Я создал 2 виртуальные машины (CentOS6.5) в Windows Azure для базы данных Postgresql и кластера высокой доступности, все работает нормально, за исключением случаев, когда я включаю службу iptables, набор балансировки нагрузки конечной точки не работает.
из соображений безопасности я заблокировал весь входной доступ, кроме доверенного домена и интрасети.
:INPUT DROP [1:40]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [1:152]
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -s myTrustDomain.cloudapp.net -j ACCEPT
Я почти уверен, что проблема связана с брандмауэром, потому что как только я отключу службу iptables, все клиенты смогут подключиться к порту 5432. но мне действительно нужно комплект с балансировкой нагрузки конечная точка для переключения узла, когда один из них выходит из строя в кластере высокой доступности.
Кто-нибудь знает, как правильно настроить брандмауэр, когда я использую конечную точку с балансировкой нагрузки?
Следующее задокументированный:
Адрес может быть либо сетевым именем, либо именем хоста (обратите внимание, что указывать любое имя, которое должно быть разрешено с помощью удаленного запроса, например DNS, - действительно плохая идея), сетевой IP-адрес (с / mask) или простой IP-адрес.
Похоже, вы пытаетесь разрешить только трафику из другой облачной службы доступ к виртуальным машинам через конечную точку с балансировкой нагрузки. Вы можете добиться этого, реализовав ACL прямо на конечной точке. Это предотвратит попадание запрещенного трафика на вашу виртуальную машину.
Более безопасная архитектура может заключаться в развертывании различных облачных сервисов в виртуальной сети и настройке внутренний балансировщик нагрузки для балансировки трафика к этим двум виртуальным машинам. Это позволит вам полностью удалить внешнюю конечную точку для PostgreSQL. Вы все еще можете использовать брандмауэр для другого трафика, не поступающего от балансировщика нагрузки