政府机关云计算
运营商云平台业务管理困惑
项目概况:
某移动运营商目前计划搭建云计算平台,目前云平台分两个区域,即生产核心区和CMNET核心区,其划分标准时将各个应用数据库的数据库放在生产核心区,对外发布的应用放在CMNET核心区。两个区域之间通过防火墙进行逻辑隔离。目前,两个区域均使用私网IP地址,对外发布时候通过NAT地址转换成为移动cmnet'网络可访问的公网IP。
问题描述:
在后期维护中,我方只是负责云平台基础架构的稳定,但是各个应用系统的数据库,中间件均需要开发商自己维护。但是目前由于IP地址紧张,只是对应用服务器的ip地址进行了发布,而对于生产核心区的地址没有发布,这样可能会导致开发商没有办法访问维护核心区的系统。如果对外发布的应用为windows比较好解决,可以通过远程桌面及ssh访问生产核心区的系统。但是如果CMNET核心区对外发布的应用是linux平台的话比较难办,无法访问生产核心区的windows系统。
请教内容:
有没有在现有架构下实现每个开发商独立访问维护自己系统的可能性。
目前计划部署几台维护服务器开放给所有应用开发商,但是该维护服务器能够访问所有的系统,在安全性上可能会有欠缺。
如果大家有好的解决方案,奖励20社区金币。
某移动运营商目前计划搭建云计算平台,目前云平台分两个区域,即生产核心区和CMNET核心区,其划分标准时将各个应用数据库的数据库放在生产核心区,对外发布的应用放在CMNET核心区。两个区域之间通过防火墙进行逻辑隔离。目前,两个区域均使用私网IP地址,对外发布时候通过NAT地址转换成为移动cmnet'网络可访问的公网IP。
问题描述:
在后期维护中,我方只是负责云平台基础架构的稳定,但是各个应用系统的数据库,中间件均需要开发商自己维护。但是目前由于IP地址紧张,只是对应用服务器的ip地址进行了发布,而对于生产核心区的地址没有发布,这样可能会导致开发商没有办法访问维护核心区的系统。如果对外发布的应用为windows比较好解决,可以通过远程桌面及ssh访问生产核心区的系统。但是如果CMNET核心区对外发布的应用是linux平台的话比较难办,无法访问生产核心区的windows系统。
请教内容:
有没有在现有架构下实现每个开发商独立访问维护自己系统的可能性。
目前计划部署几台维护服务器开放给所有应用开发商,但是该维护服务器能够访问所有的系统,在安全性上可能会有欠缺。
如果大家有好的解决方案,奖励20社区金币。
7同行回答
VERY GOOD.顶、、、、、收起
浏览1192
楼主,你可以考虑把你将要部署的维护服务器中的一台用来提供PPP(PPTP、L2TP及L2TP+IPSec)拨号服务。
1.通过用户名密码的方式来让各个不同的开发商拨号进来,然后给这些开发商分配不同的IP。保证这些IP跟生产核心区之间的服务器能够通信。然后再通过二个区之间的防火墙对PPP拨号后分配得到的IP进行限制。比如A开发商拨号后得到A这个IP,在防火墙上做限制,让A这个IP只可以访问相关的生产核心区的数据库服务器的IP。这样不用担心A开发商有访问B开发商服务器的权限了。至于开发商使用什么OS作为PPP客户端比较方便他们操作,那是开发商的事情了。
2.在PPP服务器上开启审计功能服务。对开发商PPP拨号后得到的IP的行为进行审计(主要针对数据包)。这样做,可以知道开发商拨号后所进行的操作,这些操作中是不是有不符合规定的行为。因为会涉及到隐私,所以,此项为可选项。收起
1.通过用户名密码的方式来让各个不同的开发商拨号进来,然后给这些开发商分配不同的IP。保证这些IP跟生产核心区之间的服务器能够通信。然后再通过二个区之间的防火墙对PPP拨号后分配得到的IP进行限制。比如A开发商拨号后得到A这个IP,在防火墙上做限制,让A这个IP只可以访问相关的生产核心区的数据库服务器的IP。这样不用担心A开发商有访问B开发商服务器的权限了。至于开发商使用什么OS作为PPP客户端比较方便他们操作,那是开发商的事情了。
2.在PPP服务器上开启审计功能服务。对开发商PPP拨号后得到的IP的行为进行审计(主要针对数据包)。这样做,可以知道开发商拨号后所进行的操作,这些操作中是不是有不符合规定的行为。因为会涉及到隐私,所以,此项为可选项。收起
浏览1277
看不懂“问题描述”的内容,逻辑有点乱!
你这个问题应该主要还是涉及一个网络构架的问题吧!收起
你这个问题应该主要还是涉及一个网络构架的问题吧!收起
浏览1186
要是这么搞就又多了一个系统啊,最主要是这个系统也不是免费的,部署也需要时间,估计甲方不能接受。
是否可以用虚拟机方式,对不同厂商开发的系统使用不同的应用系统虚拟机,反正是开发,也不太需要考虑压力、性能之类的。同时收回数据库的默认账号、密码,开发厂商访问数据库采用专用数据库账号。不过我没看明白LZ意思,什么叫不能访问核心区的系统?是说不能访问数据库吗?收起
是否可以用虚拟机方式,对不同厂商开发的系统使用不同的应用系统虚拟机,反正是开发,也不太需要考虑压力、性能之类的。同时收回数据库的默认账号、密码,开发厂商访问数据库采用专用数据库账号。不过我没看明白LZ意思,什么叫不能访问核心区的系统?是说不能访问数据库吗?收起
浏览1230
没看明白你的问题描述。
你的要求大概明白,要解决可以采用某些厂商专门为内控开发的登录审计系统
大概架构是一台登录服务器,登录所有的主机都需要通过这台服务器,主机拒绝服务器外的直接登陆。服务器上保存登录信息和登陆后的操作记录且不可更改以备内控检查。登录服务器上可以根据用户设置不同的登录范围和权限。有个公司来交流过,具体公司名称记不太清楚了。收起
你的要求大概明白,要解决可以采用某些厂商专门为内控开发的登录审计系统
大概架构是一台登录服务器,登录所有的主机都需要通过这台服务器,主机拒绝服务器外的直接登陆。服务器上保存登录信息和登陆后的操作记录且不可更改以备内控检查。登录服务器上可以根据用户设置不同的登录范围和权限。有个公司来交流过,具体公司名称记不太清楚了。收起
浏览1152
自己顶先,大家集思广益!收起
浏览1248