Я собираюсь настроить кластер серверов для веб-приложений нашей компании.
В начале будет 3 аппаратных сервера в настройке Proxmox HAв удаленном центре обработки данныхзапущено около 20-30 виртуальных машин, все под управлением Linux.
Оба сервера HW и VM будут соединены между собой с помощью локальной сети LAN, поскольку им необходимо обмениваться данными. Идея заключается в том, что только одна VM будет доступна из Интернета и что она будет запускать HAproxy для распределения запросов по соответствующим узлам по всей локальной сети.
Какой хороший способ управления доступом к виртуальным машинам? Как уже говорилось, весь кластер находится в удаленном центре обработки данных. Я не уверен, как...
- предоставить SSH-доступ для наших разработчиков на сетевом уровне
- защитить эти SSH-доступы
Установка и запоминание 20–30 надежных паролей кажется излишеством, поэтому мне приходит в голову заблокировать порты SSH для публичного Интернета, предоставить доступ к удаленной локальной сети через VPN и использовать слабые или идентичные пароли для виртуальных машин.
В любом случае, какова хорошая практика в таких ситуациях?
Примечание: Перемещено сюдаиз Stackoverflow.
решение1
Использование слабых или идентичных паролей, даже во внутренней системе, должно заставить любого системного администратора содрогнуться и никогда не должно этого делать. Предоставление доступа VPN или Jump-host было бы правильным решением. Затем, используя аутентификацию с открытым ключом, вы можете разрешить определенным хостам подключаться ко всем машинам, даже не предоставляя пароль, и будет легко отозвать доступ, просто удалив ключ на сервере.