V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
git
Pro Git
Atlassian Git Tutorial
Pro Git 简体中文翻译
GitX
cxzlhr
V2EX  ›  git

公司准备在某些区域禁止互联网

  •  
  •   cxzlhr · 2022-07-19 17:50:44 +08:00 · 7549 次点击
    这是一个创建于 857 天前的主题,其中的信息可能已经有所发展或是发生改变。

    请教些解决办法,如题 1 、内网搭建一个 gitlab 想把一些常用的 github 项目同步至内网的 gitlab ,没找到同步办法,请问有解决办法不? 2 、如果让大家上网,开个 squid?

    第 1 条附言  ·  2022-07-20 08:14:56 +08:00
    正常公司业务发展需求,原有规划,只是去落实,也是信息安全的工作之一
    生产制造企业,也含有软件开发,软件开发本身就有隔离网络,
    增加 git mirrors 、linux mirrors 、go proxy 、docker proxy 都是为了优化员工使用,本身员工笔记本是不限制的互联网,只是希望在内网有更多好用的工具来优化一些需求
    不算大厂,但至今天还在招人中,一直在发展
    50 条回复    2022-07-21 13:58:46 +08:00
    m16FJ06l0m6I2amP
        1
    m16FJ06l0m6I2amP  
       2022-07-19 17:55:45 +08:00
    可以看一下这个项目 https://gitclone.com
    maichael
        2
    maichael  
       2022-07-19 17:59:20 +08:00
    gitlab 建个仓库,然后设置镜像仓库拉取。
    pagxir
        3
    pagxir  
       2022-07-19 18:00:02 +08:00 via Android
    直接反代吧,然后配置 cache 。
    codefever
        4
    codefever  
       2022-07-19 20:02:21 +08:00
    试试 codefever
    BugCry
        5
    BugCry  
       2022-07-19 20:37:53 +08:00 via Android
    1 、先在外网搭一个,同步好了再把数据和配置打包迁移到内网机器上来
    2 、公司禁止的事情不要明面上做
    cxzlhr
        6
    cxzlhr  
    OP
       2022-07-19 20:57:34 +08:00
    我是 IT ,我要禁用他们的互联网,不过需要给一些解决方案
    cxzlhr
        7
    cxzlhr  
    OP
       2022-07-19 20:58:19 +08:00
    @maichael 好像可以拉一次,没办法后续自动拉,可能没有研究到位,在去研究一下
    cxzlhr
        8
    cxzlhr  
    OP
       2022-07-19 20:59:01 +08:00
    @n0trace 这个可以试试,不过更希望是能同步至 gitlab 更为方便
    joesonw
        9
    joesonw  
       2022-07-19 22:17:17 +08:00
    看是什么语言. 仓库镜像会更好使. 例如 go 有 goproxy.
    haodingzan
        10
    haodingzan  
       2022-07-19 22:29:44 +08:00 via iPhone
    物理断网吗?我觉得留个白名单服务器,允许的业务走代理,再加上操作审计可能好点。估计用不了几天就有人要求工作需要开某些访问权限了,到时候还得加
    learnshare
        11
    learnshare  
       2022-07-19 22:35:53 +08:00
    这么限制岂不是自找麻烦,没三天就把自己气哭了
    Kiriya
        12
    Kiriya  
       2022-07-19 22:47:44 +08:00   ❤️ 1
    限制程序员互联网就像限制画家不准拿笔一样
    Chaconne
        13
    Chaconne  
       2022-07-19 23:50:01 +08:00   ❤️ 1
    公司是不是濒临倒闭了
    blackmao
        14
    blackmao  
       2022-07-19 23:59:17 +08:00   ❤️ 1
    要裁员的前奏
    cxzlhr
        15
    cxzlhr  
    OP
       2022-07-20 08:04:00 +08:00
    @blackmao no ,公司至今还在招人,
    cxzlhr
        16
    cxzlhr  
    OP
       2022-07-20 08:04:22 +08:00
    @Chaconne 正常业务需求,并非纯软件公司
    cxzlhr
        17
    cxzlhr  
    OP
       2022-07-20 08:04:36 +08:00
    @Kiriya 做硬件厂商
    cxzlhr
        18
    cxzlhr  
    OP
       2022-07-20 08:08:13 +08:00
    @learnshare 这个是一个很难的决定
    UG4anS3JspYD
        19
    UG4anS3JspYD  
       2022-07-20 08:10:48 +08:00
    gitlab 服务器 用双网卡,内外网 互通 配置下 禁止一下如 ssh 转发之类的
    villivateur
        20
    villivateur  
       2022-07-20 08:44:32 +08:00
    1. GitLab 或者 Gitea 都有一键迁移功能吧?不需要额外配置。另外如果不要 issue 、pr 这些数据,直接把本地仓库再 push 一次就够了。

