我的痛点。我有一个安装了Postgres的Ec2(位于私有子网中),一切正常。所有成员只有在DEV群集中时才可以连接到数据库(我的意思是相同的CIDR,安全组设计为仅从该CIDR获取流量)。 这里的问题是我想在本地建立连接 。 我无法更改安全组。最初,我计划创建一个公共网络负载平衡器,并使用端口5432将ec2作为目标,并安装apache2进行运行状况检查(运行状况为200成功)。但仍然无法连接该Ec2机器。 任何人都可以建议最好的做法。
根据我们的政策,只能打开HTTPS端口
答案 0 :(得分:0)
如果仅限于仅启用443 打开,则需要更新Postgres实例以通过该端口提供服务,尽管recommended port for both TLS and plain text connections to Postgres is 5432。
对于数据库实例,您将使用网络负载平衡器,入站流量由实例的入站安全组规则确定。
您应该避免在您的postgres服务器上安装apache,以允许负载平衡器运行状况检查通过,因为它与postgres服务的运行状况检查无关。相反,应该检查Postgres服务端口上的TCP运行状况检查。
我建议与您的同行讨论为什么Postgres必须在端口443上运行,因为这不是最佳实践,并且可能导致混乱。通常,这些限制类型仅适用于网络流量,将来,对于其他服务,您可能会发现可用端口受到限制。