Hocam bazı anlaşılmamış durumlar var gibi ama tabi tam olarak açık biçimde yazamadığınız için net bir şey söyleyemiyorum.
O yüzden şöyle açıklamaya çalışayım. major cloud providerlarda, (aws, gcp, azure, ali cloud vb) kendi VPC'nizi oluşturabiliyorsunuz. Yani sadece size ait olan sanal bir network blogu oluşturmuş oluyorsunuz. Daha sonrasında sunucular arasında içeride ekstra bir katman olarak güvenlik sağlamak istiyorsanız eğer, sunucuların birbirleriyle konuşabilmesi için VPN kurmak yerine, App server (yada docker) servisinizin ssl ile db'ye bağlanıyor olması PCI standardı açısından yeterli görülüyor. (networking için konuşuyorum.) Bunların haricinde halen ekstra güvenlik istiyorsanız, DB sunucunuz üzerinde encrpytion yapmayı düşünebilirsiniz ancak ciddi performans kaybına yol açacaktır. Daha hafif ve genel geçer kullanım olarak, database üzerinde kritik bilgi içeren tabloların kritik sütunlarını, ssl sertifikası ile encrpyt edip tutabilirsiniz. Yine PCI'a göre söylüyorum. Normalde bu kritik dataların tamamı HSM (Hardware Security Module) cihazları üzerinde tutulan bir sertifika ile encrypt edilip db ye yazılıyor. Belki HSM cihazı alamayabilirsiniz ama ssl sertifikanızı bir başka sunucuda erişimlerin daha düzgün şekilde kısıtlandığı bir server'da farklı bir blokta tutmayı düşünebilirsiniz. Monitoring için nasıl bir düşünceniz var yine bilmiyorum ancak, yine büyük cloud providerların tamamı loging ve monitoring konularında son derece kolaylaştıran araçlar sunuyorlar ancak tabi ki limitli. O durumlarda da daha ileri seviye monitoring için kendi araçlarınızı yazmanız yada nagios, zabbix gibi genel geçer monitoring araçlarına pluginler yada checkler yazmanız gerekiyor. İyi çalışmalar. 25 Mayıs 2018 08:41 tarihinde Eray Aslan <er...@a21an.org> yazdı: > On Fri, May 25, 2018 at 02:21:54AM +0300, Mesut Taşçı wrote: > > Bir cloud provider[1]'da 1 adet sunucum var. Üzerinde hepsi docker > > containerlar üzerinde çalışan 1 Postgresql, 2 microservis, 1 web > sunucusu, > > 1 rabbitmq ve 1 adet taskları işleyen container çalışıyor. Bu > containerları > > farklı makinalara ayırmak istiyorum. > > > > 5-6 adet sunucu açıp, yukarıda bahsettiğim docker containerlarda çalışan > > servislerimi bu makinalara dağıtmak ve kolay bir şekilde monitoring > yapmak > > istiyorum. > > > > Sunucuların tamamı aynı datacenterdalar. Ben VPN kullanmadan bu > sunucuları > > birbirine bağlayıp kullanabilirim fakat datacenterda networku dinleyen > > birileri olabilir ve DB sunucusuna bağlanmak için port açtığımda > > başkalarıda bağlanmaya çalışabilir. Ayrıca monitoring için kullanacağım > > makinanın web arayüzüne erişmek için monitoring sunucusuna dış IP ataması > > yapmam gerekecek. Buda bir güvenlik açığı oluşturabilir. > > Kubernetes'i deneyin. > > - Network policy'ler ile pod'lar (container'lar) arasindaki trafigi > yetkilendirmek mumkun. > - Default olarak trafik encrypt edilmiyor ama bu opsiyonu sunan overlay > network secerseniz mumkun (kullanmadim) > > Tabii ki manual olarak da yapabilirsiniz ama tekerlegi yeniden icat > etmeye gerek yok derim. Monitoring, logging vs cok kolaylasiyor. > Resilient, self-healing... > > Fiyat konusunda ne kadar hassassiniz bilmiyorum ama GCE (tercihen) veya > AWS'yi deneyin. Hayatiniz kolaylasir. > > -- > Eray > _______________________________________________ > Linux-sunucu E-Posta Listesi > Linux-sunucu@liste.linux.org.tr > > Liste kurallarını http://liste.linux.org.tr/kurallar.php bağlantısından > okuyabilirsiniz; > > Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen > e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 > dakika içinde üyeliğinizi sonlandırabilirsiniz. > https://liste.linux.org.tr/mailman/listinfo/linux-sunucu > -- Gökhan KARAKAŞ gsm +90 506 904 90 59
_______________________________________________ Linux-sunucu E-Posta Listesi Linux-sunucu@liste.linux.org.tr Liste kurallarını http://liste.linux.org.tr/kurallar.php bağlantısından okuyabilirsiniz; Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 dakika içinde üyeliğinizi sonlandırabilirsiniz. https://liste.linux.org.tr/mailman/listinfo/linux-sunucu
