Security

連接不同 VPC 中的 RDS 實例的安全策略最佳實踐

  • March 12, 2018

我目前在同一地區的同一個亞馬遜賬戶上設置了 2 個 VPC。讓我們打電話給他們vpc-111111vpc-222222進行說明。

我有一個公共RDS 伺服器正在執行vpc-111111(以及一些 Elastic Beanstalk 實例)。但是,我剛剛設置了一個新的 Elastic Beanstalk 實例vpc-222222,需要在vpc-111111.

通常,我會調整 RDS 實例的安全策略以包含每個 EB 實例的安全組,以允許它們通過埠 3306 訪問 RDS 伺服器。

但是,在更改 RDS 安全組設置時,我無法從vpc-222222. 它僅列出vpc-111111可供選擇的安全組。

作為短期措施,我只是將 EB 實例的公共 IP 地址添加到 RDS 安全策略中,但這對我來說似乎不優雅和混亂,因為如果我重建 EB 環境,我將不得不手動更改它 - 加上如果 EB 實例自動擴展以稍後添加新實例,它將不起作用。

我想我在這裡錯過了一些明顯的東西。我是否需要對等兩個 VPC 並vpc-222222在 RDS 安全策略中設置子網以允許訪問?

我會在兩個 VPC 之間使用 VPC 對等互連。然後配置您的入站/出站規則以引用對面 VPC 中的安全組。這也為您提供了通過私有 IP 地址/私有 DNS 端點訪問 RDS 的好處。

更新您的安全組以引用對等 VPC 組

引用自:https://serverfault.com/questions/901134