我们的应用程序套件包括一个采购平台,该平台通过 FTP 将采购订单传输给数十家供应商。到目前为止,此应用程序已在一台服务器上运行,因此这些 FTP 传输源自一个 IP 地址。多年来,许多供应商已将这一 IP 地址列入其内部网络的白名单。我们的基础设施正在增长,我们需要在不止一个服务器上托管我们应用程序的这一方面,因此 FTP 传输将从新的 IP 地址发送到这些供应商。我们担心如果我们采取这一举措,传输将开始失败,因为供应商的防火墙等拒绝传输。如果可能,我们希望避免与每个供应商协调这种移动,因为供应商的数量和其 IT 资源的可靠性各不相同。
我们目前正在研究 FTP 代理,但我想知道我们还有哪些其他选择。我确信我们那里还有其他 SaaS 商店也遇到过类似的问题,我很想听听他们是如何处理这些问题的。
谢谢!
如果您将防火墙设置为将所有服务器 NAT 到一个 IP 地址,您将能够保留单个面向公众的 IP,但将服务托管在多个 FTP 服务器上。您可以使用 cisco 中的动态 NAT 执行此操作:
坦率地说,我只会咬紧牙关。您不想永远依赖旧地址空间。
尽早从新地址空间开始针对您的供应商进行测试。如果您关心 IP 白名单,您不需要模拟登录和目录列表。
了解明确未通过测试的供应商的案例。即使测试成功,也要让其他人知道更改。当您对所有测试都通过感到高兴时,您可以继续重新编号。
我们自己就是一家 SaaS 商店。但不同之处在于,我们自己直接从 RIR 获取 PI 地址空间,实际上并没有您描述的任何流程。
如果您陈述了供应商、您的客户和您自己之间的关系,这可能是相关的。例如,如果服务合同是由您的客户代理的,这可能会有点棘手,因为这将要求他们代表您追赶变更请求。但是,如果您在专业上明确表示必须按时完成更改才能为客户提供他们期望的服务水平,那么就不会有任何问题。
一种潜在的解决方案可能是通过 VPN 隧道向客户提供服务。这需要进行更改,但是一旦您实施了隧道,您就可以随意进行服务器端更改。
如果服务器是 Linux,可以使用 iptables 来 nat 作为另一个外部 IP 地址。