阿里云服务器设置了安全组,大家是怎么在外网环境访问服务器的呢?

2020-09-09 12:36:39 +08:00
 yestodayHadRain

楼主这边的情况是这样,有一台阿里云服务器 A 设置了安全组,只有公司内网才能访问到其他的 ip 访问不到.怎么做才能做到在外网也能访问到服务 A 呢?

尝试过在 A 服务器上运行一个 openVPN server,然后本地通过 openVPN 客户端去访问.发现在外网环境,因为 A 服务器设置了安全组外网的 ip 会被拦截,请求根本打不过去.这种情况要怎么做呢?

最后解释一下为什么 A 服务器要设置安全组不让别的 ip 访问,因为 A 服务器上运行着 环境部署平台,害怕被人登录上去后 回滚线上或者测试环境的代码,所以设置了阿里云安全组只让公司内网访问

2649 次点击
所在节点    问与答
31 条回复
wakzz
2020-09-09 15:24:21 +08:00
部署个堡垒机,外网用堡垒机登录生产机器
yestodayHadRain
2020-09-09 15:27:07 +08:00
@wakzz 公司目前没有堡垒机(公司比较难,机器比较少),另外如果有堡垒机 像一些 web 服务 也可以通过堡垒机访问到吗?我印象中堡垒机多数都是 ssh 的吧?
yestodayHadRain
2020-09-09 15:27:52 +08:00
@lower 阿里云在线 vnc 可以无视阿里云安全组,在外网把请求打到阿里云服务器上吗?
opengps
2020-09-09 15:41:37 +08:00
@yestodayHadRain 23#楼提到既然都有权限去登录阿里云帐号 vnc 了,就跟安全组临时添加 ip 一个意思了,阿里云帐号在谁手里,谁就是离开公司后唯一能连接服务器的
lower
2020-09-09 15:48:36 +08:00
@yestodayHadRain 查了一下没看到详细说明,但是至少可以选内网方式连接,而且阿里云好像可以创建子账号,来分配权限。。。不知道这种方式是否适合你
yestodayHadRain
2020-09-09 16:39:39 +08:00
@Xusually 我按照这个方法试了一遍, A 机器用 openVPN 客户端 连接 B 机器的 openVPN server,然后我本地的外网环境也用 openVPN 的客户端连接 B 机器的 server.通过查看 B 机器上的日志发现, A 机器和我本地 在 openVPN 的虚拟网络中在同一个网段下了,我本地也可以 ping 通 A 机器的虚拟 ip,但是还是访问不了 A 机器上的服务.这个是为什么呢?
Xusually
2020-09-09 16:41:35 +08:00
@yestodayHadRain A 的安全组里面需要把你 vpn 客户端们所在的虚拟网的 ip 段开放对应的访问权限。
Xusually
2020-09-09 16:42:47 +08:00
@Xusually @yestodayHadRain 接上条,而且还要检查你 A 机器上部署的你需要访问的服务,是监听在哪些网络接口上的,如果制定的是监听在公网 ip 上的话,你从私有地址访问也是不行的。
yestodayHadRain
2020-09-09 16:57:01 +08:00
@Xusually 27#楼 这个应该不需要,因为我在安全组里给 B 机器的外网 ip 加了白名单.而且现在没有加白名单,我的外网本地环境也可以 ping 通 A 机器的虚拟 ip
yestodayHadRain
2020-09-09 16:57:39 +08:00
@Xusually 28#楼 现在是不是只要配置下 iptables 的路由转发就可以了呢?
whileFalse
2020-09-09 22:39:34 +08:00
太费劲了。就两种方式:

1. 用阿里云的堡垒机服务,花钱省事儿。
2. 用一台可以从任意 IP 访问的机器当堡垒机。内网服务器的安全组信任来自这台堡垒机的入流量。
这台堡垒机可以运行 VPN Server,也可以就是一台简单的 Windows 。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/705452

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX