我有一个Elasticsearch面向EC2的互联网实例。 另一方面,我有我的web服务作为一个Heroku的应用程序。
我想保护Elasticsearch实例,并只允许来自我的Heroku应用程序的入站stream量。
我发现这个Elasticsearch插件,但看起来有点痛苦。 那么,如何确保我的EC2实例面向互联网并连接到Heroku的open xx.xx.xx.xx:9200端口是最好的方法?
SSL是一个解决scheme吗? 我有一点知识。
在Heroku我使用python。
类似的问题: 一个和两个有Heroku不推荐的旧解决scheme。 另一个select是将Web服务移动到AWS并将其保护在防火墙之后,但是,现在我更愿意让Heroku执行开发工作。
由于heroku是基于云的,您的heroku IP地址不是静态的。 安全组解决scheme在这里不适用。 我会用一些身份validation的SSL(即使HTTP身份validation是足够的恕我直言,但我不是一个安全专家)。
如果你想要走到极致,那么带有服务器和客户端证书的SSL是最好的select。
如果不支持上述function,可以使用nginx作为弹性search的反向代理。