Verteilung von MongoDB über EC2-Regionen
Ich möchte ein sharded / replicated MongoDB-Setup über mehrere Amazon EC2-Regionen verteilen. Ist dieser Verkehr bereits von MongoDB verschlüsselt oder kann ich das optional einrichten? Oder bietet Amazon eine spezielle VPN-ähnliche Verbindung zwischen seinen Rechenzentren?
5 Antworten
Ich habe gestern eine ähnliche Frage über Apache Cassandra beantwortet: Sicherung der Cassandra-Kommunikation mit TLS / SSL .
Meine Erfahrung bestand darin, speziell bei Amazon, wenn Sie können, ein VPN-Netzwerk zwischen Ihren Instanzen einzurichten, um sicherzustellen, dass alles sicher ist. Eine interessante Tatsache, auf die wir bei der Implementierung unseres VPN-Netzwerks auf EC2 gestoßen sind, war, dass es Antwortzeiten schneller machte ... Wir entschieden uns für Vyatta und waren bisher sehr zufrieden damit. Es kann vollständig virtualisiert werden ... und erlaubt uns, zwischen Zonen, Regionen und Datenzentren (Amazonas und nicht Amazonas) zu brücken.
Eine weitere Option ist die Amazon Virtual Private Cloud :
- Erstellen Sie eine Amazon Virtual Private Cloud in der skalierbaren AWS-Infrastruktur und geben Sie ihren privaten IP-Adressbereich in einem beliebigen Bereich an.
- Teilen Sie den privaten IP-Adressbereich Ihrer VPC in ein oder mehrere öffentliche oder private Subnetze, um das Ausführen von Anwendungen und Diensten in Ihrer VPC zu erleichtern.
- Steuern Sie eingehenden und ausgehenden Zugriff auf und von einzelnen Subnetzen mithilfe von Netzwerkzugriffskontrolllisten.
- Speichern Sie Daten in Amazon S3 und legen Sie Berechtigungen fest, sodass auf die Daten nur von Ihrer Amazon VPC aus zugegriffen werden kann.
- Fügen Sie eine Amazon Elastic IP-Adresse zu einer beliebigen Instanz in Ihrer VPC hinzu, damit sie direkt aus dem Internet erreichbar ist.
- Überbrücken Sie Ihren VPC und Ihre IT-Infrastruktur vor Ort mit einer verschlüsselten VPN-Verbindung und erweitern Sie Ihre bestehenden Sicherheits- und Verwaltungsrichtlinien auf Ihre VPC-Instanzen, als würden sie innerhalb Ihrer Infrastruktur ausgeführt.
Vyatta hat eine schöne Grafik, die zeigt, wie VPC und Vyatta (oder jede andere Unternehmens-VPN-Lösung) zusammen überbrücken können (wie oben erwähnt):
-
Ссылка
Ich arbeite nicht für Vyatta ... nur so gut, wie wir es geschafft haben, alles zum Laufen zu bringen, ohne mega teuere Cisco-Ausrüstung zu kaufen
Laut [mongo docs] kann mongo SSL verwenden. Man müsste entweder Mongo mit der Flagge --ssl kompilieren oder eine kommerzielle Version verwenden. Mit SSL-aktiviertem Mongo ist die gesamte Kommunikation zwischen DB und Client sowie die Kommunikation zwischen Replikat-Sets und Arbiter gesichert (siehe FAQ ).
Hat jemand diesen Ansatz tatsächlich versucht? Gibt es irgendwelche Nachteile?
Wenn Sie nicht auf EC2 laufen, sind diese Lösungen nicht wirklich eine Option. Es gibt einen anderen Weg, und das ist Ihre eigene IaaS-Provider unabhängige VPC einzurichten. vCider hat dafür eine Lösung, die sowohl mit Mongo als auch mit Cassandra gut funktioniert. Für Cassandra ist die Sicherung von Client / DB-Verkehr besonders schmerzhaft, da keine native Verschlüsselung vorhanden ist.
Gutes Beispiel dafür, wie das alles hier funktioniert:
Soweit Cassandra geht, hier einige Benchmark-Infos.
Mit nativer Verschlüsselung im Kernel können Sie viel schneller laufen.
Mongo-Kommunikation über Replikate hinweg ist nicht verschlüsselt. Also bist du dran. Sie können Replikate über Verfügbarkeitszonen in einer Region hinweg erstellen
Sie sind allein mit der Verschlüsselung von Daten, die zwischen EC2-Regionen übertragen werden. Amazon garantiert nicht, dass sie mit privaten Kanälen verbunden sind, daher müssen Sie davon ausgehen, dass sie die öffentlichen Netzwerke durchlaufen.
Tags und Links security mongodb networking amazon-ec2