Jak załadować wystąpienia sftp bilansu na AWS

10

Lubię wiedzieć, czy można ładować sftpserwery równoważące AWS. Mam 2 serwery i każdy z moich serwerów używa s3fs-fusetego samego S3 bucketdo zamontowania na punkcie montowania. Obie moje ec2instancje są w stanie czytać / zapisywać w swoich punktach montowania, az nich S3widzę pliki z obu serwerów.

To, czego szukam, to SFTPtransfer plików i Amazon S3przechowywanie moich plików. Pliki będą przesyłane i pobierane codziennie.

https://github.com/s3fs-fuse/s3fs-fuse

Jeśli chodzi o mój następny krok, lubię wiedzieć, jak mogę zrównoważyć obciążenia moich sftpserwerów, aby gdy użytkownik połączy się z określonym adresem IP, przekieruje go na jeden z moich sftpserwerów. Rzuciłem okiem elastic load balancers, ale wydają się zezwalać tylko na określone porty. Badałem również HAProxy, ale nie jestem pewien, jak bezpieczne będzie to rozwiązanie. Muszę wziąć HIPAApod uwagę zgodność. Moduł równoważenia obciążenia musi być statycznym adresem IP, ponieważ nasi dostawcy nie obsługują DNS hostnames.

linux amazon-ec2 amazon-web-services load-balancing sftp popopanda
źródło
7
Nigdy nie chciałem podpalić się tak bardzo jak teraz.
Wesley,
3
TBH, użycie bezpiecznika s3fs do PHI wydaje się dość głupie.
EEAA
Dla przypomnienia, ELB obecnie obsługują wszystkie porty (1-65535): aws.amazon.com/blogs/aws/… . Jednak ELB wymagają również od klientów używania nazwy DNS wygenerowanej przez AWS (która wskazuje również na dwa publiczne adresy IP, które można zmienić).
Jukka
Największe pytanie brzmi jednak: dlaczego chcesz załadować saldo? Jeśli dotyczy HA, nadal będziesz mieć SPoF w swoim haproxy. Jeśli jest to związane z wymaganiami procesora ssh, trudno w to uwierzyć, ale jest to uzasadniony powód.
w00t,
Czy zastanawiałeś się też, czy nie poprosić swojego dostawcy o wsparcie przesyłania zaszyfrowanych plików S3? Wcale nie trudne…
w00t

Odpowiedzi:

22

Mój komentarz prawdopodobnie przydałby się trochę wyjaśnienia. Wytrysnąłem elokwencją pijanego jaka:

Nigdy nie chciałem podpalić się tak bardzo jak teraz.

Dlaczego? Dlaczego miałbym mówić coś takiego? Głównie dlatego, że jestem okropną osobą. Jednak poza tym mogę wyjaśnić mój wybuch, przeglądając oryginalny fragmentaryczny post:

Lubię wiedzieć, czy można ładować serwery sftp z równoważeniem obciążenia w AWS.

Tak. Niemożliwe jest niczym . Ale wiedz, że jeśli nie otrzymasz specjalnego pakietu SFTP, równoważenie obciążenia będzie zależało wyłącznie od Ciebie. Usługa będąca SFTP i hostowana w AWS jest nieistotna.

Mam 2 serwery i każdy z moich serwerów używa bezpiecznika s3fs do zamontowania tego samego segmentu S3 na punkcie montowania. Oba moje wystąpienia ec2 są w stanie czytać / zapisywać w swoich punktach montowania, a od S3 widzę pliki z obu serwerów.

Dobry początek zapewnia wspólny system plików, niezależnie od wydajności i niezawodności instalacji.

Jeśli chodzi o mój następny krok, chciałbym wiedzieć, w jaki sposób mogę wczytać saldo moich serwerów sftp, aby kiedy użytkownik połączył się z określonym adresem IP, przekierował go na jeden z moich serwerów sftp.

Pytanie brzmi teraz: dlaczego chcesz załadować saldo. Fantastyczna ilość przepustowości i mocy przetwarzania jest zapewniona w katalogu instancji Amazon, a potrzeba równoważenia obciążenia SFTP oznaczałaby, że zbliżasz się do poziomu aktywności sieciowej na poziomie pornografii. Zachowaj prostotę, powtarzalność i elastyczność tam, gdzie to możliwe. Zdobądź i2.xlarge z działającym na nim demonem SFTP i powinieneś mieć się dobrze bez względu na wszystko. Zbuduj go z Puppet / Chef / $trendy-config-management-tooli jesteś w biznesie. Idąc dalej ...

