我正在设置 AWS VPC,并将其划分为公共、缓存、持久性和计算子网。我计划按以下方式分离资源:
- Public:ELB 与 VPN 网络关联
- 缓存:ElastiCache
- 持久性:RDS
- 计算:EC2 实例
为了实现本地开发,我创建了一个 AWS Client VPN 终端节点并将其与一我的公共子网。
允许从公共子网到持久子网的出口和从公共子网到持久子的入口,并更新 RDS 安全组后,我能够通过 VPN 连接到数据库。
这可行,但我想知道是否最好创建一个仅 VPN 子网来进一步划分资源。由于 ELB 是公共子网中唯一的其他资源,这是否有点过头了?
我将不胜感激任何建议,如果有其他方法可以实现此目标,我仍然会灵活处理。我考虑为 VPN 网络关联分配一个安全组,但 Terraform 无法管理这一点。
答案1
说实话,你的设置也有点过头了。一般来说民众和私人的跨 2 或 3 个可用区域的子网就足够了。
访问控制最好通过以下方式进行安全组附加到资源,并引用入口规则其他安全组,而不是其他子网 CIDR 或 IP 范围。例如新加坡可能只允许来自您的入站访问EC2 新加坡,无论 EC2 实例具有什么 IP 或位于哪个子网中。
这样,您可以将各个资源划分到安全组并控制组之间的流量,而无需将网络划分为大量微小的子网。
希望有帮助:)