subject:"\[Linux\-sunucu\] Re\: VPN ile remote makinaları birbirine bağlama ve güvenlik hakkında sorular"

[Linux-sunucu] Re: VPN ile remote makinaları birbirine bağlama ve güvenlik hakkında sorular

2018-05-25 Başlik Eray Aslan

On Fri, May 25, 2018 at 12:27:42PM +0300, Mesut Taşçı wrote:
> GCE kullanmadim ama azda olsa AWS kullandim. Networking ile fazla zaman
> kaybetmeden makinalari birbirine baglayabiliyorsun
> cok hosuma gitti lakin bana gore suanlik biraz pahali bir cozum. O yuzden
> kendim halletmeye calisacagim.

Sifirdan duzgun kubernetes cluster kurmak kolay degil.  Ugrastiriyor.

vs

gcloud container clusters create ... (gce)
kops create cluster ... (aws)

kolay gelsin
-- 
Eray
___
Linux-sunucu E-Posta Listesi
Linux-sunucu@liste.linux.org.tr

Liste kurallarını http://liste.linux.org.tr/kurallar.php  bağlantısından 
okuyabilirsiniz;

Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen 
e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 
dakika içinde üyeliğinizi sonlandırabilirsiniz.
https://liste.linux.org.tr/mailman/listinfo/linux-sunucu

[Linux-sunucu] Re: VPN ile remote makinaları birbirine bağlama ve güvenlik hakkında sorular

2018-05-25 Başlik Mesut Taşçı

2018-05-25 11:54 GMT+03:00 Gökhan Karakaş <
gokhankara...@linux.erciyes.edu.tr>:

> Hocam bazı anlaşılmamış durumlar var gibi ama tabi tam olarak açık biçimde
> yazamadığınız için net bir şey söyleyemiyorum.
>
> O yüzden şöyle açıklamaya çalışayım. major cloud providerlarda, (aws, gcp,
> azure, ali cloud vb) kendi VPC'nizi oluşturabiliyorsunuz. Yani sadece size
> ait olan sanal bir network blogu oluşturmuş oluyorsunuz.
>

AWS VPC de yaptigi gibi networking olusturabilsem benim icin yeterli.


Daha sonrasında sunucular arasında içeride ekstra bir katman olarak
> güvenlik sağlamak istiyorsanız eğer, sunucuların birbirleriyle
> konuşabilmesi için VPN kurmak yerine, App server (yada docker) servisinizin
> ssl ile db'ye bağlanıyor olması PCI standardı açısından yeterli görülüyor.
> (networking için konuşuyorum.) Bunların haricinde halen ekstra güvenlik
> istiyorsanız, DB sunucunuz üzerinde encrpytion yapmayı düşünebilirsiniz
> ancak ciddi performans kaybına yol açacaktır. Daha hafif ve genel geçer
> kullanım olarak, database üzerinde kritik bilgi içeren tabloların kritik
> sütunlarını, ssl sertifikası ile encrpyt edip tutabilirsiniz. Yine PCI'a
> göre söylüyorum. Normalde bu kritik dataların tamamı HSM (Hardware Security
> Module) cihazları üzerinde tutulan bir sertifika ile encrypt edilip db ye
> yazılıyor.
> Belki HSM cihazı alamayabilirsiniz ama ssl sertifikanızı bir başka
> sunucuda erişimlerin daha düzgün şekilde kısıtlandığı bir server'da farklı
> bir blokta tutmayı düşünebilirsiniz.
>
> DB encryption vs yapmama gerek yok. Diger servislerim DB servisine
baglandiginda aradaki trafigi dinleselerde fazla sikinti olmaz ama DB'ye
baglanamasinlar yeter :)



> Monitoring için nasıl bir düşünceniz var yine bilmiyorum ancak, yine büyük
> cloud providerların tamamı loging ve monitoring konularında son derece
> kolaylaştıran araçlar sunuyorlar ancak tabi ki limitli. O durumlarda da
> daha ileri seviye monitoring için kendi araçlarınızı yazmanız yada nagios,
> zabbix gibi genel geçer monitoring araçlarına pluginler yada checkler
> yazmanız gerekiyor.
>
>
Servislerimi monitor etmek icin Promethous + Grafana kullanmayi
planliyorum. Logging icin ise Graylog kullanmayi planliyorum. Server perf
monitoring icinde nagios veya zabbix kullanabilirim ama suanlik okadar
onemli degil.


