Estoy a punto de configurar un clúster de servidores para las aplicaciones web de nuestra empresa.
Al principio habrá 3 servidores de hardware en la configuración de Proxmox HAen un centro de datos remotoejecutando entre 20 y 30 máquinas virtuales, todas con Linux.
Tanto el servidor HW como el VM estarán interconectados mediante una LAN local ya que necesitan intercambiar datos. La idea es que solo se pueda acceder a una máquina virtual desde Internet y que ejecute HAproxy para distribuir las solicitudes a los nodos relevantes a través de la LAN.
¿Cuál es una buena manera de administrar el acceso a las máquinas virtuales? Como se dijo, todo el grupo se encuentra en un centro de datos remoto. No estoy seguro de cómo...
- Proporcionar acceso SSH a nuestros desarrolladores a nivel de red.
- asegurar esos accesos SSH
Establecer y recordar entre 20 y 30 contraseñas seguras parece excesivo, así que lo que me viene a la mente es bloquear los puertos SSH a la Internet pública, proporcionar acceso a la LAN remota a través de VPN y usar contraseñas débiles o idénticas para las máquinas virtuales.
De todos modos, ¿cuál es una buena práctica en tales escenarios?
Nota: Se mudó aquíde Stackoverflow.
Respuesta1
El uso de contraseñas débiles o idénticas, incluso en un sistema interno, debería hacer temblar a cualquier administrador del sistema y nunca debería hacerse. Proporcionar acceso VPN o un Jump-host sería el camino a seguir. Luego, al utilizar la autenticación de clave pública, puede permitir que hosts específicos se conecten a todas las máquinas sin necesidad de proporcionar la contraseña, y será fácil revocar el acceso simplemente eliminando la clave en el servidor.