从2018年2月开始,DigitalOcean私人网络IP上的通信将被隔离在创建它们的帐户或团队中。 对于大多数用户来说,这种安全性增强不需要采取任何行 所有提供了私人网络的Droplet将继续能够与同一账户或团队中的其他Droplet进行通信。
但是,如果您有通过私有IP与属于不同团队或帐户的Droplet进行通信的Droplet,则它们将不再能够通过私有IP访问彼此。
将专用网络隔离与云防火墙相结合,让我们加密负载均衡器(即将推出),SSH密钥和2FA的SSL证书,为构建可扩展,可靠和安全的生产环境提供所需的安全性。
经常问的问题
如果我通过专用网络与其他团队或帐户进行通信,该怎么办?
一旦这个改变到位,你的Droplet将不能通过私人网络到达你账户外的Droplet。
例如,假设一个用户管理两个帐户,Acme Inc和Beta Inc,每个帐户在同一个地区有两个Droplet。 Acme使用私有IP 192.0.2.100和192.0.2.101。 Beta使用192.0.2.120和192.0.2.121。 Acme的Droplet 192.0.2.100(运行PHP应用程序)目前通过专用网络到达192.0.2.120(Beta版帐户上的MySQL数据库)。
由于这两个Droplet属于不同的帐户,一旦这种改进已经到位,他们将无法通过私有网络相互访问:Acme拥有的Droplet将无法访问Beta的私有IP地址,反之亦然。
此用户有几个选项来调整他们的部署:
- 他们可以将MySQL Droplet从Beta帐户移动到Acme帐户。 这可以通过或使用您最喜欢的配置管理工具来实现。
- 他们可以在MySQL的Acme帐户下创建一个新的Droplet,并用新的替换旧的IP地址。 数据传输可以通过备份/恢复数据库来完成。
- 他们可以用他们试图访问的Beta滴的公共IP替换私人IP。 这可能需要重新配置一些应用程序,我们强烈建议使用某种类型的防火墙(如我们的托管和免费云防火墙 )来限制这两个Droplet之间的连接。 在这种情况下,即使通过公共IP进行连接,也并不意味着数据将离开我们的数据中心。 交通将永远不会离开我们的地区边界路由器。
- 类似于以前的解决方案,但建议那些寻求额外的安全性,他们可以在两个帐户之间建立一个VPN,创建一个虚拟专用网络之间。 这将封装流量并确保端到端加密。 我们有几个关于这个主题的教程 。
什么会改变?
私人网络通信将被限制在一个帐户内的资源,提高其安全性。
什么时候会发生这种变化?
这一改变应该在2018年2月进行,很可能在下个月的下半月进行。
如果我不使用专用网络与其他帐户通信,是否需要执行任何操作?
不,没有什么会改变你的。 不需要采取任何行动。
这种变化是否会影响跨地区的沟通?
不,因为它只影响到私人网络,而且只限于一个地区,所以这不会影响跨区域的沟通。