O servidor HTTP / HAProxy público também é uma VPN… deve fazer as duas coisas?

2

Eu tenho um servidor HTTP / HAProxy. Também é o servidor OpenVPN da minha rede (todos os meus servidores estão conectados a ele). Espero que meu site aumente drasticamente em breve, por isso estou preocupado se esse ponto único de falha para minha VPN for um problema.

Devo transferir a VPN para outro servidor? Se eu fizer isso, como configuro o servidor OpenVPN para redirecionar o tráfego para os servidores HTTP / HAProxy? É possível configurar meus servidores HTTP / HAProxy para redirecionar o tráfego para um pool de servidores VPN dentro da minha rede?

Eu tentei pesquisar no Google este tópico, mas não consegui chegar a uma conclusão.

    
por rg3 08.04.2016 / 23:16

1 resposta

1

Você pode continuar nesse caminho, mas vou sugerir um passo atrás e tentar uma abordagem bem diferente.

Você tem vários servidores. Você quer que eles sejam capazes de falar uns com os outros, mas você quer ter certeza de que essas conexões são seguras, e (eu acho) também bloquear conexões externas para todos os servidores que não sejam um host bastião ou dois. Em vez de operar todos esses servidores em uma rede pública e conectá-los a uma VPN, acho que seria muito melhor utilizar uma rede privada. Em particular, eu recomendaria mudar para a Amazon VPC .

Você pode criar um VPC e colocar todos os seus servidores nele. As conexões de servidor para servidor passam pela rede local e usam um grupo de segurança para abrir um buraco para as portas 80 e 443 para seu balanceador de carga. Para seu próprio acesso, você pode configurar um túnel em sua rede local ou executar um servidor VPN ao qual você se conecta. E sim, eu recomendo que isso seja em seu próprio servidor - com servidores virtualizados, não há realmente nenhuma razão para combinar várias coisas em uma máquina, e isso ajuda a reduzir o número de coisas que você tem que pensar em cada uma, de um perspectiva de segurança e dependência.

Esta será uma configuração muito mais limpa, com melhor desempenho e com melhor suporte do que a que você está criando agora.

    
por 09.04.2016 / 02:36