假设我们有一个蓝图,它生成一个 Ambari 服务器和一个具有两个节点的 Hadoop 集群。
我们正在使用以下项目 --> https://github.com/brooklyncentral/brooklyn-ambari
在这种情况下,创建了三个实体(1 个 Ambari 服务器 + 2 个 Hadoop 节点),因此生成了 3 个安全组。每个实体都有自己的安全组。
最佳做法是什么:上面提到的(每个实体一个安全组)或所有实体只有一个安全组(如果可能的话)?
【问题讨论】:
标签: amazon-web-services brooklyn
选项包括:
让 Brooklyn 为每个 VM 自动生成一个安全组。这是默认设置,但它并不是最安全的,因为它会公开打开端口,而不仅仅是向其他 Ambari 虚拟机开放。
为所有 Ambari VM 使用预先存在的安全组。您可以使用securityGroups: nameOfMySecurityGroup 配置位置。此安全组将不加修改地使用,因此可用于提供 Ambari 虚拟机之间的访问。
配置 Brooklyn 以创建一个新的安全组以供所有 Ambari VM 共享。这需要使用“位置定制器”来创建安全组并将其添加到用于创建 VM 的配置中。它可以使用或构建在https://github.com/apache/incubator-brooklyn/blob/0.7.0-incubating/locations/jclouds/src/main/java/brooklyn/location/jclouds/networking/JcloudsLocationSecurityGroupCustomizer.java 之上。布鲁克林将受益于开箱即用的更容易使用!
最佳做法取决于您的安全要求。选项 (3) 为您提供了最大的灵活性,可以根据您的需要安全地配置它,因此可以说是最佳实践。选项 (2) 对于不频繁的部署很简单,但如果您必须提前手动创建安全组,则很烦人。选项 (1) 是最简单的,但会暴露比绝对必要更多的端口,因此可能不鼓励用于生产用途。
【讨论】: