Моя настройка очень похожа на представленную здесь - Почему я не могу подключить экземпляр AWS RDS из экземпляра EC2 в другой VPC после пиринга
У меня есть 2 VPC VPC A
и VPC B
У меня есть экземпляр RDS и экземпляр EC2 (EC2 A
) в VPC A
- я могу получить доступ к экземпляру RDS из EC2 A
, выполнив что-то вроде mysql -u sa -pPASSWORD -h db-prod.sdfsdfewfwe.us-east-2.rds.amazonaws.com
У меня есть другой экземпляр EC2 (EC2 B
) в VPC B
, и я хотел бы иметь возможность запустить ту же команду mysql
для доступа к экземпляру RDS.
Я установил одноранговое соединение между VPC A
и VPC B
, поэтому моя таблица маршрутов выглядит следующим образом:
RDS VPC
Destination Target
172.31.0.0/16 local
10.0.0.0/16 pcx-xyz123
EC2 VPC
Destination Target
10.0.0.0/16 local
172.31.0.0/16 pcx-xyz123
Теперь я могу ssh из VPC A
-> VPC B
и наоборот, но я все еще не могу получить доступ к экземпляру RDS.
Единственный способ, которым я могу это сделать, - это настроить SSH-туннель следующим образом:
ssh -i "key.pem" ubuntu@172.31.0.0 -L 3307:db-prod.sdfsdfewfwe.us-east-2.rds.amazonaws.com:3306 -N
Затем я могу получить доступ к RDS из VPC B
запустив:
mysql -u sa -pPASSWORD -h 127.0.0.1 -P 3307
Я хотел бы избежать этого и правильно настроить сеть для разрешения доступа к RDS из VPC B
Обновление:
@ detzu Спасибо за ответ.
RDS имеет 2 подсети, db-subnet
и accessible-subnet
accessible-subnet
:
11.234.52.0/24 local
11.234.53.0/24 local
11.241.52.0/24 pcx-034d57cb727bbf9ec
0.0.0.0/0 igw-003f4bff3126fc2e9
db-subnet
:
11.234.52.0/24 local
11.234.53.0/24 local
11.241.52.0/24 pcx-034d57cb727bbf9ec
0.0.0.0/0 igw-003f4bff3126fc2e9
VPC B
имеет одну подсеть inaccessible-subnet
:
11.234.52.0/24 pcx-034d57cb727bbf9ec
11.241.52.0/24 local
0.0.0.0/0 igw-01fd2dbb6bee81525
Группа безопасности RDS:
CIDR/IP - Inbound 33.140.253.74/32
CIDR/IP - Inbound 11.234.52.0/24
CIDR/IP - Inbound 11.241.52.0/24
CIDR/IP - Outbound 0.0.0.0/0
Обновление 2
Правила группы безопасности RDS
Входящий:
MYSQL/Aurora TCP 3306 33.140.253.74/32
MYSQL/Aurora TCP 3306 11.234.52.0/24
MYSQL/Aurora TCP 3306 11.241.52.0/24
Исходящий:
All traffic All All 0.0.0.0/0