专用子网和公用子网的安全组(均为EC2)

时间:2019-01-30 22:52:50

标签: mysql amazon-web-services amazon-ec2 amazon-vpc subnet

我有两个子网,公共子网和私有子网。 EC2上的Web服务器位于公共子网中,而EC2服务器上的MySQL数据库位于私有子网中。我们决定不使用RDS。

对于RDS,专用子网的入站规则为“ MySQL / Aurora”。如果MySQL在私有子网中的EC2实例上应该怎么办?

我正在尝试使其尽可能安全。

2 个答案:

答案 0 :(得分:1)

这是完全一样的东西。 “ MySQL / Aurora”只是端口3306的标签。

然后您可以对EC2上的RDS或自管理的MySQL服务器使用相同的安全组。

答案 1 :(得分:1)

您应该使用两个安全组:

  • Application-SG::允许对您的应用程序进行入站访问(例如,端口80 443)。将安全组与应用服务器相关联。
  • 数据库SG::允许在端口3306 上对MySQL进行入站访问,源设置为Application-SG 。将安全组与运行数据库的实例相关联。

也就是说,数据库SG允许来自应用程序SG的入站3306通信。这将允许来自与Application-SG相关的任何应用服务器的入站流量。

顺便说一句,即使只是为了简化备份,您也应该真正考虑使用RDS。