Рейтинг:0

AWS: ограничить внешний доступ к базе данных, но разрешить доступ задаче ECS

флаг jp

Я не силен в сетевом администрировании, поэтому мне нужна помощь, чтобы сделать что-то действительно простое на AWS. По сути, у меня есть база данных RDS на vpc, назовем ее VPC1. База данных также связана с группой безопасности VPC «По умолчанию: sg1».

У меня есть сервер API, которому необходимо получить доступ к базе данных, работающей как образ докера (служба) с использованием ECS. Этот сервер API связан с балансировщиком нагрузки на том же VPC ID VPC1. У задачи внешний IP XXX.XXX.XXX.XXX и внутренний IP YYY.YYY.YYY.YYY

Все, что я хочу сделать, это разрешить службе ECS доступ к базе данных, но запретить любой другой внешний доступ.

Я пробовал следующее:

  • добавить частный IP-адрес в правило SG для входящего трафика
  • добавить общедоступный IP-адрес в правило SG для входящего трафика
  • Добавьте группу безопасности сети, частью которой является задача, в правило SG Протокол для тестирования установлен на "все"

Ни один из них не работает. Что мне здесь не хватает?

Рейтинг:1
флаг gp
Tim

Обычно я делаю это со ссылками на группы безопасности, а не с IP-адресами. Убедитесь, что каждому ресурсу (БД, ECS) назначена группа безопасности, которая не используется ни для чего другого, т. е. не SG по умолчанию. По умолчанию работает, но это не очень хорошая практика, и ее сложнее отслеживать.

Вам необходимо ввести соответствующие правила группы безопасности, чтобы разрешить трафик из ECS в БД и в БД из ECS:

  • ECS SG: разрешить исходящий возможность подключения к БД SG на нужный порт.
  • БД SG: разрешить входящий возможность подключения от БД SG на нужный порт.

Поскольку группы безопасности сохраняют состояние, вам не нужно разрешать входящие в ECS или исходящие из БД.

Если по какой-то причине вам нужно сделать это с IP-адресами, убедитесь, что вы используете частные IP-адреса, а не общедоступные. В AWS общедоступные IP-адреса транслируются только в интернет-шлюзе, они не используются в VPC.

флаг jp
Да, похоже, это было лучшее и самое безболезненное решение. Спасибо любезно.

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.