【发布时间】:2015-10-31 17:22:48
【问题描述】:
我已经设置了一个 Amazon RDS 实例,我希望只允许我的 Bluemix 应用程序访问它
目前我已经设置了我的 Ec2 安全组以允许端口 3306 上的所有 mysql 流量,但允许所有 IP。
到目前为止,我的理解是,Bluemix 应用程序具有动态实例 IP,并且每次在登台后都会更改。
如何找到我的 Bluemix 应用程序的静态 IP?我已经读过使用云集成或安全网关服务可以提供帮助,但不确定如何使用 Amazon RDS 实例执行此操作。
【问题讨论】:
-
是否有理由不使用路由名称本身,例如myapp.mybluemix.net?
-
不幸的是,Amazon ec2 安全组需要一个 IP 地址来处理所有入站和出站流量
-
您可能需要进行一些自动化操作,以便在 Bluemix 应用程序 IP 更改时,您可以通过编程方式修改 RDS 入站数据库安全组以更新允许的源 IP(或范围)。
-
Bluemix 基于 cloudfoundry,它使用 linux 容器技术在单个 VM 上运行来自多个租户的多个应用程序。结果是,即使您可以将安全组限制为单个 IP,您仍然会暴露于恶意应用程序,这些应用程序可能与您的应用程序位于同一容器执行代理上。另一个问题是,您可能在多个不同的代理上拥有您的应用程序的多个实例。此外,您的应用程序的 IP 可能会随着时间而改变,例如如果由于代理的滚动升级而迁移到另一个代理。问题是,您的实际安全目标是什么?
-
@AmitKumarGupta 感谢您的洞察力,我认为我目前的主要安全目标是确保我的 RDS 数据库不公开可用,我已经通过 ssl 连接到数据库,所以认为这会成为确保我的数据和应用安全的下一个措施
标签: amazon-web-services ibm-cloud cloud-foundry ibm-datapower secure-gateway