RDS インスタンスに接続できる EC2 インスタンスがありますが、そのエラスティック IP がホワイトリストに登録された IP の DB セキュリティ グループに表示されません。
これはどうですか?
新しいインスタンスを作成したので質問します。これもホワイトリストに登録したいのですが、他のサーバーにはエラスティック IP がリストされていないため、エラスティック IP を入力するだけではうまくいきません。
前もって感謝します、
RDS インスタンスに接続できる EC2 インスタンスがありますが、そのエラスティック IP がホワイトリストに登録された IP の DB セキュリティ グループに表示されません。
これはどうですか?
新しいインスタンスを作成したので質問します。これもホワイトリストに登録したいのですが、他のサーバーにはエラスティック IP がリストされていないため、エラスティック IP を入力するだけではうまくいきません。
前もって感謝します、
ここには 2 つの原因が考えられます。
セキュリティ グループ ルールは必ずしも IP アドレスをトラフィック ソースとして指定するだけではなく、定期的に他のセキュリティ グループも参照します。
ソースには、個々の IP アドレス (203.0.113.1)、アドレスの範囲 (203.0.113.0/24 など)、または EC2 セキュリティ グループを指定できます。セキュリティ グループは、AWS アカウントの別のグループ、別の AWS アカウントのグループ、またはセキュリティ グループ自体にすることができます。
セキュリティ グループをソースとして指定することにより、ソース セキュリティ グループに属するすべてのインスタンスからの着信トラフィックを許可します。[...] 3 層 Web サービスを作成している場合は、アカウントに別のセキュリティ グループを指定できます (「3 層 Web サービスの作成」を参照)。
[鉱山を強調]
その結果、Amazon RDSインスタンスの DB セキュリティ グループは、 Amazon EC2インスタンスに使用される EC2 セキュリティ グループを参照する場合があり、それぞれのアクセス権が既に存在することを意味します。この概念/アプローチの詳細については、 AWSに対する私の回答- Beanstalk アプリからの EC2 インスタンスへのアクセスの設定を参照してください。
AWS DNS インフラストラクチャの、あまり知られていないが重要で非常に役立つ機能の効果が見られる場合があります。インスタンス IP アドレスの使用ページのパブリック アドレスとプライベート アドレスのセクションを参照してください。
Amazon EC2 は、プライベート IP アドレスとパブリック IP アドレスにそれぞれマッピングされる内部 DNS 名とパブリック DNS 名も提供します。内部 DNS 名は、Amazon EC2 内でのみ解決できます。パブリック DNS 名は、Amazon EC2 ネットワーク外のパブリック IP アドレスと、Amazon EC2 ネットワーク内のプライベート IP アドレスに解決されます。[鉱山を強調]
つまり、パブリック DNS (例: ec2-xxx-xxx-xxx-xxx.compute-1.amazonaws.com) を、Amazon EC2 ネットワーク内で使用している場合はプライベート IP アドレスに解決し、パブリックまたはエラスティック IP アドレスに解決します。 Amazon EC2 ネットワーク外で使用する場合の IP アドレス。
したがって、さまざまな AWS 製品は通常、さまざまな理由から、外部 IP アドレスではなく、プライベート IP アドレスを使用して相互に接続されています。最も重要なのは、ネットワークの速度とコストです ( AWS EC2 Elastic IP の帯域幅の使用量と料金に対する私の回答を参照してください)。詳細)。
したがって、Amazon RDS インスタンスの DB セキュリティ グループは、Amazon EC2 インスタンスのプライベート IP アドレスを参照し、それに応じてそれぞれのアクセス権を意味する場合があります。