Направлять только трафик API на другой экземпляр AWS EC2

Я новичок в сети. И я пытаюсь направить только трафик с одной виртуальной машины на другую виртуальную машину. Поэтому я сделал это.

У меня есть два экземпляра AWS EC2:

  • Сервер приложений
  • Сервер базы данных

И у них есть свои группы безопасности и я разрешил весь допустимый трафик. Теперь я хочу, чтобы Database_server принимал только Application_server трафик, а не весь публичный трафик. Database_server — это MySQL, работающий на порту 3306.

Предполагать:

  • Общедоступный IP-адрес Application_server: 14.233.245.51
  • Общедоступный IP-адрес сервера базы данных: 15.233.245.51

Поэтому я разрешил на порту 3306 вот так 14.233.245.51/32 только для Database_server, но это не сработало. До этого было 0.0.0.0/0 и ::/0.

Как я могу это решить?


amazon-web-services amazon-ec2 aws-security-group network-security-groups
person Sumit Kumar Sagar    schedule 16.05.2019    source источник
comment
они в одном VPC?   -  person deosha    schedule 16.05.2019
comment
@deosha Да, они в одном VPC.   -  person Sumit Kumar Sagar    schedule 16.05.2019

Ответы (1)


arrow_upward
0
arrow_downward

Во-первых, сервер приложений должен связываться с сервером базы данных через частный IP-адрес. Это сохранит весь трафик внутри VPC и позволит группам безопасности работать правильно.

Во-вторых, настройте группы безопасности:

  • App-SG должен быть связан с сервером приложений и разрешать входящий трафик на соответствующие порты для приложения (например, 80, 443)
  • DB-SG должен быть связан с сервером базы данных и разрешать входящий трафик на порт 3306 от App-SG

То есть DG-SG разрешает входящий трафик от App-SG, ссылаясь на идентификатор App-SG. Не нужно указывать IP-адрес. Группы безопасности автоматически распознают трафик и разрешат серверу приложений отправлять трафик на сервер БД. Обратный трафик также будет разрешен, поскольку группы безопасности сохраняют состояние.

Вы ДОЛЖНЫ связываться с сервером базы данных через частный IP-адрес, чтобы это работало.

person John Rotenstein    schedule 16.05.2019
comment
Спасибо за подробную информацию. Но я просто хочу, чтобы к БД-серверу не обращались ни с какого другого IP-адреса. Предположим, только я хочу получить доступ к DB-серверу через порт 3306, поэтому я нашел общедоступный IP-адрес своего ноутбука и вставил его в MYSQL. Поэтому такой путь мне нужен. Вы отвечаете тоже хорошо. Но я также хочу запретить всем остальным публичный доступ. - person Sumit Kumar Sagar; 17.05.2019
comment
Группы безопасности по умолчанию запрещают весь входящий трафик. Вы должны добавить правила в группу безопасности, чтобы определить, какой трафик является разрешенным. - person John Rotenstein; 17.05.2019