实验室服务器网络与端口开放需求说明
说明:本文件简要说明我们课题组在“内网外网严格隔离”环境下,计划自行购置一台 DMZ 服务器(或网闸)进行管理,期望医院 IT 老师帮助设置必要的 VLAN、防火墙、VPN、端口开放 事宜。我们理解医院安全要求,也愿意配合审计;只希望在安全前提下能方便开展科研工作(生物信息 + AI 研究)。
一、我们的计划与需要 IT 支持的地方
- 我们自行采购并配置
- DMZ 服务器:作反向代理/Web 网关 + 正向代理(或网闸);
- 实验室服务器群(2×CPU + 1×GPU + 1×ZFS),放在独立 VLAN 中;
- 服务与端口:RStudio(8787)、CVAT(8080)、JupyterLab(8888)、VSCode Web、数据库/监控等常用端口。
- IT 老师需要帮忙:
- VLAN / 防火墙 / 交换机配置
- 给“实验室服务器”划分一个 VLAN/网段;
- 给“DMZ 服务器”划分一个 VLAN/网段;
- 在防火墙或二级堡垒机规则中,让 DMZ ↔ 实验室 VLAN 之间特定端口可互通。
- VPN / 审计
- 允许 VPN 用户(院外)能访问 DMZ 服务器的 443(HTTPS) 端口;
- 只要成功连 VPN,就能在浏览器中访问 RStudio/CVAT 等;
- 如需对 DMZ 服务器做 SSH 管理,也请帮忙开放 22。
- 更新软件仓库
- 让实验室服务器 VLAN 能通过 DMZ 或已有网闸访问外部 apt/pip/conda/docker 等包源;若医院已有统一网闸,可加白名单并审计。
- VLAN / 防火墙 / 交换机配置
二、核心原因与诉求
- 科研工具多数是网页式
- RStudio (8787)、CVAT (8080)、JupyterLab (8888)、VS Code Web IDE 等,均需访问自定义端口;医院现有堡垒机只支持 SSH/SFTP等固定协议。
- 通过 DMZ 服务器做反向代理 (443 → 内网 8787/8080/…) 可安全且灵活地提供浏览器访问。
- 减少重复申请端口
- 生信/AI 还涉及数据库(MySQL/PostgreSQL/MongoDB…)、监控(Grafana/Prometheus)、分布式训练端口等;一次性在 DMZ ↔ 实验室 VLAN 打通它们,后期扩展无需反复办手续。
- 必须更新软件依赖
- 我们经常要
apt-get update,pip install,conda install,docker pull等,如内网全封闭,就需网闸或正向代理让服务器出网;希望一次性做好配置。
- 我们经常要
三、端口开放清单
以下列出 必需 常见端口:
DMZ VLAN ↔ 实验室 VLAN
| 端口 | 服务或用途 | 说明 |
|---|---|---|
| 22 | SSH | DMZ ↔ 实验室服务器间运维、SFTP等 |
| 80,443 | HTTP/HTTPS | RStudio/CVAT/JupyterLab/VSCode Web 等 |
| 8787 | RStudio Server | 生信常用交互环境 |
| 8080,8888 | CVAT / JupyterLab | 图像标注 / 笔记本分析 |
| 3000,9090 | Grafana / Prometheus | 监控与可视化 |
| 3306,5432,27017等 | MySQL,Postgres,MongoDB等 | 常见关系/NoSQL数据库 |
| (高位端口) | AI 分布式训练 | PyTorch多节点通信 |
注:为减少后续反复申请,可把我们常见数据库端口 (6379,9200,9300,7000,7001,9042…) 一并开放。
DMZ VLAN ↔ VPN/外网
- 443(HTTPS):对外(或VPN用户) 提供 Web 访问;
- 80(HTTP):若需要自动跳转到HTTPS;
- 22(SSH):若需远程维护 DMZ 服务器。
只要 VPN+堡垒机能放行 DMZ 443,就能在浏览器访问 RStudio/CVAT。
四、网络拓扑示意
下图仅供参考,重点在 DMZ ↔ 实验室 VLAN 端口互通,外部通过 VPN → DMZ(443) → 内网:
1
2
3
4
5
6
7
8
9
10
11
12
13
外部科研人员 (VPN登陆)
|
| [堡垒机/防火墙]
|
DMZ VLAN (我们自购的DMZ服务器)
| (反向代理, SSL, etc.)
|
| (打开22,443,8080,8787等端口到内网)
|
实验室 VLAN (2×CPU + 1×GPU + 1×ZFS)
| (RStudio, CVAT, DB, etc.)
|
...
- 网闸/正向代理:如果医院已有,可让实验室 VLAN 服务器指向该网闸拉取软件包;若没有,我们可在 DMZ 服务器上配置代理。
说明:拓扑中并不意味着内网与外网直连,只是让 VPN + DMZ ↔ 实验室 VLAN 在必要端口上可受控互访。
五、DMZ 服务器硬件要求
- 我们准备自行购置一台二手机器(约 2000~3000 元) 作为 DMZ。
- 配置要求:
- CPU:常规 4 核或以上;
- 内存:8~16GB 即可;
- 硬盘:不需很大容量,主要安装Linux/Nginx/Traefik;
- 网卡:双网口或多网口更好,一张连内网,一张连堡垒机/上级交换机。
- 性能方面: 访问 RStudio/CVAT 的流量大多是文本/图像文件上传下载,普通机型即可胜任;重点是带宽、稳定性、和必要的日志存储即可。
六、总结与感谢
- IT 需做的工作
- VLAN与防火墙:开通 DMZ VLAN 与实验室 VLAN,互通上述端口;
- VPN 配置:让 VPN 用户能到达 DMZ 443;
- 网闸或代理支持:若有统一网闸,让实验室服务器能拉取外部软件;或开放 DMZ→外网访问以自建代理。
- 我们承担的部分
- 自购并配置 DMZ 服务器/网闸;
- 部署反向代理(Nginx/HAProxy等)以实现 RStudio/CVAT/Jupyter/VSCode Web 统一走 HTTPS(443);
- 保留必要审计日志,并配合医院安全策略。
- 再次感谢
- 感谢 IT 部门的支持与沟通。如有需要更详细信息或进一步安全策略要求,请随时与我们联系。我们非常愿意配合并进行相应调整。
