限制對跨區域EC2實例亞馬遜的訪問

Question

我需要設計一個跨區域的跨VPC架構，我不確定如何限制對資源的訪問。要求是我需要在一個區域中運行Web應用程序，而在另一個區域中運行數據庫。 兩台服務器都在專用子網內。 該Web應用程序具有一個自動擴展組和負載均衡器。 只能從此Web應用程序訪問其他區域中的數據庫服務器。 我不能使用基於ip的限制，因為負載均衡器的IP會隨着時間而變化。 我還有什么其他選擇？

Answer 1

負載平衡器的IP地址無關緊要，因為負載平衡器僅用於與Web服務器的傳入連接。

首先，我應該指出， 使數據庫遠離應用程序是一個糟糕的體系結構決策 ，這將降低應用程序的速度。 如果可能，請重新考慮！

您沒有提供太多信息，所以我將作以下假設：

• 區域A中的VPC包含：
  • 公共子網中的負載均衡器
  • 專用子網中的Web服務器
• 區域B中的VPC包含：
  • 專用子網中的數據庫

在這種情況下，您希望在位於不同區域的不同VPC中的兩個專用子網之間進行通信。 為此，您可以考慮通過位於每個VPC的公共子網中的Amazon EC2實例創建專用VPN連接 。 這將使用軟件VPN，例如OpenVPN或OpenSwan 。

您還應該考慮如何為該解決方案實現高可用性選項 。 架構良好的VPC將在區域A的多個可用區中部署您的Web服務器，並且您的數據庫最好以區域B的多可用區配置進行部署（假設您正在使用Amazon RDS）。 同樣，您應該將VPN解決方案設計為在出現故障時具有高可用性。

一種替代方法是將NAT服務器放置在區域A中VPC的公共子網中，並配置專用路由表以通過NAT服務器發送流量。 這意味着從Web服務器到Internet的流量全部來自與NAT Server關聯的公共IP地址（ 而不是負載均衡器）。

但是，數據庫位於專用子網中，因此無法將流量直接路由到數據庫，因此這只是解決方案的一半。 然后，它將要求數據庫位於公共子網中（具有僅接受來自NAT服務器的連接的安全組），或者要求將公共流量轉發到數據庫的公共子網中的某種類型的代理服務器。 與軟件VPN選項相比，這將變得過於復雜。