    2. 搭一个代理服务器,要上网必须连代理服务器才行。大公司都这么干的。
    swcat
        21
    swcat  
       2022-07-20 09:11:56 +08:00
    我打工的厂这样干的

    局域网内组成一个内网, 内网中的一台机器可以连外网, 要上网使用代理, 代理上想怎么限制就怎么限制
    约定好 github go docker 不限制, 这里还可以统一给 github go docker 翻墙做加速
    linux mirrors 这个给一个国内统一的国内源

    后来疫情原因要居家办公上的 zscaler, 那玩意简直毒瘤
    nothingistrue
        22
    nothingistrue  
       2022-07-20 09:22:31 +08:00
    IT 部门虽然名字叫做信息技术,但是本质上是管理而非技术部门,所以不要搞网络隔离这么高技术的活,外包是最有效的方案。

    当然需要给你提个醒,网络白名单方案,先不管它自断手脚的影响,光是搭建成本就可能让你厂受不了。单 linux 、docker 、maven 这些的镜像的存储成本就能让财务牙疼。
    singerll
        23
    singerll  
       2022-07-20 09:30:22 +08:00
    研发网物理隔离,然后找一台公用机,需要拷文件啥的就去互联网下载后,通过公用机用 u 盘考进来。
    maichael
        24
    maichael  
       2022-07-20 09:44:49 +08:00
    @cxzlhr #7 有更新是会自动拉的,你可以在 Github 自建一个 Repo 来测,只是更新会有延迟。
    Mithril
        25
    Mithril  
       2022-07-20 09:46:55 +08:00
    Gitlab 本身就可以设置 mirror 仓库。
    如果需要定期同步的话,可以自己在 CI 上做一个 task ,出发了以后直接 push 到内网 Gitlab 就行。
    qrobot
        26
    qrobot  
       2022-07-20 10:52:15 +08:00
    @cxzlhr 公司隔绝外网的,那么只会导致大多数员工都会离职。 建议如果非要,我个人建议上云桌面开发
    qrobot
        27
    qrobot  
       2022-07-20 10:56:47 +08:00
    @cxzlhr #6L 你禁用了他们的互联网无非是禁用了他们的创造力。 举个例子 webpack/react/vue 每个版本都是一个大的更新。spring boot/ jdk/ spring 每个版本也都是大更新。 除非是制造行业。 然后一直用 win7/IE 系统。 那当我没说
    qrobot
        28
    qrobot  
       2022-07-20 10:58:13 +08:00
    @cxzlhr 你猜猜程序员是觉得自己的成长重要还是待在这种不能学习进步的企业重要?
    nigelboy
        29
    nigelboy  
       2022-07-20 13:54:51 +08:00
    我司之前操作是 直接给员工配发两台电脑 一台内网 一台外网 内网机禁用 usb 端口 配置一个文件单向传输的通道用以外网向内网发送数据
    RainCats
        30
    RainCats  
       2022-07-20 16:10:24 +08:00
    如果公司禁网,那我只能选择离职
    liuleixxxx
        31
    liuleixxxx  
       2022-07-20 17:07:40 +08:00
    一般都是在厕所禁网,避免大腿蹲麻了,或者坐麻了
    murmur
        32
    murmur  
       2022-07-20 17:11:40 +08:00
    @qrobot 做涉密开发的那么多,不差几个打嘴皮子的,钱给够啥都有人去
    wolfmei
        33
    wolfmei  
       2022-07-20 18:09:42 +08:00
    其实就把开发人员放在哪个区域的选择吧,我这里的情况是开发是放在能联网的区域,操作内部的系统要使用堡垒机连接里面的业务系统。
    mokevip
        34
    mokevip  
       2022-07-20 20:16:40 +08:00
    @murmur 那也得钱给够了是不,有的公司钱给的不多,规矩却越来越多。就像 OP 公司,推禁网了也没同步推加薪 = =
    mokevip
        35
    mokevip  
       2022-07-20 20:17:19 +08:00
    @mokevip 至少帖子里没提加薪
    nazunaniito
        36
