为种子节点打开端口7000或7001的正确方法是什么?

时间:2016-11-06 11:11:53

标签: amazon-web-services cassandra

我最终将使用端口7001来启用SSL安全性,但为了简洁起见,我将在此帖子中使用7000。

我成功设法通过打开端口7000使种子节点相互通信,但有一点我担心。当我在Amazon Web Services上打开端口7000时,我收到了一个警告,如下图所示。enter image description here

这是因为我将端口7000的源设置为Anywhere,所以我稍后将其更改为My IP,但这次我无法使种子节点工作。

忽略警告并将端口7000的源设置为Anywhere安全吗?

在打开端口后,我需要采取额外的流程来保护端口7000吗?

更新

我读a doc for Security Groups希望我能找到有用的东西,但我仍然在努力解决这个问题。

我尝试将每个安全组ID分配到其各自的源字段,甚至尝试将默认安全组ID分配给每个数据中心的每个源字段,但在运行种子节点时失败。

您可以在下面的图片中看到我为端口7000的源字段分配了安全组ID sg-a9518ed4enter image description here 我做错了什么?

请注意,如果我将端口7000的Source字段设置为Anywhere,那么种子节点始终有效。

1 个答案:

答案 0 :(得分:1)

您是否需要允许从VPC外部连接种子节点?或者您的种子节点的所有连接是否来自AWS VPC中的其他资源?您目前已向全世界开放了7000端口。

根据我的(有限)理解,Cassandra种子节点用于数据库集群编排。如果您的所有Cassandra节点都在您的VPC中,那么您需要限制端口7000访问,以仅允许来自您的VPC内部的流量。执行此操作的最佳方法是将规则的来源更改为安全组,然后指定其成员应有权访问Cassandra种子的安全组的ID节点。

此外,为确保安全性和性能,请确保使用数据库群集中的内部IP地址来保留VPC中的所有群集流量。