AWS RDS" Publicly Accessible = No" vs私有子网中的实例

时间:2017-12-15 10:48:07

标签: amazon-web-services rds amazon-vpc subnet private-subnet

我正在为AWS上的某个Web应用程序创建基础结构。该应用程序需要Mysql RDS实例。现在我想知道我是否应该简单地在公共子网中创建RDS实例,只是将其设置更改为Publicly Accessible = No,否则我将不得不在私有子网中创建此RDS实例以获得更好的安全性。我很困惑,上述选项是否会提供比其他更好的安全性。

我还读到,简单地将安全组分配给实例将充当防火墙,因此我可以使用public accessible = true RDS实例及其安全组,仅允许从我的应用程序EC2实例进行访问。所以基本上我有三个选项可供选择。

  1. Publicly Accessible =公共子网中的真实RDS实例,其安全组仅允许访问EC2应用程序实例。

  2. Publicly Accessible =公共子网中的错误RDS实例。

  3. 私有子网中的RDS实例。

  4. 任何人都能解释上述方法的安全性方面的优缺点吗?

1 个答案:

答案 0 :(得分:1)

您说得对,安全组可以为您的数据库以及Amazon EC2实例提供足够的保护。

那为什么AWS提供公共/私有子网?这是因为许多客户都想要它们,因为这是企业在使用云之前通常组织网络的方式。传统防火墙仅在子网之间执行,而安全组将单独应用于每个实例

因此,如果您了解如何正确配置安全组,则根本不需要使用私有子网!但是,有些人觉得将资源放在私有子网中更为舒适,因为它提供了额外的安全层。