我有一个可公开访问的网络堡垒,example.compute-1.amazonaws.com以及一个私有的 postgres 数据库实例postgres.example.us-east-1.rds.amazonaws.com:5432
我可以使用 ssh 进入堡垒
$ ssh -i key.pem [email protected]
然后,一旦我进入堡垒,我就会创建一个 ssh 隧道:
$ ssh -i key.pem -L 5432:postgres.example.us-east-1.rds.amazonaws.com:5432 [email protected]
然后,我可以通过使用本地主机从堡垒连接到数据库来验证隧道是否有效:
$ psql -p 5432 -h localhost -U postgres
但是,我无法远程连接到数据库(不在堡垒中)。
$ psql -p 5432 -h example.compute-1.amazonaws.com -U postgres
psql: could not connect to server: Connection refused
Is the server running on host "example.compute-1.amazonaws.com" () and accepting
TCP/IP connections on port 5432?
我已将堡垒的安全组配置为接受端口 5432 上的入站流量。
我使用ssh -L得对吗?我应该在堡垒外使用它吗?任何建议都将不胜感激。
答案1
当您创建 SSH 隧道时,它不会将打开的端口暴露给外界。打开的端口仅作为 可用localhost。因此,您实际上所做的就是创建从堡垒到堡垒的隧道。
相反,您要做的是从一个本地计算机到另一个堡垒创建一个隧道。
因此,您可以创建隧道作为连接的一部分从本地计算机到堡垒。您不需要创建另一个 SSH 连接。
因此,在本地,您可以执行:
$ ssh -i key.pem -L 5432:postgres.example.us-east-1.rds.amazonaws.com:5432 [email protected]
假设 postgres.example.us-east-1.rds.amazonaws.com 解析为私有 IP 地址。
然后连接到您的服务器,仍然在本地,就像服务器是本地的一样连接:
$ psql -p 5432 -h localhost -U postgres
这样做之后,就不需要在你的堡垒上使用提示了。
答案2
这对我来说很有效。确保你有psql 客户端本地安装。
psql --host=myAwsDbEndpointUrl.ciqykqusf0nv.us-west-1.rds.amazonaws.com --port=5432 --username=myUserName --password --dbname=myDbName
在 aws 上创建数据库实例时,请确保定义以下内容:
- 用户名
- 密码
- 数据库名称
- 端口号
我还必须为数据库所在的 VPC 创建一个安全组。创建后,请确保您的数据库实例将其用作其安全组。安全组具有以下规则:
inbound--> type:PostgreSQL, protocol:TCP port range:5432, source:0.0.0.0/0
outbound--> type:All Traffic, protocol:All, port range:all, destination:0.0.0.0/0