服务的端口,并且内网环境下是可以连接到 A 服务器的 VPN 的.但是外网环境不行,我感觉是外网环境的 ip 没有在阿里云安全组的白名单里所以被拦截了,这个要怎么处理呢?

finian

2020-09-09 12:52:06 +08:00

@yestodayHadRain #2 那要看你的安全组规则的「授权对象」是怎么设置的，是不是设置只有内网部分 IP 可以访问

opengps

2020-09-09 12:52:49 +08:00

让你们公司买堡垒机服务

shynome

2020-09-09 12:56:40 +08:00

应该有 VPN 的，问问网管，没有的话让老大开端口（安全意识到这了应该有网管的吧）

你可以在公司网络下把公司的电脑和自己的云服务器组 VPN，然后连上自己组的 VPN 后把公司的电脑当成跳板机，这里注意的是公司电脑不能关机，关机就连不上了

yestodayHadRain

2020-09-09 13:18:45 +08:00

@shynome 没有 vpn,公司刚成立.目前让我来做这件事.如果在公司内网搞一台机器做跳板机的话,是不是就不需要 vpn 了呀.之前没有搞过这块,对这些不是太了解呢

yestodayHadRain

2020-09-09 13:22:24 +08:00

@finian 不是设置的内网部分 ip,公司内网大家都是连的公司同一个路由器,然后阿里云安全组把这个路由器的外网 ip 设置成白名单了.

yestodayHadRain

2020-09-09 13:23:02 +08:00

@opengps 有什么不花钱的办法吗?

nuk

2020-09-09 13:33:11 +08:00

把 openvpn server 设置在其他地方，阿里云上运行 client
反向连接 vpn

yestodayHadRain

2020-09-09 13:34:25 +08:00

@nuk 现在有个想法是,在另外一台没有设置安全组的阿里云机器 B 上运行 vpn Server 然后 A 机器的安全组白名单里加上 B 机器的 ip,最后外网环境的本地通过 vpn 客户单连接 B 机器上的 vpn Server 可以访问到 A 机器上的服务吗?

wangxiaoaer

2020-09-09 13:49:58 +08:00

最后解释一下为什么 A 服务器要设置安全组不让别的 ip 访问,因为 A 服务器上运行着环境部署平台,害怕被人登录上去后回滚线上或者测试环境的代码,所以设置了阿里云安全组只让公司内网访问
-------------------

所以你为什么还要从外网登陆上去？开个口子出了问题谁负责？

yestodayHadRain

2020-09-09 13:53:53 +08:00

@wangxiaoaer 那如果周六日大家都在家,有个服务要上线或者线上出了问题要回滚.外网访问不到部署平台,这时候该怎么办呢?

shynome

2020-09-09 14:05:12 +08:00

@yestodayHadRain 那就安全组里放行 VPN 端口给所有地址连接，所有的方法都需要这步，接下来就是保证 VPN 的安全性了
对于 opengps 说的堡垒机我没接触过，不清楚是啥样的

Xusually

2020-09-09 14:08:56 +08:00

@yestodayHadRain 可行。但是注意网络 B 的 VPN 网络配置，避免客户端相互隔离。

brendanliu

2020-09-09 14:19:01 +08:00

可以看下 VPN 网关这个产品能不能满足，云厂商提供了现成的服务

yestodayHadRain

2020-09-09 14:43:05 +08:00

@Xusually 避免客户端相互隔离,是什么意思呢?

opengps

2020-09-09 14:53:15 +08:00

@yestodayHadRain 不花钱的办法：每次要登录时候单独找总负责人添加当前 ip 到白名单

lower

2020-09-09 14:59:31 +08:00

直接用阿里云提供的在线 vnc 呗……还能咋办😭

Xusually

2020-09-09 15:07:03 +08:00

@yestodayHadRain 很多在网上抄的 vpn 服务器的配置，会配置成客户端是相互隔离的，虽然 ip 段看上去是同一个子网的，实际上不能互通，如果配置成这样就不能达到你外面的客户端和 A 机器能通信的目的了。
注意一下即可。

yestodayHadRain

2020-09-09 15:23:48 +08:00

@opengps .......要这样搞,总感觉有一天会被拿去祭天呢

第 1 页／共 2 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/705452

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.