【发布时间】:2015-04-04 06:14:34
【问题描述】:
这是我的 AWS 架构
1 Load Balancer
2 Web/Application server
1 DB server
如果客户端 - 和我的 LB 使用 SSL(HTTPS) 协议进行通信, 内部 LB-WEB/APP-DB 服务器与 HTTP 通信是否安全?或者他们也应该在内部使用相同的 SSL 证书进行通信?
【问题讨论】:
【发布时间】:2015-04-04 06:14:34
【问题描述】:
您当然可以在您的 Web 实例上终止 SSL,但在您的负载均衡器上安装 SSL 并通过 http 在 ELB 和 Web 实例之间进行通信可能要容易得多。
这当然是假设您在 VPC 内运行。
【讨论】:
-
谢谢,但我认为创建 ELB 并将 EC2 连接到其中会自动生成 VPC。这样对吗?我是 AWS 新手,第一次部署多台服务器
-
@sungpi:您可以在 VPC 之外运行 ELB 和您的实例 - 拥有负载均衡器并不意味着您就在其中。
-
我没有接触任何关于 VPC 的内容,但是当我找到您的评论时,我发现我的 LB 和 EC2 实例存在 VPC 环境。 (?)我有点困惑。谢谢!
随着您的扩展,在 LB 处终止 SSL 和内部流量,非 SSL 将为您节省大量开销。
【讨论】:
使用 Cloudfront 另一种选择是在您的 ELB 前面创建一个 Cloudfront 分发,您的 SSL 连接在最近的边缘位置终止。从 Cloudfront 到 LLB(在特定区域),它使用 AWS WAN,因此,如果您能够承受该级别的安全性,您还可以通过缓存和从边缘位置交付的静态内容获得更好的性能。另一个优势是,无论您所在的 ELB 区域如何,您都可以从 AWS 获取 Cloudfront 的免费 SSL 证书。
对于 DB Server,通常它与 WebServer 保持在同一 VPN 内,不允许外部访问。因此,除非您有特定的监管要求,否则我认为在专用网络中放置单独的数据库访问证书并不重要。
【讨论】: