我想将托管在云上的一些业务应用程序限制为仅使用Wireguard VPN(客户端服务器设置,具有用于个人浏览的拆分隧道)的员工。
对于在具有静态IP的独立服务器上运行的应用程序,我们可以轻松实现此目的,方法是将它们的IP地址添加到wireguard“允许的IP”中,并在应用程序服务器中创建防火墙规则以仅接受来自我们的VPN服务器(也托管)在云上)。请注意,Wireguard在第4层进行路由。
但是对于使用应用程序负载平衡器或无服务器设置的应用程序,这些应用程序没有静态IP,我们使用诸如Cloudflare之类的代理服务器,该代理服务器具有IP范围,然后将其添加到Wireguards允许的IP中。这是第7层解决方案。
是否有更好的方法(最好是在第4层上)使用Wireguard VPN限制对没有静态IP的应用程序的访问。
此外,我们在VPN服务器中有一个专用DNS,可用于设计解决方案。
谢谢 维维克