Képzeljünk el egy picikénél kicsit nagyobb hálózatot. Néhány VLAN (hardver menedzsmentre, hypervisor menedzsmentre, OS menedzsmentre, szolgáltatásoknak stb.). Néhánytíz hálózati zóna, köztük változatos tűzfalak (Cisco, Checkpoint, Zorp, amit akarsz). Néhányszáz host (Linux, Windows, FreeBSD stb.).
Képzeljük el, hogy egy zónában keletkezik egy új MySQL farm, egy másik zónában meg keletkezik egy új Apache/PHP farm. A PHP-ból szeretnénk használni a MySQL-t. Ez alapvetően nem megy, hiszen a hálózaton ami csak lehetséges, minden tiltott, úgyhogy a teendők:
- az Apache/PHP-s gépeken kinyitni a tűzfalat úgy, hogy a PHP tudjon kifelé csomagot küldeni a MySQL-es gépeknek meg a választ tudja fogadni
- a zónák közötti tűzfal(ak)at kinyitni úgy, hogy tudjanak rajtuk keresztül kommunikálni a felek
- a MySQL-es gépeken kinyitni a tűzfalat úgy, hogy képes legyen fogadni a kapcsolódási kérést és válaszolni.
Ezt viszonylag sok meló így megcsinálni (nem bonyolult, csak sok), viszonylag karbantarthatatlan (pl. ha hozzáadok vagy elveszek Apache/PHP szervert, akkor több helyen is konfigurálni kell) és viszonylag rosszul auditálható (pl. az Apache-on egy "iptables -A OUTPUT -m state --state NEW -d 10.0.0.1 -p tcp -m tcp --dport 5432 -j ACCEPT" sorból nagyon nem nyilvánvaló az, hogy milyen üzleti szolgáltatáshoz kell ez a szabály).
Lehet ezt egyszerűbben, központilag menedzselhetőbben és auditálhatóbban csinálni? Milyen eszközöket ismertek erre a capirca és a FirewallBuilder mellett?
- 3892 megtekintés
Hozzászólások
puppet / firewall modult hasznaljuk. De mysql / apache / php...stb is ezzel van megoldva.
--
"ssh in a for loop is not a solution" – Luke Kanies, Puppet developer
- A hozzászóláshoz be kell jelentkezni