LINUX.ORG.RU
ФорумAdmin

Security gateway

 , ,


0

1

Есть такая задача: есть сервак на сервисами через http/https. Https сам хоть как-то защищен, первый понятное дело нет. Нужно сделать входной гейт, который будет уметь скажем cert-based oauth+https что слегка обезопасит систему. Middleware короче.

Первая идея взять nginx в режиме прокси. Но это осложняется тем что я хз какие порты будут открыты, и эти порты будут часто меняться. Можно приспособить confd для этого дела, но нужны будут рестарты и толстая обвязка темплейтов.

Есть какие-нибудь идеи как сделать такой гейт? В плане кроме nginx

★★★★★

но нужны будут рестарты

reload ?

snaf ★★★★★ ()
Ответ на: комментарий от snaf

А оно не скидывает текущие соединения? Не, я не говорю что nginx плохо, просто есть ли ещё какие варианты?

upcFrost ★★★★★ ()

хз какие порты будут открыты, и эти порты будут часто меняться

iptables, перенаправить всё (или диапазон) на требуемый порт?

sin_a ★★★★★ ()
Ответ на: комментарий от sin_a

Требуемый порт - понятие растяжимое. Есть докер, который пробрасывает порты из контейнеров, номер куда пробросить выбирает он сам (обычно начиная с 32768). Что он там пробросил в целом можно читать с сокета, и это уже и так делается и заносится в директорию (etcd). Вопрос в том какую бы такую middleware поставить для авторизации запросов, желательно по сертификатам, т.к. адреса откуда запросы идут тоже могут меняться, тут на чистом L3 с обрезкой по адресу решить не выйдет, да это и не приветствуется.

Данные из директории можно читать тем же confd и автоматом подстраивать нужный конфиг, а вот чей это будет конфиг - в том и вопрос. nginx вроде и легкий и все это умеет, но есть ли еще какие решения

upcFrost ★★★★★ ()
Последнее исправление: upcFrost (всего исправлений: 1)
Ответ на: комментарий от upcFrost

Заставь его не пробрасывать порты, а указывать в etcd внутренние адреса-порты. После этого заставь confd брать эти адреса, впиливать в конфиг nginx'a и релоадить его.
Нет, nginx не сбрасывает уже существующие коннекты при релоаде, в отличие от того же haproxy.

AnDoR ★★★★★ ()
Ответ на: комментарий от AnDoR

так докер и так указывает адреса-порты в директории. Потом эти адреса юзает реверс-прокся и балансер чтоб понять куда слать запрос. Но это отправка. Нужна прокся на получение. В целом я могу спокойно публиковать порт с доступностью только для локалхоста и проксировать nginx'ом на той же ноде, то и собираюсь сделать.

upcFrost ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.