我正在测试 Erlang,并且有一些与发行版安全性相关的问题。 (那里有很多混合信息)这些类型的问题带有很多与情况相关的意见,并且取决于您处理的数据类型的个人舒适程度。为了这个问题,我们假设它是一个简单的聊天服务器,用户可以在其中连接并一起聊天。
示例图:
集群将位于私有(private)子网 VPC 后面,弹性负载平衡将所有连接定向到这些节点(往返)。弹性负载平衡将是这些节点的唯一直接路径(无法通过 name@privatesubnet 连接到节点)。
我的问题如下:
基于这个问答:Distributed erlang security how to?
可以进行两种不同类型的内部交流。要么使用内置功能直接连接节点,要么使用自定义协议(protocol)通过 TCP 连接进行所有操作。第一个是最简单的,但我相信它会带来一些安全问题,我根据上图想知道它是否足够好(呃,好吧,在处理敏感信息时,Good Enough 并不总是很好,但总有更好的方法来做每一件事......)
您如何保护私有(private)子网后面的 Erlang 集群?我想隐藏节点,并手动连接它们,当然还要在它们上面使用 cookie。这种方法有什么缺陷吗?既然使用 TCP 的自定义协议(protocol)是最好的选择,那么这对性能有什么影响?我想知道潜在的安全漏洞(正如我所说,有很多关于如何做到这一点的混合信息)。
我很想听听以这种方式使用 Erlang 的人的意见!
最佳答案
在 AWS 上,您的 EC2 节点位于私有(private)子网中,您可以避免不必要的节点连接。您可以通过尝试(以任何方式)连接到运行您的代码的机器来验证这一点:如果您使用的是私有(private)子网,您将无法这样做,因为这些实例甚至无法在子网之外寻址。
您的负载均衡器不应转发 Erlang 节点流量。
使用一些安全组规则,您可以比上面做得更好。配置您的节点以使用 some range of ports .然后创建一个组“erlang”,允许从“erlang”组连接到该端口范围,否则拒绝连接。最后,将该安全组分配给所有运行 Erlang 的实例。这可以防止不需要与 Erlang 对话的实例能够这样做。
关于amazon-web-services - 如何保护私有(private)子网后面的 Erlang 集群,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/45660888/