0

Amazon Web Service の ELB の背後にある Web アプリケーションの基本的なセットアップが 2 つあります。

レイアウト A:

        +-----+                                        
    +---+ ELB +----+                                   
    |   +-----+    |                                   
    |              |                                   
    |              |                                   
+---v-----+  +-----v---+           +---------------+   
| EC2/EIP |  | EC2/EIP +----+----> | HTTP RESPONSE |   
+---------+  +---------+    |      +---------------+   
                            |                          
                            |      +------------------+
                            +----> | EXTERNAL WEBSITE |
                            |      +------------------+
                            |                          
                            |      +-----+             
                            +----> | API |             
                                   +-----+

レイアウト B:

       +-----+                                              
   +---+ ELB +----+                                         
   |   +-----+    |                                         
   |              |                                         
   |              |                                         
+--v--+        +--v--+  +-----+         +---------------+   
| EC2 |        | EC2 +--+ NAT +--+----> | HTTP RESPONSE |   
+-----+        +-----+  +-----+  |      +---------------+   
                                 |                          
                                 |      +------------------+
                                 +----> | EXTERNAL WEBSITE |
                                 |      +------------------+
                                 |                          
                                 |      +-----+             
                                 +----> | API |             
                                        +-----+

どちらのアーキテクチャにも長所と短所があると思います。

レイアウト A:

  • Web サーバーは http 応答を ELB に送り返しますか? それが直接ユーザーに送られる場合、パフォーマンスの応答は得られますか?
  • HTTP ポートの送信トラフィックをセキュリティ グループのみに制限しても、セキュリティ上の脅威はありますか?

レイアウト B:

  • この設計は、別のレイヤーの障害点 (NAT) を作成していますか?
  • Oauth 通信で動作しますか?
  • サードパーティの CI およびオーケストレーション ツール (jenkins、chef) と連携できますか?

どちらの設計もうまく機能しますが、パフォーマンスとセキュリティを考慮したインフラストラクチャのベスト プラクティスはどちらの設計でしょうか。

ありがとう

4

1 に答える 1

1

簡単に言えば、どちらの場合も、ELB にヒットするトラフィックは ELB を介して戻ってくるということです。

レイアウト A の場合: ELB を介して発信されるリクエストの場合、SG に関する限り、インバウンド ポートのみが問題になります。
EC2 インスタンスで発生し、外の世界へのトラフィックを行うその他のものについては、サービスが使用するポートを開く必要があります

レイアウト B の場合:
はい、NAT は単一障害点です。それを失うと、外の世界への接続が失われます。
はい。外の世界では、トラフィックは NAT ボックスから発信されたものとして表示されます。

通常(通常のセットアップでは)サービスへのインバウンドリクエストの場合、ELBを通過します。
外に出る必要があり、VPC から発信されているトラフィックの場合は、NAT を通過します。単一障害点に対処するために、高可用性 NAT セットアップのオプションがあります。または、マルチリージョンを実行していて、アプリがリージョンの障害をサポートするように設計されている場合は、NAT マシンの障害を監視してキャッチするだけで済みます。

NAT を使用する大きな利点は、外部トラフィックを処理する必要があるすべてのマシンが EIP を持つ必要があるわけではなく、NAT マシンがセキュリティ強化されたイメージを実行できることです。基本的に、VPC に明確な境界を設定すると、より安全に保護できます。

于 2015-07-01T05:40:00.067 に答える