Salta al contenuto
Usando AWS re:Post, accetti AWS re:Post Termini di utilizzo
AWS re:Postre:Post
Informazioni su re:Post

Come posso utilizzare un'istanza Amazon EC2 come bastion host per connettermi a un'istanza database Amazon RDS privata da un computer locale?

6 minuti di lettura
0

Desidero utilizzare un'istanza Amazon Elastic Compute Cloud (Amazon EC2) come bastion host (jump) per connettermi a un'istanza database privata Amazon Relational Database Service (Amazon RDS) da un computer locale.

Risoluzione

Nota: se ricevi errori quando esegui i comandi dell'Interfaccia della linea di comando AWS (AWS CLI), consulta Risoluzione degli errori per AWS CLI. Inoltre, assicurati di utilizzare la versione più recente di AWS CLI.

Per connettersi a un'istanza database privata Amazon RDS o Amazon Aurora, è consigliabile utilizzare una VPN o AWS Direct Connect. Se non puoi utilizzare nessuna delle due opzioni, utilizza un bastion host.

Il seguente esempio di configurazione riguarda un'istanza Amazon RDS per MySQL che si trova in un Amazon Virtual Private Cloud (Amazon VPC). L'esempio utilizza gruppi di sicurezza per limitare l'accesso. Tuttavia, puoi limitare la lista di controllo degli accessi alla rete (ACL) delle sottoreti per rendere la connessione più sicura.

Avvia e configura l'istanza EC2

Completa i seguenti passaggi:

  1. Apri la console Amazon EC2, quindi scegli Avvia istanza.
  2. Seleziona un'Amazon Machine Image (AMI).
  3. Scegli un tipo di istanza, quindi scegli Avanti: Configura i dettagli dell'istanza.
  4. Per Rete, scegli il VPC utilizzato dall'istanza database Amazon RDS.
  5. Per Sottorete, seleziona la sottorete privata nel VPC
  6. Scegli Avanti: aggiungi storage, quindi modifica lo spazio di storage in base alle esigenze.
  7. Scegli Avanti: Aggiungi Tag, quindi aggiungi tag se necessario.
  8. Scegli Avanti: Configura il gruppo di sicurezza.
  9. Scegli Aggiungi regola, quindi inserisci quanto segue:
    In Tipo, inserisci Regola TCP personalizzata
    In Protocollo, inserisci TCP
    In Intervallo porte, inserisci 22
    In Origine, inserisci il gruppo di sicurezza utilizzato dall'endpoint di connessione di Amazon EC2.
  10. Scegli Analizza e avvia, quindi seleziona Avvia.

Configurazione dei gruppi di sicurezza dell'istanza database Amazon RDS

Nota: per connettere automaticamente una o più istanze EC2 a un database Amazon RDS, consulta Connessione automatica dell'istanza al database RDS tramite la console RDS.

Completa i seguenti passaggi:

  1. Apri la console Amazon RDS.
  2. Nel pannello di navigazione, scegli Database.
  3. Scegli il nome dell'istanza database Amazon RDS. Se non ne hai già una, crea un'istanza database RDS.
  4. Scegli Connettività e sicurezza.
  5. Nella sezione Sicurezza, scegli il collegamento sotto Gruppi di sicurezza VPC.
  6. Seleziona il gruppo di sicurezza, scegli Operazioni, quindi scegli Modifica le regole in entrata.
  7. Scegli Aggiungi regola, quindi inserisci quanto segue:
    In Tipo, inserisci Regola TCP personalizzata
    In Protocollo, inserisci TCP
    In Intervallo di porte, inserisci la porta dell'istanza database Amazon RDS.
    In Origine, inserisci l'indirizzo IP privato dell'istanza EC2.
  8. Scegli Salva.

Questa configurazione per il gruppo di sicurezza consente il traffico dall'indirizzo IP privato dell'istanza EC2. Se l'istanza EC2 e l'istanza database Amazon RDS utilizzano lo stesso VPC, non serve modificare la tabella di routing dell'istanza database Amazon RDS. Se il VPC è diverso, crea una connessione peering VPC per consentire le connessioni tra i VPC.

