Я создаю облачную инфраструктуру на AWS. У меня есть некоторые серверные приложения (например, серверы баз данных) и другое приложение для внешнего интерфейса (например, веб-серверы), которым необходим входящий/исходящий трафик.Строительство инфраструктуры AWS - вопросы безопасности
У меня также есть некоторые приложения для devops/dev, такие как Jenkins, и Airlfow (для управления рабочими процессами есть веб-интерфейс), которые мне нужно защитить. Некоторые из этих приложений, таких как Airflow, не имеют механизма безопасности (например, логин/пароль). И мне по-прежнему нужен доступ к нему по 80 портам из Интернета.
Я собирался настроить VPC VPC с частной подсети и общественной подсети. В публичной подсети я поставлю конечные приложения fron и частную подсеть, в которые я буду размещать бэкэнд-услуги (например, базы данных).
Для серверных услуг, мне нужен способ моей команды разработчиков для подключения, например, в базе данных MySQL (порт: 3306).
- Каков правильный способ сделать это?
- Мне нужно открыть порт 3306?
- Нужен ли мне NAT или бастион? В чем разница между ними?
- Если я настрою хост NAT/Bastion, вы сделаете жесткую настройку порта? Если у меня есть два экземпляра базы данных mysql, как я могу подключиться друг к другу с помощью бастиона? Мне нужно выделить разные порты на бастионе и сделать порт вперёд?
Для приложения DevOps/Dev:
- Какой подсеть сделать выбор?
- Если я ставлю на приватную подсеть, как моя команда сможет получить доступ к ней на 80-порте?
- Нужно ли мне интранет/vpc foo для этих приложений?