Справочная информация: У меня есть кластер kubernetes, настроенный в одной учетной записи AWS, которому требуется доступ к данным в экземпляре RDS MySQL в другой учетной записи, и я не могу настроить параметры, чтобы разрешить трафикк потоку.
Что я пробовал до сих пор:
- Установите пиринговое соединение между двумя VPC.Они находятся в одном регионе, нас-восток-1.
- Созданы записи таблицы маршрутов в каждой учетной записи для направления трафика в соответствующей подсети на одноранговое соединение.
- Создал группу безопасности в VPC RDS, чтобы разрешить трафику из подсетей kubernetes доступ к MySql.
- Убедитесь, что разрешение DNS включено на обоих VPC.
Подробности VPC Kubernetes (запросчик)
Содержит 3 EC2 (выглядит каку каждого своя подсеть) в которой находится мой кластер кубернетес.Я использовал EKS, чтобы настроить это.
Правила таблицы маршрутов, которые я настроил, имеют связанные 3 подсети и указывают блок CIDR RDS VPC на одноранговое соединение.
Подробности RDS VPC (Accepter)
Этот VPC содержит экземпляр mysql RDS, а также некоторые другие ресурсы.Экземпляр RDS имеет довольно много групп безопасности VPC, назначенных ему для доступа с IP-адресов нашего офиса и т. Д. Он имеет Public Accessibility, установленный в true.
Я повторил настройку таблицы маршрутов (в обратном порядке) и указал обратно на соединение подсети / пиринга VPC K8s.
Проверка
Чтобы проверитьсоединение, я пробовал 2 разных способа.Приложение, которому требуется доступ к mysql, написано на узле, поэтому я просто написал тестовый соединитель и пример запроса, и время ожидания истекло.
Я также попробовал netcat с терминала в модуле, работающем в кластере kubernetes.
nc -v {{myclustername}}.us-east-1.rds.amazonaws.com 3306
Что также истекло.Кажется, он пытается установить правильный IP-адрес экземпляра mysql, хотя я не уверен, означает ли это, что мои правила маршрутизации работают прямо со стороны vpc k8s.
DNS fwd/rev mismatch: ec2-XXX.compute-1.amazonaws.com != ip-{{IP OF MY MYSQL}}.ec2.internal
Я не уверен, какие шагивзять дальше.Любое направление будет с благодарностью.
Примечание. Я прочитал это соединение контейнера Kubernetes с экземпляром RDS в отдельном VPC . Мне кажется, я понимаю, что там происходит.Мои блоки CIDR не конфликтуют с ips K8s по умолчанию (10.0. . .), Поэтому моя проблема, похоже, другая.