Przyjrzałem się elastycznym modułom równoważącym obciążenie, ale wydają się one dopuszczać tylko określone porty. Zbadałem również HAProxy, ale nie jestem pewien, jak bezpieczne będzie to rozwiązanie.

HAproxy to dokładnie takie narzędzie, jakiego potrzebujesz. Twoja niepewność związana z bezpieczeństwem jest łatwa do rozwiania po zaledwie kilku godzinach czytania. Od tego momentu rośnie moje pragnienie samospalenia. Jeśli czegoś nie wiesz, idź się upewnić. HAProxy jest wyborem wielu instytucji finansowych, szpitali i rządów.

Muszę wziąć pod uwagę zgodność z HIPAA.

Całkowicie rozumiane, ale zgodność nie jest przede wszystkim rolą narzędzi. Musisz zrozumieć pojęcia stojące za wymogami zgodności HIPAA i zobaczyć, jak HAproxy może je spełnić. HAProxy nie jest zgodny z HIPAA ani niezgodny z HIPAA. Bez względu na to, jakiego narzędzia użyjesz, musisz niezależnie zweryfikować podstawowe założenia i wymagania dotyczące zgodności i potrzeb regulacyjnych. W rzeczywistości, jeśli cokolwiek, S3 i użycie instancji Amazon powinny być sprawdzone dokładniej niż użycie HAproxy.

Moduł równoważenia obciążenia musi być statycznym adresem IP, ponieważ nasi dostawcy nie obsługują nazw hostów DNS

To. To zrobiło to. Twój sprzedawca jest zły i powinien źle się czuć. Teraz chcę wskoczyć w lawę. Nieobsługiwanie czegoś podstawowego, takiego jak rozpoznawanie DNS, jest całkowicie niezwiązane, ale jest również jak powiedzenie „Samochód musi mieć silnik, aby go użyć”. Ależ oczywiście. Oczywiście moduł równoważenia obciążenia będzie miał możliwość używania statycznego adresu IP. Istnieje wiele innych kwestii, o których należy pomyśleć nad prostymi statycznymi adresami IP.

TL; DR

Tak, możesz załadować saldo SFTP za pomocą HAproxy. Zgodność z HIPAA zależy od Ciebie, a wybór narzędzi nie spowoduje zaznaczenia pól wyboru. Masz do zrobienia Google i dokumentację do przeczytania.

Muszę zgasić płomienie.

Wesley
źródło
Dziękujemy za szczere opinie i sugestie. Przejrzę je, ale to da mi początek.
popopanda
7
To moja ulubiona odpowiedź na SF od dłuższego czasu. <3
ceejayoz
Netscaler ma również tryb SFTP dla serwerów wirtualnych, warto też wziąć to pod uwagę. Urządzenie Netscaler wspierane przez instancję EC2 (z różnymi opcjami przepustowości) jest dostępne na rynku AWS. Kosztuje jednak pieniądze.
Jukka
Po prawie dziesięciu latach pracy w branży IT w służbie zdrowia, zewnętrzni dostawcy nie są w stanie obsługiwać wyszukiwania DNS, używając domen, które nie są dostępne między systemami, a inne poziomy nieparzystości, które są sprzeczne z przyjętymi standardami, nie są szczególnie zaskakujące i występują znacznie częściej niż ktokolwiek by chciał. Na przykład kilka lat temu sprzedawca powiedział mi, że nie może obsługiwać uwierzytelniania za pomocą klucza publicznego ssh, ponieważ nie używał haseł, które można zmieniać co 30 dni. HIPAA wydaje się powodować pewną hiper-paranoję i dezorientację. Dziwi mnie, że AWS chce być licencjatem.
Andrew Domaszek,
0

Tak. Jest to możliwe przy użyciu modułu równoważenia obciążenia AWS.

  1. Utwórz moduł równoważenia obciążenia za pomocą nasłuchiwania na porcie 22.
  2. Utwórz grupę docelową, mając 2 wystąpienia SFTP.
  3. Poprawnie wyrównaj swoje SG zarówno w Instancji, jak i module równoważenia obciążenia.
Dheepan Swaminathan
źródło