Как «подружить» сервисы на разных серверах, не висящие на внешке?

0

1

Привет, лор! Помоги советом.

Ситуация такая:

1. Допустим, у меня есть две виртуалки - одна где-нибудь в Амазоне (А), вторая, например, в DigitalOcean (Б)

2. На обеих виртуалках крутится какой-нибудь сервис (например, условная Монга), каждая слушает свой условный localhost:27017

3. Как правильно сделать, чтобы один сервис таки смог обращаться к другому (например, с целью репликации)?

Я только знаю как это сделать перевесив сервис слушать с локалхоста на внешний ip. Ещё знаю как это делается через ssh local port-forwarding (если нужно обратиться, например, с ноута на какой-то из этих удаленных серверов): ssh -L 27017:localhost:27017 user@serverA

А с одного удаленного на другой удаленный как это правильно делается? Явно же есть какие-то более правильные средства для продакшен серверов и соединения А и Б сервисов, без вывешивания их на внешку на всеобщее обозрение?

Ссылка

←	Forbidden 403

Policy Based Routing по домену

→

На сколько я понял, вы считаете, что туннель через ssh ни фига не «вывешивает на внешку», а работает «во внутри» и никто не в теме? Ошибаетесь. Порт для ssh соединения (пусть даже и нестандартный) открыт и известен любознательному народонаселению планеты Земля. Другое дело, если вы тот порт открываете лишь для себя любимого. Отсюда мораль. Откройте, что надо лишь для того чего вам хочется, не забывая держать открытое закрытым для всего, что вам неведомо. Делают всякое такое, разумеется, с помощью всевозможных правил сетевого экрана.

anonymous
(25.05.18 19:59:35 MSK)

Ответ на: комментарий от anonymous 25.05.18 19:59:35 MSK

да мне не принципиально, чтобы «никто не в теме». Просто интересуюсь как старшие пацаны по феншую сервисы на серверах в разных ДЦ связывают.

Откройте, что надо лишь для того чего вам хочется, не забывая держать открытое закрытым для всего, что вам неведомо.

Вот я изначально и закрыл всё от того, что мне неведомо, повесив сервисы слушать каждый свой localhost:27017. Как теперь их «Откройте, лишь для того чего вам хочется»? :) В каком направлении дальше копать, VPN между серверами А и Б поднимать?

mmmkaaa
(25.05.18 20:50:01 MSK) автор топика

Ответ на: комментарий от mmmkaaa 25.05.18 20:50:01 MSK

[Сейчас будет стеб] В вашем нике не хватает двух букв в окончании. [/стеб] анон в первом ответе вам все разжевал. Что еще не понятно?

anc ★★★★★
(25.05.18 22:28:58 MSK)

Ответ на: комментарий от mmmkaaa 25.05.18 20:50:01 MSK

В каком направлении дальше копать, VPN между серверами А и Б поднимать?

Самый православный метод. Поднять vpn и пусть монга tun0 слушает. Минимальное количесвто костылей для данной задачи.

ugoday ★★★★★
(25.05.18 22:51:49 MSK)

https://www.digitalocean.com/community/tutorials/how-to-encrypt-traffic-to-re...

dimzon
(27.05.18 04:19:23 MSK)

Ссылка

Ответ на: комментарий от anc 25.05.18 22:28:58 MSK

Что курил тот анон.

t184256 ★★★★★
(27.05.18 07:35:12 MSK)

Ответ на: комментарий от anonymous 25.05.18 19:59:35 MSK

вы считаете, что туннель через ssh ни фига не «вывешивает на внешку», а работает «во внутри» и никто не в теме? Ошибаетесь.

Указываешь бинд-адресом локалхост или просто не открываешь наружу проброшенный порт и все ОК.

На

Порт для ssh соединения (пусть даже и нестандартный) открыт и известен любознательному народонаселению планеты Земля.

Всем плевать, он у всех открыт и это безопасно.

Но нет,

Другое дело, если вы тот порт открываете лишь для себя любимого.

Естественно, другое дело, когда от секретных данных ОП тебя отделяет авторизация по source IP. Это вам не зашифрованный SSH-туннель.

Чувак, ты саботер?

t184256 ★★★★★
(27.05.18 07:40:45 MSK)

Вешай на внешку и прикрывай таблесами. Только убедись что у тебя правила файрволла при перезагрузке восстанавливаются, а не как обычно.

slowpony ★★★★★
(27.05.18 08:32:31 MSK)

Ссылка

Ответ на: комментарий от ugoday 25.05.18 22:51:49 MSK

опять внешка только с шифрованием

anonymous
(27.05.18 09:54:31 MSK)

тебе поможет выделенная линия

anonymous
(27.05.18 09:55:40 MSK)

Ссылка

Ответ на: комментарий от anonymous 27.05.18 09:54:31 MSK

Да. А как иначе?

ugoday ★★★★★
(27.05.18 11:27:47 MSK)

Ссылка

Ответ на: комментарий от t184256 27.05.18 07:35:12 MSK

Анон «курил» то что нужно. Непрозрачно написано пользуйте fw и будет счастье.

anc ★★★★★
(27.05.18 16:54:48 MSK)

Ссылка

Ответ на: комментарий от t184256 27.05.18 07:40:45 MSK

Всем плевать, он у всех открыт

За всех не говорите.

и это безопасно.

B хто таки вам это сказал? Вот например «завтра» найдут нехилую уязвимость и полетит все к... ну вы поняли.

«Мухи отдельно, котлеты отдельно.» Шифрование трафика передающегося по открытым сетям никто не отменял, но и блокировку на уровне fw также.

anc ★★★★★
(27.05.18 17:03:28 MSK)

Ответ на: комментарий от anc 27.05.18 17:03:28 MSK

Дурь курил анон. Ясно видно, что он почем зря очерняет ssh и нигде в своей альтернативе шифрования не предлагает. А если ТС послушается?

B хто таки вам это сказал? Вот например «завтра» найдут нехилую уязвимость и полетит все к... ну вы поняли.

Находили уже, летело слегка, и это все равно лучше голимой «авторизации» по IP.

t184256 ★★★★★
(27.05.18 22:03:30 MSK)

Ответ на: комментарий от t184256 27.05.18 22:03:30 MSK

Ясно видно, что он почем зря очерняет ssh и нигде в своей альтернативе шифрования не предлагает.

Похожу мы с вами по разному читаем. Я такого не увидел.

Порт для ssh соединения (пусть даже и нестандартный) открыт и известен любознательному народонаселению планеты Земля. Другое дело, если вы тот порт открываете лишь для себя любимого.

anc ★★★★★
(27.05.18 22:23:37 MSK)

Ответ на: комментарий от anc 27.05.18 22:23:37 MSK

А была бы речь про ssh, был бы не «тот», а «этот».

t184256 ★★★★★
(27.05.18 22:35:31 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Forbidden 403

Admin

Policy Based Routing по домену

→

Похожие темы