AWS에서 sftp 인스턴스를로드 밸런싱하는 방법

10

sftp서버 를로드 밸런싱하는 것이 가능하다는 것을 알고 싶습니다 AWS. 서버가 2 대이고 각 서버가 마운트 지점에 s3fs-fuse동일한 서버 를 마운트하는 데 사용 하고 있습니다 S3 bucket. 두 ec2인스턴스 모두 마운트 지점을 읽고 쓸 수 있으며 S3에서 두 서버의 파일을 볼 수 있습니다.

내가 찾고있는 것은 SFTP파일을 전송하고 파일 Amazon S3을 저장하는 데 사용해야합니다. 파일은 매일 업로드 및 다운로드됩니다.

https://github.com/s3fs-fuse/s3fs-fuse

다음 단계에서는 sftp서버 로드 균형을 조정하는 방법을 알고 싶습니다 . 따라서 사용자가 특정 IP 주소에 연결하면 sftp서버가 서버 중 하나로 리디렉션됩니다 . 나는 살펴 elastic load balancers보았지만 특정 포트 만 허용하는 것 같습니다. 또한 조사 HAProxy했지만 해당 솔루션의 보안 수준이 확실하지 않습니다. 내가 가지고 가야 HIPAA고려 준수합니다. 공급 업체가 지원하지 않으므로로드 밸런서는 고정 IP 주소 여야합니다 DNS hostnames.

linux  amazon-ec2  amazon-web-services  load-balancing  sftp 
포포 판다
소스
7
나는 지금처럼 나 자신을 불 태우고 싶지 않았다.
Wesley
3
PHI에 s3fs-fuse를 사용하는 TBH는 매우 어리석은 것 같습니다.
EEAA
: 공식적으로, ELB를 모든 포트 (1-65535)를 지원 요즘 않습니다 aws.amazon.com/blogs/aws/...을 . 그러나 ELB는 또한 클라이언트가 AWS에서 생성 한 DNS 이름 (두 개의 퍼블릭 IP 주소를 가리키는 변경 가능)을 사용해야합니다.
Jukka
가장 큰 문제는 왜로드 밸런싱을 원하십니까? HA의 경우 여전히 haproxy에 SPoF가 있습니다. 그것이 ssh의 CPU 요구 사항에 대한 것이라면 믿기 어렵지만 유효한 이유입니다.
w00t
또한 공급 업체에 암호화 된 S3 업로드를 지원하도록 요청한 적이 있습니까? 전혀 어렵지 않다…
w00t

답변:

22

내 의견은 아마도 약간의 설명을 사용할 수 있습니다. 나는 음침한 야크의 웅변을 내 뿜었다 :

나는 지금처럼 나 자신을 불 태우고 싶지 않았다.

왜? 내가 왜 그런 말을 하겠어? 주로 내가 끔찍한 사람이기 때문입니다. 그러나 그 외에도 독창적 인 포스트 단편을 통해 폭발을 설명 할 수 있습니다.

AWS에서 sftp 서버를로드 밸런싱 할 수 있다는 것을 알고 싶습니다.

예. 불가능은 아무것도 아니다 . 그러나 특별한 SFTP 패키지를 얻지 않으면로드 밸런싱은 전적으로 사용자의 책임입니다. SFTP이며 AWS에서 호스팅되는 서비스는 중요하지 않습니다.

서버가 2 대이고 각 서버가 s3fs-fuse를 사용하여 동일한 S3 버킷을 마운트 지점에 마운트합니다. 내 ec2 인스턴스는 모두 마운트 포인트를 읽고 쓸 수 있으며 S3에서 두 서버의 파일을 볼 수 있습니다.

공유 파일 시스템, 설정의 성능 및 안정성에도 불구하고 좋은 출발을 시작했습니다.

다음 단계에서는 sftp 서버를 어떻게로드 밸런싱 할 수 있는지 알고 싶습니다. 따라서 사용자가 특정 IP 주소에 연결하면 서버가 sftp 서버 중 하나로 리디렉션됩니다.

문제는 지금입니다 : 왜로드 밸런스를 원하십니까? Amazon 인스턴스 카탈로그에 제공되는 엄청난 양의 처리량과 처리 능력이 있으며 SFTP를로드 밸런싱해야한다는 것은 포르노 수준의 네트워크 활동에 접근하고 있음을 의미합니다. 가능한 한 간단하고 반복 가능하며 복원력을 유지하십시오. SFTP 데몬이 실행중인 i2.xlarge를 가져 오면 무엇이든지 괜찮을 것입니다. Puppet / Chef / $trendy-config-management-tool를 사용하여 비즈니스를 구축하십시오. 그러나 계속 ...

