我不计划将实验机器放置在内网环境下,因为实验机器会被很多同事使用,我担心会有同事在该机器上装内网穿透、VPN等工具,从而访问到公司内网的资源,我没有技术能力约束这些事情,所以决定实验机不放置在内网环境下。
但是我觉得应该有同事有在自己工作的机器上连接实验机器的需求,目前我整理了两套方案,方案如下。
方案一
由运维提供VPN,实现13网段到17网段的访问。
该方案的需求:
- 不知道运维能够提供从13网段到17网段的VPN。
- 不知道运维能否提供一个网线位,用于将实验机器接入到公司17网段。
方案二(自助)
实验机器上安装OpenVPN,通过内网穿透工具暴露OpenVPN的1194端口号,及实验机器的SSH的22端口号。该方案的图示为:
该方案我已经验证过是可行的。我简单介绍下该方案的设计意图:
- frp做内网穿透,是为了工作环境的机器访问到处于公司wifi环境中的实验机,这个理解比较容易
- OpenVPN是为了开发更方便的访问实验机器中的虚拟机,通过OpenVPN,开发可以很方便的ping通实验机器上的所有虚拟机,及虚拟机中的K8S集群。
该方案的需求:
- 运维能否提供一台内外网络够可以访问的虚拟机,作为frp服务端(我目前已有的资源是一台广州的腾讯云服务器,但是处于公网环境)
- 不知道运维能否提供一个网线位,用于将实验机器接入到公司17网段。
方案三
忽略员工的工作机访问实验机器的请求,员工可以通过自己的笔记本电脑访问该机器。理了理,我比较赞成这种方案,最能避免内网资源的泄漏。
最终选择的方案
我们最终选择的方案:实验机器接入到公司内网环境,主机会进行物理锁定。
20210616后续:
这件事后来又有了调整,我们将机器放到了我们的小机房里,然后走23网段,非我们工作的内网。