Mudanças entre as edições de "Projeto de Infraestrutura Orientada a SaaS"
| Linha 106: | Linha 106: | ||
* Neste modelo os arquivos são configuráveis apenas pela Asimov. Para demais máquinas não a permissão de escrita. | * Neste modelo os arquivos são configuráveis apenas pela Asimov. Para demais máquinas não a permissão de escrita. | ||
* Para webmaster editar arquivos poderá ser concebido aecesso a um ftp ou webdav em máquina de publicação. | * Para webmaster editar arquivos poderá ser concebido aecesso a um ftp ou webdav em máquina de publicação. | ||
| − | * | + | * Definir repositórios por tipo de serviço. |
Edição das 16h54min de 14 de maio de 2012
Introdução
Fundamentação
Desenvolvimento
Recursos disponíveis
Concepção do projeto
Serviço principal: HTTP
Protocolo Genérico
Segundo a RFC 2616: "HTTP is also used as a generic protocol for communication between user agents and proxies/gateways to other Internet systems, including those supported by the SMTP [16], NNTP [13], FTP [18], Gopher [2], and WAIS [10] protocols. In this way, HTTP allows basic hypermedia access to resources available from diverse applications".
Associado a esse serviço de aplicação genérica, percebeu-se, analisando o cenário atual, que é importante, para fins de disponibilidade, oferecer esse mesmo serviço de forma mais distribuída. No caso, o balanceamento de carga em nível de Aplicação, já documentado e amparado na mesma RFC 2616.
Balanceamento de carga
Balanceamento de Carga em Servidores Web
http://pt.wikipedia.org/wiki/Balanceamento_de_carga
Apache como Proxy Reverso
Segundo o Wiki …. “Proxy reverso é um servidor proxy que é fica na frente de outros servidores. Tipicamente proxy reverso é usado na frente de servidores web. Todas as conexões vindo da internet endereçadas para um dos servidores web são roteadas pelo proxy server… “
Ou seja, toda e qualquer conexão passa pelo proxy server, que é o ponto de contato entre o cliente e os servidores. ...
Razões para utilizar um proxy reverso
- Segurança: o proxy server provê uma camada adicional de segurança separando ou mascarando os tipos de servidores que estão atrás do proxy.
- Encripitação/ SSL acceleration: Quando sites seguros são criados, a encriptação SSL as vezes não é realizada pelo servidor web e sim pelo proxy reverso que é equipado por um hardware de aceleração SSL.
- Balanceamento de carga: Proxy reverso pode distribuir a carga em vários servidores .
- Caching: Um proxy reverso pode diminuir a carga dos servidores web promovendo cache, diminuindo consideravelmente o número de requisições nos servidores web.
- Compressão : O proxy pode otimizar e comprimir o conteúdo aumentando assim a velocidade.
http://joaocosme.wordpress.com/2009/07/27/apache-load-balance-lenny/
Segurança
AAA
Authentication, Authorization and Accounting (AAA) Transport Profile
Authentication, Authorization, Accounting (AAA) architecture
Safer Apache Driving with AAA
As you are probably already aware, AAA is divided into three parts that have important differences, but which are often smushed together in peoples' minds due to the current implementation, which makes very little distinction between them.
Authentication is the process if finding out if you are who you claim to be. In the real world, this is often accomplished with some form of photo identification. This illustrates that some higher authority (like the state government, for example) certifies that you are who you claim to be. In the networked world, this usually takes the form of a username and password, which, presumably, nobody else knows.
Authorization is determining, once we know who you are, whether you are allowed in. I usually make the analogy to a plane ticket, which is required in addition to your identification (authentication) in order to get on a plane.
Finally, access control is the application of some other, and usually unrelated, criteria, to control access. This can be your network address, the time of the day, or the phase of the moon. (Yes, I have written an AC module that restricts access based on the phase of the moon.)
