無法使用NAT連接到Amazon RDS上的MSSQL服務器實例

Question

我對亞馬遜網絡服務是全新的，我試圖通過公有和私有子網實現虛擬私有云。私有子網將託管我的數據庫服務器，公共子網將包含我的應用程序的Web服務器。我跟着亞馬遜自己一步一步的教程來實現這一目標：

在本教程中介紹，我成功地設法讓我的網絡服務器跟我的數據庫服務器，我已經配置了所有的VPC安全組。我也想從本地機器上的MSSQL Management Studio遠程連接到數據庫，這樣我就可以創建/刪除模式，並且通常可以查看數據庫中的內容。但是，我根本無法連接到數據庫服務器。

問題的一部分是我不確定我要連接到什麼。在完成本教程之前，我創建了一個簡單的數據庫，並將其端點用作URL，並且可以從本地機器遠程連接到它。現在，由於數據庫服務器位於私有子網上，只能通過NAT實例與外部世界通信，這是否意味着我應該使用NAT的彈性IP作爲數據庫URL並向NAT安全組添加額外的規則？我對網絡的知識有些欠缺，所以我不太確定，而且這個教程在這裏也沒有幫助。

我的安全組包含以下項目：

NAT實例安全組入站：

Port | Source 
22  | my external ip 
80  | 10.0.1.0/24 (private subnet) 
443 | 10.0.1.0/24 (private subnet) 
1433 | my external ip 

NAT實例安全組出站：

Port | Destination 
80  | 0.0.0.0/0 
443 | 0.0.0.0/0 
1433 | 0.0.0.0/0 

數據庫安全組入站：

Port | Source 
1433 | sg-d6ec33b9 (web servers security group) 

數據庫安全組出站：

Port | Destination 
80  | 0.0.0.0/0 
443 | 0.0.0.0/0 

Web服務器安全組入站：

Port | Source 
22  | 0.0.0.0/0 
80  | 0.0.0.0/0 
443 | 0.0.0.0/0 
8080 | 0.0.0.0/0 

Web服務器安全組出站：

Port | Destination 
80  | 0.0.0.0/0 
443 | 0.0.0.0/0 
1433 | sg-b5ec33da (database security group id) 

主路由表與專用子網（10.0關聯。 1.0/24）並且具有以下路線：

Destination | Target 
10.0.0.0/16 | local 
0.0.0.0/0 | i-cf8605ad (NAT instance id) 

自定義路由表與公共子網（10.0.0.0/24）相關聯，並有以下途徑：

Destination | Target 
10.0.0.0/16 | local 
0.0.0.0/0 | igw-a4ed3aca (internet gateway id) 

所以給出這樣的設置，你會我需要做的，獲得對外部訪問位於私有子網上的數據庫服務器受NAT實例保護？我是否需要添加/更改安全組中的規則？

在此先感謝。

Answer 1

您的問題比安全組更改稍大。主要問題是，您的私人 vpc是私人的，因爲'不能上網'。

您有幾種選擇從外部連接：

1. 使用一個堡壘機作爲中間跳（在公網），並添加相關SG規則來跳形成機到您寶貴的數據庫。您的用戶需要連接到該機器，然後在該機器上運行客戶端工具以連接到數據庫或設置到您的數據庫的SSH隧道（以便您的辦公機器可以連接）。從用戶體驗和安全角度來看，這不是一個很好的解決方案（堡壘成爲非常大的安全風險），但安裝起來很簡單。 （注：因爲你是MS的傢伙，那麼請爲RDP切換SSH [和取消隧道事]）

2. 建立一個VPN - 帶來大的槍射擊一隻蒼蠅。設置VPN（使用AWS VPN終端，或設置OpenVPN或類似的東西）。定義路由，SG規則，密鑰客戶端並在此處進行更新，如果您設法在合理的努力範圍內進行配置。因爲您不希望辦公室中的每個惡意軟件都能訪問您的「私人」數據中心，所以我不會選擇完整的站點間VPN（到您的辦公網絡）。

3. 從您的辦公室爲您的數據庫實例創建一點點傳遞。成份： 從您的辦公室IP到專用網絡的自定義路線，適當的SG規則允許辦公室IP到DB SG，彈性IP使實例互聯網可到達。

你可以提高解決方案的安全性1,3利用Dome9的訪問租約。這將允許您訪問限制在堡壘/直通，使他們對授權用戶的需求（免責聲明 - 我是一個驕傲Dome9'er）

享受