昨天发了一帖，都是关于本地化部署，如何远程运维相关的，本人描述的有点问题，造成了误解。实际上想问的是，如何让部署在内网服务器的应用，能让互联网用户能访问。比如 APP 端，和 pc-web 端直接调用。
甲方用户大多数是不允许通过开一个外网机器用 nginx 转发至内网来实现。说是有安全隐患。因此一般这种是有什么方案好做，或者有什么安全策略。

商用 VPN

无论如何内外网之间都要有个桥梁啊。。。不让用 nginx 的话那就是 VPN 或者内网穿透。

省流：所有方案都 PASS 掉
因为甲方不想让互联网端的用户客户端连接到内网服务器的应用

想让互联网端的用户客户端能访问到，就必须要开外网访问

这是矛盾的

那就 VPN 了

找深信服的人聊聊他们会给你一整套方案

cloudflare tunnel ，自建/商业 frp ，wireguard/zerotier+vps 反代，ipv6 直连，cloudflare cdn+本地 ipv6

直接在你们公司防火墙上端口映射

一次反代不行就再来一次。我们就是这么访问测试环境的服务的。

1. 用户医院内网不允许穿透，不允许搭建 VPN ，不允许 nginx 转发。

2. 要搭建患者自助平台，按照甲方要求，那就只能上云服务器了。

3. 要把外网用户数据传回内网，只能做纯粹的可安全审查的内网纯数据同步服务。

   你要运维了叫个人去把外网网线插上，那个人作为责任人，他走了就要断掉

   ngrok/花生壳, 无非就是在堡垒机或者防火墙上端口映射出去

   要求高得直接推荐深信服商用方案

   IPSEC

   说破天也得需要一个公网服务器的，不允许 nginx 那就找个公网服务器/路由器 上部署 wireguard 等 vpn ，通过 vpn 访问。但即使是 vpn ，也是需要用公网服务器转发到内网的，只不过多了加密认证

   公网服务器一个，内网服务器，公网负责展示数据给 APP 端及 PC 端，或者 PC 端用内网访问，公网与内网通过网闸传输数据保证安全合规

   开专线，多开几个 IP 地址，直接绑定就行了

   让甲方给深信服打电话，买他们家的零信任

   上零信任产品

   既要外网又不要外网。

   你这个需求在信创尤其是有密级的军政业务中是常见的场景，直接花钱买网闸这种安全硬件即可，内网和外网网段完全不同，通过硬件进行两种网络的连接和防护，要是被攻破，甲方会直接问责硬件厂家而不是你们。

   都出差到甲方机房，谁需要访问，谁通过网线连甲方服务器，不连了就拔掉。

   深信服 ATrust

   你是否在寻找，堡垒机/jumpserver