最大化 gunicorn 系統的安全性

我有 2 台機器執行 ubuntu 伺服器，一台作為執行 nginx 的代理，另一台作為執行 gunicorn 的應用伺服器。讓我們命名 nginx 機器伺服器 1 和 gunicorn 伺服器 2。

一切正常，但是為了讓伺服器 1 與伺服器 2 通信，我必須在伺服器 2 中打開埠。在這種特殊情況下，我在 ufw 中允許埠 8000。

這是常見的做法嗎？隨著我的應用程序的增長和我添加更多的應用程序伺服器，我是否也必須為這些機器打開這些埠？如果有 3 個應用伺服器，我必須打開 8000、8001、8002？我假設這會增加安全漏洞？保護這樣的系統的最佳實踐是什麼？

對於不應向公眾公開的後端 Web 應用程序、MongoDB 等私有服務，僅允許來自需要連接到它們的 IP 地址或網路的傳入流量到其埠。

例如：

sudo ufw allow from 203.0.113.187 to any port 8000 proto tcp

引用自：https://serverfault.com/questions/1052189