[pyar] [Semi-OT] SSL Offloading

[Luis Masuelli]

Las limitaciones que doy por asumidas no son por cuestiones arquitecturales. Son por cuestiones de presupuesto (o amarretismo, no estoy seguro). Es un solo servidor y francamente de muy mala calidad (cosa que les advertí, honestamente).
Lo que no va a cambiar es que solamente tengo una IP disponible. ¿Como es el tema de los LXC? Realmente jugarla de sysadmin es algo demasiado nuevo para mí.
Tenés razón el que no pensé en la VPN. Recién entro a configurarlo y la verdad que no se me había ocurrido.
En cuanto a lo de Apache->nginx (o Apache->Apache): Nunca configuré un Apache Y un nginx juntos, así q es un experimento aún más nuevo para mí. Lo que me decís de ponerlo alrevés: ¿es una cuestión de buenas prácticas o tiene en serio implicancias de seguridad?
La posta es q estoy medio en pelotas con esto. Me gustaría contar con más presupuesto (para tener un buen servidor y poder virtualizar, ponele) pero no se puede (hoy).

> From: marcelo.fidel.fernandez en gmail.com
> Date: Sat, 23 Aug 2014 11:12:08 -0300
> To: pyar en python.org.ar
> Subject: Re: [pyar] [Semi-OT] SSL Offloading
> 
> Hola Luis,
> 
> A priori desconozco algunas limitaciones de tu infraestructura, pero
> evitaría a toda costa montar _un_ único servidor con servicios tan
> dispares. Disculpá si no voy a contestar puntualmente sobre lo que
> preguntás, pero me hacen ruido ciertas limitaciones que das como
> asumidas y quisiera saber si evaluaste alguna alternativa.
> 
> El 22 de agosto de 2014, 20:51, Luis Masuelli
> <luismasuelli en hotmail.com> escribió:
> > Estoy puteando con unas configuraciones de nginx desde hace un rato.
> >
> > El tema es el siguiente: en este nginx van a convivir varias aplicaciones.
> > Algunas son en PHP (son drupals que me dan ganas de cortarme las bolas),
> > otras son en JAVA (son tomcats, aunque capaz que ahora que no tengo mas el
> > jira "gharrrrrr!" ni el confluence tambien "gharrrrrrrr!" lo puedo fletar),
> > y otras van a ser (todavia no, lastima) en Python/Django.
> 
> ¿Consideraste usar máquinas virtuales o a lo sumo LXCs (Linux
> Containers) para montar los distintos servicios en web servers
> diferentes? ¿Sólo tenés una IP pública disponible?
> 
> > Por motivos de hacerlo similar a un entorno productivo, y por el hecho de
> > que el manager HTML de tomcat y el PHPMyAdmin van a estar expuestos. Se que
> > es medio raro eso de exponer un PHPMyAdmin de una empresa pero imaginense
> > cuando hay que apagar un incendio y estamos arafue. Queremos poder apagar
> > incendios pero no que nos rompan la bd unos boludos (escenario bastante
> > cercano considerando que nos hackearon unos wordpress hace poco).
> 
> El tema acceso remoto se soluciona con una VPN (OpenVPN) o SSH (pero
> normalmente es mejor la VPN).
> 
> > Entonces tenemos que exponer por SSL esas aplicaciones. Yo pensaba:
> 
> Tengo entendido que normalmente es al revés; los terminadores HTTPS
> son Apache y están en "el borde" y hacen Proxy Pass (reverso) a los
> Nginx o Apaches en modo HTTP detrás, en la DMZ.
> 
> 
> Saludos
> -- 
> Marcelo F. Fernández
> Buenos Aires, Argentina
> Lic. en Sistemas de Información
> 
> E-Mail: marcelo.fidel.fernandez en gmail.com
> Blog: http://blog.marcelofernandez.info
> Twitter: http://twitter.com/fidelfernandez
> _______________________________________________
> pyar mailing list pyar en python.org.ar
> http://listas.python.org.ar/listinfo/pyar
> 
> PyAr - Python Argentina - Sitio web: http://www.python.org.ar/
> 
> La lista de PyAr esta Hosteada en USLA - Usuarios de Software Libre de Argentina - http://www.usla.org.ar
 		 	   		  
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <http://listas.python.org.ar/pipermail/pyar/attachments/20140823/9810ee2d/attachment.html>