5

我正在为我在 AWS 上的一个 Web 应用程序创建基础设施。该应用程序需要 Mysql RDS 实例。现在我想知道我是否应该简单地在公共子网中创建 RDS 实例并将其设置更改为 Publicly Accessible=No,或者我必须在私有子网中创建这个 RDS 实例以获得更好的安全性或其他东西。我很困惑,上述任何一个选项是否会比其他选项提供更好的安全性。

我还读过简单地将安全组分配给实例将充当防火墙,因此我可以拥有 public access=true RDS 实例及其安全组,仅允许从我的应用程序 EC2 实例访问。所以基本上我有下面提到的三个选项。

  1. 可公开访问 = 公共子网中的真正 RDS 实例,其安全组仅允许访问 EC2 应用程序实例。

  2. 可公开访问 = 公共子网中的错误 RDS 实例。

  3. 私有子网中的 RDS 实例。

谁能解释上述方法在安全性方面的利弊?

4

1 回答 1

5

您是正确的,安全组可以为您的数据库以及 Amazon EC2 实例提供足够的保护。

那么为什么 AWS 提供公有/私有子网呢?这是因为许多客户想要它们,因为这是企业在使用云之前通常组织网络的方式。传统防火墙只在子网之间起作用,而安全组则分别应用于每个实例

因此,如果您了解如何正确配置安全组,则根本不需要使用私有子网!然而,有些人更愿意将资源放在私有子网中,因为它提供了额外的安全层。

于 2017-12-15T11:10:24.480 回答