Да, это можно сделать, подключив к вашим ресурсам правильные группы безопасности. Пока вы настраиваете допустимую конфигурацию через группы безопасности, не имеет значения, находятся ли ваш источник и место назначения в одной подсети или нет. Например, возьмем следующую настройку:
instance-1
в subnet-1
(CIDR: 10.0.0.0/16
) в vpcA
instance-2
в subnet-2
(CIDR: 10.1.0.0/16
) в vpcA
(тот же VPC)
Создайте следующие группы безопасности:
security-group-client
(без особых правил)
security-group-target
(с правилом для входящего трафика, которое разрешает входящие запросы от security-group-client
на требуемый порт)
Теперь прикрепите security-group-client
к вашему клиентскому экземпляру (скажем, instance-1) и security-group-target
к вашей цели (instance-2
)
Тот факт, что ваши экземпляры находятся в разных блоках (или подсетях) CIDR, не имеет значения. По умолчанию у них нет доступа, но вы всегда можете что-то настроить.
Вы должны уметь применить ту же логику к чему-то вроде Amazon Neptune. Вы предоставляете экземпляр в группе подсетей БД, которая представляет собой просто набор подсетей. Каждая подсеть имеет связанный с ней CIDR. Ваш экземпляр базы данных будет подготовлен в одной из ваших подсетей. (Вы можете принудительно выбрать подсеть / зону доступности во время создания, но это не имеет отношения к данному обсуждению).
Когда у вас есть БД, создайте 2 группы безопасности, как указано выше, одну для клиента и одну для БД. Группа безопасности для базы данных должна разрешать входящие соединения от другой. Затем вы можете присоединить группу безопасности к своему кластеру БД, выполнив modify-db-cluster
запрос (или через Консоль, или просто заранее создав группы безопасности и связав их с БД во время самого рабочего процесса создания).
Надеюсь это поможет.
person
The-Big-K
schedule
31.10.2018