우리는 Google Cloud에서 플랫폼을 호스팅했습니다. 스타트업이고 매우 간결한 설정을 갖추고 있습니다.
1 X 엔진스 | 웹 서버 역할 | 공용 서브넷 1 x 데이터베이스 서버 | 내부 서브넷
저는 이것이 권장되는 방식이 아니라고 100% 확신합니다. 왜냐하면 전통적인 온프레미스에서는 웹 서버를 공개적으로 배치하지 않았고 항상 방화벽 뒤에 있었기 때문입니다. 하지만 내 웹 서버를 보호하기 위한 옵션이 무엇인지 궁금합니다.
누구든지 아래 달성 방법을 안내해 주시겠습니까?
인터넷 사용자 <------> 방화벽(GCP에서 호스팅) <-------> Nginx 웹 서버 <------> DB.
자금이 없는 스타트업이므로 저렴한 비용/오픈 소스 옵션을 도와주세요.
건배 AJ
답변1
기본적으로 VPC(네트워크)는 실제로 필요한 것보다 더 많은 포트를 열지 않는 한 이미 Google Cloud Firewall로 보호됩니다.
시작하려면 두 가지가 있습니다.기본 및 묵시적 규칙, 무시할 수만 있고 제거할 수는 없는 송신 허용 및 수신 거부입니다.
두 번째 중요한 특징은 규칙이 다음과 같다는 것입니다.상태 저장, 승인된 연결에 대한 응답은 방화벽을 통해 허용됩니다.
또 다른 중요한 요소는 규칙이 허용 또는 거부라는 것입니다. 규칙은 단순히 작업으로 기록할 수 없습니다. 여기에서 모든 정보를 찾을 수 있습니다.명세서.
여기에는 몇 가지 구성 예를 포함하는 방화벽 규칙에 대한 튜토리얼이 있습니다.페이지
귀하의 사례를 생각하면서 다음과 같은 제안을 드릴 수 있습니다.
1) WebServer와 DB가 동일한 VPC(내부 네트워크)에 있습니다.
2) 태그에 연결된 방화벽 규칙(예: http-server 또는 https-server)을 사용하고 포트 80과 443 중 하나 또는 둘 다를 허용합니다.
3) 데이터베이스를 설정하고 데이터베이스와 연결된 외부 IP를 제거하여 보호 수준을 높이세요.
4) WebServer만 데이터베이스와 통신할 수 있고 그 반대의 경우도 가능하도록 두 VM에 태그를 연결합니다.
5) 조금 더 투자하면 미리 생각하고(그리고 프로젝트가 잘 진행되기를 바라면서) 다음과 같은 이점을 추가할 수 있습니다.HTTP(S) 부하 분산기이는 훨씬 더 많은 보호(예: DDOS 완화)를 제공하고 여러 웹 서버에 대한 로드 균형을 유지합니다(중복성 및 수평 확장 제공).