In Apache 1.3, and Apache 2.0, these three processes tend to get slightly jumbled together -- particularly the first two. This is probably more the fault of the various auth tutorials out there, which tend to make the distinction, and then proceed to ignore it.
http://www.serverwatch.com/tutorials/article.php/2202671/Safer-Apache-Driving-with-AAA.htm
Criptografia
HTTPS
HTTPS (HyperText Transfer Protocol Secure ), é uma implementação do protocolo HTTP sobre uma camada adicional de segurança que utiliza o protocolo SSL/TLS. Essa camada adicional permite que os dados sejam transmitidos através de uma conexão criptografada e que se verifique a autenticidade do servidor e do cliente através de certificados digitais. A porta TCP usada por norma para o protocolo HTTPS é a 443. O protocolo HTTPS é utilizado, em regra, quando se deseja evitar que a informação transmitida entre o cliente e o servidor seja visualizada por terceiros, como por exemplo no caso de compras online. A existência na barra de tarefas de um cadeado (que pode ficar do lado esquerdo ou direito, dependendo do navegador utilizado) demonstra a certificação de página segura (SSL). A existência desse certificado indica o uso do protocolo HTTPS e que a comunicação entre o browser e o servidor se dará de forma segura. Para verificar a identidade do servidor é necessário abrir esse certificado com um duplo clique no cadeado para exibição do certificado.
http://pt.wikipedia.org/wiki/HTTPS
Transport Layer Security
O Transport Layer Security - TLS (em português: Segurança da Camada de Transporte) e o seu predecessor, Secure Sockets Layer - SSL (em português: Protocolo de Camada de Sockets Segura), são protocolos criptográficos que conferem segurança de comunicação na Internet para serviços como email (SMTP), navegação por páginas (HTTP) e outros tipos de transferência de dados. Há algumas pequenas diferenças entre o SSL 3.0 e o TLS 1.0, mas o protocolo permanece substancialmente o mesmo. O termo "SSL" usado aqui aplica-se a ambos os protocolos, exceto se disposto em contrário. O protocolo SSL 3.0 também é conhecido como SSL3, e o TLS 1.0 como TLS1 ou ainda SSL3.1.
http://pt.wikipedia.org/wiki/TLS https://www.ssl.com/ https://tools.ietf.org/html/rfc5246
Transferência de arquivos
WebDAV é um acrônimo de Web-based Distributed Authoring and Versioning, ou Criação e Distribuição de Conteúdo pela Web. É uma extensão do protocolo HTTP para transferência de arquivos; suporta bloqueio de recursos. Quando uma pessoa está editando um arquivo, ele fica bloqueado, impedindo que outras pessoas façam alterações ao mesmo tempo. É uma extensão do protocolo HTTP para transferência de arquivos; suporta bloqueio de recursos. Quando uma pessoa está editando um arquivo, ele fica bloqueado, impedindo que outras pessoas façam alterações ao mesmo tempo.
RFC 4918: HTTP Extensions for Web Distributed Authoring and Versioning (WebDAV)
Serviços auxiliares: Armazenamento de Dados
Diretórios
Sistema Gerenciador de Banco de Dados (SGBD)
- Livro para leitura: MySQL High Availability.
Controle de versão distribuído
Objetivo:
- Controle ou gestão da configuração de equipamentos e aplicações.
Vantagens:
- Distribuição dos arquivos para espelhamento dos serviços nas máquinas de redudância.
- Recuperar cenários de forma equivalente a um backup.
- Concentrar em única estrutura de dados as informações sensíveis a administração da rede.
Políticas:
- Neste modelo os arquivos são configuráveis apenas pela Asimov. Para demais máquinas não a permissão de escrita.
- Para webmaster editar arquivos poderá ser concebido aecesso a um ftp ou webdav em máquina de publicação.
- Definir repositórios por tipo de serviço.
Repositórios:
- /etc/ -> Alguns arquivos
- Informação passível de perda (criado pelo administrador), geralmente arquivos de configurações.
- /var/www
- Todos arquivos exceto arquivos de uploads
- /srv/tftp (Explicado na camada de enlace)
- Configurações de switchs e roteadores.