我正在AWS上设置VPC。它有一个公有子网和两个私有子网。公有子网用于Web服务器。私有子网用于高可用性数据库。我使用安全组保护资源,而不是网络ACL。
创建VPC时创建的默认安全组允许所有出站流量,并且仅允许来自VPC中其他子网的入站流量。我不确定将来会部署哪种服务器 - 更多Web服务器,更多RDS实例,还有其他什么?鉴于此,我认为我的默认安全组应该不允许入站或出站流量。这有意义吗?
这样,如果我在启动实例时忘记显式选择安全组,则服务器将与所有其他资源隔离。
答案 0 :(得分:1)
根据您的设计,推荐的安全配置是:
这样,如果您在私有子网中启动未来实例,它比在公有子网中启动更安全。然后,安全组是额外的安全层。
鉴于您的目标是实现高可用性,还要将您的网络服务器分布在多个可用区中。一种简单的方法是使用 Auto Scaling ,它可以在可用区域之间均匀分布实例,并且具有扩展/缩小功能以满足需求,同时最大限度地降低成本。
有关示例架构,请参阅Web Application Hosting中的AWS Architecture Center参考架构。