В настоящее время у меня настроено 2 VPC на одном аккаунте Amazon, в одном регионе. Давайте назовем их vpc-111111и vpc-222222для иллюстрации.
у меня естьпубличныйRDS-сервер запущен vpc-111111(вместе с некоторыми экземплярами Elastic Beanstalk). Однако я только что настроил новый экземпляр Elastic Beanstalk, vpc-222222которому необходимо получить доступ к RDS-серверу в vpc-111111.
Обычно я бы просто настроил политику безопасности экземпляра RDS, включив в нее группу безопасности каждого экземпляра EB, чтобы разрешить им доступ к серверу RDS через порт 3306.
Однако при изменении настроек группы безопасности RDS я не могу выбрать ни одну группу безопасности EB из vpc-222222. Он только перечисляет группы безопасности для vpc-111111выбора.
В качестве краткосрочной меры я просто добавил публичный IP-адрес экземпляра EB в политику безопасности RDS, но мне это кажется неэлегантным и запутанным, поскольку мне придется вручную менять его, если я перестрою среду EB. КРОМЕ ТОГО, это не сработает, если экземпляр EB автоматически масштабируется для добавления новых экземпляров позже.
Думаю, я упустил что-то очевидное. Нужно ли мне пиринговать два VPC и настраивать vpc-222222подсеть в политике безопасности RDS, чтобы разрешить доступ?
решение1
Я бы использовал пиринг VPC между двумя VPC. Затем настройте входящие/исходящие правила для ссылки на группы безопасности в противоположном VPC. Это также дает вам преимущество доступа к RDS через частные IP-адреса/частные конечные точки DNS.
Обновление групп безопасности для ссылки на одноранговые группы VPC