有人可以确认以下任何一项的安全性好处:
我在VPC中有一个面向Internet的Web服务器,这与 另一个运行应用程序防火墙的VPC。
Web服务器将与RDS实例进行对话,该实例只能由应用程序和 管理服务器(出于支持目的,托管在另一个VPC中)。
问题是-RDS实例是否应该与Web服务器放置在同一VPC上或托管在单独的VPC中
答案 0 :(得分:3)
这完全取决于您!通常,除非有原因,否则应将复杂性降至最低。
将数据库放在单独的VPC中绝对是过大的。有时人们将数据库放在私有子网中,以增加安全性。
您当然应该这样配置安全组:
Web-SG
),允许来自Internet(0.0.0.0/0
)的所需流量(例如HTTP,HTTPS)DB-SG
),允许来自Web-SG
的所需端口上的入站流量也就是说,DB-SG
通过专门引用Web-SG
(而不是IP地址)来允许来自Web-SG
的入站访问。这意味着任何与Web-SG
关联的EC2实例都将被允许访问数据库。