我正在 AWS 环境中设置 MQ 代理。
MQ 代理将由在该 AWS 环境中运行的服务以及在其他位置运行的服务使用。
AWS 环境中部署的所有其他服务都在私有子网中运行,因此我倾向于在私有子网中部署 MQ 代理,并设置网络负载均衡器以将外部流量传递到 MQ 代理。
但是,出于实际目的,我也可以将 MQ 代理部署到公共子网。这样,我只需配置一个安全组(并跳过网络负载均衡器)即可将代理公开到公共互联网。
我倾向于私有子网部署,但我不完全确定增加的配置开销(网络负载均衡器)是否能带来任何真正的好处。
进行 MQ 代理的私有子网部署有什么好处?
我的观点是,您将拥有一个仅允许特定 IP 访问您的 MQ 的安全组,添加网络负载均衡器几乎没有什么好处。
如果是在公共互联网上,NLB 的好处仍然相当小。它可能会减轻少量攻击类型。应用程序平衡器(在这种情况下不适用)可以缓解更广泛的攻击。
在更高的安全环境中,VPN 将提供更高的安全性,它确保只有已知且可信的用户才能访问资源。当使用安全组时,IP 地址可能会被欺骗 - 尽管我不知道这有多实用。