我有在EC2實例上動態部署的Web應用程序(可伸縮)。另外我有RDS mysql實例,它是由python和boto3動態創建的。現在RDS的端口3306是公開的,但我想只允許來自特定VPC的EC2連接。我可以在特定VPC(與EC2實例相同)上創建RDS嗎?創建這樣的EC2 + RDS的最佳實踐是什麼?在特定的VPC上創建AWS RDS
0
A
回答
2
RDS顯示一個端點FQDN並不意味着它是「公開」的。您需要處理VPC子網,安全組以啓用連接。
當您創建RDS時,您必須創建db_subnet並指向特定的VPC子網。這是RDS所在的邏輯網絡。
接下來會來訪問:只是RDS重視安全組,允許EC2訪問3306
參考:Creating a MySQL DB Instance and Connecting to a Database on a MySQL DB Instance
1
這當然是在同一個VPC您的Amazon EC2實例作爲最佳實踐亞馬遜RDS數據庫。推薦安全:
- 爲Web應用程序 EC2實例(
Web-SG
) - 在同一VPC
- 配置安全組啓動您的Amazon RDS例如在專用子網創建安全組在RDS實例上允許傳入的MySQL(3306)流量來自
Web-SG
安全組
如果您的RDS實例當前位於不同的VPC中,則可以拍攝快照,然後從快照創建一個新數據庫。
如果您使用的是彈性負載均衡,你甚至可以把您的Amazon EC2實例在專用子網因爲所有的訪問將通過負載平衡器。