[Linux-sunucu] Re: VPN ile remote makinaları birbirine bağlama ve güvenlik hakkında sorular
On Fri, May 25, 2018 at 12:27:42PM +0300, Mesut Taşçı wrote: > GCE kullanmadim ama azda olsa AWS kullandim. Networking ile fazla zaman > kaybetmeden makinalari birbirine baglayabiliyorsun > cok hosuma gitti lakin bana gore suanlik biraz pahali bir cozum. O yuzden > kendim halletmeye calisacagim. Sifirdan duzgun kubernetes cluster kurmak kolay degil. Ugrastiriyor. vs gcloud container clusters create ... (gce) kops create cluster ... (aws) kolay gelsin -- Eray ___ Linux-sunucu E-Posta Listesi Linux-sunucu@liste.linux.org.tr Liste kurallarını http://liste.linux.org.tr/kurallar.php bağlantısından okuyabilirsiniz; Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 dakika içinde üyeliğinizi sonlandırabilirsiniz. https://liste.linux.org.tr/mailman/listinfo/linux-sunucu
[Linux-sunucu] Re: VPN ile remote makinaları birbirine bağlama ve güvenlik hakkında sorular
2018-05-25 11:54 GMT+03:00 Gökhan Karakaş < gokhankara...@linux.erciyes.edu.tr>: > Hocam bazı anlaşılmamış durumlar var gibi ama tabi tam olarak açık biçimde > yazamadığınız için net bir şey söyleyemiyorum. > > O yüzden şöyle açıklamaya çalışayım. major cloud providerlarda, (aws, gcp, > azure, ali cloud vb) kendi VPC'nizi oluşturabiliyorsunuz. Yani sadece size > ait olan sanal bir network blogu oluşturmuş oluyorsunuz. > AWS VPC de yaptigi gibi networking olusturabilsem benim icin yeterli. Daha sonrasında sunucular arasında içeride ekstra bir katman olarak > güvenlik sağlamak istiyorsanız eğer, sunucuların birbirleriyle > konuşabilmesi için VPN kurmak yerine, App server (yada docker) servisinizin > ssl ile db'ye bağlanıyor olması PCI standardı açısından yeterli görülüyor. > (networking için konuşuyorum.) Bunların haricinde halen ekstra güvenlik > istiyorsanız, DB sunucunuz üzerinde encrpytion yapmayı düşünebilirsiniz > ancak ciddi performans kaybına yol açacaktır. Daha hafif ve genel geçer > kullanım olarak, database üzerinde kritik bilgi içeren tabloların kritik > sütunlarını, ssl sertifikası ile encrpyt edip tutabilirsiniz. Yine PCI'a > göre söylüyorum. Normalde bu kritik dataların tamamı HSM (Hardware Security > Module) cihazları üzerinde tutulan bir sertifika ile encrypt edilip db ye > yazılıyor. > Belki HSM cihazı alamayabilirsiniz ama ssl sertifikanızı bir başka > sunucuda erişimlerin daha düzgün şekilde kısıtlandığı bir server'da farklı > bir blokta tutmayı düşünebilirsiniz. > > DB encryption vs yapmama gerek yok. Diger servislerim DB servisine baglandiginda aradaki trafigi dinleselerde fazla sikinti olmaz ama DB'ye baglanamasinlar yeter :) > Monitoring için nasıl bir düşünceniz var yine bilmiyorum ancak, yine büyük > cloud providerların tamamı loging ve monitoring konularında son derece > kolaylaştıran araçlar sunuyorlar ancak tabi ki limitli. O durumlarda da > daha ileri seviye monitoring için kendi araçlarınızı yazmanız yada nagios, > zabbix gibi genel geçer monitoring araçlarına pluginler yada checkler > yazmanız gerekiyor. > > Servislerimi monitor etmek icin Promethous + Grafana kullanmayi planliyorum. Logging icin ise Graylog kullanmayi planliyorum. Server perf monitoring icinde nagios veya zabbix kullanabilirim ama suanlik okadar onemli degil. Tesekkur ederim. ___ Linux-sunucu E-Posta Listesi Linux-sunucu@liste.linux.org.tr Liste kurallarını http://liste.linux.org.tr/kurallar.php bağlantısından okuyabilirsiniz; Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 dakika içinde üyeliğinizi sonlandırabilirsiniz. https://liste.linux.org.tr/mailman/listinfo/linux-sunucu
