AWS - Настройка доступа к экземпляру EC2 из приложения Beanstalk

Так что по причинам Id скорее не вхожу, моя БД находится на экземпляре EC2 в eu-west-1, и я создал приложение beanstalk на us-east-1. Id, как мое приложение, чтобы поговорить с этим экземпляром EC2 на порту MySQL (3306).

Может ли кто-нибудь помочь с тем, как Id задал это, какие правила доступа мне нужно настроить в группе безопасности EC2? Учитывая, что у меня будет несколько версий приложения в beanstalk, IP-адрес может изменяться регулярно (после перенастройки среды и т.д.).

Ответ 1

Важной концепцией правил группы безопасности, которую вы, возможно, не хватает, является то, что вы не обязательно указываете IP-адреса в качестве источников трафика в одиночку, довольно регулярно ссылаетесь на другую безопасность групп:

Источником может быть индивидуальный IP-адрес (203.0.113.1), диапазон адресов (например, 203.0.113.0/24), или группы безопасности EC2. группа безопасности может быть другой группой в вашей учетной записи AWS, группой в другой учетной записи AWS или самой группы безопасности.

Задав в качестве источника группу безопасности , вы разрешаете входящие трафик из всех экземпляров, принадлежащих исходной группе безопасности. [...] Вы можете указать другую группу безопасности в своей учетной записи, если вы создаете трехуровневый веб-сервис (см. Создание трехуровневой веб-службы).

[акцент мой]

Следовательно, вам просто нужно добавить группу безопасности экземпляров приложений Beanstalk в качестве источника трафика для TCP-порта 3306 в группе безопасности экземпляра MySQL.


Принимая это далее

Дополнительным понятием, чтобы познакомиться с вами, является то, что у вас может быть несколько групп безопасности, назначенных экземпляру, что позволяет (возможно, динамический) состав результирующего брандмауэра.

Например, рекомендуемая практика для более крупных архитектур предлагает указать выделенную группу безопасности на "роль" ваших экземпляров (вместо того, чтобы накапливать несколько правил внутри одной группы безопасности, как обычно), например. у нас есть группы безопасности, такие как "role-ssh" (TCP-порт 22) и "role-mysql" (TCP-порт 3306), которые по очереди назначаются экземплярам EC2. Вы можете больше узнать об этой концепции, например. Группы безопасности - самая недооцененная функция Amazon EC2.