    nazunaniito  
       2022-07-20 20:27:23 +08:00
    找外包方案
    baozhibo
        37
    baozhibo  
       2022-07-20 20:28:10 +08:00
    我们用的社区版 nexus 做镜像仓库存储缓存,github 这些只能反向代理把。
    thtznet
        38
    thtznet  
       2022-07-21 08:39:28 +08:00
    git 解决很简单,做个镜像同步就可以了,内网只要连镜像。但是你怎么管理公司里的开发团队在互联网上查技术资料的需求呢?
    cxzlhr
        39
    cxzlhr  
    OP
       2022-07-21 09:30:22 +08:00
    @swcat 基本跟你这个一致
    cxzlhr
        40
    cxzlhr  
    OP
       2022-07-21 09:31:40 +08:00
    @qrobot 办公电脑不限制互联网,只是研发测试区域,有多个因素需要这样去管控
    cxzlhr
        41
    cxzlhr  
    OP
       2022-07-21 09:32:46 +08:00
    @villivateur git 主要是为了方便他们看代码,同时做一些技术手段的加速
    cxzlhr
        42
    cxzlhr  
    OP
       2022-07-21 09:33:11 +08:00
    @maichael 不在于延时,本身就为了镜像看
    cxzlhr
        43
    cxzlhr  
    OP
       2022-07-21 09:36:36 +08:00
    @nothingistrue 并不是限制死的隔离,实际只是一些管控策略,隔离那就纯物理隔离反倒是好办了,存储这个问题还好,只要合理需求,物理设备还是比较好增加的,尤其服务器设备,不过你说的管理确实是,不过我们就是职能部门干技术部门的活
    cxzlhr
        44
    cxzlhr  
    OP
       2022-07-21 09:37:38 +08:00
    不至于,只是限制研发测试区,办公区不限制,无线也不限制,
    @RainCats @qrobot
    swcat
        45
    swcat  
       2022-07-21 09:43:56 +08:00
    @cxzlhr 再给你说个后续吧, 我在的厂, 顶不住员工然后给开了个热点给手机用, 发的显示器可以当作一个有网卡的 dock, 发的笔记本有 C 口
    笔记本 -> C 口 -> 显示器上的网卡 作为有线网卡 -> 连接内网收发邮件和访问内网网站和部分外网网站
    -> 无线 -> 连接手机用的 wifi -> 连接外网和翻墙

    然后用 clash 来分流内外网, 当然也只有程序员会用, 其他部门都不会配置
    厂里面的搞这个 IT Support 也跟着这样来上网, 没想到吧, 哈哈
    qrobot
        46
    qrobot  
       2022-07-21 10:02:52 +08:00
    @cxzlhr #44 完全隔离外网基本上是不可能的, 特别是计算机这个行业。 你可以看看 nodejs 的更新变化, 就算是管控最后的结果也只是和 #45L 一样, 约等于没有。
    zer
        47
    zer  
       2022-07-21 11:08:42 +08:00
    以前用 Mac 的时候,试过用 Surge 分流 2 个网卡,公司内网网段走 WIFI ,其他都走 4G 网卡,配置上很轻松
    RainCats
        48
    RainCats  
       2022-07-21 11:12:53 +08:00
    @cxzlhr emm ,我就是写 java 的,我还是需要网络辅助的,段位不高
    cxzlhr
        49
    cxzlhr  
    OP
       2022-07-21 13:33:02 +08:00
    @swcat 我不同,默认 WIFI 全公司覆盖,本身就允许,只要管控的是测试设备
    DiverO
        50
    DiverO  
       2022-07-21 13:58:46 +08:00
    这好像是 201X 年,某些公司的做法,现在风潮回流了?
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1160 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 29ms · UTC 23:50 · PVG 07:50 · LAX 15:50 · JFK 18:50
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.