У меня возникли проблемы с безопасностью в моей конфигурации uWSGI.
Вот текущая проблема:
У меня есть фронт-сервер, который называется api.domain.tld, на которых установлен NGinx с proxy_pass который указывает на экземпляр uWSGI с помощью .sock файл.
Этот экземпляр uWSGI на внешнем сервере настроен следующим образом:
uwsgi -M --fastrouter /tmp/project.sock --fastrouter-subscription-server public_ip:port
И, как и следовало ожидать, у меня есть парк серверов, которые содержат фактический код и запускают uWSGI, которые подписываются на этот fastrouter, например:
uwsgi --socket public_ip_of_sub_server:port -M --subscribe-to ip_front_lb:port:api.domain.tld
(с другими параметрами).
Вот моя проблема:
Все серверы общедоступны, а не являются частью частной сети (серверы, которые я взял, поступают из разных предложений и, к сожалению, не предлагают такой возможности).
Для внешнего интерфейса это означает, что ВЫ можете подключить к нему свой экземпляр uWSGI ... не очень хорошо. Я узнал что могу обезопасить систему подписки, так что это должно быть нормально (вы можете подтвердить или опровергнуть это?).
Но теперь socket параметр на sub_servers является общедоступным, что не одобряет uWSGI (первый пункт).
Итак, мой вопрос:
Как я могу воспользоваться fastrouter/subscription из uWSGI на серверах, которые имеют открытый доступ, сохраняя при этом безопасность?
Спасибо за помощь!