У меня на Amazon AWS есть следующие настройки:
Единственное, что я пока не совсем понимаю в этой настройке, относится к правилам безопасности.
Для экземпляра RDS Я бы хотел:
3306 доступ только из экземпляров EC2, запущенных группой Auto-Scaling,3306 доступ с моего собственного IP.У меня уже есть SG, настроенный для последнего, который работает нормально. Однако я не уверен, что делать с первым пунктом.
В различных ресурсах упоминается просто подключение того же SG, что и экземпляры EC2, к экземпляру RDS. Но если, например, EC2 SG позволяет порт 80 трафик для всех, и если я использую тот же SG для экземпляра RDS, разве это не предоставит каждому порт 80 доступ к экземпляру RDS?
Итак, возникает вопрос: как мне создать SG, который разрешает только экземплярам EC2 в группе Auto-Scaling доступ к порту RDS. 3306, а не все?
Наконец, как мне создать SG для экземпляров EC2 что разрешит доступ только к ELB?
Я бы предпочел использовать для этого веб-интерфейс AWS. Спасибо!
Чтобы ограничить доступ RDS только к вашим экземплярам Auto Scaling EC2 и разрешить доступ к вашим экземплярам EC2 только из вашего ELB, вы собираетесь использовать тот же метод: добавьте правило в свою группу безопасности на основе исходной группы безопасности (скорее, чем исходный IP-адрес CIDR).
Предполагая, что группа безопасности вашего экземпляра EC2 - sg-123, вы должны сделать следующее:
Это позволит входить в ваш экземпляр RDS от любого экземпляра EC2, к которому присоединена эта группа безопасности.
Вы бы сделали то же самое с группой безопасности вашего инстанса EC2 для вашей группы безопасности ELB. Это предоставит доступ к вашим экземплярам EC2 из ELB.