建设AWS基础设施-安全问题

Question

我正在AWS上构建一个云基础设施。我有一些后端应用程序(如数据库服务器)和其他前端应用程序(如app服务器)需要输入/输出流量。

我还有些像Jenkins这样的devops/dev应用程序，还有Airlfow (工作流管理器有一个web )，我需要保护它们。其中一些应用程序，如气流，没有安全机制(例如登录/密码)。我还需要从互联网上在80个端口上访问它。

我正在考虑用私有子网和公共子网来建立一个AWS VPC。在公共子网中，我将把兄弟会端应用程序和私有子网放在后端服务(比如数据库)上。

1. 对于后端服务，我需要一种方式来连接我的开发团队，例如，在一个MySQL数据库中(端口: 3306)。

- What is the correct way of do this?  
- I need to expose port 3306? 
- Do I need a NAT or a bastion host? What is the difference between them?
- If I setup a NAT/Bastion hosti will make a port foward rigth? If I have two instances of a mysql database, how can I connect to each other using the bastion? I  need to allocate different ports on bastion and make the port foward?

​

1. 对于devops/dev应用程序：

- Which subnet do I choose? 
- If i put on the private subnet, how can my team access it on 80 port? 
- Do i need a intranet/vpc foo this applications?

​

Answer 1

这些都是人们在AWS上面临的非常常见的问题。你有很多选择。

您可以将所有后端和dev opps服务放在私有子网中。然后，您可以有许多选择来安全地连接到它们。

选项1

使用安全团体限制对这些节点的访问。可以使用安全组只允许特定的IP地址连接到您的资源。

选项2

使用堡垒主机。

提到你的问题“NAT和堡垒主机有什么区别？”

NAT只允许私有子网中的实例通过NAT实例路由它们的所有流量来连接到internet。NAT实例然后将从internet返回的流量引导回私有子网中的正确节点。仅NAT不允许您从外部连接到私有子网中的实例，您需要将其与端口地址转换相结合才能实现这一点。

Bastion主机是您放置在VPC的公共子网中的实例。因此，您可以从互联网连接到它。一旦连接到Bastion主机，就可以使用私有IP连接到VPC中的任何其他实例。一旦您确保了您的堡垒主机的最大安全性，您就可以开始工作了。

因此，您可以使用一个堡垒主机连接到您的私有子网中的所有特殊节点。

选项3

使用VPC中内置的功能设置到VPC的VPN连接，或者设置一个运行类似OpenSwan的VPN实例。

VPN连接是非常安全的，但通常是一种喜怒无常的(*个人经验的个人意见)。

所以你有很多选择。我建议再做几个google搜索，深入了解AWS文档，因为这些都是常见的问题！

祝你好运！)