Я пытаюсь настроить пару виртуальных машин Win2008 Server в Windows Azure (используя функцию предварительного просмотра виртуальной машины), и я не уверен, как правильно настроить желаемую «архитектуру». Вот чего я пытаюсь достичь -
Мне нужен один сервер, который будет работать только как мой сервер базы данных, на котором работает MongoDB (я знаю, что они говорят, что Linux лучше, но на данный момент я ограничен Windows по разным причинам).
Мне нужен второй сервер, который будет работать как мой веб-сервер. Это веб-приложение будет запускаться с node.js.
Сервер базы данных должен принимать соединения только от веб-сервера и только после того, как рукопожатие было выполнено и прошло успешно.
Я могу решить проблему рукопожатия, имея второй сервер node.js, работающий на сервере базы данных, который в основном действует как Rest API для моей базы данных при проверке рукопожатий и других вещей. Проблема в том, как заставить сервер базы данных принимать соединения только от моего веб-сервера?
Если мы предположим, что я создаю второе приложение node.js для сервера БД, нужна ли эта сетевая конфигурация, учитывая, что я мог бы создать приложение node, чтобы принимать соединения только с определенного IP-адреса? Или все же имеет смысл сохранить это правило где-нибудь еще?
Я абсолютно ничего не знаю о сетях, так что сейчас это все немного выше моей головы. Я был бы признателен за любую помощь, руководство, ссылки и т. Д., Которыми можно поделиться :)
Мне кажется, что самый простой способ добиться этого - использовать брандмауэр Windows и убедиться, что он имеет значение по умолчанию. block all inbound connections that don't match a rule настройка включена ... а затем создайте правило, разрешающее трафик, который вам нужен, с IP-адреса вашего сервера базы данных. Убедитесь, что это единственное правило, и все готово. Или сделали то, что намеревались сделать. Возможно, вы обнаружите, что это слишком ограничительно для полной функциональности, и, возможно, было бы неплохо разрешить удаленное управление или мониторинг с некоторых других машин, но это отдельный вопрос.
На самом деле, на SuperUser есть отличные небольшие вопросы и ответы по этой теме (для Win7)., который не ужасен и имеет скриншоты. Интерфейс одинаков в Win7 и Server 2008, так что, возможно, стоит посетить только снимок экрана. Или как это сделать с IPSec даже ответ.
Если вы поместите обе виртуальные машины в одну облачную службу, виртуальные машины могут общаться друг с другом через любые открытые порты на виртуальных машинах. Итак, если ваш сервер MongoDB работает на 27017, а виртуальная машина MongoDB разрешает трафик TCP на 27017, ваша веб-виртуальная машина может взаимодействовать с MongoDB.
Теперь о конечных точках: просто создайте конечные точки для портов 80 и 443, и только на виртуальной веб-машине. Нет необходимости создавать конечные точки с балансировкой нагрузки, поскольку вы никогда не хотите, чтобы трафик из внешнего мира достигал вашей виртуальной машины MongoDB. На данный момент только внешне доступные порты будут теми, которые определены в ваших конечных точках (в данном случае 80 и 443). И пока они не конечные точки с балансировкой нагрузки, трафик направляется только на одну виртуальную машину.
Более подробно о том, как можно настроить виртуальные машины, читайте в блоге Майкла Вашама, Вот, в Сеть виртуальных машин раздел.