在特定的VPC上创建AWS RDS
问题描述:
我有在EC2实例上动态部署的Web应用程序(可伸缩)。另外我有RDS mysql实例,它是由python和boto3动态创建的。现在RDS的端口3306是公开的,但我想只允许来自特定VPC的EC2连接。我可以在特定VPC(与EC2实例相同)上创建RDS吗?创建这样的EC2 + RDS的最佳实践是什么?在特定的VPC上创建AWS RDS
答
RDS显示一个端点FQDN并不意味着它是“公开”的。您需要处理VPC子网,安全组以启用连接。
当您创建RDS时,您必须创建db_subnet并指向特定的VPC子网。这是RDS所在的逻辑网络。
接下来会来访问:只是RDS重视安全组,允许EC2访问3306
参考:Creating a MySQL DB Instance and Connecting to a Database on a MySQL DB Instance
答
这当然是在同一个VPC您的Amazon EC2实例作为最佳实践亚马逊RDS数据库。推荐安全:
- 为Web应用程序 EC2实例(
Web-SG) - 在同一VPC
- 配置安全组启动您的Amazon RDS例如在专用子网创建安全组在RDS实例上允许传入的MySQL(3306)流量来自
Web-SG安全组
如果您的RDS实例当前位于不同的VPC中,则可以拍摄快照,然后从快照创建一个新数据库。
如果您使用的是弹性负载均衡,你甚至可以把您的Amazon EC2实例在专用子网因为所有的访问将通过负载平衡器。