Есть ли способ сделать AWS RDS Public Accessibility = Нет, но все еще доступным вне экземпляра EC2?

Question

По причинам, связанным с управлением, мне нужна опция Public Accessibility, установленная на «Нет» для RDS.

Однако мы также рассматриваем возможность доступа к RDS с наших локальных устройств.Единственный способ сделать это - выбрать «Да» в «Общедоступной доступности».Конечно, VPC, шлюз, подсеть и группы безопасности уже настроены с соответствующими общедоступными компонентами, поэтому, вероятно, и работает опция «Да».

Но в тот момент, когда мы установили значение «Нет», толькоэкземпляры EC2 теперь могут подключаться к базе данных.

Есть ли способ обойти это или это действительно то, что флаг Public Accessibility делает по своему замыслу?

Заранее спасибо.

Answer 1

Да Флаг общедоступной доступности запрещает доступ к RDS напрямую через Интернет, но вы можете получить косвенный доступ через перемычку (например, ssh bashtion), которая находится в общедоступной подсети. Большинство популярных редакторов Mysql UI, таких как sequel pro, имеют встроенную опцию для конфигурации ssh, используя эту опцию, вы можете получить доступ к RDS с локальных устройств. вы также можете настроить туннелирование на бастион.

Answer 2

Настройка Общедоступная доступность на «Нет» не разрешает доступ из Интернета. Существует множество способов подключения вашей RDS к вашей локальной сети.

1. Добавьте ваш публичный IP-адрес в группу безопасности вашего экземпляра базы данных rds

2. Сервер перехода / Бастион

3. VPN / Direct Connect

Вы спрашиваете о наилучшем подходе к тому, как это обезопасить. Лучший вариант - №3. Но для этого вам нужно будет создать экземпляр вашей базы данных в частной подсети .

Как?

Перейдите к RDS> Группы подсетей. Создать группу подсетей БД. Выберите свой VPC и частную подсеть для использования.