请教一下大家，云服务器安全配置问题~

背景：我属于是甲方公司，技术兼运维。开发公司技术不够，咱也不知道是关系还是啥。总共有三台服务器，
1 台服务器跑的是后端服务+nginx ；
1 台跑的是中间件：redis 、mysql 、elasticsearch ；
1 台跑的是聊天组件。
以上服务全都用 docker 跑的，没错~都是用 docker-compose 运行的。端口开发的一塌糊涂，ssh 、mysql 、redis 、elasticsearch 、kibana 端口全在公网暴露，其中 redis 、elasticsearch 、kibana 没有密码就可以连接。
我想给他重构一下，我技术也很菜，下面是我想的方案，想请大家给帮忙指教一下~

看了好多帖子，大部分都是说 VPN 和堡垒机什么的，我也不会用这些~
我想的安全配置是：
1. 公网端口全部禁用掉（只留 im 服务和 nginx 服务端口），其他全部走阿里云的主私网 IP172 。期间可能要远程连接 mysql ，如果开放 mysql 公网端口的话那就把自己的 IP 地址设置到网络安全组的白名单中；
2. ssh 禁止密码访问，设置秘钥访问。新建一个普通用户，执行命令用 sudo ；
3.ssh 公网端口设置 ip 白名单，然后用 fail2ban ，设置错误 3 次就 denyIp 。

以上就是我想的方案，水平有限，所以想请教一下大家~希望大家不吝赐教。公司有说堡垒机，但是我不会用。堡垒机有作用的话我会去学