我们有一个由几个不同组件组成的分布式应用程序 例如,我们有Python应用程序服务器,PostgreSQL数据库服务器,Redis服务器,Memcached等。其中一些服务在不同的服务器上。 所有这些服务器都运行CentOS Linux,而且我们目前只能在需要连接的基础上启用服务器之间的访问(即不是打开端口6379到每个Redis目标主机中的所有主机,而是按照主机打开) 。
我的问题是:pipe理多个服务器的iptables环境的好习惯是什么? 有没有其他的工具,我应该使用,还是有一个更好的pipe理scheme之间的安全几台服务器? 如果有比普通防火墙更好的东西,请告诉我。
任何build议将不胜感激。 非常感谢你花时间陪伴!
恕我直言,在Linux服务器上的“iptables”比“做得更好”更困难。 该工具直观,有效,并被众多Linux系统pipe理员所熟知。
在我看来,你真正想要解决的问题与防火墙本身有关,而更多的是在多个主机上pipe理安全策略。 这对我来说就是configurationpipe理。 根据您的技能和环境限制,您可以使用两类软件来解决这个问题:基础设施自动化软件,如木偶或厨师 ; 或者用于Linux的大量configurationpipe理软件之一:请参阅开源configurationpipe理软件的比较 。
根据软件组件,需求以及各种特定主机如何映射到这些“angular色”来定义安全策略。 然后,您可以根据configurationpipe理或自动化软件来定义策略,以定义哪个iptables策略应该在哪个主机上。
我承认这个答案不是很具体,但是我很乐意澄清你是否有问题。