Ich habe derzeit 2 VPCs auf demselben Amazon-Konto in derselben Region eingerichtet. Rufen wir sie zur Veranschaulichung auf vpc-111111und .vpc-222222
Ich habe einöffentlichRDS-Server läuft in vpc-111111(zusammen mit einigen Elastic Beanstalk-Instanzen). Ich habe jedoch gerade eine neue Elastic Beanstalk-Instanz eingerichtet, vpc-222222die auf den RDS-Server in zugreifen muss vpc-111111.
Normalerweise würde ich einfach die Sicherheitsrichtlinie der RDS-Instanz anpassen, um die Sicherheitsgruppe jeder EB-Instanz einzuschließen und ihnen den Zugriff auf den RDS-Server über Port 3306 zu ermöglichen.
Wenn ich jedoch die RDS-Sicherheitsgruppeneinstellungen ändere, kann ich keine EB-Sicherheitsgruppen auswählen vpc-222222. Es werden nur die Sicherheitsgruppen aufgelistet, vpc-111111aus denen ich auswählen kann.
Als kurzfristige Maßnahme habe ich einfach die öffentliche IP-Adresse der EB-Instanz zur RDS-Sicherheitsrichtlinie hinzugefügt, aber das erscheint mir unelegant und chaotisch, da ich sie immer wieder manuell ändern muss, wenn ich die EB-Umgebung neu aufbaue - UND außerdem wird es nicht funktionieren, wenn die EB-Instanz automatisch skaliert wird, um später neue Instanzen hinzuzufügen.
vpc-222222Ich glaube, ich habe hier etwas Offensichtliches übersehen. Muss ich die beiden VPCs miteinander verbinden und das Subnetz innerhalb der RDS-Sicherheitsrichtlinie einrichten, um den Zugriff zu ermöglichen?
Antwort1
Ich würde VPC-Peering zwischen den beiden VPCs verwenden. Konfigurieren Sie dann Ihre eingehenden/ausgehenden Regeln so, dass sie auf die Sicherheitsgruppen in der anderen VPC verweisen. Dies bietet Ihnen auch den Vorteil, über private IP-Adressen/private DNS-Endpunkte auf RDS zuzugreifen.
Aktualisieren Ihrer Sicherheitsgruppen zum Verweisen auf Peer-VPC-Gruppen