@qmm0523 #19 请问这个 LB 一般是用什么实现的，用办公内网的服务器还是云计算厂商的现成方案？

一般是通过 VPN 或者专线将办公网和线上打通，具体实现的方式不同的公司千差万别。以 lz 提到的阿里为例，办公网 ping 线上服务解析出来的地址往往不是服务器的真实地址，而是负载均衡器（ LB ）的地址。这个 LB 一般不会对外提供服务，仅供内部用户访问线上。LB 所在的网络区域可以同时访问线上与办公网,所有涉及跨办公网与线上的流量都会经过这个 LB 。同时，这个 LB 在很多公司也会承载其他业务，比如认证鉴权、日志审计、WEB 防火墙等。这么做的好处是把所有功能收口到一处，以免未经授权直接访问线上服务器。不过很多小公司路子比较野的话就直接一个 VPN/专线直连机房，不通过 LB 直接访问线上服务器，这种操作是非常不安全的。
如果还有问题欢迎回复。

一般都是 LocalNDS ，只在内网才能解析，解析到的服务器基本也是 Nginx 之类的，经过反向代理后才指向真正的业务服务器 IP

在某些公司，要用专用的安全笔记本，用专用的 Prod 账户 (+MFA)，登录专用的管理网络，获得一次性授权后，登上专用堡垒机然后限时进入生产环境（

# 15 相同->相通

会在云上规划一台跳板机, 这台跳板机有公网 IP 地址. 并且和生产环境的 VPC 相同或者同处于一个 VPC 里.
为了安全起见, 企业还会使用一个堡垒机,一般登录生产环境先要登录堡垒机, 然后通过堡垒机登录跳板机然后就可以对生产机器进行操作了.

console.xxxx-inc.com 可能有很多种可能, 可能是某个云的弹性负载均衡, 有可能是 WAF 防火墙的 IP. 也有可能直接就是跳板机的 IP

一个字：打洞

我们是公司内网认证以后进两层堡垒机连到服务器上。

虚拟局域网？

VPC 里加 VPN IP 白名单。

专线接入？

@LeeReamond #8 只有通过内网 DNS 才有解析，外网没解析

我倒很好奇外网解析出来是啥地址。。

SSLVPN

阿里云 堡垒机

ipsec site to site

靠特定的机器所在的 VPC 能访问就好了
或者通过 VPN 进去

我曾經為了方便同事在公司內部訪問局域網服務器，在我私人的域名上，用一個子域名綁定 IP 地址為 192.168.1.xx

域名綁定的 IP 地址又不會有什麼限制（當年用的還是 GoDaddy ），當然可以綁定內網 IP

同好奇来看看

目前小作坊用的 VPN 和堡垒机感觉还凑合, 虽然更喜欢云原生甚至 Serverless 层面, 越来越不喜欢自己搞运维了, devops 往前一小步能省一大笔时间和精力

1.阿里云操作 API ，所以内网还是外网，与这个没关系。

2.VPN 组网也能实现。