我目前的网站架构有两个在Rackspace Cloud中使用公有IP的Ubuntu服务器。 其中之一是networking和MySQL服务器。 另一个只用于耗时计算。 他们都有Iptables,允许所有出站stream量和入站HTTP,HTTPS,SSH和build立的连接。 我使用密码连接到ssh服务器,但是这个连接受到Fail2ban的保护。 我使用无人参与的升级来保持服务器的更新。
我正在转向亚马逊AWS,并考虑将我当前的体系结构更改为使用具有公共和私有子网的VPC 。 但是,我有一些疑问:
- 我会使用一个默认(小)NAT实例。 我认为它需要保持更新,是否自动更新?
- 我还有另外三个实例:公有子网中的Web服务器和私有子网中的MySQL服务器和计算服务器。 我如何使用ssh访问每个这些实例?
- 这个架构比现在更安全吗?
回答你的问题:
- 没有实例没有自动更新,你需要configuration它(亚马逊Linux非常像CentOS – 你会find说明)
- 您可以使用可从Internet访问的实例,并从该实例跳到专用VPC中的实例(网关)
- 您只需确保您的ACL和安全组已正确设置并监视面向互联网的实例。 这种体系结构(私有子网)的优势在于面向互联网的实例数量更less(导致攻击点更小)。