是否真的需要在微服务架构中采用 ssl 传输层来进行内部 lan-only 服务到服务通信?
Is there a real need to adopt ssl transport layer in a microservice architecture for internal lan-only Service to Service communication?
在有数千个 Web 服务的情况下,是否有理由为每个微服务也使用签名证书,或者它只会增加开销?服务通过位于防火墙后面的 VPC 进行通信,而 Public 端点位于面向有效 CA 证书的 nginx public 后面。
服务在 aws 的多个服务器上。
根据我有限的经验,我认为这是大材小用。如果攻击者有权监听您的内部网络或与之交互,那么很可能还有其他您应该应对的问题。
auth0.com 上的这篇文章解释了仅在与外部客户端的连接上使用 SSL。我也同意这种观点,并且相信在单个服务级别实施 SSL 将变得极其困难,除非您 运行 在每个单独的主机上使用某种形式的代理,例如 HAProxy 或 Nginx,这是次优的,特别是如果您'我们正在使用一种托管集群形式,例如 Kubernetes 或 Docker Swarm。
我目前的想法是 运行 SSL 仅用于您的边缘服务,确保您使用类似 Scout2 和 运行 未加密的服务锁定您的 AWS 网络在您的局域网上进行通信。
在有数千个 Web 服务的情况下,是否有理由为每个微服务也使用签名证书,或者它只会增加开销?服务通过位于防火墙后面的 VPC 进行通信,而 Public 端点位于面向有效 CA 证书的 nginx public 后面。
服务在 aws 的多个服务器上。
根据我有限的经验,我认为这是大材小用。如果攻击者有权监听您的内部网络或与之交互,那么很可能还有其他您应该应对的问题。
auth0.com 上的这篇文章解释了仅在与外部客户端的连接上使用 SSL。我也同意这种观点,并且相信在单个服务级别实施 SSL 将变得极其困难,除非您 运行 在每个单独的主机上使用某种形式的代理,例如 HAProxy 或 Nginx,这是次优的,特别是如果您'我们正在使用一种托管集群形式,例如 Kubernetes 或 Docker Swarm。
我目前的想法是 运行 SSL 仅用于您的边缘服务,确保您使用类似 Scout2 和 运行 未加密的服务锁定您的 AWS 网络在您的局域网上进行通信。