Безопасное подключение БД AWS EC2 через ALB

Моя болевая точка. У меня Ec2 с установленным Postgres (который находится в частной подсети), все работает нормально. Все участники могут подключаться к БД только тогда, когда они находятся в кластере DEV (я имею в виду тот же CIDR, группа безопасности предназначена для получения трафика только от этого CIDR). Проблема в том, что я хотел подключиться локально. Я не могу изменить группу безопасности. Первоначально я планировал создать общедоступный сетевой балансировщик нагрузки и сделать ec2 целевой с портом 5432 и установить apache2 для проверки работоспособности (200 успехов как работоспособность). Но все еще не удается подключить эту машину Ec2. Может ли кто-нибудь посоветовать лучшую практику.

Согласно нашей политике может быть открыт только порт HTTPS.


amazon-web-services amazon-ec2 amazon-rds aws-alb aws-elb
person Jithin Kumar S    schedule 22.07.2020    source источник

Ответы (1)


arrow_upward
0
arrow_downward

Если вы ограничены разрешением открытия только 443, вам необходимо обновить свой экземпляр Postgres, чтобы он обслуживался через этот порт, хотя рекомендуемый порт для соединений TLS и обычного текста с Postgres - 5432.

Для экземпляра БД вы должны использовать балансировщик сетевой нагрузки, входящий трафик определяется правилами группы безопасности для входящих подключений экземпляров.

Вам следует избегать установки apache на свои серверы postgres, чтобы разрешить проверку работоспособности балансировщика нагрузки, поскольку это не связано с проверкой работоспособности службы postgres. Вместо этого необходимо проверить работоспособность TCP порта вашей службы Postgres.

Я предлагаю обсудить с вашими коллегами, почему Postgres должен работать на порту 443, поскольку это не лучшая практика и может привести к путанице. Обычно такие ограничения ограничены для веб-трафика, а для других служб в будущем вы можете обнаружить, что ограничены доступными портами.

person Chris Williams    schedule 22.07.2020
comment
Спасибо Крису за ответ. но допустим ситуацию, когда наши серверы разработчиков также находятся в облаке, тогда для удаленной отладки нам обязательно нужно подключиться к БД и сделать это. Но наша проблема в том, что наша аудиторская группа никогда не допустит ни 5432 - ›0.0.0.0/0, ни офисный VPN. Итак, как бы нам сделать ограничение в группе безопасности, чтобы люди подключались к ней локально. - person Jithin Kumar S; 22.07.2020
comment
Если у вас нет VPN, вы можете ограничить группу безопасности своими локальными IP-адресами. Есть ли причина, по которой у вас не может быть VPN? :) - person Chris Williams; 22.07.2020