我正在AWS上构建云基础设施。我有一些后端应用程序(如数据库服务器)和其他前端应用程序(例如Web服务器),它们需要传入/传出流量。
我还有一些devops/dev应用程序,比如Jenkins和Airlfow(一个工作流管理tahts有一个web UI),我需要保护它们。其中一些应用程序,如Airflow,没有安全机制(例如登录/密码)。我仍然需要通过80端口从互联网上访问它。
我想建立一个AWS专有网络,有一个私有子网和公共子网。在公用子网中,我将放置前端应用程序,在专用子网中我将放置后端服务(如数据库)。
-
对于后端服务,我需要一种方法来连接我的开发团队,例如,在MySQL数据库(端口:3306)中。
- 正确的方法是什么
- 我需要暴露端口3306
- 我需要NAT还是堡垒主机?它们之间有什么区别
- 如果我设置了一个NAT/Bastion主机,我会创建一个端口吗?如果我有两个mysql数据库实例,我如何使用bastion相互连接?我需要在堡垒上分配不同的端口,并使端口向前
-
对于devops/dev应用程序:
- 我应该选择哪个子网
- 如果我放在私有子网上,我的团队如何在80端口上访问它
- 我需要这个应用程序的intranet/vpc foo吗
这些都是人们在AWS上面临的常见问题。你有很多选择。
您可以将所有后端和dev-ops服务放在专用子网中。然后,您可以选择安全地连接到它们。
选项1
使用"安全组"来限制对这些节点的访问。您可以使用安全组只允许特定的IP地址连接到您的资源。
选项2
使用堡垒主机。
参考您的问题"NAT和堡垒主机有什么区别?"。
NAT只是允许私有子网内的实例通过NAT实例路由所有流量来连接到互联网。NAT实例然后将返回流量从互联网引导回专用子网中的正确节点。NAT本身不允许您从外部连接到私有子网内的实例,您需要将其与端口地址转换相结合才能实现这一点。
Bastion主机是您放置在专有网络公共子网中的实例。因此,您可以从互联网连接到它。一旦连接到Bastion主机,您就可以使用私有IP连接到VPC内的任何其他实例。一旦您确保了堡垒主机的最大安全性,您就可以开始工作了。
因此,您可以使用堡垒主机连接到私有子网中的所有特殊节点。
选项3
使用VPC中的内置功能设置与VPC的VPN连接,或者设置一个运行OpenSwan之类的VPN实例。
VPN连接非常安全,但通常会有点喜怒无常(*个人经验的个人意见)。
所以,你有很多选择。我建议在谷歌上多搜索几次,深入了解AWS文档,因为这些都是常见的问题!
祝你好运!:)