将群集节点保持在物理上与任何公共网络分离的网络上。这个选择是最可靠的;然而，它的实现成本是最高的。

我们展示了一个使用物理隔离网络的NDB集群设置示例:

图23.28配置硬件防火墙的NDB集群

这个设置有两个网络，一个私有的(实框)用于集群管理服务器和数据节点，一个公共的(虚线框)用于SQL节点。(我们展示了使用千兆交换机连接的管理节点和数据节点，因为这提供了最佳性能。)这两个网络都由硬件防火墙(有时也称为基于网络的防火墙．

这种网络设置是最安全的，因为任何数据包都不能从网络外部到达集群的管理节点或数据节点(集群的任何内部通信都不能到达外部)，只要SQL节点不允许转发任何数据包，就不需要通过SQL节点。当然，这意味着必须保护所有SQL节点不受黑客攻击。

使用一个或多个软件防火墙(也称为基于主机的防火墙)来控制哪些数据包从网络中不需要访问的部分进入集群。在这种类型的设置中，必须在集群中的每个主机上安装软件防火墙，否则可以从本地网络外部访问这些主机。

基于主机的选项实现起来成本最低，但完全依赖软件提供保护，因此最难保持安全。

NDB集群的网络设置如下:

图23.29配置软件防火墙的NDB集群

使用这种类型的网络设置意味着NDB集群主机有两个分区。每个集群主机必须能够与集群中的所有其他机器通信，但只有那些承载SQL节点(虚线框)的主机可以与外部进行任何联系，而包含数据节点和管理节点的区域中的主机(实框)必须与不属于集群的任何机器隔离。使用集群的应用程序和这些应用程序的用户必须不允许直接访问管理节点和数据节点主机。

为了实现这一点，您必须设置软件防火墙，根据每台集群主机上运行的节点类型，将流量限制为下表所示的类型:

对于给定的节点类型，应该拒绝表中所示以外的任何流量。

配置防火墙的细节因防火墙应用程序而异，超出了本手册的范围。iptables是一个非常常见和可靠的防火墙应用程序，它经常与什么一起使用APF作为前端，使配置更容易。如果您选择实现这种类型的NDB集群网络设置，您可以(而且应该)参考10bet官方网站您所使用的软件防火墙的文档”混合”按下一项讨论的方式打字。

也可以将前两种方法结合使用，即使用硬件和软件来保护集群，也就是说，同时使用基于网络和基于主机的防火墙。这在安全级别和成本方面介于前两种方案之间。这种类型的网络设置将集群置于硬件防火墙之后，但允许传入数据包通过连接所有集群主机的路由器到达SQL节点。

NDB集群使用硬件和软件防火墙的一种可能的网络部署如下:

图23.30软硬件结合的NDB集群

在这种情况下，您可以在硬件防火墙中设置规则，禁止除SQL节点和API节点以外的任何外部流量，然后只允许应用程序所需的端口上的流量通过它们。