AWS Fargate 连接到不同 VPC 中的 RDS

Question

我有以下设置：

• VPC-1 中的 ECS (Fargate) 集群
• VPC-2 中的 RDS

我在 ECS 中运行的应用程序使用 DNS 名称连接到 RDS，但不是私有 IP DNS 而是解析公共 IP 地址。

在 RDS 中，我想配置严格的安全规则以阻止来自外部世界的连接 - 我想将其限制为仅接受来自 VPC-1 的连接。

我尝试了以下方法：

• 同时连接 VPC-1 和 VPC-2 - 无济于事，在 ECS 中运行的应用仍可解析公共 IP
• 将所有出站流量 (0.0.0.0/0) 从 ECS 集群路由到 NAT 网关（而不是 Internet 网关）并在 RDS 中配置安全组以接受来自为 NAT 网关配置的弹性 IP 的连接 - 在这种情况下，我的应用程序没有甚至不想开始，我怀疑这是由于出站流量通过 NAT 路由而导致配置过程失败
• 所有 VPC 都将“DNS 解析”和“DNS 主机名”设置为“是”

我已经没有如何正确配置它的想法了。一旦我允许我的 RDS 的所有入站流量 (0.0.0.0/0) 一切都开始正常工作，但我不希望那样。

我在这里缺少什么？也许我应该使用完全不同的方法来保护对我的 RDS 的访问？

Answer 1

我设法通过使用 NAT 网关的方法解决了这个问题 - 我不确定为什么它之前没有工作，我改变了方法，首先创建 VPC，然后创建 ECS 集群并将其与之前创建的 VPC 关联。

1. 创建弹性 IP、NAT 网关、具有私有和公有子网的 VPC，如本文所述：https://docs.aws.amazon.com/AmazonECS/latest/developerguide/create-public-private-vpc.html

2. NAT 网关与私有子网关联

3. 在私有子网中创建 ECS 集群

4. 创建负载均衡器并将其与公共网络关联

5. 修改了 RDS 的安全组以允许来自先前创建的 NAT 网关上配置的弹性 IP 的流量。

通过此设置，从应用程序到 RDS 的任何流量都通过 NAT，因此我可以设置安全组规则以允许此流量。另一方面，公共子网中的负载均衡器能够与位于私有网络中的集群通信。