限制对跨区域EC2实例亚马逊的访问

Question

我需要设计一个跨区域的跨VPC架构，我不确定如何限制对资源的访问。要求是我需要在一个区域中运行Web应用程序，而在另一个区域中运行数据库。 两台服务器都在专用子网内。 该Web应用程序具有一个自动扩展组和负载均衡器。 只能从此Web应用程序访问其他区域中的数据库服务器。 我不能使用基于ip的限制，因为负载均衡器的IP会随着时间而变化。 我还有什么其他选择？

Answer 1

负载平衡器的IP地址无关紧要，因为负载平衡器仅用于与Web服务器的传入连接。

首先，我应该指出， 使数据库远离应用程序是一个糟糕的体系结构决策 ，这将降低应用程序的速度。 如果可能，请重新考虑！

您没有提供太多信息，所以我将作以下假设：

• 区域A中的VPC包含：
  • 公共子网中的负载均衡器
  • 专用子网中的Web服务器
• 区域B中的VPC包含：
  • 专用子网中的数据库

在这种情况下，您希望在位于不同区域的不同VPC中的两个专用子网之间进行通信。 为此，您可以考虑通过位于每个VPC的公共子网中的Amazon EC2实例创建专用VPN连接 。 这将使用软件VPN，例如OpenVPN或OpenSwan 。

您还应该考虑如何为该解决方案实现高可用性选项 。 架构良好的VPC将在区域A的多个可用区中部署您的Web服务器，并且您的数据库最好以区域B的多可用区配置进行部署（假设您正在使用Amazon RDS）。 同样，您应该将VPN解决方案设计为在出现故障时具有高可用性。

一种替代方法是将NAT服务器放置在区域A中VPC的公共子网中，并配置专用路由表以通过NAT服务器发送流量。 这意味着从Web服务器到Internet的流量全部来自与NAT Server关联的公共IP地址（ 而不是负载均衡器）。

但是，数据库位于专用子网中，因此无法将流量直接路由到数据库，因此这只是解决方案的一半。 然后，它将要求数据库位于公共子网中（具有仅接受来自NAT服务器的连接的安全组），或者要求将公共流量转发到数据库的公共子网中的某种类型的代理服务器。 与软件VPN选项相比，这将变得过于复杂。