【问题标题】:How do I disable ingress from the internet to Jelastic nodes?如何禁用从 Internet 到 Jelastic 节点的入口?
【发布时间】:2019-04-25 20:49:59
【问题描述】:

默认情况下,在 Jelastic 中创建的每个资源都有一个 dns 条目,并且可以从 Internet 访问。对于很多服务,比如数据库,我不想要这种行为。这是默认行为似乎很不安全。我只想从我环境中的其他服务或通过 ssh 访问这些东西。我找不到任何关于此的文档。

如何禁用从 Internet 到 Jelastic 资源的默认 dns 映射和入口防火墙规则,同时仍允许从我的环境内部进行访问?

【问题讨论】:

  • 您能否澄清一下您是否使用某种经过认证的容器或自定义 docker?此外,了解您使用的 Jelastic 平台版本会很有用。
  • 我使用的是默认的 nginx 负载均衡器、mongodb 和 redis。我的应用服务器是自定义 docker 映像。我在 massgrid 上,所以我认为它是 Jelastic 的最新版本。问题是,默认情况下,redis 和 mongodb 似乎使用不安全/短默认密码暴露在互联网上。我不想/不需要将它们暴露给互联网,而只暴露给环境中的我的应用容器。

标签: jelastic


【解决方案1】:

确实,DNS entry 是为每个可以从 Internet 访问的实例(应用程序服务器、数据库管理面板等)创建的。

目前,如果您没有特定节点的Public IP,您不能拒绝外部对端口 80 / 443 的访问。此功能将在未来的版本中提供。至于其他端口,与 80 和 443 不同,它们默认不从 Internet 访问(仅通过 Endpoints)。

不过,您可以在 variables 的帮助下拒绝访问 DB 的 DNS 条目(在您的情况下 - ADMIN_MONGO=enabled/disabled 和 REDIS_COMMANDER=enabled/disabled) .请注意,这种方法需要通过用户仪表板使用节点 restart

可以在UI Firewall 的帮助下对集群内节点之间的端口可访问性进行额外调整。

【讨论】:

  • 一个postgresql节点对应的环境变量是什么?
  • @LaurentMichel,目前,我们正在为 postgresql 实现变量 ADMINPANEL_ENABLED。大约,这个变量将在下周提供。
【解决方案2】:

我们很高兴地通知您,在 Jelastic PaaS 5.9 中,我们实施了一项涵盖您的案例的功能。 Restrict Node Access via Shared Load Balancer

请联系您的托管商了解升级到最新版本的计划。

【讨论】:

    猜你喜欢
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 2012-04-25
    • 2013-07-14
    • 2016-07-17
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    相关资源
    最近更新 更多