탄력적로드 밸런서를 살펴 보았지만 특정 포트만 허용하는 것 같습니다. 또한 HAProxy도 조사했지만 해당 솔루션이 얼마나 안전한지 확신 할 수 없습니다.

HAproxy는 정확히 필요한 도구입니다. 보안에 대한 불확실성은 단 몇 시간 만 읽으면 쉽게 풀릴 수 있습니다. 이 순간부터 자기 자신에 대한 저의 욕구가 높아지고 있습니다. 확실치 않은 점이 있으면 확실하게 확인하십시오. HAProxy는 많은 금융 기관, 병원 및 정부에서 선택합니다.

HIPAA 규정 준수를 고려해야합니다.

완전히 이해되었지만 규정 준수는 주로 도구의 역할이 아닙니다. HIPAA 준수 요구 사항의 개념을 이해하고 HAproxy가이를 충족시키는 방법을 확인해야합니다. HAProxy는 HIPAA와 HIPAA를 준수하지 않습니다. 어떤 도구를 사용하든 규정 준수 및 규제 요구 사항의 기본 가정과 요구 사항을 독립적으로 확인해야합니다. 실제로 S3 및 Amazon 인스턴스 사용은 HAproxy 사용보다 더 신중하게 검사해야합니다.

공급 업체는 DNS 호스트 이름을 지원하지 않으므로로드 밸런서는 고정 IP 주소 여야합니다.

이. 이것은 그것을했다. 공급 업체가 나쁘고 기분이 좋지 않습니다. 이제 용암으로 뛰어 들고 싶습니다. DNS 확인과 같은 기본 기능을 지원하지 않는 것은 전적으로 관련이 없지만 "자동차에 사용하려면 엔진이 있어야합니다"라고 말하는 것과 같습니다. 물론입니다. 물론로드 밸런서는 고정 IP 주소를 사용할 수 있습니다. 위의 단순한 고정 IP 주소에 대해 고려해야 할 사항이 더 많이 있습니다.

TL; DR

예. SFTP를 HAproxy로로드 밸런싱 할 수 있습니다. HIPAA 규정 준수는 사용자의 판단에 달려 있으며 도구 선택은 확인란을 선택하지 않습니다. 할 인터넷 검색과 읽을 문서가 있습니다.

꺼낼 불꽃이 있습니다.

웨슬리
소스
정직한 피드백과 제안에 감사드립니다. 나는 그것들을 살펴볼 것이지만 이것은 나에게 시작을 줄 것이다.
popopanda
7
이것은 SF에서 가장 좋아하는 대답입니다. <3
ceejayoz
Netscaler는 또한 가상 서버를위한 SFTP 모드를 가지고 있습니다. EC2 인스턴스 지원 Netscaler 어플라이언스 (대역폭 옵션이 다름)는 AWS 마켓 플레이스를 통해 제공됩니다. 그래도 돈이 든다.
Jukka
10 년 가까이 헬스 케어 IT 분야에서 근무한 후 타사 공급 업체는 시스템 간 액세스 할 수없는 도메인을 사용하여 DNS 조회를 지원할 수 없으며 허용되는 표준에 직면하는 다른 수준의 이상한 것은 특히 놀라운 일이 아니며 발생합니다. 누구보다 훨씬 더 자주. 예를 들어, 몇 년 전 한 공급 업체는 30 일마다 교체 할 수있는 암호를 사용하지 않았기 때문에 ssh 공개 키 인증을 지원할 수 없다고 말했습니다. HIPAA는 일정량의 편집증과 혼동을 유발하는 것으로 보입니다. AWS가 BA가 될 의향이 있다는 사실에 놀랐습니다.
앤드류 Domaszek
0

예. AWS Load Balancer를 사용하여 가능합니다.

  1. 포트 22에서 리스너가있는로드 밸런서를 생성합니다.
  2. SFTP 인스턴스 중 2 개를 사용하여 대상 그룹을 생성하십시오.
  3. 인스턴스와로드 밸런서 모두에서 SG를 올바르게 정렬하십시오.
딜판 스와미 나단
소스
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.