如何在私有子网后面保护Erlang群集

Question

我正在测试Erlang并且有几个与分发安全相关的问题。 （这里有很多混合的信息）这些类型的问题带有许多与情况有关的意见，并取决于您处理的数据类型的个人舒适度。为了这个问题，我们假设它是一个简单的聊天服务器，用户可以在这里连接并聊天。

示例图：

群集将与弹性负载平衡引导所有连接到这些节点（和从）一专用子网VPC后面。弹性负载平衡将是通向这些节点的唯一直接路径（将无法通过名称@ privatesubnet连接到节点）。

我的问题是：

在此基础上自问自答：Distributed erlang security how to?

有两种不同类型的可发生的内部沟通。要么使用内置功能直接连接节点，要么使用自定义协议通过TCP连接执行所有操作。第一个是最简单的，但我认为它带有一些安全问题，我想知道是基于上面的图表是否足够好（呃，好的，处理敏感信息时不够好，但总是可以有更好的方式去做所有事情......）

你如何保护和私人子网后面的Erlang集群？我想隐藏节点，并手动连接它们，当然在它们上使用cookie。这种方法有缺陷吗？而且由于使用TCP的自定义协议将是最佳选择，因此对性能有何种影响？我想知道潜在的安全漏洞（正如我所说的，关于如何做到这一点，有很多混杂的信息）。

我会对以这种方式使用Erlang的人有兴趣！

Answer 1

在AWS上，您的EC2节点位于私有子网中，您可以安全地避免与节点的不必要连接。您可以通过尝试连接（以任何方式）连接到运行代码的计算机来验证这一点：如果您使用的是私有子网，您将无法这样做，因为实例在子网之外甚至都不可寻址。

您的负载均衡器不应该转发Erlang节点流量。

您可以使用一些安全组规则做比上述更好的一点。配置您的节点以使用some range of ports。然后创建一个“erlang”组，允许从“erlang”组连接到该端口范围，否则拒绝连接。最后，将该安全组分配给所有Erlang运行的实例。这可以防止不需要与Erlang交谈的实例能够这样做。

Answer 2

我认为你在那里有一个非常“经典”的设置。

你不会从互联网连接到集群 - ELB的“外部”。假设“私人”子网共享其他内容，则只能通过EPMD连接某些IP（或范围）。

在任何情况下，一些机器必须通过EPMD“可信”连接，而其他一些机器只能建立到其他某个端口的连接......否则任何运行你的Erlang群集的东西都是无用的。

需要思考的是：您可能想要（并且确实必须）连接到群集，以便从互联网或其他地方执行一些“管理任务”。我已经通过SSH看到了这一点; Erlang支持即装即用。

上最后一个字做的一切了一个自定义协议一个TCP连接时，请不要，你会最终达到实现你自己的东西，几乎没有什么二郎优惠，以及它在真正真棒。最后，你会有相同的限制。