0

現在、次のように、Pacemaker と Corosync を使用して、HA アクティブ/パッシブ設定で Debian 7 を実行している 2 台のサーバーがあります。

node1->IP->xx.xx.xx.1
node2->IP->xx.xx.xx.2
VIP(Floating IP) ->xx.xx.xx.3

フェールオーバー セットアップ用のハートビートで構成されます。上記のすべての IP は公開されています。

他のノードに障害が発生した場合など、システムは高可用性で想定どおりにすべて機能しています。システムの 1 つがアクティブな場合、1 つのサーバーに 2 つの IP が割り当てられます。

だからここに私の質問があります-

  1. 異なる IP (VIP および静的パブリック IP) に対して個別の iptable ルールを追加する必要がありますか?
  2. 外部からの他のパブリック アドレス (xx.1) からではなく、eg-DB サーバーのサービスの特定の IP (VIP) でのみトラフィックを許可 (リッスン) する方法。

セキュリティなどのセットアップに関係することがあれば、コメントしてください..

ありがとう

4

1 に答える 1

0

  1. それは、一連の iptables ルールとニーズによって異なります。宛先 IP アドレスに基づいてトラフィックを許可/拒否できます。したがって、たとえば、フローティング IP へのトラフィックのみを許可し、ノードのプライマリ IP アドレスへのトラフィックは許可しないようにすることができます。または、一連の IP アドレスを保持している特定のインターフェース (例: eth0) にルールセットをバインドすることもできます。

  2. すべてを拒否し、特定のトラフィックのみを許可することをお勧めします。この特定のケースでは、デフォルトで拒否し、送信元 IP アドレス (DB サーバーの既知の IP アドレスから) に基づいてトラフィックのみを許可します。

懸念事項: ホスト ベースのファイアウォールには常に、マシンが侵害された場合、潜在的な攻撃者がファイアウォールを完全に無効にする可能性があるという欠点があります。したがって、インターネットに面し、トラフィックをフィルタリングする DMZ ネットワークの前に別のファイアウォールを配置する必要がある場合があります。ただし、これはセットアップと保護要件によって異なります。

于 2014-12-08T17:04:21.110 に答える