我想在一些云(可能是亚马逊、谷歌等(上使用Kubernetes。我应该禁止我的EC2机器访问外部网络吗?我的猜测如下,我想知道这是正确的还是错误的?
- I应禁止EC2访问外部网络。否则,黑客可以更容易地攻击我的机器。(真的吗?(
- 如何做到:我应该使用一个专用的负载均衡器(可能是Ingress(与我的域名绑定的外部IP。然后负载均衡器将与我的实际应用程序(它没有外部IP,只能访问内部网络(对话。(真的吗?(
对不起,我是Ops的新手,感谢您的帮助!
允许或禁止您的EC2实例访问外部网络,即保留允许安全组中所有传出流量的规则,将黑客拒之门外没有多大用处,这就是传入流量规则的作用。然而,在黑客到达您的实例并能够在其上安装任何恶意软件后,它将阻止不需要的流量流出,然后尝试发起传出通信。
这个传出流量规则通常是为了允许安装和更新软件,但它不会影响实例对传入请求的响应(合法与否(。
在您的实例前面有一个负载均衡器,并将其作为您服务的唯一允许入口点,这是一个好主意。这是一个很好的模式,您的实例不需要有外部IP地址。
拥有一个堡垒主机也是一个好主意,并使用它来管理实例本身。我还推荐Systems Manager的会话管理器来执行此任务。