我有一个部署在云端的 Web 应用程序。现在,该 Web 应用程序需要访问位于 3 个不同位置的 3 个 Postgres 数据库(我们称之为客户端系统)。
有一天,我遇到了一个比我资深很多、经验丰富的人。他给了我以下解决方案。
- 在 Raspberry Pi 上安装 OpenVPN
- 将这台 Raspberry Pi 放入安装了 Postgres 数据库服务器的网络中(他说,在防火墙后面)。
- 通过云端的 VPN 访问 Postgres 数据库。
现在我想知道为什么我需要这样做,因为我只需从客户端系统进行端口转发就可以访问所有 3 个数据库。
我是否遗漏了什么?
答案1
数据库连接是任何基础设施中非常关键的部分,因为它通常包含比客户端能够/应该看到的多得多的数据。您希望尽可能地保护它,这意味着您希望阻止任何人尝试连接到它,还希望完全加密流量,以便没有人可以窃听它,并且最好不要让任何人知道数据库的存在。
VPN 是实现所有这些目标的一个非常好的选择,但它不一定是唯一的选择,这取决于具体情况。如果您的问题是指 SSH 端口转发,这当然是另一种选择,但如果连接因某种原因中断,您必须小心重新建立连接,例如使用类似autossh。
另外我认为,如果您真的想使用像 RasPi 这样不可靠且缓慢(硬件方面)的东西来保护您的生产网络,这还有待商榷,但无论如何,您可以使用任何其他 VPN 软件/硬件组合。