У меня есть 3 подсети, созданные в Amazon VPC.
Частная база данных: 10.60.1.0/24 Частное приложение 10.60.2.0/24 Общедоступная 10.60.3.0/24
Я хотел бы иметь ограниченный интернет-доступ к серверу в подсети приложения, поэтому я создал эластичный сетевой интерфейс в публичной подсети, назначил ему общедоступный IP-адрес и подключил его к серверу.
Теперь я могу видеть сервер из Интернета, но я не могу видеть базу данных с сервера.
Как мне настроить сетевые карты и / или маршрутизацию, чтобы сервер был виден в Интернете, но также разрешил этому же серверу видеть базу данных?
В этой ситуации ничего особенного делать для маршрутизации не нужно.
Есть несколько областей, в которых вам необходимо применить настройки безопасности, чтобы разрешить потоку трафика из ПРИЛОЖЕНИЯ в БАЗУ ДАННЫХ.
К каждой подсети применяются правила Ingress и Engress. Вам необходимо убедиться, что вы разрешаете трафик OUT в подсети приложения и IN в подсети базы данных. Вы можете заблокировать это для определенного IP-адреса и порта.
Правила для входящего и исходящего трафика применяются к каждому EC2 (серверу) / RDS (базе данных). Вам необходимо убедиться, что вы разрешаете трафик OUT на сервере приложений и IN на сервере базы данных.
Если вы используете ENI, к нему будет применена группа безопасности.
В вашей операционной системе может быть собственный брандмауэр (например, в Linux есть iptables). Windows может иметь собственный брандмауэр.