1. Zuhause
  2. Frage und Antwort
  3. Wie kann der ECS-Task auf RDS zugreifen

Wie kann der ECS-Task auf RDS zugreifen

2016-09-09 3 views
3

Ich habe eine ECS-Task von einer Lambda-Funktion ausgeführt. Diese Aufgabe führt einige grundlegende SQL-Operationen (z. B. SELECT, INSERT, UPDATE) auf einer RDS-Instanz aus, auf der MySQL ausgeführt wird. Wie kann der Zugriff von der ECS-Aufgabe auf RDS ordnungsgemäß verwaltet werden?Wie kann der ECS-Task auf RDS zugreifen

Ich verbinde derzeit mit RDS eine Sicherheitsgruppenregel, wo Port 3306 eine Verbindung von einer bestimmten IP-Adresse ermöglicht (wo sich eine EC2-Instanz befindet).

Ich bin dabei, diese Funktionalität von EC2 auf die ECS-Task zu verschieben. Ich habe mich mit IAM-Richtlinien befasst, aber die Aktionen scheinen AWS CLI RDS-Vorgänge zu verwalten und sind hier wahrscheinlich nicht die Lösung. Vielen Dank!

Quelle

2016-09-09 scagnetti

+0

Wie verwalten Sie den RDS-Zugriff von der EC2-Instanz derzeit? Sie müssen irgendwie den MySQL-Benutzernamen/das Passwort angeben. Sie haben Recht damit, dass IAM nicht für die Verwaltung des Zugriffs auf Ihre MySQL-Serverinstanz verwendet wird. –

+0

Ich habe eine mysqlclient (python library) Verbindung, wo ich un/pw zur Verfügung stelle. Dieser Teil der Verbindung bleibt in meiner ECS-Aufgabe gleich. Ich schränke auch den Zugriff auf diese EC2-Instanz durch ihre IP-Adresse ein, was der Teil ist, den ich in meiner ECS-Implementierung zu lösen versuche. Obwohl, wenn es einen Weg gibt, kann ich das mit IAM-Rollen lösen, die großartig wären. – scagnetti

Antwort

4

IAM-Rollen und Sicherheitsgruppen sind zwei völlig verschiedene Dinge, die verschiedenen Zwecken dienen. Sie müssen die Sicherheitsgruppe öffnen, damit jeder Netzwerkverkehr auf den RDS-Server zugreifen kann. Anstatt die IP-Adresse auf die weiße Liste zu setzen, sollten Sie die eingehende Sicherheitsgruppe auf die weiße Liste setzen.

Wenn sich der RDS-Server beispielsweise in Sicherheitsgruppe 1 befindet und der ECS-Server in Sicherheitsgruppe 2 ist, können Sie die ID der Sicherheitsgruppe 2 in der Regel für eingehenden Zugriff der Sicherheitsgruppe 1 eingeben Sorgen Sie sich, dass Server IP-Adressen ändern.

Quelle

2016-09-09 20:38:28

+0

Ich habe ein Problem, wo ich das gleiche tun möchte, aber die ECS-Cluster sind in verschiedenen Regionen, alle zurück zu verbinden, um die Master-RDS-Db-Instanz in ap-Südost-2 zu schreiben. Ich habe gelesen, dass Sie Sicherheitsgruppen aus einer anderen Region nicht als eingehende Gruppe zuweisen können. Hast du einen Vorschlag, wie du dieses Zeichen erreichen kannst? – Chris

+1

@Chris Wenn Sie ein bereichsübergreifendes VPC-Peering verwenden, können Sie den IP-Bereich des privaten Subnetzes auf die weiße Liste setzen. –

+0

Danke Mark, ich werde das untersuchen. Bin dankbar. – Chris

Verwandte Themen

 Verwandte Themen