构建 AWS 基础设施 - 安全问题

Question

我正在 AWS 上构建云基础设施。 我有一些需要传入/传出流量的后端应用程序（如数据库服务器）和其他前端应用程序（如网络服务器）。

我还有一些需要保护的 devops/dev 应用程序，例如 Jenkins 和 Airlfow（工作流管理具有 Web UI）。其中一些应用程序，例如 Airflow，没有安全机制（例如登录名/密码）。而且我仍然需要通过 Internet 的 80 端口访问它。

我正在考虑设置一个带有私有子网和公共子网的 AWS VPC。在公共子网中，我将放置前端应用程序，而在私有子网中，我将放置后端服务（如数据库）。

1. 对于后端服务，我需要一种方法让我的开发团队连接，例如，在 MySQL 数据库（端口：3306）中。

   • 这样做的正确方法是什么？
   • 我需要暴露3306端口吗？
   • 我需要 NAT 还是堡垒主机？它们有什么区别？
   • 如果我设置了一个 NAT/Bastion，hosti 是否会正确设置端口？如果我有两个 mysql 数据库实例，如何使用堡垒相互连接？我需要在堡垒上分配不同的端口并使端口前进？

2. 对于 devops/dev 应用程序：

   • 我应该选择哪个子网？
   • 如果我使用私有子网，我的团队如何通过 80 端口访问它？
   • 我需要 Intranet/vpc foo 这个应用程序吗？

Answer 1

这些都是人们在 AWS 上面临的常见问题。你有很多选择。

您可以将所有后端和开发 opps 服务放在私有子网中。然后，您有多种选择可以安全地连接到它们。

选项 1

使用Security Groups 限制对这些节点的访问。您可以使用安全组仅允许特定 IP 地址连接到您的资源。

选项 2

使用堡垒主机。

参考您的问题“NAT 和堡垒主机有什么区别？”。

NAT 仅允许私有子网内的实例通过 NAT 实例路由其所有流量来连接到互联网。然后，NAT 实例将来自 Internet 的返回流量引导回私有子网中的正确节点。单独的 NAT 不允许您从外部连接到私有子网内的实例，您需要将其与端口地址转换相结合来实现这一点。

堡垒主机是您放置在 VPC 的公有子网中的实例。因此，您可以从 Internet 连接到它。连接到 Bastion 主机后，您可以使用私有 IP 连接到 VPC 内的任何其他实例。一旦确保堡垒主机的最大安全性，您就可以开展业务了。

因此，您可以使用堡垒主机连接到私有子网中的所有这些特殊节点。

选项 3

使用 VPC 中的内置功能设置与您的 VPC 的VPN 连接，或者设置一个运行 OpenSwan 之类的 VPN 实例。

VPN 连接非常安全，但通常会有点喜怒无常（*个人意见来自个人经验）。

所以，你有很多选择。我建议多做一些谷歌搜索并深入研究 AWS 文档，因为这些都是常见问题！

祝你好运！ :)