安全访问混合云中的后端服务

Question

我有一些疑问，哪种方式允许从公共云（如AWS或Azure）访问我公司的后端服务，反之亦然。在我们的示例中，我们需要一个AWS应用程序来调用后端中公开的一些HTTP Rest服务。

我出现了至少两个选项：

• 第一个是在应用程序和我们的后端之间设置AWS虚拟私有云，并通过它路由所有流量。
• 第二个选项是通过反向代理公开HTTP服务，并在代理中设置IP过滤，以仅允许来自AWS的收入连接。我们不希望HTTP服务可以从Internet公开访问，我认为无论我们选择一个选项还是另一个选项都能满足。此外，我们可能需要在AWS和我们的后端之间集成更多服务（TCP / UDP），如FTP传输，监控等。

我的主要目标是设置一种标准方式来完成此集成，因此我们不需要根据服务或应用程序的类型使用不同的配置。

我认为这是混合云场景中非常普遍的需求，所以我只想接受最佳实践。

我非常感谢你的任何建议。

Answer 1

您的选择＃2似乎很好。由于您拥有AWS VPC，因此您可以通过反向代理获取IP到白名单。

还有另一种方法。也就是说，将后端暴露为使用Oauth令牌保护的API。您需要某种API管理解决方案。然后，您的Node.js应用程序可以使用令牌调用这些API。

WSO2 API Cloud允许您在云中创建这些API并在数据中心中运行api网关。然后Node.js api调用将命中本地网关，它将验证令牌并让请求转到后端。您不需要将后端服务公开给互联网。看到这篇博文。 https://wso2.com/blogs/cloud/going-hybrid-on-premises-api-gateways/