Tesekkur ederim.
___
Linux-sunucu E-Posta Listesi
Linux-sunucu@liste.linux.org.tr

Liste kurallarını http://liste.linux.org.tr/kurallar.php  bağlantısından 
okuyabilirsiniz;

Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen 
e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 
dakika içinde üyeliğinizi sonlandırabilirsiniz.
https://liste.linux.org.tr/mailman/listinfo/linux-sunucu

[Linux-sunucu] Re: VPN ile remote makinaları birbirine bağlama ve güvenlik hakkında sorular

2018-05-25 Başlik Mesut Taşçı

2018-05-25 8:41 GMT+03:00 Eray Aslan :

> On Fri, May 25, 2018 at 02:21:54AM +0300, Mesut Taşçı wrote:
> - Network policy'ler ile pod'lar (container'lar) arasindaki trafigi
>   yetkilendirmek mumkun.
> - Default olarak trafik encrypt edilmiyor ama bu opsiyonu sunan overlay
>   network secerseniz mumkun (kullanmadim)
>
>
Trafigi yetkilendirerek podlarin birbirine erisimi kisitliyoruz galida ama
benim servislerimin birbirini gormesinde bir sakinca yok.
Benim amacim dis dunya ile aralarindaki bagi kisitlamak.

> Fiyat konusunda ne kadar hassassiniz bilmiyorum ama GCE (tercihen) veya
> AWS'yi deneyin.  Hayatiniz kolaylasir.
>

GCE kullanmadim ama azda olsa AWS kullandim. Networking ile fazla zaman
kaybetmeden makinalari birbirine baglayabiliyorsun
cok hosuma gitti lakin bana gore suanlik biraz pahali bir cozum. O yuzden
kendim halletmeye calisacagim.

Tesekkur ederim
___
Linux-sunucu E-Posta Listesi
Linux-sunucu@liste.linux.org.tr

Liste kurallarını http://liste.linux.org.tr/kurallar.php  bağlantısından 
okuyabilirsiniz;

Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen 
e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 
dakika içinde üyeliğinizi sonlandırabilirsiniz.
https://liste.linux.org.tr/mailman/listinfo/linux-sunucu

[Linux-sunucu] Re: VPN ile remote makinaları birbirine bağlama ve güvenlik hakkında sorular

2018-05-25 Başlik Gökhan Karakaş

Hocam bazı anlaşılmamış durumlar var gibi ama tabi tam olarak açık biçimde
yazamadığınız için net bir şey söyleyemiyorum.

O yüzden şöyle açıklamaya çalışayım. major cloud providerlarda, (aws, gcp,
azure, ali cloud vb) kendi VPC'nizi oluşturabiliyorsunuz. Yani sadece size
ait olan sanal bir network blogu oluşturmuş oluyorsunuz.
Daha sonrasında sunucular arasında içeride ekstra bir katman olarak
güvenlik sağlamak istiyorsanız eğer, sunucuların birbirleriyle
konuşabilmesi için VPN kurmak yerine, App server (yada docker) servisinizin
ssl ile db'ye bağlanıyor olması PCI standardı açısından yeterli görülüyor.
(networking için konuşuyorum.) Bunların haricinde halen ekstra güvenlik
istiyorsanız, DB sunucunuz üzerinde encrpytion yapmayı düşünebilirsiniz
ancak ciddi performans kaybına yol açacaktır. Daha hafif ve genel geçer
kullanım olarak, database üzerinde kritik bilgi içeren tabloların kritik
sütunlarını, ssl sertifikası ile encrpyt edip tutabilirsiniz. Yine PCI'a
göre söylüyorum. Normalde bu kritik dataların tamamı HSM (Hardware Security
Module) cihazları üzerinde tutulan bir sertifika ile encrypt edilip db ye
yazılıyor.
Belki HSM cihazı alamayabilirsiniz ama ssl sertifikanızı bir başka sunucuda
erişimlerin daha düzgün şekilde kısıtlandığı bir server'da farklı bir
blokta tutmayı düşünebilirsiniz.

Monitoring için nasıl bir düşünceniz var yine bilmiyorum ancak, yine büyük
cloud providerların tamamı loging ve monitoring konularında son derece
kolaylaştıran araçlar sunuyorlar ancak tabi ki limitli. O durumlarda da
daha ileri seviye monitoring için kendi araçlarınızı yazmanız yada nagios,
zabbix gibi genel geçer monitoring araçlarına pluginler yada checkler
yazmanız gerekiyor.

İyi çalışmalar.

