Accéder à l'instance Amazon EC2 RDS depuis l'intérieur du VPC

11

J'ai une instance Amazon RDS configurée dans l'EC2 `` classique '' (pas de VPC).

J'ai également mis en place un VPC qui contient nos nouvelles applications migrées et autres.

Cependant, il semblerait qu'il n'y ait aucun moyen de spécifier une combinaison de groupes de sécurité CIDR ou EC2 dans les groupes de sécurité DB qui permettra à mes instances VPC de se connecter. Les groupes de sécurité autorisés ne sont que les groupes de sécurité «classiques».

Je ne trouve aucune documentation suggérant que ce n'est pas faisable, mais je ne trouve aucune documentation affirmative non plus. La recherche sur Google aboutit à de nombreux résultats dans «l'autre sens», par exemple les instances RDS dans VPC et les instances dans EC2. J'ai le problème inverse.

Suis-je en train de regarder une restauration ponctuelle vers une ou plusieurs nouvelles instances dans VPC pour que la connectivité fonctionne? Je comprends que je peux maintenir une exigence de disponibilité publique que j'ai, mais je voudrais simplement autoriser mes instances VPC à se connecter pour le moment.

Sam Halicke
la source
Je ne peux pas ajouter de commentaire donc je vous demande ici si vous avez réussi à comprendre cela?
Hassan Javeed le
J'ai exactement le même problème de migration, avez-vous pu faire cela?
Rodrigo Asensio

Réponses:

7

Si vos instances VPC EC2 sont dans des sous-réseaux privés, pour accéder à EC2-Classic, votre VPC aura besoin d'un NAT. Donnez à votre NAT une adresse IP élastique afin que ce soit une adresse IP publique constante.

Ensuite, dans votre groupe de sécurité RDS, autorisez l'accès uniquement pour cette adresse IP élastique.

Si vos instances VPC EC2 se trouvent dans des sous-réseaux publics, vous pouvez attribuer à chacune d'entre elles des adresses IP élastiques et autoriser l'accès à ces adresses IP uniquement dans votre groupe de sécurité RDS. Cela est plus difficile s'ils font partie de groupes à mise à l'échelle automatique.

Matt Houser
la source
Dans quelle mesure ce trafic serait-il susceptible d'être reniflé (en demandant comment il serait acheminé compte tenu de l'adresse IP publique)?
Itai Frenkel
1

Ce que j'envisagerais de faire, c'est de migrer le serveur vers une instance EC2 plus récente en créant une AMI et en relançant la machine dans votre VPC.

Vous pouvez également attacher un VPC à l'ancienne instance? si tel est le cas, vous pouvez utiliser la "Peering Connection" d'AWS http://docs.aws.amazon.com/AmazonVPC/latest/PeeringGuide/vpc-peering-overview.html

Xavier Hutchinson
la source