> У людей обычно задача предоставить безопасный ограниченный доступ к внутренним ресурсам > снаружи для узкого круга лиц. И это решается многими разными способами, > в том числе при помощи Tailscale. То, что ты описал — > это задача уровня обслуги ДЦ: подключить cat6a одним концом в порт > на этой панели, а другим — в порт на той. И > как бы я ни любил шутить про то, что пох. уборщик > в ДЦ, это всё же остаётся шуткой.Не-не. Если мне нужно филиалы в разных городах присутствия объединять - я пойду к ростелику с мегафоном на предмет mpls vpn, и пожалуй что еще какие сертифицированные s-terra'ы понапихаю - дабы на дурацкие вопросы "за персональные данные" отвечать проще было - ну или для отдельно упоротых просто vipnet какой возьму "согласно требованиям..." Если мне нужно например точки продаж по городу объединить - я опять же куплю пачку железок так, чтоб с запасом и позанастраиваю что там производитель поклал, скорее всего тот же l2tp+ipsec, но в принципе возможны варианты - wireguard per se мне опять же не нужен, мне zero maintenance на выносе надь. Если нужно пользаков в режиме roadwarrior к корп. ресурсам пустить - то тут основные драйверы выбора - централизованное управление с интеграцией с корп. IDM\сервером каталогов, аудит\отчетность, возможность гранулярного предоставления ресурсов с привязкой по ролям, поддержка windows + macos as first class citizen, комплаенс-менеджмент устройств, коммерческий саппорт, 2fa и т.д. - сам wg тут может вот ровно "ни-че-го", а что там вокруг него уже напердолено - без реальной задачи выяснять лень. Вот в кубике при "гибридно-облачном" развертывании или там во внешнем ЦОДе wg на cni вместо istio - нууэээ моооожеееет быыыть - но тут прям смотреть\думать надо - а больше и хрен знает, накой оно (мне) может понадобиться. А вот задача "прицепиться к чужому пионЭрнету" - таки да, встречалась - и решать её вот этим вот, гм, клиентом - было не то, чтобы приятно. Как-то так.
|