一夜之间扩展你的VPN

发布于:2020-12-24 16:16:07

0

545

0

VPN OpenVPN 带宽 安全性

从这周的周一开始,Stack Overflow公司开始100%远程办公,这意味着我们所有的员工现在都在家工作。我们收集了来自员工的关于如何使远程工作高效、愉快和可持续的建议。

在软件行业中,实现健壮远程工作的关键工具之一是良好的虚拟专用网络——简称vpn。通常,当你在办公室之外工作时,从你的计算机发送的数据与来自消费者服务(如视频流平台、在线游戏或购物网站)的数据通过相同的公共网络传输。VPN创建了所谓的隧道:在您的设备和工作网络之间的加密链接,允许您的数据以一种安全的方式移动,就像您在办公室使用有线连接一样。

由于目前COVID-19造成的健康危机,许多国家和公司都要求人们在家工作。这使得每天远程工作的员工数量突然大幅增加。对于许多公司来说,他们的VPN基础设施并不是为了处理远程工作的整个组织而构建的,因此快速扩展的需求可能具有挑战性。因此,我们与Stack Overflow上构建我们VPN网络的一些技术专家坐下来,就需要避免的缺陷和需要遵循的最佳实践征求他们的意见。

“这些年来,我们使用了许多供应商的VPN系统,”Brian Artschwager说,他是负责Stack Overflow网络工作的内部支持工程师。“我们经常遇到的一件事就是可靠性问题。开发人员将上传一个大文件,连接会中断,他们将不得不重新开始。”

为什么我们选择开源

2019年Stack Overflow切换到OpenVPN,这是一个用C编写的开源系统,最初由James Yohan编写,并于2001年发布。Artschwager说:“很多人,尤其是IT行业以外的人,在谈到开源的时候有时仍然会犹豫,因为他们认为开源可能不太安全。”“但当一个项目有着悠久的历史,并且有一大群人积极地为其做出贡献时,现实情况是,它很可能是可用的最健壮和最新的软件。”

有许多特性使OpenVPN成为我们的首选。自从切换后,断开连接的情况变得非常少见。该服务适用于各种操作系统和设备类型。堆栈溢出的关键在于,它是SOC2兼容的,提供了双因素身份验证,因此在处理企业级客户端的工作时被批准使用。

不要把工作和娱乐混为一谈

如果您的公司即将建立第一个VPN,或者需要大幅增加使用VPN的用户数量,Artschwager建议采用“分裂隧道”的方法。当使用VPN时,用户的数据似乎来自一个特定的、预先设置的IP地址。这就是为什么vpn有时被用来避免对互联网流量的地域限制。使用VPN的用户可以与服务器通信,并使其看起来好像他们位于该VPN服务器所在的任何地区或国家。

“我们在其他国家和其他州有开发人员,他们直接连接到我们的数据中心。用户计算机上的软件获得一个位于同一网络或子网中的内部IP地址,就好像它是物理网络上的一个客户端一样,”Artschwager说。“你生成的隧道实际上是封装和加密的。你的流量看起来像一个巨大的加密数据流,但在连接的另一端,你就像直接连接了一样。”

使用分割隧道方法,只有敏感的、与工作相关的数据通过安全VPN隧道发送到您的工作网络。如果你在家看YouTube上的猫视频,这些数据将通过普通网络传输。这可以显著减少您工作的VPN服务器和系统的负载,确保一切都能以最小的延迟保持正常运行。“我知道我们有开发人员有千兆互联网连接。我们不希望他们所有的流量都流向数据中心,因为这与我们无关,而且只会占用互联网电路的带宽。我们有数百名员工,他们在不同的地点使用5台VPN服务器,几乎看不到任何流量,因为通过连接的流量只有流向我们内部系统的流量。”

为你的系统增加额外的容量

一年来,Artschwager和他的同事们发现,无论是硬件约束还是许可约束,都有一个隐含的限制,即有多少人可以连接到同一个VPN。OpenVPN为我们提供了数千个连接和千兆字节的流量。

我们的确需要为OpenVPN购买“并发连接设备”许可证,但幸运的是,我们购买的用户数量是现有用户数量的两倍。这意味着远程办公的人们现在可以选择使用笔记本电脑、平板电脑和手机。“我正在阅读reddit的/r/sysadmin/ subreddit,看看我的同龄人组里的对话。人们都在谈论他们如何不确定他们将如何把一千人完全隔离。他们的VPN只能同时支持几百人,因为它是为远程销售人员(例如,他们参加会议的人员)构建的。到目前为止,我们还没有遇到这个问题,因为我们为当时的两倍多的人做了说明。”

避免途经当地的办公室

我们的大多数VPN端点实际上位于数据中心,而不是区域办公室,这就为我们的员工腾出了带宽。“我们的数据中心可以访问非常高的带宽连接。相比之下,小型区域办公室或在共同办公空间工作的人可能会与数十名员工甚至其他公司共享低吞吐量的互联网接入。”

在考虑如何构建您的VPN时,请对您的公司可以访问的数据中心进行评估,并尝试寻找方法,以最大限度地提高到具有强大、高带宽连接的位置的吞吐量。大多数数据中心都是围绕潜在的中断来规划他们的运营,为他们的电力和冷却系统建立冗余,并向他们的客户承诺让他们的技术运行24小时不间断,这样你的VPN连接就不太可能长时间中断。

一个检查表,以帮助您工作的规模

远程工作应该和在办公室工作一样安全。如果您的组织突然发现自己需要一个新的或升级VPN解决方案,您将需要考虑以下几件事:

  • 带宽:带宽利用率将随着客户端的增加而增加,而住宅网速也在不断提高。用户希望快速连接,而不区分来自VPN连接和公共internet的连接,所以请确保您的VPN解决方案能够容纳每个人的流量。

  • 稳定性:远程用户依赖于连接,它应该像在办公室一样稳定。我们在选择供应商时进行了24小时的压力测试——我们建议每个人都这样做。

  • 每个用户的价格:每个供应商的许可可能不同。但一般来说,许可证越多,价格越低。如果用户数量增加,这就为增长提供了空间。由于员工可能拥有多种设备,用户数量可能比你预期的要多。

  • 安全性:远程用户将从不安全的互联网连接连接。需要强加密来保护进出公司网络的流量。您的VPN的多因素身份验证可以防止未经授权的连接。

如果您想做进一步的研究,请点击搜索相关内容。你也可以在评论中留下一个问题,请保持尊重和主题。