如何為您的 Web 開發團隊設置 VPN

已發表: 2021-10-11

現代互聯網的主要特點是它的持續可用性。 無需在本地存儲數據,可通過網絡快速訪問。 如果這些數據在不可預知的時刻突然變得不可用,則會出現更多問題。 大多數開發人員遠程工作,如果他們來自某些部分,可能會缺乏資源。 在本文中,我們將了解如何為您的 Web 開發團隊設置 VPN。

常見的互聯網問題

Internet 資源的不可訪問性實際上意味著什麼?

- 一些庫沒有下載 - 項目的開發環境不會發生。 這是主要和最大的問題!

- Zoom、Slack 或 Telegram 不起作用 - 您將無法聯繫同事。

- 某些網站不可用,例如 GitHub - 無法發布您的作品。

這些並不是所有可能的例子,但即使它們也會顯著降低團隊的生產力。

誰有罪?

在實踐中,上述限制通常由互聯網提供商實施。 並且因為這些限制是由各州的行政行為引入的,因此將它們歸咎於提供者是沒有意義的。 提供者應該從事商業,而不是政治鬥爭。

但有時,提供者原來是一個惡棍。 例如,出於某種未知原因,他們可以阻止特定 TCP 端口上的流量或修改未加密的 http 流量並更改頁面的 html 代碼,添加廣告。 這是您對某些騙子的期望,但肯定不是來自大公司的,因此令人不快(如果您有興趣,谷歌“在其他人的網站上做廣告”)。

該怎麼辦?

一旦問題的規模明確表明應該在公司層面解決而不是任由團隊成員擺佈,您就可以使用 VPN 技術。

VPN 是一個虛擬專用網絡。 這是一組技術的名稱,這些技術允許您基於現有的物理計算機網絡創建一個虛擬的、不存在的物理(覆蓋)計算機網絡。

這提供了增加隱私的額外機會。 在物理網絡中,作為第一個近似值,您的流量可供網絡交換中的所有參與者、所有路由器等使用。虛擬網絡中沒有其他參與者,只有您和您連接的點。 如果您要為您的 Web 開發團隊設置一個,這是一個 VPN 服務器。 你們兩個之間正在鋪設一條加密隧道。

TUN 虛擬網絡接口在客戶端計算機和服務器上創建。 加密數據交換直接發生在它們之間。 有效保護您的數據免受中間人 (MITM) 攻擊。 沒有人可以物理訪問您的流量通過的設備,可以攔截或替換您的信息。

它還允許您訪問家庭網絡上不可用但可從 VPN 服務器獲得的資源。

使用 VPN 技術,客戶端成為子網的一部分,而服務器是子網的一部分。 並且可以訪問這個子網的資源。 這可用於繞過限制並解決需要遠程和安全連接到子網的任何其他問題。

選擇 VPN 實施

決定就是不做。 有幾種常見的免費 VPN 技術實現。 你可以試試這個 Surfshark VPN 免費試用版,體驗一下你可能會得到什麼。

獲得正確的 VPN 後您還可以選擇什麼

IPsec 是一組用於安全數據傳輸的協議。 它出現在 90 年代中期。 它大而靈活,但配置困難且級別低。 對於某些目的來說太複雜了。

WireGuard 是一個年輕的項目(2015 年),旨在快速準備工作。 傳輸數據的速度可能比不同的 VPN 更快,使用更現代的加密協議——跨平台,可用於所有主要係統。 缺點與優點相同。 為確保快速簡便的安裝,在程序的核心中做出了許多低級決策。 例如,使用 UDP 協議,可能並非對所有人都有效。

選擇啟動和使用方式

手動

最明顯的方法是租用 VPS,通過 SSH 連接並按照指南創建服務器。 由於需要手動移動許多命令和文件,這是一個相當漫長的過程。

使用這種方法,每次創建新服務器時,都必須重新創建。 為了節省時間,您可以使用配置管理系統或容器化系統。

配置管理系統是允許您自動配置遠程服務器(puppet、ansible 等)的軟件。 這種方法的優點是您可以通過幾個命令配置遠程 VPN 服務器。 並且所有配置、配置模板都以文本格式顯式放置在控制機器上。 您可以自己創建部署腳本,也可以使用現成的腳本,例如在 GitHub 上。

在容器化系統中採用了稍微不同的方法。 最常見的此類虛擬容器化系統是 docker。 在遠程服務器上安裝帶有 VPN 的 docker 容器甚至比通過 ansible 安裝服務器還要快,這是一個優點。 但是,可用配置的列表可能會受到映像開發人員的限制。 圖像是二進製文件,因此如果您需要修復一些奇異的配置,它可能無法正常工作。

服務器架構

首先,如前所述,VPN 技術可用於連接,例如,通過屬於該子網一部分的計算機和 VPN 服務器連接到封閉子網。 如果您的子網上有寶貴的資源,您不希望任何人連接到 VPN 服務器。 為此,大多數 VPN 通常將其設置為獨立的機器,根本不鏈接到任何網絡,也許是安全的(不開玩笑)。 並且簽名和簽名證書的請求被傳輸到可移動媒體。

服務器啟動

要運行 ansible 腳本,您需要在計算機上安裝 ansible,租用 Debian/Ubuntu 的虛擬服務器並配置通過 SSH 訪問服務器。 租用服務器時,請記住,某些服務不允許您創建 tun 接口或執行數據包轉發。 請在購買前檢查此內容。

與服務器的所有交互都是通過三個命令執行的:

1. 運行創建服務器和證書頒發機構的腳本。

2. 新用戶註冊。

3. 按客戶名稱吊銷證書。

繞過阻塞的方法的發展在許多方麵類似於自然界中捕食者和獵物之間的關係。 對於每一個新動作,都有一個反動作。 VPN 連接也不例外。

使用 VPN 時,您可以使用各種網絡資源。 但是,由於所有數據都是通過 VPN 服務器的隧道傳送給您的,因此對於提供商而言,您似乎只使用一個 IP 地址交換數據。