[Linux-sunucu] Re: VPN ile remote makinaları birbirine bağlama ve güvenlik hakkında sorular
2018-05-25 8:41 GMT+03:00 Eray Aslan : > On Fri, May 25, 2018 at 02:21:54AM +0300, Mesut Taşçı wrote: > - Network policy'ler ile pod'lar (container'lar) arasindaki trafigi > yetkilendirmek mumkun. > - Default olarak trafik encrypt edilmiyor ama bu opsiyonu sunan overlay > network secerseniz mumkun (kullanmadim) > > Trafigi yetkilendirerek podlarin birbirine erisimi kisitliyoruz galida ama benim servislerimin birbirini gormesinde bir sakinca yok. Benim amacim dis dunya ile aralarindaki bagi kisitlamak. > Fiyat konusunda ne kadar hassassiniz bilmiyorum ama GCE (tercihen) veya > AWS'yi deneyin. Hayatiniz kolaylasir. > GCE kullanmadim ama azda olsa AWS kullandim. Networking ile fazla zaman kaybetmeden makinalari birbirine baglayabiliyorsun cok hosuma gitti lakin bana gore suanlik biraz pahali bir cozum. O yuzden kendim halletmeye calisacagim. Tesekkur ederim ___ Linux-sunucu E-Posta Listesi Linux-sunucu@liste.linux.org.tr Liste kurallarını http://liste.linux.org.tr/kurallar.php bağlantısından okuyabilirsiniz; Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 dakika içinde üyeliğinizi sonlandırabilirsiniz. https://liste.linux.org.tr/mailman/listinfo/linux-sunucu
[Linux-sunucu] Re: VPN ile remote makinaları birbirine bağlama ve güvenlik hakkında sorular
Hocam bazı anlaşılmamış durumlar var gibi ama tabi tam olarak açık biçimde yazamadığınız için net bir şey söyleyemiyorum. O yüzden şöyle açıklamaya çalışayım. major cloud providerlarda, (aws, gcp, azure, ali cloud vb) kendi VPC'nizi oluşturabiliyorsunuz. Yani sadece size ait olan sanal bir network blogu oluşturmuş oluyorsunuz. Daha sonrasında sunucular arasında içeride ekstra bir katman olarak güvenlik sağlamak istiyorsanız eğer, sunucuların birbirleriyle konuşabilmesi için VPN kurmak yerine, App server (yada docker) servisinizin ssl ile db'ye bağlanıyor olması PCI standardı açısından yeterli görülüyor. (networking için konuşuyorum.) Bunların haricinde halen ekstra güvenlik istiyorsanız, DB sunucunuz üzerinde encrpytion yapmayı düşünebilirsiniz ancak ciddi performans kaybına yol açacaktır. Daha hafif ve genel geçer kullanım olarak, database üzerinde kritik bilgi içeren tabloların kritik sütunlarını, ssl sertifikası ile encrpyt edip tutabilirsiniz. Yine PCI'a göre söylüyorum. Normalde bu kritik dataların tamamı HSM (Hardware Security Module) cihazları üzerinde tutulan bir sertifika ile encrypt edilip db ye yazılıyor. Belki HSM cihazı alamayabilirsiniz ama ssl sertifikanızı bir başka sunucuda erişimlerin daha düzgün şekilde kısıtlandığı bir server'da farklı bir blokta tutmayı düşünebilirsiniz. Monitoring için nasıl bir düşünceniz var yine bilmiyorum ancak, yine büyük cloud providerların tamamı loging ve monitoring konularında son derece kolaylaştıran araçlar sunuyorlar ancak tabi ki limitli. O durumlarda da daha ileri seviye monitoring için kendi araçlarınızı yazmanız yada nagios, zabbix gibi genel geçer monitoring araçlarına pluginler yada checkler yazmanız gerekiyor. İyi çalışmalar. 