> У людей обычно задача предоставить безопасный ограниченный доступ к внутренним ресурсам
> снаружи для узкого круга лиц. И это решается многими разными способами,
> в том числе при помощи Tailscale. То, что ты описал —
> это задача уровня обслуги ДЦ: подключить cat6a одним концом в порт
> на этой панели, а другим — в порт на той. И
> как бы я ни любил шутить про то, что пох. уборщик
> в ДЦ, это всё же остаётся шуткой.Не-не. Если мне нужно филиалы в разных городах присутствия объединять - я пойду к ростелику с мегафоном на предмет mpls vpn, и пожалуй что еще какие сертифицированные s-terra'ы понапихаю - дабы на дурацкие вопросы "за персональные данные" отвечать проще было - ну или для отдельно упоротых просто vipnet какой возьму "согласно требованиям..."
Если мне нужно например точки продаж по городу объединить - я опять же куплю пачку железок так, чтоб с запасом и позанастраиваю что там производитель поклал, скорее всего тот же l2tp+ipsec, но в принципе возможны варианты - wireguard per se мне опять же не нужен, мне zero maintenance на выносе надь.
Если нужно пользаков в режиме roadwarrior к корп. ресурсам пустить - то тут основные драйверы выбора - централизованное управление с интеграцией с корп. IDM\сервером каталогов, аудит\отчетность, возможность гранулярного предоставления ресурсов с привязкой по ролям, поддержка windows + macos as first class citizen, комплаенс-менеджмент устройств, коммерческий саппорт, 2fa и т.д. - сам wg тут может вот ровно "ни-че-го", а что там вокруг него уже напердолено - без реальной задачи выяснять лень.
Вот в кубике при "гибридно-облачном" развертывании или там во внешнем ЦОДе wg на cni вместо istio - нууэээ моооожеееет быыыть - но тут прям смотреть\думать надо - а больше и хрен знает, накой оно (мне) может понадобиться.
А вот задача "прицепиться к чужому пионЭрнету" - таки да, встречалась - и решать её вот этим вот, гм, клиентом - было не то, чтобы приятно.
Как-то так.
|
