Направляйте только API-трафик на другой экземпляр AWS EC2.

Question

Я новичок в сети. И я пытаюсь перенаправить трафик только с одной виртуальной машины на другую виртуальную машину. Поэтому я сделал это.

У меня есть два экземпляра AWS EC2:

• Сервер приложений
• Сервер базы данных

И у них есть свои группы безопасности, и я разрешил весь трафик. Теперь я хочу, чтобы Database_server принимал только Application_server трафик, а не весь публичный трафик. Database_server - это MySQL, работающий через порт 3306.

Предположим:

• Application_server Public IP: 14.233.245.51
• Public_server Public IP: 15.233.245.51

Итак, я разрешил на порту 3306 вот так 14.233.245.51/32 только для Database_server, но он не работал. Это было до этого 0.0.0.0/0 и ::/0.

Как я могу решить это?

Answer 1

Сначала сервер приложений должен связаться с сервером базы данных через частный IP-адрес . Это сохранит весь трафик внутри VPC и позволит группам безопасности работать правильно.

Во-вторых, настроить группы безопасности :

• App-SG должен быть связан с сервером приложений и разрешать входящий трафик через соответствующие порты для приложения (например, 80, 443)
• DB-SG должен быть связан с сервером базы данных и разрешать входящий трафик через порт 3306 с App-SG

То есть DG-SG разрешает входящий трафик от App-SG, ссылаясь на идентификатор App-SG. указывать IP-адрес не требуется. Группы безопасности автоматически распознают трафик и позволяют серверу приложений отправлять трафик на сервер БД. Обратный трафик также будет разрешен, потому что группы безопасности с состоянием.

Вы ДОЛЖНЫ связаться с сервером базы данных через частный IP-адрес, чтобы это работало.