我创建了一个带有公共子网和私有子网的 VPC。对于公共子网,我为私有子网 nat 网关连接了互联网网关,从这里我的计划是在私有子网中启动我的所有实例并使用 elb 将它们与外部世界连接,为此我在私有子网中启动了我的 tomcat 服务器并连接到 elb在公共子网中,我在私有子网中启动了 mongodb,公共子网 elb 附加到它。现在,当我从 tomcat 服务器调用 API 时,它应该从 db 中获取数据,当我从 elb sg 中的任何地方允许 27017(mongodb 端口)时就会发生这种情况,这是我遇到的问题,我不想允许来自每个地方的端口只有 tomcat 服务器应该通过 elb 与 mongodb 通信如何配置 elb 的安全组以仅允许来自 tomcat 服务器的流量。
【问题讨论】:
标签: amazon-web-services amazon-vpc aws-security-group
解决方案:
由于您的 tomcat 服务器位于私有子网中,并且它试图到达公共子网中的 mongodb ELB,因此 tomcast 服务器的出站流量必须通过 NAT 网关(不是 ELB )。
因此,您可以允许来自 NAT 网关 IP 的 27017 端口,而不是将安全组设置为允许来自 0.0.0.0/0 的 27017 端口。
您首先需要检查您使用的是旧式 NAT 网关实例还是新的 VPC NAT 网关解决方案,以获取所需的 IP 地址。
建议:
首先,您不希望将实例和数据库之间的流量暴露给公共互联网。请改用私有负载均衡器。
其次,mongodb 集群不需要 ELB(我假设你有一个集群)。 Mongodb 集群的目的是实现高可用性。 Write always go to the primary 和 it is a bad practice to use secondaries to increase performance for read requests。
您应该设置 mongos 以接受连接并让它为您处理路由。在这种情况下,您的 tomcast 服务器可以直接连接到私有 mongos 端点,而不会将流量暴露给互联网。
如果您不使用 mongodb 集群(在这种情况下,我不明白您为什么首先使用负载均衡器),那么它更简单,只需使用 mongodb 服务器私有 IP 连接即可。
【讨论】:
您可以创建一个专用于您的服务器和数据库之间的通信的安全组,并将该安全组附加到它们两者。
我不建议将 NAT 用于公共应用程序,因为此 NAT 实例可能无法支持负载峰值。
【讨论】: