私有子网和公共子网(均为 EC2)的安全组

【问题标题】:Security group for private subnet and public subnet (both EC2)私有子网和公共子网(均为 EC2)的安全组
【发布时间】:2019-06-24 08:02:56
【问题描述】:

我有两个子网,公共子网和私有子网。 EC2 上的 Web 服务器位于公共子网中,而 EC2 服务器上的 MySQL 数据库位于私有子网中。我们决定不使用 RDS。

对于 RDS,私有子网的入站规则是“MySQL/Aurora”。如果 MySQL 在私有子网中的 EC2 实例上应该是什么?

我正在努力使其尽可能安全。

【问题讨论】:

    标签: mysql amazon-web-services amazon-ec2 amazon-vpc subnet


    【解决方案1】:

    您应该使用两个安全组:

    • Application-SG: 允许对您的应用程序进行入站访问(例如端口 80 443)。将安全组与应用服务器相关联。
    • Database-SG:允许 MySQL 在端口 3306 上的入站访问源设置为 Application-SG。将安全组与运行数据库的实例相关联。

    也就是说,Database-SG 允许来自 Application-SG 的入站 3306 流量。这将允许来自与 Application-SG 关联的任何应用服务器的入站流量。

    顺便说一句,您应该真正考虑使用 RDS,即使只是为了使备份更容易。

    【讨论】:

      【解决方案2】:

      这完全一样。 “MySQL/Aurora”只是 3306 端口的标签。

      然后,您可以为 EC2 上的 RDS 或自我管理的 MySQL 服务器使用相同的安全组。

      【讨论】:

        猜你喜欢
        • 2019-05-30
        • 2015-05-13
        • 2018-07-24
        • 1970-01-01
        • 1970-01-01
        • 1970-01-01
        • 1970-01-01
        • 1970-01-01
        • 1970-01-01
        相关资源
        最近更新 更多
        热门标签
        Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode