Я настроил сервер веб-приложения и отдельный сервер для пост-ГРЭС в той же сети. Как я должен защитить соединение?
Я пытаюсь определить лучшую, современную практику для использования Вашего собственного отдельного сервера базы данных для веб-приложения. У меня есть сервер приложений, appserver1, (работающий php, nginx, и т.д., не, что это имеет значение очень), и сервер дб; dbserver1 (работающий postgresql, который, вероятно, не имеет значения).
Я хочу использовать командную строку psql команда и соединения с базой данных приложения от appserver1 то подключение к базе данных по dbserver1. Оба находятся на той же внутренней сети в rackspace, таким образом, соединение быстро. Однако я не хочу полагать, что соединение, если это - стандартный протокол не к, поэтому если необходимо защитить то соединение далее, как я могу лучше всего защитить то соединение?
Обеспечение соединения
Я услышал о туннелировании ssh, хотя я не использовал его прежде. Это кажется довольно простым в целом. Если я создал туннель ssh от appserver1 это указывает на dbserver1 и затем я смогу соединиться, как будто это был весь localhost? Или иначе каков мой подход должен быть?
Править: Я могу просто установить сервер, чтобы только слушать localhost и IP веб-серверов, или разве который не является удобным в сопровождении решением, длительный срок?
Оба находятся в одной внутренней сети в стойке, поэтому соединение быстрое.
У меня нет опыта работы с Rackspace, но я бы подтвердил, что "внутренняя сеть" один настроен специально для локальной связи между вашими ящиками и никем другим . Если это внутренняя сеть, к которой может быть подключен любой из их клиентов (и, вероятно, есть), вам, вероятно, следует подумать о настройке iptables, чтобы разрешать соединения только с доверенных IP-адресов или какого-либо типа VPN-решения между ящиками и брандмауэром ваших служб со всех других внешних соединения, даже если они поступают из сети Rackspace.
РЕДАКТИРОВАТЬ: Вы можете использовать внутреннюю сеть Rackspace, если вам удобно настроить iptables, чтобы разрешать соединения только с IP-адресов, которым вы доверяете (например, других ваших серверов) отвергая всех остальных. Вероятно, это было бы более элегантно, чем решение VPN, но его может быть сложнее настроить, если вы не привыкли управлять своими правилами брандмауэра.