Nota: se utilizzi una soluzione più scalabile, rivedi la configurazione. Ad esempio, se utilizzi l'ID del gruppo di sicurezza in una regola del gruppo di sicurezza, assicurati che non limiti l'accesso a un'istanza. Configura invece la regola per limitare l'accesso a qualsiasi risorsa che utilizzi l'ID del gruppo di sicurezza specifico.

Crea un endpoint di connessione a un'istanza EC2

  1. Apri la console di Amazon VPC.
  2. Nel pannello di navigazione, seleziona Endpoint.
  3. Scegli Crea endpoint, quindi specificane le impostazioni.
    (Facoltativo) In Tag nome, inserisci un nome per l'endpoint.
    Per Categoria servizio, scegli EC2 Instance Connect Endpoint.
    Per VPC, seleziona il VPC con le istanze di destinazione.
    (Facoltativo) Per conservare gli indirizzi IP dei client, espandi Impostazioni aggiuntive e seleziona la casella di controllo. Altrimenti, l'impostazione predefinita prevede l'utilizzo dell'interfaccia di rete dell'endpoint come indirizzo IP del client.
    Per Gruppi di sicurezza, seleziona il gruppo di sicurezza che desideri associare all'endpoint. Altrimenti, l'impostazione predefinita prevede l'utilizzo del gruppo di sicurezza predefinito per il VPC.
    Per Sottorete, seleziona la sottorete in cui creare l'endpoint.
    (Facoltativo) Per aggiungere un tag, scegli Aggiungi nuovo tag e inserisci la chiave e il valore del tag.
  4. Rivedi le impostazioni e scegli Crea endpoint.
  5. Lo stato iniziale dell'endpoint è In attesa. Per connetterti a un'istanza, devi attendere che lo stato dell'endpoint sia Disponibile. Questa operazione può richiedere alcuni minuti.

Connettiti all'istanza database RDS dal computer locale

Nota: devi avere accesso ad AWS CLI.

Per connetterti dal client MySQL locale a un'istanza RDS privata tramite un tunnel SSH, completa i seguenti passaggi:
Linux o macOS

  1. Esegui questo comando per aprire un tunnel dal computer locale all'istanza EC2:

    aws ec2-instance-connect open-tunnel --instance-id ec2-instance-ID --local-port 8888

    Nota: sostituisci ec2-instance-ID con l'ID della tua istanza EC2.

  2. Apri una seconda connessione ed esegui questo comando per creare un tunnel SSH dall'host locale al database RDS tramite un'istanza EC2:

    ssh -i YOUR_EC2_KEY EC2_USER@EC2_HOST -p EC2_TUNNEL_PORT -L LOCAL_PORT:RDS_ENDPOINT:REMOTE_PORT -N -f

    Nota: sostituisci i seguenti valori:
    YOUR_EC2_KEY con il percorso del file della tua chiave privata EC2
    EC2_USER con il nome utente della tua istanza EC2
    EC2_HOST con il nome host della tua istanza EC2
    EC2_TUNNEL_PORT con la porta che hai configurato
    LOCAL_PORT con una porta inutilizzata sul tuo computer locale
    RDS_ENDPOINT con l'endpoint della tua istanza RDS
    REMOTE_PORT con la porta utilizzata dal tuo database Amazon RDS nell'istanza RDS.

  3. Utilizza una terza connessione ed esegui questo comando per connetterti all'istanza Amazon RDS dal computer locale:

    mysql -h 127.0.0.1 -P LOCAL_PORT -u RDS_USER -p

    Nota: sostituisci i seguenti valori:
    LOCAL_PORT con il numero della tua porta locale
    DB_USER con il nome utente del tuo database RDS
    DB password con la password del database Amazon RDS

Informazioni correlate

Come posso risolvere i problemi che riscontro quando mi connetto alla mia istanza database Amazon RDS?

Avvia un'istanza Amazon EC2

Come posso utilizzare un'istanza Amazon EC2 come bastion host per connettermi a un'istanza database Amazon RDS privata da un computer locale?

Argomenti
AnalyticsMigration & ModernizationDatabase
Tag
Amazon Relational Database Service
Lingua
Italiano
AWS UFFICIALEAggiornata un anno fa

Contenuto pertinente