Я настраиваю AWS VPC и делю его на общедоступные, кеш-, персистентные и вычислительные подсети. Я планирую разделить ресурсы следующим образом:
Чтобы обеспечить локальную разработку, я создал конечную точку AWS Client VPN и связал ее с один моих общедоступных подсетей.
После разрешения выхода из общедоступных подсетей в подсети постоянства и входа в постоянное состояние из общедоступных и обновления группы безопасности RDS я могу подключиться к базе данных через VPN.
Это работает, но мне интересно, было бы лучше создать подсеть только для VPN, чтобы еще больше разделить ресурсы. Будет ли это излишним, поскольку ELB - единственный другой ресурс в общедоступных подсетях?
Буду признателен за любой совет, и если есть другой способ достижения этой цели, я по-прежнему гибок. Я рассматривал возможность назначения группы безопасности для сетевой ассоциации VPN, но Terraform не может управлять этим.
Если честно, даже ваша установка - это излишек. В общем просто Общественные и Частный подсетей в 2 или 3 зонах доступности достаточно.
Контроль доступа лучше всего осуществлять через Группы безопасности прикреплен к ресурсам, со ссылками на правила входа другие группы безопасности, а не другие CIDR подсети или диапазоны IP-адресов. Например RDS SG может разрешить входящий доступ только с вашего EC2 SGнезависимо от того, какие IP-адреса имеют экземпляры EC2 или в какой подсети они находятся.
Таким образом, вы можете разделить отдельные ресурсы на группы безопасности и управлять трафиком между группами, не разбивая вашу сеть на кучи крошечных подсетей.
Надеюсь, это поможет :)