我有一个驻留在默认 VPC 中的 Amazon RDS Postgres 实例。
为了连接到它,我使用了在 ElasticBeanstalk 中运行的不同 EC2 实例(Java Spring Boot 和 NodeJs)。这些实例也驻留在默认 VPC 中。
这些 EC2 实例是否通过 Internet 连接/查询 RDS 实例,或者调用不会离开 AWS 网络?
如果他们离开 AWS 网络并且呼叫通过 Internet,创建 VPC 终端节点是正确的解决方案吗?或者我的整体理解是不正确的。
非常感谢您的帮助。
【问题讨论】:
标签: amazon-web-services amazon-ec2 amazon-elastic-beanstalk amazon-rds amazon-vpc
这些 EC2 实例是否通过 Internet 连接/查询 RDS 实例,或者调用不会离开 AWS 网络?
在 VPC 内使用时,RDS 终端节点的 DNS 将解析为 私有 IP 地址。因此,即使您使用公有子网或将您的 RDS 实例设置为公开可用,通信也是私有。但是,对于来自 AWS 外部的连接,如果数据库实例是公开可用的,则 RDS 端点将解析为公共 IP 地址。
如果他们离开 AWS 网络并通过互联网进行呼叫,那么创建 VPC 终端节点是正确的解决方案吗?
没有用于 RDS 客户端连接的 VPC 端点,仅用于管理操作(创建 db-instance、终止等)。相比之下,Aurora Serverless 具有带有相应 VPC 端点的 Data API。
【讨论】:
dig 时返回什么,可以使用 dig <db-endpoint> 命令检查它。如果您的数据库是公开可用的,请确保将其安全组正确设置为仅您的外部 IP,而不是 0.0.0.0/0 和 sg-of-the-instance,以免阻止来自您的实例的连接。为了最终的安全,最好将 rds 放在私有子网中并从外部使用 vpn。
为了保护您的 DB-Instances 通信,您至少需要确保以下几点:
在这种情况下,Traffice 到 RDS 将在您的 vpc 中本地化,对于 vpc 端点,它可用于私下访问 RDS API 操作,这不是您的情况(您只需使用连接字符串将您的应用程序连接到数据库)
【讨论】: