Я пытаюсь определить лучшую современную практику использования ваших собственных отдельный сервер базы данных для веб-приложения. У меня есть сервер приложений, appserver1, (запуск php, nginx и т. д., это не имеет большого значения) и сервер db; dbserver1 (запуск postgresql, что, вероятно, не имеет значения).
Я хочу использовать командную строку psql подключения к базе данных команд и приложений из appserver1 которые подключаются к базе данных на dbserver1. Оба находятся в одной внутренней сети в стойке, поэтому соединение быстрое. Однако я не хочу доверять этому соединению, если это не стандартный протокол, поэтому, если необходимо дополнительно защитить это соединение, как я могу лучше всего защитить это соединение?
Я слышал о ssh-туннелировании, но раньше не использовал. В целом это кажется довольно простым. Стоит ли мне настроить ssh-туннель из appserver1 что указывает на dbserver1 и тогда я смогу подключиться, как если бы все это был localhost? Или иначе каким должен быть мой подход?
Редактировать: Могу ли я просто настроить сервер так, чтобы он слушал только localhost и IP-адреса веб-серверов, или это не поддерживаемое решение в долгосрочной перспективе?
Оба находятся в одной внутренней сети в стойке, поэтому соединение быстрое.
У меня нет опыта работы с Rackspace, но я хотел бы подтвердить, настроена ли «внутренняя сеть» специально для локальной связи между вашими устройствами. и никто другой. Если это внутренняя сеть, в которой может быть (и, вероятно, есть) любой из их клиентов, вам, вероятно, следует подумать о настройке iptables, чтобы разрешить соединения только с доверенных IP-адресов или какого-либо типа VPN-решения между ящиками и брандмауэром ваших служб со всех других внешних подключения, даже если они поступают из сети Rackspace.
РЕДАКТИРОВАТЬ: вы можете использовать внутреннюю сеть Rackspace, если вам удобно настроить iptables, чтобы разрешать подключения только с IP-адресов, которым вы доверяете (например, других ваших серверов), отклоняя при этом всех остальных. Вероятно, это было бы более элегантно, чем решение VPN, но его может быть сложнее настроить, если вы не привыкли управлять своими правилами брандмауэра.