В настоящее время у меня есть 2 VPC, настроенных в одной учетной записи Amazon в одном регионе. Давай назовем их vpc-111111 и vpc-222222 для иллюстрации.
у меня есть общественный Сервер RDS работает в vpc-111111 (вместе с некоторыми экземплярами Elastic Beanstalk). Однако я только что установил новый экземпляр Elastic Beanstalk на vpc-222222 которому требуется доступ к серверу RDS в vpc-111111.
Обычно я просто настраиваю политику безопасности экземпляра RDS, чтобы включить группу безопасности каждого экземпляра EB, чтобы позволить им получить доступ к серверу RDS через порт 3306.
Однако при изменении настроек группы безопасности RDS я не могу выбрать какие-либо группы безопасности EB из vpc-222222. В нем перечислены только группы безопасности для vpc-111111 выбирать из.
В качестве краткосрочной меры я просто добавил общедоступный IP-адрес экземпляра EB в политику безопасности RDS, но мне это кажется неэлегантным и беспорядочным, так как мне придется вручную изменять его, если я перестрою среду EB - ПЛЮС это не сработает, если экземпляр EB автоматически масштабируется для добавления новых экземпляров позже.
Думаю, я упустил здесь что-то очевидное. Нужно ли мне подключать два VPC и настраивать vpc-222222 подсеть в рамках политики безопасности RDS, чтобы разрешить доступ?
Я бы использовал пиринг VPC между двумя VPC. Затем настройте правила для входящего / исходящего трафика, чтобы они ссылались на группы безопасности в противоположном VPC. Это также дает вам преимущество доступа к RDS через частные IP-адреса / частные конечные точки DNS.
Обновление групп безопасности для ссылки на группы однорангового VPC