我的痛点。我有一个安装了 Postgres 的 Ec2(位于私有子网中),一切正常。所有成员只有在 DEV 集群中时才能连接到数据库(我的意思是相同的 CIDR,安全组旨在仅从该 CIDR 获取流量)。这里的问题是我想在本地获得连接。我无法更改安全组。最初,我计划创建一个公共网络负载均衡器,并将 ec2 作为端口 5432 的目标,并安装 apache2 进行健康检查(200 成功作为健康)。但仍然无法连接该 Ec2 机器。任何人都可以建议最佳做法。
根据我们的政策,只能打开 HTTPS 端口
问问题
184 次
1 回答
0
如果您仅限于启用 443打开,那么您将需要更新您的 Postgres 实例以通过该端口提供服务,尽管 TLS 和与 Postgres 的纯文本连接的推荐端口是 5432。
对于您将使用网络负载均衡器的数据库实例,入站流量由实例的入站安全组规则确定。
您应该避免在您的 postgres 服务器上安装 apache 以允许负载平衡器健康检查通过,因为它与 postgres 服务的健康检查无关。相反,应该检查 Postgres 服务端口上的 TCP 健康检查。
我建议与您的同行讨论为什么 Postgres 必须在端口 443 上运行,因为这不是最佳实践并且可能导致混淆。通常,这些限制仅限于 Web 流量,而对于未来的其他服务,您可能会发现可用端口受到限制。
于 2020-07-22T17:22:19.223 回答