在不同的VPC中与RDS的AWS Fargate连接

Question

我有以下设置：

• VPC-1中的ECS (Fargate)集群
• VPC-2中的RDS

我在ECS中运行的应用程序使用DNS名称连接到RDS，但是，而不是私有IP DNS解析公共IP地址。

在RDS中，我希望配置严格的安全规则，以防止来自外部世界的连接--我想将它限制为只接受来自VPC-1的连接。

我试过以下几点：

• 查看VPC-1和VPC-2都没有帮助，在ECS中运行的应用程序仍然解决公共IP问题。
• 将所有出站流量(0.0.0.0/0)从ECS集群路由到NAT网关(而不是internet网关)，并在RDS中配置安全组以接受来自为NAT网关配置的弹性IP的连接--在这种情况下，我的应用程序甚至不想启动，我怀疑这是因为供应过程失败是因为出站流量是通过NAT路由的。
• 所有VPCs都将"DNS解析“和"DNS主机名”设置为"yes“。

我想不出如何正确配置它了。一旦我允许RDS的所有入站流量(0.0.0.0/0)，一切都开始正常工作，但我不想那样做。

我在这里错过了什么？也许我应该使用完全不同的方法来保护对RDS的访问？

Answer 1

我通过使用NAT网关解决了这个问题--我不知道为什么它不能更早地工作，我改变了方法，首先创建VPC，然后创建ECS集群，并将它与先前创建的VPC相关联。

1. 创建具有私有和公共子网的弹性IP、NAT网关、VPC，如本文所述：https://docs.aws.amazon.com/AmazonECS/latest/developerguide/create-public-private-vpc.html
2. NAT网关与私有子网相关联。
3. 在私有子网中创建ECS集群
4. 创建负载均衡器并将其与公共网络相关联
5. 修改了RDS的安全组，以允许来自以前创建的NAT网关上配置的弹性IP的通信。

通过这个设置，从应用程序到RDS的任何通信都要经过NAT，这样我就可以设置安全组规则来允许这种通信量。另一方面，公共子网中的负载均衡器能够与位于专用网络中的集群通信。