LINUX.ORG.RU
ФорумAdmin

Как «подружить» сервисы на разных серверах, не висящие на внешке?

 , ,


0

1

Привет, лор! Помоги советом.

Ситуация такая:

1. Допустим, у меня есть две виртуалки - одна где-нибудь в Амазоне (А), вторая, например, в DigitalOcean (Б)

2. На обеих виртуалках крутится какой-нибудь сервис (например, условная Монга), каждая слушает свой условный localhost:27017

3. Как правильно сделать, чтобы один сервис таки смог обращаться к другому (например, с целью репликации)?

Я только знаю как это сделать перевесив сервис слушать с локалхоста на внешний ip. Ещё знаю как это делается через ssh local port-forwarding (если нужно обратиться, например, с ноута на какой-то из этих удаленных серверов): ssh -L 27017:localhost:27017 user@serverA

А с одного удаленного на другой удаленный как это правильно делается? Явно же есть какие-то более правильные средства для продакшен серверов и соединения А и Б сервисов, без вывешивания их на внешку на всеобщее обозрение?

На сколько я понял, вы считаете, что туннель через ssh ни фига не «вывешивает на внешку», а работает «во внутри» и никто не в теме? Ошибаетесь. Порт для ssh соединения (пусть даже и нестандартный) открыт и известен любознательному народонаселению планеты Земля. Другое дело, если вы тот порт открываете лишь для себя любимого. Отсюда мораль. Откройте, что надо лишь для того чего вам хочется, не забывая держать открытое закрытым для всего, что вам неведомо. Делают всякое такое, разумеется, с помощью всевозможных правил сетевого экрана.

anonymous ()
Ответ на: комментарий от anonymous

да мне не принципиально, чтобы «никто не в теме». Просто интересуюсь как старшие пацаны по феншую сервисы на серверах в разных ДЦ связывают.

Откройте, что надо лишь для того чего вам хочется, не забывая держать открытое закрытым для всего, что вам неведомо.

Вот я изначально и закрыл всё от того, что мне неведомо, повесив сервисы слушать каждый свой localhost:27017. Как теперь их «Откройте, лишь для того чего вам хочется»? :) В каком направлении дальше копать, VPN между серверами А и Б поднимать?

mmmkaaa ()
Ответ на: комментарий от mmmkaaa

[Сейчас будет стеб] В вашем нике не хватает двух букв в окончании. [/стеб] анон в первом ответе вам все разжевал. Что еще не понятно?

anc ★★★★★ ()
Ответ на: комментарий от mmmkaaa

В каком направлении дальше копать, VPN между серверами А и Б поднимать?

Самый православный метод. Поднять vpn и пусть монга tun0 слушает. Минимальное количесвто костылей для данной задачи.

ugoday ★★★★★ ()
Ответ на: комментарий от anonymous

вы считаете, что туннель через ssh ни фига не «вывешивает на внешку», а работает «во внутри» и никто не в теме? Ошибаетесь.

Указываешь бинд-адресом локалхост или просто не открываешь наружу проброшенный порт и все ОК.

На

Порт для ssh соединения (пусть даже и нестандартный) открыт и известен любознательному народонаселению планеты Земля.

Всем плевать, он у всех открыт и это безопасно.

Но нет,

Другое дело, если вы тот порт открываете лишь для себя любимого.

Естественно, другое дело, когда от секретных данных ОП тебя отделяет авторизация по source IP. Это вам не зашифрованный SSH-туннель.

Чувак, ты саботер?

t184256 ★★★★★ ()

Вешай на внешку и прикрывай таблесами. Только убедись что у тебя правила файрволла при перезагрузке восстанавливаются, а не как обычно.

slowpony ★★★ ()

тебе поможет выделенная линия

anonymous ()
Ответ на: комментарий от t184256

Анон «курил» то что нужно. Непрозрачно написано пользуйте fw и будет счастье.

anc ★★★★★ ()
Ответ на: комментарий от t184256

Всем плевать, он у всех открыт

За всех не говорите.

и это безопасно.

B хто таки вам это сказал? Вот например «завтра» найдут нехилую уязвимость и полетит все к... ну вы поняли.

«Мухи отдельно, котлеты отдельно.» Шифрование трафика передающегося по открытым сетям никто не отменял, но и блокировку на уровне fw также.

anc ★★★★★ ()
Ответ на: комментарий от anc

Дурь курил анон. Ясно видно, что он почем зря очерняет ssh и нигде в своей альтернативе шифрования не предлагает. А если ТС послушается?

B хто таки вам это сказал? Вот например «завтра» найдут нехилую уязвимость и полетит все к... ну вы поняли.

Находили уже, летело слегка, и это все равно лучше голимой «авторизации» по IP.

t184256 ★★★★★ ()
Ответ на: комментарий от t184256

Ясно видно, что он почем зря очерняет ssh и нигде в своей альтернативе шифрования не предлагает.

Похожу мы с вами по разному читаем. Я такого не увидел.

Порт для ssh соединения (пусть даже и нестандартный) открыт и известен любознательному народонаселению планеты Земля. Другое дело, если вы тот порт открываете лишь для себя любимого.

anc ★★★★★ ()
Ответ на: комментарий от anc

А была бы речь про ssh, был бы не «тот», а «этот».

t184256 ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.