25 Mayıs 2018 08:41 tarihinde Eray Aslan yazdı: > On Fri, May 25, 2018 at 02:21:54AM +0300, Mesut Taşçı wrote: > > Bir cloud provider[1]'da 1 adet sunucum var. Üzerinde hepsi docker > > containerlar üzerinde çalışan 1 Postgresql, 2 microservis, 1 web > sunucusu, > > 1 rabbitmq ve 1 adet taskları işleyen container çalışıyor. Bu > containerları > > farklı makinalara ayırmak istiyorum. > > > > 5-6 adet sunucu açıp, yukarıda bahsettiğim docker containerlarda çalışan > > servislerimi bu makinalara dağıtmak ve kolay bir şekilde monitoring > yapmak > > istiyorum. > > > > Sunucuların tamamı aynı datacenterdalar. Ben VPN kullanmadan bu > sunucuları > > birbirine bağlayıp kullanabilirim fakat datacenterda networku dinleyen > > birileri olabilir ve DB sunucusuna bağlanmak için port açtığımda > > başkalarıda bağlanmaya çalışabilir. Ayrıca monitoring için kullanacağım > > makinanın web arayüzüne erişmek için monitoring sunucusuna dış IP ataması > > yapmam gerekecek. Buda bir güvenlik açığı oluşturabilir. > > Kubernetes'i deneyin. > > - Network policy'ler ile pod'lar (container'lar) arasindaki trafigi > yetkilendirmek mumkun. > - Default olarak trafik encrypt edilmiyor ama bu opsiyonu sunan overlay > network secerseniz mumkun (kullanmadim) > > Tabii ki manual olarak da yapabilirsiniz ama tekerlegi yeniden icat > etmeye gerek yok derim. Monitoring, logging vs cok kolaylasiyor. > Resilient, self-healing... > > Fiyat konusunda ne kadar hassassiniz bilmiyorum ama GCE (tercihen) veya > AWS'yi deneyin. Hayatiniz kolaylasir. > > -- > Eray > ___ > Linux-sunucu E-Posta Listesi > Linux-sunucu@liste.linux.org.tr > > Liste kurallarını http://liste.linux.org.tr/kurallar.php bağlantısından > okuyabilirsiniz; > > Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen > e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 > dakika içinde üyeliğinizi sonlandırabilirsiniz. > https://liste.linux.org.tr/mailman/listinfo/linux-sunucu > -- Gökhan KARAKAŞ gsm +90 506 904 90 59 ___ Linux-sunucu E-Posta Listesi Linux-sunucu@liste.linux.org.tr Liste kurallarını http://liste.linux.org.tr/kurallar.php bağlantısından okuyabilirsiniz; Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 dakika içinde üyeliğinizi sonlandırabilirsiniz. https://liste.linux.org.tr/mailman/listinfo/linux-sunucu
[Linux-sunucu] Re: VPN ile remote makinaları birbirine bağlama ve güvenlik hakkında sorular
On Fri, May 25, 2018 at 02:21:54AM +0300, Mesut Taşçı wrote: > Bir cloud provider[1]'da 1 adet sunucum var. Üzerinde hepsi docker > containerlar üzerinde çalışan 1 Postgresql, 2 microservis, 1 web sunucusu, > 1 rabbitmq ve 1 adet taskları işleyen container çalışıyor. Bu containerları > farklı makinalara ayırmak istiyorum. > > 5-6 adet sunucu açıp, yukarıda bahsettiğim docker containerlarda çalışan > servislerimi bu makinalara dağıtmak ve kolay bir şekilde monitoring yapmak > istiyorum. > > Sunucuların tamamı aynı datacenterdalar. Ben VPN kullanmadan bu sunucuları > birbirine bağlayıp kullanabilirim fakat datacenterda networku dinleyen > birileri olabilir ve DB sunucusuna bağlanmak için port açtığımda > başkalarıda bağlanmaya çalışabilir. Ayrıca monitoring için kullanacağım > makinanın web arayüzüne erişmek için monitoring sunucusuna dış IP ataması > yapmam gerekecek. Buda bir güvenlik açığı oluşturabilir. Kubernetes'i deneyin. - Network policy'ler ile pod'lar (container'lar) arasindaki trafigi yetkilendirmek mumkun. - Default olarak trafik encrypt edilmiyor ama bu opsiyonu sunan overlay network secerseniz mumkun (kullanmadim) Tabii ki manual olarak da yapabilirsiniz ama tekerlegi yeniden icat etmeye gerek yok derim. Monitoring, logging vs cok kolaylasiyor. Resilient, self-healing... Fiyat konusunda ne kadar hassassiniz bilmiyorum ama GCE (tercihen) veya AWS'yi deneyin. Hayatiniz kolaylasir. -- Eray ___ Linux-sunucu E-Posta Listesi Linux-sunucu@liste.linux.org.tr Liste kurallarını http://liste.linux.org.tr/kurallar.php bağlantısından okuyabilirsiniz; Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 dakika içinde üyeliğinizi sonlandırabilirsiniz. https://liste.linux.org.tr/mailman/listinfo/linux-sunucu