我有一个动态部署在 EC2 实例上的 Web 应用程序(可扩展)。我还有 RDS mysql 实例,它是由 python 和 boto3 动态创建的。现在 RDS 的 3306 端口是公共的,但我只想允许来自特定 VPC 的 EC2 的连接。我可以在特定 VPC 上创建 RDS(与 EC2 实例相同)吗?创建这样的 EC2 + RDS 集的最佳实践是什么?
【问题讨论】:
标签: python amazon-web-services deployment amazon-ec2 boto3
RDS 显示端点 FQDN 并不意味着它是“公共的”。您需要处理 VPC 子网、安全组以启用连接。
创建 RDS 时,必须创建 db_subnet 并指向特定的 VPC 子网。这是 RDS 所在的逻辑网络。
接下来是访问:只需将RDS附加到允许EC2访问3306的安全组。
参考:Creating a MySQL DB Instance and Connecting to a Database on a MySQL DB Instance
【讨论】:
将您的 Amazon EC2 实例与 Amazon RDS 数据库放在同一个 VPC 中当然是最佳实践。推荐的安全性是:
Web-SG)Web-SG 安全组
如果您的 RDS 实例当前位于不同的 VPC 中,您可以拍摄快照,然后从快照创建新数据库。
如果您使用的是弹性负载均衡器,您甚至可以将您的 Amazon EC2 实例放在一个私有子网中,因为所有访问都将通过负载均衡器进行。 p>
【讨论】: