অ্যামাজন আরডিএস এসএসএল / টিএলএস শংসাপত্রগুলি আপডেট করুন - ইলাস্টিক বিয়ানস্টালক

14

এডাব্লুএস সম্প্রতি এর প্রয়োজনীয়তা ঘোষণা করেছে:

31 অক্টোবর, 2019 এর মধ্যে আপনার অ্যামাজন আরডিএস এসএসএল / টিএলএস শংসাপত্রগুলি আপডেট করুন

আমার কাছে একটি ক্লাসিক ইলাস্টিক বিয়ানস্টালক লোড ব্যালেন্সার সহ একটি রেল অ্যাপ্লিকেশন রয়েছে, যা আরডিএস ব্যবহার করে পোস্টগ্র্রেস ডিবিতে সংযুক্ত।

অ্যামাজন অনুসারে প্রয়োজনীয় পদক্ষেপগুলি হ'ল:

  1. কোনও ডিবি তদন্তের সাথে একটি সংযোগ এনক্রিপ্ট করার জন্য এসএসএল / টিএলএস ব্যবহার করে নতুন এসএসএল / টিএলএস শংসাপত্রটি ডাউনলোড করুন।
  2. নতুন এসএসএল / টিএলএস শংসাপত্রটি ব্যবহার করতে আপনার ডাটাবেস অ্যাপ্লিকেশনগুলি আপডেট করুন।
  3. আরডিএস-সিএ -2015 থেকে আরডিএস-সিএ -2017 এ সিএ পরিবর্তন করতে ডিবি উদাহরণটি সংশোধন করুন।

( https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USSWithRDS.SSL-cerર્ટate-rotation.html )

যেহেতু আমার লোড ব্যালান্সারগুলি এই জাতীয়ভাবে সেট আপ করা আছে (HTTP পোর্ট 80 (এসএসএল নয়) এর মাধ্যমে আমার ইসি 2 উদাহরণগুলির সাথে সংযুক্ত হচ্ছে) এর অর্থ কি আমার 1 এবং 2 পদক্ষেপ অনুসরণ করার দরকার নেই? এবং কেবলমাত্র পদক্ষেপ 3 অনুসরণ করুন?

LoadBalancerListeners

অথবা আমাকে আপডেট হওয়া শংসাপত্রগুলি ডাউনলোড করতে হবে এবং সেগুলি আমার লোড ব্যালেন্সার বা ইসি ইনস্ট্যান্সগুলিতে ম্যানুয়ালি ইনস্টল / যুক্ত করতে হবে? কীভাবে করবেন তা নিশ্চিত নয়।

ruby-on-rails  amazon-web-services  ssl-certificate  amazon-elastic-beanstalk  rds 
stwr667
সূত্র
1
শেষ পর্যন্ত কি করতে হবে? আমি চূড়ান্ত সমাধান কি ছিল তা পরিষ্কার নয়।
ওয়েবার
3
@ ওয়েবার, আমার যে প্রধান জিনিসটি নির্ধারণ করতে হবে তা হ'ল যদি ইসি 2 উদাহরণস্বরূপ কোনও বাঁধা আরডিএস সংযোগ সহ কোনও ইলাস্টিক বিয়ানস্টালক লোড ব্যালান্সারের পিছনে স্বয়ংক্রিয়ভাবে আপগ্রেড করা 2019 শংসাপত্রকে বিশ্বাস করে বা না। আমি নিশ্চিত ছিলাম না যে এসএসএইচিংয়ের মাধ্যমে তাদেরকে ম্যানুয়ালি বিশ্বাস করা দরকার, বা উদাহরণস্বরূপ .ebextensions। এটা পরীক্ষার পর শেষ পর্যন্ত, আমি নিশ্চিত করতে পারে যে তারা হয়নি স্বয়ংক্রিয়ভাবে নতুন যদি RDS সংযোগ আমাদের বিশ্বাস করেন। এখানে বর্ণিত হিসাবে যদি আরডিএস ডিবি উদাহরণটি EB পরিবেশ থেকে ডিকপলড হয় https://docs.aws.amazon.com/elasticbeanstalk/latest/dg/AWSHowTo.RDS.html, তবে আমি ফলাফল সম্পর্কে নিশ্চিত নই।
stwr667

