我当前的网站架构在 Rackspace Cloud 中拥有两台具有公共 IP 的 Ubuntu 服务器。其中一台是 Web 和 mysql 服务器。另一台仅用于耗时的计算。它们都具有 Iptables,允许所有出站流量和入站 HTTP、HTTPS、SSH 和已建立的连接。我使用密码通过 ssh 连接到服务器,但此连接受 Fail2ban 保护。我使用无人值守升级来保持服务器更新。
我要搬到亚马逊 AWS并考虑改变我当前的架构以使用具有公有子网和私有子网的 VPC。不过,我有一些疑问:
- 我会用默认(小型)nat 实例。我认为它需要保持更新,它会自动更新吗?
- 我将有三个另外实例:公共子网中的 Web 服务器、私有子网中的 mysql 服务器和计算服务器。如何使用 ssh 访问每个实例?
- 这个架构比我现在的架构更安全吗?
答案1
回答您的问题:
- 不,该实例不会自动更新,您需要对其进行配置(Amazon Linux 非常类似于 CentOS - 您会找到相关说明)
- 您使用可从互联网访问的实例,并从该实例(网关)跳转到私有 VPC 中的实例
- 您只需要确保正确设置 ACL 和安全组并监控面向互联网的实例即可。这种架构(私有子网)的优势在于面向互联网的实例较少(这导致攻击点较小)。