在 EC2 区域中传播 MongoDB

Question

我想在多个 Amazon EC2 区域中分发分片/复制的 MongoDB 设置。此流量是否已由 MongoDB 加密，或者我可以选择进行设置吗？或者亚马逊是否在其数据中心之间提供类似 VPN 的特殊连接？

Answer 1

跨副本的 Mongo 通信未加密。所以你就在你的身上。您可以在一个区域内跨可用区创建副本

Answer 2

您可以自行加密 EC2 区域之间传输的数据。亚马逊不保证它们与私人渠道连接，因此您必须假设它们通过公共网络进行连接。

Answer 3

我昨天回答了有关 Apache Cassandra 的类似问题： 使用 TLS/ 确保 Cassandra 通信安全SSL。

我的经验是，特别是在亚马逊方面，如果可以的话，在您的实例之间建立一个 VPN 网络，以保证一切都是安全的。在 EC2 上实施 VPN 网络时，我们遇到的一个有趣的事实是，它使响应时间更快......我们选择了 Vyatta 到目前为止，我们对此非常满意。它可以完全虚拟化......并允许我们在区域、区域和数据中心（亚马逊和非亚马逊）之间建立桥梁。

另一种选择是利用 Amazon 虚拟私有云：

• 在 AWS 的可扩展基础设施上创建 Amazon 虚拟私有云，并从您选择的任意范围中指定其私有 IP 地址范围。
• 将您的 VPC 的私有 IP 地址范围划分为一个或多个公有或私有子网，以方便在 VPC 中运行应用程序和服务。
• 使用网络访问控制列表控制进出各个子网的入站和出站访问。
• 将数据存储在 Amazon S3 中并设置权限，以便只能从您的 Amazon VPC 内访问数据。
• 将 Amazon Elastic IP 地址附加到 VPC 中的任何实例，以便可以直接从 Internet 访问它。
• 通过加密 VPN 连接连接您的 VPC 和现场 IT 基础设施，将您现有的安全和管理策略扩展到您的 VPC 实例，就像它们在您的基础设施中运行一样。

Vyatta 有一个很好的图形，显示了 VPC 和 Vyatta（或任何其他企业 VPN 解决方案）如何桥接在一起（根据上面的最后一点）：

• http://www.vyatta.com/sites/vyatta.com/files/images/Vyatta_Amazon.png

• http://www.vyatta.com/solutions/amazon

我不为 Vyatta 工作......就像我们在不购买昂贵的思科设备的情况下成功地让一切正常运转一样

Answer 4

根据 [mongo docs] mongo 可以使用 SSL。人们要么必须使用 --ssl 标志编译 mongo，要么使用商业版本。通过启用 SSL 的 mongo，数据库和客户端之间的所有通信以及副本集和仲裁器之间的通信都是安全的（请参阅 常见问题解答）。

有人真正尝试过这种方法吗？有什么缺点吗？

Answer 5

如果您不在 EC2 上运行，那么这些解决方案并不是真正的选择。还有另一种方法，那就是建立您自己的 IaaS 提供商独立的 VPC。 vCider 为此提供了一个与 Mongo 和 Cassandra 配合良好的解决方案。对于 Cassandra 来说，保护客户端/数据库流量尤其痛苦，因为没有本机加密。

这里有一个很好的例子来说明这一切是如何工作的：

http://www.vcider.com/vpc-部署/secure-saas

就 Cassandra 而言，这里有一些基准信息。

http://blog. vcider.com/2011/09/virtual-networks-can-run-cassandra-up-to-60-faster/

通过内核中的本机加密，您可以运行得更快。