Как отключить вход из Интернета на узлы Jelastic?

По умолчанию каждый ресурс, созданный в Jelastic, получает запись в DNS и доступен из Интернета. Я не хочу такого поведения для многих служб, таких как базы данных. То, что это поведение по умолчанию, кажется весьма небезопасным. Я хочу получить доступ к этим вещам только из других моих служб в моей среде или через ssh. Я не могу найти никакой документации по этому поводу.

Как отключить отображение DNS по умолчанию и правила брандмауэра для входа из Интернета в мои ресурсы Jelastic, но при этом разрешить доступ изнутри моей среды?


jelastic
person imagio    schedule 25.04.2019    source источник
comment
Не могли бы вы уточнить, используете ли вы какой-нибудь сертифицированный тип контейнера или кастомный докер? Также было бы полезно знать версию платформы Jelastic, которую вы используете.   -  person Jelastic    schedule 26.04.2019
comment
Я использую балансировщик нагрузки nginx по умолчанию, mongodb и redis. Мои серверы приложений - это настраиваемый образ докера. Я использую MassiveGrid, поэтому полагаю, что это последняя версия Jelastic. Проблема в том, что по умолчанию redis и mongodb доступны в Интернете с небезопасными / короткими паролями по умолчанию. Я не хочу / мне нужно открывать их в Интернете, а только в контейнерах моих приложений внутри среды.   -  person imagio    schedule 30.04.2019

Ответы (2)


arrow_upward
0
arrow_downward

Действительно, DNS-запись создается для каждого экземпляра, который потенциально может быть доступен из Интернета ( сервер приложений, админ-панель БД и т. д.).

В настоящее время вы не можете запретить доступ извне для портов 80/443, если у вас нет Public IP для конкретного узла. Эта возможность будет доступна в будущих версиях. Что касается других портов, отличных от 80 и 443, они по умолчанию недоступны из Интернета (только через Endpoints).

Тем не менее, вы можете запретить доступ к DNS-записям БД с помощью переменных (в вашем случае - ADMIN_MONGO = включено / отключено и REDIS_COMMANDER = включено / отключено). Обратите внимание, что такой подход требует перезапуска узла через панель управления пользователя.

Дополнительная настройка доступности портов между вашими узлами внутри кластера может быть выполнена с помощью UI Firewall.

person Jelastic    schedule 03.05.2019
comment
Каковы соответствующие переменные среды для узла postgresql? - person Laurent Michel; 16.05.2019
comment
@LaurentMichel, в настоящее время мы реализуем переменную ADMINPANEL_ENABLED для postgresql. Ориентировочно эта переменная будет доступна на следующей неделе. - person Jelastic; 17.05.2019

arrow_upward
0
arrow_downward

Мы рады сообщить вам, что в Jelastic PaaS 5.9 мы реализовали функцию, которая подходит для вашего случая. Ограничить доступ к узлу через общий доступ Балансировщик нагрузки

Пожалуйста, свяжитесь с вашим хостером, чтобы узнать о плане обновления до последней версии.

person Jelastic    schedule 22.07.2020