我在 Amazon VPC 中创建了 3 个子网。
数据库私有:10.60.1.0/24 应用程序私有 10.60.2.0/24 公共 10.60.3.0/24
我希望对应用程序子网中的服务器进行有限的互联网访问,因此我在公共子网中创建了一个弹性网络接口,为其分配了一个公共 IP 地址并将其连接到服务器。
现在我可以从互联网上看到服务器,但是却无法从服务器上看到数据库。
如何配置 NIC 和/或路由以允许服务器在互联网上可见,同时也允许同一台服务器查看数据库?
答案1
在这种情况下,您不需要为路由做任何特殊的事情。
您需要在一些区域应用安全设置以允许流量从应用程序流向数据库。
网络 ACL
入口和入口规则应用于每个子网。您需要确保允许应用程序子网上的流量出站和数据库子网上的流量入站。您可以将其锁定到特定的 IP 和端口。
安全组
入站和出站规则适用于每个 EC2(服务器)/RDS(数据库)。您需要确保允许应用程序服务器上的流量出站,并允许数据库服务器上的流量入站。
弹性网络接口 ENI
如果您使用 ENI,它将应用一个安全组。
操作系统安全
您的操作系统可能有自己的防火墙(例如,linux 有 iptables)。Windows 可能已应用自己的防火墙。