25 Mayıs 2018 08:41 tarihinde Eray Aslan  yazdı:

> On Fri, May 25, 2018 at 02:21:54AM +0300, Mesut Taşçı wrote:
> > Bir cloud provider[1]'da 1 adet sunucum var. Üzerinde hepsi docker
> > containerlar üzerinde çalışan 1 Postgresql, 2 microservis, 1 web
> sunucusu,
> > 1 rabbitmq ve 1 adet taskları işleyen container çalışıyor. Bu
> containerları
> > farklı makinalara ayırmak istiyorum.
> >
> > 5-6 adet sunucu açıp, yukarıda bahsettiğim docker containerlarda çalışan
> > servislerimi bu makinalara dağıtmak ve kolay bir şekilde monitoring
> yapmak
> > istiyorum.
> >
> > Sunucuların tamamı aynı datacenterdalar. Ben VPN kullanmadan bu
> sunucuları
> > birbirine bağlayıp kullanabilirim fakat datacenterda networku dinleyen
> > birileri olabilir ve DB sunucusuna bağlanmak için port açtığımda
> > başkalarıda bağlanmaya çalışabilir. Ayrıca monitoring için kullanacağım
> > makinanın web arayüzüne erişmek için monitoring sunucusuna dış IP ataması
> > yapmam gerekecek. Buda bir güvenlik açığı oluşturabilir.
>
> Kubernetes'i deneyin.
>
> - Network policy'ler ile pod'lar (container'lar) arasindaki trafigi
>   yetkilendirmek mumkun.
> - Default olarak trafik encrypt edilmiyor ama bu opsiyonu sunan overlay
>   network secerseniz mumkun (kullanmadim)
>
> Tabii ki manual olarak da yapabilirsiniz ama tekerlegi yeniden icat
> etmeye gerek yok derim.  Monitoring, logging vs cok kolaylasiyor.
> Resilient, self-healing...
>
> Fiyat konusunda ne kadar hassassiniz bilmiyorum ama GCE (tercihen) veya
> AWS'yi deneyin.  Hayatiniz kolaylasir.
>
> --
> Eray
> ___
> Linux-sunucu E-Posta Listesi
> Linux-sunucu@liste.linux.org.tr
>
> Liste kurallarını http://liste.linux.org.tr/kurallar.php  bağlantısından
> okuyabilirsiniz;
>
> Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen
> e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1
> dakika içinde üyeliğinizi sonlandırabilirsiniz.
> https://liste.linux.org.tr/mailman/listinfo/linux-sunucu
>

-- 
Gökhan KARAKAŞ

gsm +90 506 904 90 59
___
Linux-sunucu E-Posta Listesi
Linux-sunucu@liste.linux.org.tr

Liste kurallarını http://liste.linux.org.tr/kurallar.php  bağlantısından 
okuyabilirsiniz;

Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen 
e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 
dakika içinde üyeliğinizi sonlandırabilirsiniz.
https://liste.linux.org.tr/mailman/listinfo/linux-sunucu

[Linux-sunucu] Re: VPN ile remote makinaları birbirine bağlama ve güvenlik hakkında sorular

2018-05-24 Başlik Eray Aslan

On Fri, May 25, 2018 at 02:21:54AM +0300, Mesut Taşçı wrote:
> Bir cloud provider[1]'da 1 adet sunucum var. Üzerinde hepsi docker
> containerlar üzerinde çalışan 1 Postgresql, 2 microservis, 1 web sunucusu,
> 1 rabbitmq ve 1 adet taskları işleyen container çalışıyor. Bu containerları
> farklı makinalara ayırmak istiyorum.
> 
> 5-6 adet sunucu açıp, yukarıda bahsettiğim docker containerlarda çalışan
> servislerimi bu makinalara dağıtmak ve kolay bir şekilde monitoring yapmak
> istiyorum.
> 
> Sunucuların tamamı aynı datacenterdalar. Ben VPN kullanmadan bu sunucuları
> birbirine bağlayıp kullanabilirim fakat datacenterda networku dinleyen
> birileri olabilir ve DB sunucusuna bağlanmak için port açtığımda
> başkalarıda bağlanmaya çalışabilir. Ayrıca monitoring için kullanacağım
> makinanın web arayüzüne erişmek için monitoring sunucusuna dış IP ataması
> yapmam gerekecek. Buda bir güvenlik açığı oluşturabilir.

Kubernetes'i deneyin.

- Network policy'ler ile pod'lar (container'lar) arasindaki trafigi
  yetkilendirmek mumkun.
- Default olarak trafik encrypt edilmiyor ama bu opsiyonu sunan overlay
  network secerseniz mumkun (kullanmadim)

Tabii ki manual olarak da yapabilirsiniz ama tekerlegi yeniden icat
etmeye gerek yok derim.  Monitoring, logging vs cok kolaylasiyor.
Resilient, self-healing...

Fiyat konusunda ne kadar hassassiniz bilmiyorum ama GCE (tercihen) veya
AWS'yi deneyin.  Hayatiniz kolaylasir.

-- 
Eray
___
Linux-sunucu E-Posta Listesi
Linux-sunucu@liste.linux.org.tr

Liste kurallarını http://liste.linux.org.tr/kurallar.php  bağlantısından 
okuyabilirsiniz;

Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen 
e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 
dakika içinde üyeliğinizi sonlandırabilirsiniz.
https://liste.linux.org.tr/mailman/listinfo/linux-sunucu

[Linux-sunucu] Re: VPN ile remote makinaları birbirine bağlama ve güvenlik hakkında sorular

[Linux-sunucu] Re: VPN ile remote makinaları birbirine bağlama ve güvenlik hakkında sorular

[Linux-sunucu] Re: VPN ile remote makinaları birbirine bağlama ve güvenlik hakkında sorular

[Linux-sunucu] Re: VPN ile remote makinaları birbirine bağlama ve güvenlik hakkında sorular

[Linux-sunucu] Re: VPN ile remote makinaları birbirine bağlama ve güvenlik hakkında sorular

5 matches

Site Navigation

Mail list logo

Footer information