近日糸统开发测试完成准备投产流程,鉴于我司繁杂多变的规章流程,我提前了近两个月开始准备设备及网络,但还是直到上线前一天才将网络全部调试通过,现跟大家分享一下在网络申请过程中的各种问题。
首先在系统上线前我详细整理了所涉及到的所有网络访问控制,因系统较为复杂,涉及到多个旧有系统、一个新系统、以及多个第三方外部系统的通讯,我整理系统所涉及到的源地址、目标地址、访问端口、协议,汇总成了详细的网络访问控制表给网络组进行网络配置,本以为万无一失,最快半天,最慢两天就能配置完成,谁能知道最后竟然花了快两个星期才好。
1、网络转换器,签于前期网络组要求,所有内部系统到通过非专线方式与第三方系统通讯,都需要通络网络转换器,避免暴露内部ip,好吧,只好又申请了一台设备搭载nginx做网络转发。
2、NAT地址转换,正式投产前两天时间已经很紧了,天天盯着网络同事给我配置网络,他拿着我写的网络配置信息表就开始帮我干活,我在旁边守着,看着他手中的表,恩很好,没有问题,叮叮叮开始干活,好了,让我ping一下一个ip,通了,ok。但是这个ip不在我提供给他的配置表里,我虚心请教了下,请问这个ip是什么,我没有提供这个ip呀,然后对方呱啦呱啦给我讲了一大通关于网络安全中的地址转换机制,我的想法只有完了,我的生产包已经准备好了,并且已经进行了严格的版本控制,如果要再变更需要层层领导签字,然后报总经理室。。。没办法了,只能挨个找领导一个个解释,总算ok了。
3、出入口ip地址限制,前面说过新系统涉及和第三方外部系统使用专线通讯,新系统放在dmz区,在网络组同事从dmz区绕了一大圈,网络配置好后ping、telnet、nc第三方都不通,绞尽脑汁,最后才在一个同事的提醒下,有的第三方系统要求只有指定的出口ip才能访问他们的系统,和对方机房网络联系,果然如此,对方配置的ip访问权限后,全通了。
4、内部负载地址转换、服务配置完毕,开始内部验证,发现nginx报错,302重定向错误,仔细检查发现nginx在配置接口请求返回时配置的是实际负载地址,而网络将这个负载地址转移过,所以nginx配置的应该是这个转移后的ip地址,改完之后大功告成。
扫一扫
2838
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
