Какой метод правильный для удаленного доступа к MySQL?

Question

[CyberPulse]

Что есть:

• 1 сервер MySQL в стойке
  
• Динамическое кол-во клиентов (50-150 компов, некоторые включаются, некоторые выключаются), которые должны работать с этой базой. Клиенты географически распределенные, но имеют стабильный коннект в интернет. Какие-то клиенты работают в режиме 1 запрос в 5-10 секунд, другие генерируют 20-30 запросов в секунду круглосуточно.
  

Сам вопрос: как организовать коннект клиентов к базе?

Уже рассматривал, но остались вопросы:

• API прослойку (не подходит из-за слишком большой переделки архитектуры клиентов + доп сервер в стойку)
  
• Выставить MySQL "попой" в интернет (весь интернет пестрит, что это не безопасно, в чем именно не говорят, кроме брутфорса)
  
• SSH туннель (нет личного опыта проверки его на стабильность и реконнекты типа autossh)
  
• VPN (нет личного опыта проверки его на стабильность)
  
• может еще есть что...
  

p.s. Клиенты не имеют постоянного ip

Answer 1

[ThunderCat]

vpn наиболее верное решение, собственно название как бэ намекает - виртуальная приватная сеть. То есть для удаленных пользователей создается эмуляция работы во внутренней сети. Есть ссш изкаропки.

Answer 2

[Сергей Соколов]

Может, IPTables? Если IP клиентов известны и постоянны, открыть 3306 только для них, а остальные порты и для прочих адресов всё наглухо закрыть.

Comments

[CyberPulse]

ip клиентов динамически

Answer 3

[Александр Черных]

Выставить MySQL "попой" в интернет

- это не страшно. Фаерволом даем доступ нужным адресам (они должны быть статические) и закрываем для остальных
Еще между точками можно настроить шифрование mysql

ВПН- на случай, если у клиентов динамические адреса, тогда шифрование mysql не нужно. Канал уже должен быть шифрованый