Nosso conjunto de aplicativos inclui uma plataforma de compras que transmite pedidos de compra via FTP para dezenas de fornecedores. Até agora, este aplicativo foi executado em um servidor, portanto essas transmissões FTP foram originadas de um endereço IP. Ao longo dos anos, muitos fornecedores colocaram esse endereço IP na lista branca em suas redes internas. Nossa infraestrutura está crescendo e precisamos hospedar esse aspecto da nossa aplicação em mais de um servidor e, portanto, as transmissões FTP seriam enviadas para esses fornecedores a partir de novos endereços IP. Nosso medo é que, se fizermos essa mudança, as transmissões começarão a falhar, pois as transmissões serão negadas pelos firewalls dos fornecedores, etc. Se possível, gostaríamos de evitar a coordenação desse tipo de mudança com cada fornecedor devido ao número de fornecedores e confiabilidade variável de seus recursos de TI.
No momento, estamos pesquisando o proxy FTP, mas gostaria de saber que outras opções podemos ter. Tenho certeza de que existem outras lojas de SaaS que encontraram problemas semelhantes e adoraria saber como eles os abordaram.
obrigado!
Responder1
Se você configurar seu firewall para NAT em todos os servidores para um endereço IP, você poderá manter o único IP público, mas hospedar os serviços em vários servidores FTP. Você faria isso com um NAT dinâmico em um Cisco:
access-list DNAT-FTP permit <first ip> <subnet>
access-list DNAT-FTP permit <second ip> <subnet>
access-list DNAT-FTP permit <...> <...>
access-list DNAT-FTP permit <last ip> <subnet>
static (DMZ,outside) <ip to nat to> access-list DNAT-FTP
Responder2
Eu apenas morderia a bala, francamente. Você não quer depender do seu antigo espaço de endereço para sempre.
Comece a testar seus fornecedores a partir do novo espaço de endereço o mais cedo possível. Você não deve precisar simular muito mais do que um login e uma listagem de diretório, se a lista de permissões de IP for sua preocupação.
Veja o caso dos fornecedores que falham explicitamente nos testes. Deixe o restante ciente da mudança, mesmo que o teste tenha sido bem-sucedido. Quando estiver satisfeito com a aprovação de todos os testes, você poderá prosseguir com a renumeração.
Somos uma loja SaaS. Mas a diferença é que nós mesmos adquirimos espaço de endereço PI diretamente dos RIRs e não temos nenhum processo como você descreve.
Pode ser relevante se você declarar o relacionamento entre os fornecedores, seus clientes e você mesmo. Por exemplo, poderia ser um pouco mais complicado se o contrato de serviço fosse por procuração de seus clientes, pois isso exigiria que eles procurassem as solicitações de mudança em seu nome. No entanto, se você deixar claro profissionalmente que as alterações devem ser concluídas no prazo para que você possa oferecer aos clientes o nível de serviço que eles esperam, não deverá haver problemas.
Responder3
Uma solução potencial pode ser fornecer seu serviço aos clientes por meio de túneis VPN. Isso exigiria uma alteração, mas depois de implementar o túnel, você poderá fazer alterações no servidor à vontade.
Responder4
Se o servidor for Linux, você poderá usar iptables para nat como outro endereço IP externo.