উত্তর:

8

মাইএসকিউএলের সাথে আপনার অ্যাপ্লিকেশন সংযোগ টিএলএস এনক্রিপ্ট করা থাকলে কেবল পদক্ষেপ 1 এবং 2 প্রয়োজন ।

এলবি টিএলএস সেটিংস পরিবর্তন করবেন না এটি এটি আপনার অ্যাপ্লিকেশনটিকে ভেঙে দিতে পারে, এলবি টিএলএস অন্য কিছু, যেখানে আরডিএস টিএলএস অন্য কিছু।

যদি আপনার অ্যাপ্লিকেশনটি কেবল সাদামাটা সংযোগ তৈরি করে তবে আপনি সরাসরি পদক্ষেপ 3 চালানো নিরাপদ।

আরডিএস-সিএ -2015 থেকে আরডিএস-সিএ -2017 এ সিএ পরিবর্তন করতে ডিবি উদাহরণটি সংশোধন করুন।

সাধারণত ডিবি, ডিবি-র জন্য অনুশীলনটি ব্যক্তিগত সাবনেটে থাকা উচিত এবং এটি জনসাধারণের কাছ থেকে অ্যাক্সেসযোগ্য হওয়া উচিত নয়, যখন আপনার ডেটাবেস এবং ব্যাকএন্ড সংযোগটি ইন্টারনেটে থাকে, টিপিএস হসফুল হয়, ভিপিসির মধ্যে নয়।

মাইএসকিউএল ক্লায়েন্ট এবং সার্ভারের মধ্যে একটি এনক্রিপ্ট না হওয়া সংযোগের সাথে, নেটওয়ার্ক অ্যাক্সেস সহ কেউ আপনার সমস্ত ট্র্যাফিক দেখতে এবং ক্লায়েন্ট এবং সার্ভারের মধ্যে প্রেরিত বা প্রাপ্ত ডেটা পরীক্ষা করতে পারে।

