内网环境下应用网络策略开通
# 问题描述
企业租户在接入竹云IDaaS时网络环境存在差异,竹云在此基础上为不同网络环境中提供了对应的策略。
# 问题分析
各个应用因不同安全级别要求,部分系统网络入站、出站策略需要进行限制主要有以下几种类型
| 入站策略 | 出站策略 | 认证集成策略 | 同步集成策略 |
|---|---|---|---|
| 允许入站 | 允许出站 | 直连 | 直连 |
| 配置白名单后允许入站 | 允许出站 | 直连 | 直连 |
| 不允许入站 | 允许出站 | 直连 | 同步云桥 |
| 不允许入站 | 不允许出站 | DMZ区域部署代理 | DMZ区域部署代理+同步云桥 |
# 解决方案
请根据以上列表判断使用哪种集成策略
# 直连模式
- 在应用系统可以允许公网访问,并且可以访问到竹云IDaaS的场景下无需调整网络策略即可集成认证以及同步
- 应用系统可以配置公网访问白名单,并且可以访问到竹云IDaaS的场景下需要配置 入站策略白名单允许IP:47.92.171.137 访问 即可集成认证以及同步
- 应用系统不允许入站,但是可以出网访问到竹云IDaaS,此场景下无需调整网络策略即可集成认证,同步需使用云桥,可参照以下章节同步云桥
# 同步云桥
应用不允许入站又需要集成同步的情况下需要使用同步云桥,云桥服务需要在服务使用者内网环境中提供服务器部署竹云的云桥服务,请联系竹云实施交付人员安装,部署手册可参考 应用同步云桥
| 服务器配置 | 数量 | 系统版本 | 备注 |
|---|---|---|---|
| 4核/内存8G/磁盘60G | 2 | Centos 7.6 x86_64 | 云桥服务器 |
网络权限配置:
服务器需支持访问外网
说明:
以上服务器需求清单为建议示例清单
服务器配置为建议最低配置
系统版本为示例版本,是Linux系统主流版本即可,此处以Centos 7.6 x86_64
JDK版本要求:17
# DMZ区域代理
应用不允许入站也不允许出站的情况下,需要通过在DMZ区域部署竹云代理服务完成应用服务和竹云IDaaS之间的网络,使用竹云代理后用户可以在内网环境下使用竹云IDaaS统一认证服务
代理服务需要在服务使用在DMZ区域提供一台服务器部署竹云的云桥服务,请联系竹云实施交付人员安装。
| 服务器配置 | 数量 | 系统版本 | 备注 |
|---|---|---|---|
| 4核/内存8G/磁盘60G | 2 | Centos 7.6 x86_64 | nginx代理服务器 |
网络权限配置:
服务器需支持访问外网
说明:
以上服务器需求清单为建议示例清单
服务器配置为建议最低配置
系统版本为示例版本,是Linux系统主流版本即可,此处以Centos 7.6 x86_64
# 企业微信代理
租户需要使用企业微信扫码登录功能时,需要服务使用者提供服务器部署企微代理服务,如果使用到DMZ区域代理可以共用一台机器,部署请联系竹云实施交付人员安装
| 服务器配置 | 数量 | 系统版本 | 备注 |
|---|---|---|---|
| 4核/内存8G/磁盘60G | 2 | Centos 7.6 x86_64 | nginx代理服务器 |
网络权限配置:
服务器出站策略需支持访问外网
需要将内网2443端口映射到公网443
服务器入站策略需允许IP:47.92.171.137 访问
说明:
以上服务器需求清单为建议示例清单
服务器配置为建议最低配置
系统版本为示例版本,是Linux系统主流版本即可,此处以Centos 7.6 x86_64