Come devo assicurare un SOA con la comunicazione tra i servizi tra data center?
https://stackoverflow.com/questions/2249661
-
20-09-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianDomanda
Per il mio progetto pet ho deciso su un'architettura basata servizi (sì la parola d'ordine SOA) perché in grado di scalare ciascuna indipendente servizio degli altri, distribuirli geograficamente dove saranno utilizzati più di altri servizi, ecc
Il trucco è che alcuni dei servizi hanno bisogno di comunicare privatamente con gli altri (e pubblicamente con gli utenti finali). Questi servizi saranno situati in centri dati diversi senza alcun built-in pipe privato tra di loro (credo SoftLayer ha tale).
mi importa poco se la comunicazione è un po 'lento a causa di crittografia. Io per lo più a cuore gli attacchi MITM e intercettazioni. Cioè, voglio che i servizi siano sicuri che stanno parlando con un servizio di amico e non un impostore.
Le opzioni per tale comunicazione tra i servizi come li vedo sono:
- HTTP con TLS
- TCP / IP (un protocollo personalizzato) con TLS
- Diffusione Toolkit (non sono sicuro circa la crittografia qui)
- HTTP o TCP custom / IP su tunnel SSH
- creare una VPN tra i centri dati
- certificati client? verifica reciproca dei certificati?
Chiaramente ho un sacco di Mumbo Jumbo nella mia testa. Aiuto!
Cosa ne pensi? Hai fatto questo in precedenza? Quali sono le vostre esperienze? Cosa "funziona bene"?
Se si sceglie VPN, quale sistema VPN mi consiglia? OpenVPN? Come sono le partizioni di rete temporanei trattati con tali sistemi di VPN? Hanno auto-guarire / riconnessione?
Credo che la soluzione VPN crittografare tutti i collegamenti, ma voglio solo alcune connessioni per essere crittografati. Forse un tunnel SSH è in ordine, allora.
Grazie per i vostri consigli.
Soluzione
A meno che non si dispone di un traffico molto di più in corso tra i tuoi data center diversi da solo i propri servizi a parlare fra di loro, allora davvero non c'è bisogno di impostare e mantenere le infrastrutture di trasporto sicuri come VPN o tunnel SSH che può costare di più e realmente causare più mal di testa .
Mi consiglia di utilizzare socket SSL in modo che non si si deve preoccupare lo strato inferiore tunnel sicuri di essere attivi, se si comunica con l'altra data center attraverso il vostro servizio, sarà attraverso la connessione sicura. Può valere la pena-mentre per aggiungere anche una VPN tra i data-center che utilizzano qualcosa come modalità tunnel IPSec tra i gateway Internet (router) in ogni centro dati per aggiungere maggiore sicurezza, nonché un maggiore controllo sul traffico e l'indirizzamento.
