어떤 공용 네트워크에서 물리적으로 분리 된 네트워크에서 클러스터 노드를 유지합니다. 이 옵션은 신뢰성이 높습니다 만, 구현 비용도 가장 높습니다.

그렇다면 이처럼 물리적으로 분리 된 네트워크를 사용하여 MySQL Cluster 설정을 보여줍니다.

이 설정은 클러스터 관리 서버 및 데이터 노드 중 하나의 비공개 (실선으로 된 사각형)와 SQL 노드가 존재하는 하나의 공용 (점선 사각형)의 2 개의 네트워크가 있습니다. (기가비트 스위치는 최고의 성능을 제공하기 때문에이를 사용하여 연결된 관리 노드와 데이터 노드를 보여줍니다.) 어떤 네트워크도 하드웨어 방화벽 (네트워크 기반 방화벽이라는 것도 있습니다 )에 의해 외부로부터 보호되고 있습니다.

SQL 노드에서 패킷 전송이 허용되지 않으면 패킷은 SQL 노드를 통과하지 않고 네트워크 외부에서 클러스터 관리 노드 또는 데이터 노드에 도달 할 수없는 (어떤 클러스터 내부 통신도 외부에 도달 할 수없는) 때문에 이 네트워크가 가장 안전합니다. 이것은 당연히 모든 SQL 노드를 해킹 시도에 대해 보안해야한다는 것을 의미합니다.

하나 이상의 소프트웨어 방화벽 (호스트 기반 방화벽이라는 것도 있습니다)를 사용하여 액세스 할 필요가없는 네트워크 부분에서 클러스터까지 통과하는 패킷을 제어 할 수 있습니다. 이 유형의 설정은 그게 없으면 로컬 네트워크 외부에서 접근 할 수있게 할 수있는 클러스터의 모든 호스트에 소프트웨어 방화벽을 설치해야합니다.

호스트 기반 옵션은 구현 비용이 가장 낮은이지만 보호를 제공하는 소프트웨어에 전적으로 의존하고 있기 때문에 안전한 상태를 유지하는 것이 가장 어렵습니다.

다음은 MySQL Cluster에 대한 이런 종류의 네트워크 설정의 예를 보여줍니다.

이 유형의 네트워크 설정을 사용하는 것은 MySQL Cluster 호스트의 두 영역이 존재하는 것을 의미합니다. 각 클러스터 호스트는 클러스터의 다른 모든 컴퓨터와 통신 할 수 있지만, SQL 노드를 호스팅하는 컴퓨터 (점선 사각형) 만 외부와의 연결을 허용 할 데이터 노드 및 관리 노드를 포함하는 영역의 머신 (실선으로 된 사각형)는 클러스터에 포함되지 않는 모든 시스템에서 분리해야합니다. 클러스터를 사용하는 응용 프로그램과 해당 응용 프로그램의 사용자는 관리 노드와 데이터 노드 호스트에 직접 액세스를 허용하지 마십시오.

이것을 실현하려면 각 클러스터 호스트 컴퓨터에서 실행되는 노드의 유형에 따라 다음 표에 나열된 하나 이상의 유형에 트래픽을 제한하는 소프트웨어 방화벽을 설정해야합니다.

특정 노드 유형의 표에 나타난 다른 트래픽은 거부되어야합니다.

방화벽 구성 사양은 방화벽 응용 프로그램마다 다르므로이 문서의 범위를 벗어납니다. iptables는 매우 일반적이고, 안정적인 방화벽 응용 프로그램이기 때문에 많은 경우에 구성을보다 쉽게하기 위해 프런트 엔드로 APF 함께 사용됩니다. 이 유형 또는 다음 항목에서 설명하는 "혼합"유형의 MySQL Cluster 네트워크 설정을 구현하도록 선택한 경우 채용하는 소프트웨어 방화벽에 대한 문서를 볼 수 있습니다 (해야한다).

하드웨어와 소프트웨어를 모두 사용하여 (즉, 네트워크 기반 및 호스트 기반의 두 방화벽을 사용하여) 클러스터를 보호하는 것으로, 처음 두 가지 방법을 조합 한 것을 채용 할 수 합니다. 이것은 보안 수준과 비용 측면에서 처음 두 제도의 중간에 위치하는 것입니다. 이 유형의 네트워크 설정은 클러스터가 하드웨어 방화벽 뒤에 배치되지만 들어오는 패킷은 SQL 노드에 도달하기 위해 모든 클러스터 호스트에 연결된 라우터를 통과하도록 허용됩니다.

다음 하드웨어와 소프트웨어 모두 방화벽을 함께 사용함으로써 실현할 수 MySQL Cluster 클러스터의 네트워크 배치의 예를 보여줍니다.

이 경우 SQL 노드 및 API 노드로 트래픽을 제외한 모든 외부 트래픽을 거부하고 응용 프로그램에서 필요로하는 포트에서만 해당 노드로 트래픽을 허용하도록 하드웨어 방화벽 규칙을 설정할 수 합니다.