Greifen Sie in VPC auf die Amazon EC2 RDS-Instanz zu

11

Ich habe eine Amazon RDS-Instanz in der "klassischen" EC2 eingerichtet (keine VPC.)

Ich habe auch eine VPC eingerichtet, die unsere neueren, migrierten Anwendungen und dergleichen enthält.

Es scheint jedoch keine Möglichkeit zu geben, eine Kombination von CIDR- oder EC2-Sicherheitsgruppen in den DB-Sicherheitsgruppen anzugeben, die es meinen VPC-Instanzen ermöglichen, eine Verbindung herzustellen. Die zulässigen Sicherheitsgruppen sind nur die "klassischen" Sicherheitsgruppen.

Ich kann keine Dokumentation finden, die darauf hindeutet, dass dies nicht machbar ist, aber ich kann auch keine Dokumentation bejahen. Googeln führt auf viele Ergebnisse in die "andere Richtung", z. B. RDS-Instanzen in VPC und Instanzen in EC2. Ich habe das gegenteilige Problem.

Betrachte ich eine Wiederherstellung zu einem bestimmten Zeitpunkt für eine neue Instanz (en) in VPC, damit die Konnektivität funktioniert? Ich verstehe, dass ich eine öffentliche Verfügbarkeitsanforderung aufrechterhalten kann, aber ich möchte meinen VPC-Instanzen vorerst einfach erlauben, eine Verbindung herzustellen.

Sam Halicke
quelle
Ich kann keinen Kommentar hinzufügen. Fragen Sie hier, ob Sie das herausgefunden haben.
Hassan Javeed
Ich habe genau das gleiche Migrationsproblem. Konnten Sie dies tun?
Rodrigo Asensio

Antworten:

7

Wenn sich Ihre VPC EC2-Instanzen in privaten Subnetzen befinden, benötigt Ihre VPC für den Zugriff auf EC2-Classic ein NAT. Geben Sie Ihrem NAT eine elastische IP-Adresse, damit es eine konstante öffentliche IP-Adresse ist.

Lassen Sie dann in Ihrer RDS-Sicherheitsgruppe den Zugriff nur für diese elastische IP-Adresse zu.

Wenn sich Ihre VPC EC2-Instanzen in öffentlichen Subnetzen befinden, können Sie jeder von ihnen elastische IP-Adressen geben und nur auf diese IP-Adressen in Ihrer RDS-Sicherheitsgruppe zugreifen. Dies ist schwieriger, wenn sie Teil von Gruppen mit automatischer Skalierung sind.

Matt Houser
quelle
Wie viel würde dieser Verkehr für Schnüffeln anfällig sein (fragen, wie er unter Berücksichtigung der öffentlichen IP-Adresse weitergeleitet würde)?
Itai Frenkel