[Linux-sunucu] Re: VPN ile remote makinaları birbirine bağlama ve güvenlik hakkında sorular
On Fri, May 25, 2018 at 02:21:54AM +0300, Mesut Taşçı wrote: > Bir cloud provider[1]'da 1 adet sunucum var. Üzerinde hepsi docker > containerlar üzerinde çalışan 1 Postgresql, 2 microservis, 1 web sunucusu, > 1 rabbitmq ve 1 adet taskları işleyen container çalışıyor. Bu containerları > farklı makinalara ayırmak istiyorum. > > 5-6 adet sunucu açıp, yukarıda bahsettiğim docker containerlarda çalışan > servislerimi bu makinalara dağıtmak ve kolay bir şekilde monitoring yapmak > istiyorum. > > Sunucuların tamamı aynı datacenterdalar. Ben VPN kullanmadan bu sunucuları > birbirine bağlayıp kullanabilirim fakat datacenterda networku dinleyen > birileri olabilir ve DB sunucusuna bağlanmak için port açtığımda > başkalarıda bağlanmaya çalışabilir. Ayrıca monitoring için kullanacağım > makinanın web arayüzüne erişmek için monitoring sunucusuna dış IP ataması > yapmam gerekecek. Buda bir güvenlik açığı oluşturabilir. Kubernetes'i deneyin. - Network policy'ler ile pod'lar (container'lar) arasindaki trafigi yetkilendirmek mumkun. - Default olarak trafik encrypt edilmiyor ama bu opsiyonu sunan overlay network secerseniz mumkun (kullanmadim) Tabii ki manual olarak da yapabilirsiniz ama tekerlegi yeniden icat etmeye gerek yok derim. Monitoring, logging vs cok kolaylasiyor. Resilient, self-healing... Fiyat konusunda ne kadar hassassiniz bilmiyorum ama GCE (tercihen) veya AWS'yi deneyin. Hayatiniz kolaylasir. -- Eray ___ Linux-sunucu E-Posta Listesi Linux-sunucu@liste.linux.org.tr Liste kurallarını http://liste.linux.org.tr/kurallar.php bağlantısından okuyabilirsiniz; Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 dakika içinde üyeliğinizi sonlandırabilirsiniz. https://liste.linux.org.tr/mailman/listinfo/linux-sunucu
[Linux-sunucu] VPN ile remote makinaları birbirine bağlama ve güvenlik hakkında sorular
Merhabalar, Bir cloud provider[1]'da 1 adet sunucum var. Üzerinde hepsi docker containerlar üzerinde çalışan 1 Postgresql, 2 microservis, 1 web sunucusu, 1 rabbitmq ve 1 adet taskları işleyen container çalışıyor. Bu containerları farklı makinalara ayırmak istiyorum. 5-6 adet sunucu açıp, yukarıda bahsettiğim docker containerlarda çalışan servislerimi bu makinalara dağıtmak ve kolay bir şekilde monitoring yapmak istiyorum. Sunucuların tamamı aynı datacenterdalar. Ben VPN kullanmadan bu sunucuları birbirine bağlayıp kullanabilirim fakat datacenterda networku dinleyen birileri olabilir ve DB sunucusuna bağlanmak için port açtığımda başkalarıda bağlanmaya çalışabilir. Ayrıca monitoring için kullanacağım makinanın web arayüzüne erişmek için monitoring sunucusuna dış IP ataması yapmam gerekecek. Buda bir güvenlik açığı oluşturabilir. Ben şunu yapmak istiyorum: Bu sunucuların tamamını VPN ile birbirine bağlayay, müşteriler web sitesine erişebilsinler diye sadece web sunucusuna dış IP ataması yapayım. DB sunucusunda izin verilen IP bloğu olarak VPN'e atadığım IP bloğunu vereyim bu sayede datacenterdaki diğer makinalardan bağlanılamasın ama web ve monitoring sunucularım bağlanabilsin. Monitoring sunucuma da sadece bu VPN ağından bağlanılabilsin. Kendi evimden(dinamik IP) ve iş yerimden(sabit IP) monitoring sunucusuna bağlanıp web arayüzünden diğer sunucularımı izleyebileyim. - Bu yapıyı nasıl kurabilirim? - Nekadar güvenli, nelere dikkat etmeliyim? - Sadece web sunucusuna dış IP atamasını yapmam yeterli olur mu? - tinc mi yoksa openvpn mi kullanayım veye hangi araçları önerirsiniz? (daha önce hiç VPN kurulumu yapmadım ama yapabilirim) - Kubernetes işimi bu noktada kolaylaştırır mı? (kubernetes hakkında fazla bilgim yok ama araştırıp öğrenebilirim) [1] AWS kullanabilirdim, VPC ile bu ağ yapisini kolay bir sekilde kurabilirdim fakat AWS pahali geliyor o yuzden Scaleway'den kiraliyorum ama onda da AWS'deki gibi gelismis networking alt yapisi sunmuyor. Bu yüzden kendim halletmeye çalışacağım. Bu konuda her türlü fikir ve önerilerinizi bekliyorum. Yardımlarınız için şimdiden teşekkür ederim :) ___ Linux-sunucu E-Posta Listesi Linux-sunucu@liste.linux.org.tr Liste kurallarını http://liste.linux.org.tr/kurallar.php bağlantısından okuyabilirsiniz; Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 dakika içinde üyeliğinizi sonlandırabilirsiniz. https://liste.linux.org.tr/mailman/listinfo/linux-sunucu