У нас есть несколько машин, которые взаимодействуют друг с другом внутри VPC на AWS. Все они находятся в частных подсетях без публичного IP-адреса. Одна из этих машин - сервер MSSQL, наша основная база данных.
В нашем офисе у нас есть туннель vpn с этим vpc, и мы можем использовать частный IPS.
Я пытаюсь безопасно получить доступ через Интернет к базе данных из моего дома, пытаясь не изменять экземпляр базы данных.
Я создал общедоступный балансировщик нагрузки, который слушает tcp 1433 и передает трафик экземпляру также на порт 1433; это дает мне доступ к базе данных, но я беспокоюсь, что это небезопасно.
Я хотел бы, чтобы трафик был зашифрован, идя к балансировщику нагрузки, а затем попадая в БД, как обычный трафик после этого.
Возможно ли это с помощью балансировщика нагрузки?
У меня есть домен и сертификат через диспетчер сертификатов AWS.
Самый простой способ сделать это - создать базу данных с включенным «общедоступным», что необходимо сделать во время создания. Как только это будет сделано, вы должны убедиться, что группа безопасности открыта, чтобы разрешить доступ с желаемых IP-адресов. Я считаю, что AWS обеспечивает маршрут в Интернет, но не думаю, что вам нужно его маршрутизировать.
Другой вариант - установить сеанс VPN в вашей рабочей сети, а оттуда использовать существующий VPN в экземпляре базы данных.
Если вы не создали базу данных с этой опцией, вы можете использовать какой-нибудь хост-бастион в качестве прокси. Это довольно хорошо описано Вот, Не вижу необходимости копировать и вставлять ответ. Этот вопрос и ответ дает более подробную информацию о настройке хоста-бастиона.
Использование балансировщика нагрузки в качестве прокси-сервера - интересный выбор, я бы никогда не задумывался об этом, поскольку обычно так не делается. Балансировщики нагрузки обычно располагаются в общедоступной DMZ, при этом веб-серверы находятся в другой подсети, а база данных - в другой подсети, поэтому ELB не должен иметь доступа к базе данных. Плоская сеть с вашими серверами и базой данных в одной подсети увеличивает риск. Я, вероятно, предпочел бы использовать экземпляр EC2, так как могу добавить больше безопасности. Вы можете сделать его конечной точкой VPN и использовать в качестве прокси.