Nosso pacote de aplicativos inclui uma plataforma de compras que transmite ordens de compra via FTP para dezenas de fornecedores. Até agora, este aplicativo foi executado em um servidor para que essas transmissões de FTP tenham se originado de um endereço IP. Ao longo dos anos, muitos fornecedores listaram esse endereço IP em suas redes internas. Nossa infra-estrutura está crescendo e precisamos hospedar esse aspecto de nosso aplicativo em mais de um servidor e, portanto, as transmissões FTP serão enviadas a esses fornecedores a partir de novos endereços IP. Nosso medo é que, se fizermos isso, as transmissões começarão a falhar à medida que as transmissões forem negadas pelos firewalls dos fornecedores etc. Se possível, gostaríamos de evitar coordenar esse tipo de mudança com cada fornecedor devido ao número de fornecedores e fornecedores. confiabilidade variável de seus recursos de TI.
No momento, estamos pesquisando o proxy FTP, mas eu queria saber quais outras opções podemos ter. Tenho certeza de que existem outras lojas de SaaS em nosso país que se depararam com problemas semelhantes e eu adoraria saber como elas se aproximaram delas.
obrigado!
Se você configurar seu firewall para NAT, todos os servidores para o endereço IP único, você poderá manter o único IP voltado para o público, mas hospedar os serviços em vários servidores FTP. Você faria isso com um NAT dinâmico em um cisco:
access-list DNAT-FTP permit <first ip> <subnet>
access-list DNAT-FTP permit <second ip> <subnet>
access-list DNAT-FTP permit <...> <...>
access-list DNAT-FTP permit <last ip> <subnet>
static (DMZ,outside) <ip to nat to> access-list DNAT-FTP
Eu apenas morderia a bala, francamente. Você não quer depender do antigo espaço de endereços para sempre.
Comece a testar seus fornecedores no novo espaço de endereçamento o mais cedo possível. Você não precisa simular muito mais do que uma listagem de login e diretório, se a lista de permissões de IP for sua preocupação.
Entre no caso de fornecedores que falham explicitamente nos testes. Faça o resto ciente da mudança, mesmo que o teste tenha sido bem-sucedido. Quando você está feliz que todos os testes estão passando, você pode continuar com a renumeração.
Somos uma loja de SaaS. Mas a diferença é que nós mesmos adquirimos o espaço de endereços PI diretamente dos RIRs e realmente não temos nenhum processo como você descreve.
Pode ser relevante se você declarar a relação entre os fornecedores, seus clientes e você mesmo. Por exemplo, pode ser um pouco mais complicado se o contrato de serviço for por procuração de seus clientes, pois isso exigiria que eles rastreassem as solicitações de mudança em seu nome. No entanto, se você deixar claro que as mudanças devem ser concluídas a tempo para que você forneça aos clientes o nível de serviço esperado, não haverá problemas.
Uma solução potencial pode ser fornecer seu serviço aos clientes por meio de túneis de VPN. Isso exigiria uma mudança, mas depois de implementar o túnel, você pode fazer alterações no servidor à vontade.
Se o servidor for Linux, você pode usar o iptables como nat como outro endereço IP externo.
Tags saas