Доступ к RDS из экземпляра EC2 в отдельном VPC - PullRequest
0 голосов
/ 03 марта 2019

Моя настройка очень похожа на представленную здесь - Почему я не могу подключить экземпляр AWS RDS из экземпляра EC2 в другой VPC после пиринга

У меня есть 2 VPC VPC Aи VPC B

У меня есть экземпляр RDS и экземпляр EC2 (EC2 A) в VPC A - я могу получить доступ к экземпляру RDS из EC2 A, выполнив что-то вроде mysql -u sa -pPASSWORD -h db-prod.sdfsdfewfwe.us-east-2.rds.amazonaws.com

У меня есть другой экземпляр EC2 (EC2 B) в VPC B, и я хотел бы иметь возможность запустить ту же команду mysql для доступа к экземпляру RDS.

Я установил одноранговое соединение между VPC A и VPC B, поэтому моя таблица маршрутов выглядит следующим образом:

RDS VPC
Destination      Target
172.31.0.0/16    local
10.0.0.0/16      pcx-xyz123

EC2 VPC
Destination      Target
10.0.0.0/16      local
172.31.0.0/16    pcx-xyz123

Теперь я могу ssh из VPC A -> VPC B и наоборот, но я все еще не могу получить доступ к экземпляру RDS.

Единственный способ, которым я могу это сделать, - это настроить SSH-туннель следующим образом:

ssh -i "key.pem" ubuntu@172.31.0.0 -L 3307:db-prod.sdfsdfewfwe.us-east-2.rds.amazonaws.com:3306 -N

Затем я могу получить доступ к RDS из VPC Bзапустив:

mysql -u sa -pPASSWORD -h 127.0.0.1 -P 3307

Я хотел бы избежать этого и правильно настроить сеть для разрешения доступа к RDS из VPC B

Обновление:

@ detzu Спасибо за ответ.

RDS имеет 2 подсети, db-subnet и accessible-subnet

accessible-subnet:

11.234.52.0/24     local
11.234.53.0/24     local
11.241.52.0/24     pcx-034d57cb727bbf9ec
0.0.0.0/0          igw-003f4bff3126fc2e9

db-subnet:

11.234.52.0/24     local
11.234.53.0/24     local
11.241.52.0/24     pcx-034d57cb727bbf9ec
0.0.0.0/0          igw-003f4bff3126fc2e9

VPC B имеет одну подсеть inaccessible-subnet:

11.234.52.0/24     pcx-034d57cb727bbf9ec
11.241.52.0/24     local
0.0.0.0/0          igw-01fd2dbb6bee81525

Группа безопасности RDS:

CIDR/IP - Inbound   33.140.253.74/32
CIDR/IP - Inbound   11.234.52.0/24
CIDR/IP - Inbound   11.241.52.0/24
CIDR/IP - Outbound  0.0.0.0/0

Обновление 2

Правила группы безопасности RDS

Входящий:

MYSQL/Aurora   TCP   3306   33.140.253.74/32
MYSQL/Aurora   TCP   3306   11.234.52.0/24
MYSQL/Aurora   TCP   3306   11.241.52.0/24

Исходящий:

All traffic    All   All    0.0.0.0/0

1 Ответ

0 голосов
/ 03 марта 2019

находится ли экземпляр RDS в одной подсети с EC2 A?если нет, предоставьте таблицу маршрутизации для подсети RDS (обычно частной подсети).

RDS имеет группу подсетей, группа подсетей имеет как минимум 2 подсети, пожалуйста, проверьте таблицы маршрутов для всех задействованных подсетей.

Пожалуйста, проверьте группу безопасности VPC для RDS, если это возможно, скопируйте сюда (хэш общедоступных IP-адресов или другую личную информацию).RDS имеет 2 группы безопасности, проверьте одну из них, настроенную в RDS, как группу безопасности VPC.

Обновление 2: Спасибо, таблицы маршрутов выглядят хорошо.Я не вижу никаких проблем!

Пожалуйста, добавьте правила группы безопасности VPC отсюда (красный прямоугольник): enter image description here

нажмите на ссылку и скопируйте входящие и исходящие правила, спасибо!

...