我们正在尝试配置一个VPC,它具有一个私有子网和一个公有子网。在私有子网中,存在无法公开访问的RDS。我们测试它,似乎工作正常!问题虽然当我从我的计算机ping RDS端点时,它返回RDS的私有IP(但它不返回任何数据包)。
我们不想显示私有IP。
任何帮助将不胜感激!
答案 0 :(得分:2)
我继续开始与我们的AWS支持团队聊天,以挑选他们的大脑。基本上,这归结为他们如何托管他们的RDS端点的DNS映射;默认情况下,它们在公共托管区域中创建(不可修改)。因此,您可以通过互联网解析您的RDS端点(因为映射是公开托管的),但实际上无法将任何数据路由到它。
如果这是一个问题,为了解决它,你可以......跳过一些箍:
另一种方法是创建一个包含记录的私有托管区域 指向rds端点。 (例如私有托管区域 " xxxx.com"具有指向rds端点的别名记录),在这种情况下,您将联系到您的rds实例 使用xxxxx.com
但是,这并没有实际禁用原始AWS创建的端点返回私有IP,它只允许您配置一个没有的端点。
为了它的价值,透露你的私人知识产权是非常无害的;数千台设备可能共享您的确切私有IP。这个信息对你而言唯一的方法是,如果攻击者实际上在你的网络中 - 那时......他们可以从那里查找DNS来获取IP。
答案 1 :(得分:0)
第一个问题:你为什么要这样做?您的10.1.2.3或172.31.2.3或其他任何不可路由的地址。如果他们无法进入您的VPC,人们是否知道这一点并不重要。
至于实际阻止它,你不能:亚马逊通过DNS使端点可用(你可以使用nslookup
来找到它)。您可以随时尝试提交支持票,但我不希望有任何结果。
此外,FYI端点的第二个组件与您的帐户相关。因此,在您的图像中,您编辑了非重要信息,但保留了(可能)重要信息。
如果不清楚,问题在于亚马逊如何解决DNS请求,不如何连接网络。以下是我们在私有子网上运行的某个数据库实例的> nslookup REDACTED.REDACTED.us-east-1.rds.amazonaws.com
Server: 127.0.1.1
Address: 127.0.1.1#53
Non-authoritative answer:
Name: REDACTED.REDACTED.us-east-1.rds.amazonaws.com
Address: 10.1.56.119
调用示例。这是来自我的PC,不通过VPN或任何其他方式连接到VPC:
class PlayerType(models.Model):
type = models.CharField(max_length=30, choices = PLAYER_TYPES)
class Player(models.Model):
name = models.CharField(max_length=30, blank=False, null=False)
player_type = models.ForeignKey(PlayerType, related_name ='players')
contract_price = models.DecimalField(max_digits = 10, decimal_places = 2, blank = False, null = False)
price_unit_of_measurement = models.CharField(max_length=20, choices=STANDARD_UOM)