我正在 AWS 环境中设置 MQ 代理。
该 AWS 环境中运行的服务以及在其他位置运行的服务都将使用 MQ 代理。
AWS 环境中部署的所有其他服务都在私有子网中运行,因此我倾向于在私有子网中部署 MQ 代理并设置网络负载均衡器以将外部流量传递到 MQ 代理。
但是,出于实际目的,我也可以将 MQ 代理部署到公共子网。这样,我只需配置一个安全组(并跳过网络负载平衡器)即可将代理公开到公共互联网。
我倾向于私有子网部署,但我不完全确定增加的配置开销(网络负载均衡器)是否带来任何实际好处。
对 MQ 代理进行私有子网部署有什么好处?
答案1
我的意见是,鉴于您有一个安全组,仅允许特定 IP 访问您的 MQ,添加网络负载均衡器就没有什么好处。
如果是在公共互联网上,NLB 的好处仍然相当小。它可能会缓解少数类型的攻击。应用程序平衡器不适用于此场景,但它可以缓解更广泛的攻击。
在安全性更高的环境中,VPN 可以提供更高的安全性,确保只有已知和受信任的用户才能访问资源。使用安全组时,IP 地址可能会被欺骗 - 虽然我不知道这有多实用。