Comment dois-je obtenir une SOA avec la communication inter-services entre les centres de données?
https://stackoverflow.com/questions/2249661
-
20-09-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianQuestion
Pour mon projet animal j'ai décidé sur les services architecture (oui, le mot à la mode SOA) parce que je peut évoluer chaque indépendant de service des autres, de les distribuer sur le plan géographique où ils seront utilisés plus que d'autres services, etc.
L'astuce est que certains des services ont besoin de communiquer en privé avec l'autre (et publiquement avec les utilisateurs finaux). Ces services seront situés dans des centres de données distincts sans intégré dans le tuyau privé entre eux (je pense que SoftLayer a une telle).
Je me soucie peu si la communication est un peu lent en raison de cryptage. Je me soucie surtout des attaques MITM et l'écoute clandestine. Autrement dit, je veux que les services soient convaincus qu'ils parlent avec un service d'ami et non un imposteur.
Les options de cette communication entre les services que je les vois sont:
- HTTP avec TLS
- TCP / IP (un protocole personnalisé) avec TLS
- Boîte à outils de propagation (pas sûr de cryptage ici)
- HTTP ou TCP / IP sur mesure tunnel SSH
- créer un VPN entre les centres de données
- certificats client? vérification mutuelle des certificats?
Il est clair que j'ai beaucoup de charabia dans ma tête. Aide!
Que pensez-vous? Avez-vous fait cela auparavant? Quelles sont vos expériences? Qu'est-ce que "fonctionne bien"?
Si vous choisissez VPN, ce système VPN recommandez-vous? OpenVPN? Comment les partitions de réseau temporaire traitées avec de tels systèmes VPN? Ont-ils auto-guérir / reconnectez?
Je suppose que la solution VPN crypter toutes les connexions, mais je veux juste quelques connexions à chiffrer. Peut-être un tunnel SSH est en ordre alors.
Merci pour vos conseils.
La solution
Sauf si vous avez beaucoup plus de trafic allant entre vos centres de données autres que seulement vos services parlent à chaque-autre alors vraiment pas besoin d'installer et de maintenir des infrastructures de transport sécurisés comme réseaux privés virtuels ou dans les tunnels SSH qui peuvent coûter plus cher et causer plus de maux de tête .
Je vous recommande d'utiliser prises SSL afin que vous n'avez pas à vous soucier des tunnels sécurisés de la couche inférieure étant actif, si vous communiquez avec votre autre centre de données via votre service, ce sera par la connexion sécurisée. Il peut être utile, tout aussi ajouter un VPN entre les centres de données en utilisant quelque chose comme mode tunnel IPsec entre les passerelles Internet (routeurs) à chaque centre de données pour ajouter une sécurité supplémentaire, ainsi que plus de contrôle sur le trafic et l'adressage.
