У меня есть следующие настройки:
- кластер ECS (Fargate) в VPC-1
- RDS в VPC-2
Мое приложение, запущенное в ECS, использует имя DNS для подключения к RDS, однако вместо частного IP DNS разрешает общедоступный IP-адрес.
В RDS я хочу настроить строгие правила безопасности для предотвращения подключений из внешнего мира - я бы хотел ограничить его приемом только подключений из VPC-1.
Я пробовал следующие вещи:
- пиринг как VPC-1, так и VPC-2 - не помогает, приложение, работающее в ECS, по-прежнему разрешает общедоступный IP-адрес
- маршрутизация всего исходящего трафика (0.0.0.0/0) из кластера ECS на шлюз NAT (вместо интернет-шлюза) и настройка группы безопасности в RDS для приема соединений с эластичного IP, настроенного для шлюза NAT - в этом случае мое приложение не ' Я даже не хочу начинать, я подозреваю, что это связано с тем, что процесс инициализации завершается неудачно из-за того, что исходящий трафик маршрутизируется через NAT
- для всех VPC "DNS-разрешение" и "DNS-имена хостов" имеют значение "yes"
У меня заканчиваются идеи, как правильно его настроить. Как только я разрешаю весь входящий трафик (0.0.0.0/0) для моего RDS, все начинает работать нормально, но я этого не хочу.
Что мне здесь не хватает? Может быть, мне следует использовать совершенно другой подход для безопасного доступа к моей RDS?