Adiii
সূত্র
ধন্যবাদ @ আদিই। তুমি কি নিশ্চিত? এখানে docs.aws.amazon.com/AmazonRDS/latest/UserGuide/… এটি আপনার ডিবি সংযোগটি এসএসএল ব্যবহার করছে কিনা তা কীভাবে তা বর্ণনা করে। আমি যখন eb sshআমার সার্ভারে যাব, সেখান থেকে ডিবি দিয়ে কানেক্ট করুন psql, এবং তারপরে চালানো হবে select ssl_is_used(), এটি সত্য হবে! আমার আরডিএস উদাহরণটি আমার ইবি এনভায়রনমেন্টের সাথে আবদ্ধ আছে যেমন এখানে ডকস.এওএস.মাজোন / ইলাস্টিকিয়ানস্টিলক / স্লেট / ডিজি / described বর্ণিত রয়েছে । যেহেতু ইবি আরডিএসের সাথে স্বয়ংক্রিয়ভাবে সংযুক্ত রয়েছে, তাই উপরের ভিত্তিতে আমি উদ্বিগ্ন যে সিএ পরিবর্তন করা উত্পন্ন সংযোগটি ভেঙে দেবে।
stwr667
আমি সাধারণভাবে কথা বলছি, এটি কীভাবে সংযোগ তৈরি করে তা অ্যাপ্লিকেশনটির উপর নির্ভর করে তবে কোডটি এটি পলিন সংযোগের মাধ্যমে লিঙ্কের দ্বারা প্রস্তাবিত। var mysql = require('mysql'); var connection = mysql.createConnection({ host : process.env.RDS_HOSTNAME, user : process.env.RDS_USERNAME, password : process.env.RDS_PASSWORD, port : process.env.RDS_PORT }); connection.connect(function(err) { if (err) { console.error('Database connection failed: ' + err.stack); return; } console.log('Connected to database.'); }); connection.end();
আদিআইই
2
ধন্যবাদ @ আদি। Fyi আমি মাইএসকিউএল নয় পোস্টগ্র্রেস ব্যবহার করি good সুসংবাদটি হ'ল আমি একটি স্ন্যাপশট নিয়েছি এবং ঠিক এখনই 3 ধাপে চেষ্টা করেছি। প্রত্যাশার মতো সবকিছু এখনও কাজ করে। অ্যাপ্লিকেশন সার্ভার থেকে ডিবিতে পুনরায় সংযোগ করার সময়ও, এটি এখনও রিপোর্ট করে যে এটি এসএসএল ব্যবহার করছে তাই আমি ধরে নিই যে ইডিস্টিক বিয়ানস্টালক আরডিএস উদাহরণটি ইবি পরিবেশের সাথে আবদ্ধ হলে স্বয়ংক্রিয়ভাবে শংসাপত্রের বিশ্বাসকে পরিচালনা করে। আবার ধন্যবাদ.
stwr667
আপনি কিভাবে সংযোগ তৈরি? সংযোগের স্ট্রিংয়ে এসএসএল নির্দিষ্ট করেছে?
আদিআইই
তাই সংযোগ তথ্য সংজ্ঞায়িত করা হয় আমি একটি পাগল অ্যাপ্লিকেশান database.ymlযা মত ENV ভেরিয়েবল ডেকে RDS_DB_NAME, RDS_USERNAMEইত্যাদিতে (এমনকি এটি করতে পারে যদিও) SSL এর সেখানে প্রয়োজন নির্দিষ্ট করে না। যদিও আমি মনে করি, EB ডিফল্ট সেটিং মত কিছু হতে হবে allow, preferঅথবা require, একটি এনভায়রনমেন্ট ভেরিয়েবল বা কিছু মাধ্যমে কনফিগার করা হয়েছে। সিএফ: postgresql.org/docs/current/… । এটি স্পষ্টভাবে অন্য 3 টির মধ্যে একটি নয় কারণ disableএসএসএল বন্ধ হবে, এবং verifyআমি সি এল এল এ পরীক্ষার সময় অন্যান্য বিকল্পগুলি ব্যর্থ হয়েছিল।
stwr667
2

প্রশ্নের আরও সহজ উত্তর আছে:

আরডিএস-এর সাথে সংযুক্ত সিএ শংসাপত্রটি আপগ্রেড করলে আপনার বিনস্টাল্ক পরিবেশে আপনার কোনও কিছু ইনস্টল করার দরকার নেই। https://stackoverflow.com/a/59742149/7051819

কেবল পয়েন্ট 3 অনুসরণ করুন এবং 1 এবং 2 উপেক্ষা করুন।

(হ্যাঁ আমি নিজেই সে উত্তরটি লিখেছি)।

Rbbn
সূত্র
3
আমি মনে করি জাম্পের উত্তরটি নিচে ভোট হয়েছে কারণ বেশিরভাগ উত্পাদনের পরিবেশ ইলাস্টিক বেনস্টালকের মধ্যে আরডিএস ব্যবহার করে না। ইলাস্টিক বিনস্টালকের মধ্যে থেকে আরডিএস ব্যবহার করা সম্ভাব্য বিপজ্জনক কারণ আপনি যদি আপনার ইলাস্টিক বিস্টালক উদাহরণটি বন্ধ করেন তবে আপনার ডাটাবেসটিও সমাপ্ত হবে যা ডেটা ধরে রাখার উদ্দেশ্যে ভাল নয়। সুতরাং সাধারণভাবে ইলাস্টিক বিনস্টাল্ক পরিবেশ সম্পর্কে জিজ্ঞাসা করছেন যেখানে আরডিএস উদাহরণ পৃথক।
জেকিয়েট ওয়ার্ক
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.