Назад |
Перейти на главную страницу
Автоматические обновления для экземпляров NAT и SSH-подключений в AWS VPC с частными подсетями
Моя текущая архитектура веб-сайта включает два сервера Ubuntu с общедоступными IP-адресами в Rackspace Cloud. Один из них - это веб-сервер и сервер mysql. Другой - только для трудоемких расчетов. У обоих есть Iptables, которые разрешают весь исходящий трафик и входящий HTTP, HTTPS, SSH и установленные соединения. Я подключаюсь к серверам с помощью ssh, используя пароль, но это соединение защищено Fail2ban. Я использую автоматические обновления, чтобы постоянно обновлять серверы.
Я переезжаю в Amazon AWS и рассматривая возможность изменения моей текущей архитектуры, чтобы использовать VPC с общедоступными и частными подсетями. Однако у меня есть некоторые сомнения:
- Я бы использовал по умолчанию (маленький) экземпляр физ. Я предполагаю, что он должен обновляться, он обновляется автоматически?
- У меня было бы еще три экземпляра: веб-сервер в общедоступной подсети, сервер mysql и вычислительный сервер в частной подсети. Как мне получить доступ к каждому из этих экземпляров с помощью ssh?
- Эта архитектура более безопасна, чем моя нынешняя?
Чтобы ответить на ваши вопросы:
- Нет, экземпляр не обновляется автоматически, вам нужно это настроить (Amazon Linux очень похож на CentOS - вы найдете инструкции для этого)
- Вы используете экземпляр, доступный из Интернета, и переходите к экземплярам в частном VPC с этого (шлюза)
- Вам просто нужно убедиться, что ваши ACL и группы безопасности настроены правильно, и отслеживать экземпляры, подключенные к Интернету. Преимущество такой архитектуры (частные подсети) заключается в том, что меньшее количество экземпляров подключено к Интернету (что приводит к меньшей точке атаки.