В този урок ще преминем през настройката на Amazon RDS екземпляр в частна VPC подмрежа и свързването с нея чрез SSH тунел.
Обратният SSH тунел прави изходяща криптирана връзка от вашия VPC към сървърите на Chartio. Това ви позволява да свържете Chartio към база данни във вашата частна VPC подмрежа, без да променяте нейната таблица с маршрути или групи за сигурност.
Общ преглед
Следващата диаграма изобразява как ще изглежда нашата окончателна архитектура. Ще създадем VPC с 2 подмрежи в региона us-west-1; 1 публична подмрежа в зоната на наличност us-west-1a и 1 частна подмрежа в зоната за достъпност us-west-1b. VPC ще има свързан интернет шлюз, но основната таблица с маршрути ще съдържа само един локален маршрут, който позволява комуникация в рамките на VPC. Публичната подмрежа ще има персонализирана таблица с маршрути, която включва локалния маршрут, както и маршрут, насочващ целия друг трафик през интернет шлюза. В частната подмрежа ще бъде осигурен екземпляр на Postgres RDS с прикачена група за сигурност, която позволява само входящ трафик на порт 5432 от публичната подмрежа. Инстанция EC2 ще бъде осигурена в публичната подмрежа с прикачена група за сигурност, която позволява само входящ SSH трафик от вашия локален IP и целия изходящ трафик. И накрая, ще SSH в екземпляра EC2, инсталираме Postgres клиента psql , създайте таблица на RDS екземпляр и инсталирайте и настройте SSH тунел.
Създайте VPC
Отидете до таблото за управление на VPC в конзолата за управление на AWS и създайте нов VPC.
Създаване и прикачване на интернет шлюз
В раздела Интернет шлюзове на таблото за управление на VPC създайте нов интернет шлюз.
Прикачете шлюза към новосъздадения VPC.
Създаване на персонализирана таблица с маршрути
В раздела Таблици с маршрути на таблото за управление на VPC създайте нова таблица с маршрути.
Добавете маршрут към таблицата с маршрути за интернет шлюза.
Създаване на публични и частни подмрежи
Създайте подмрежа в зоната на наличност us-west-1a.
Променете таблицата с маршрути за предварително създадена подмрежа от основната таблица с маршрути към таблицата с персонализирани маршрути.
Създайте подмрежа в зоната на наличност us-west-1b.
Създаване на групи за сигурност
Създайте група за сигурност за екземпляра EC2, който да бъде предоставен в публичната подмрежа us-west-1a.
Разрешете входящия SSH трафик от вашия локален IP адрес. Изходящите правила по подразбиране трябва да са добре.
Създайте група за сигурност за Postgres RDS екземпляр, който да бъде осигурен в частната подмрежа us-west-1b.
Разрешете входящия трафик от публичната подмрежа през порт 5432.
Премахнете всички изходящи правила за групата за защита на RDS.
Предоставяне на EC2 екземпляр
Осигурете EC2 екземпляр в публичната подмрежа us-west-1a. Уверете се, че е назначен публичен IP.
Задайте предварително създадената група за защита.
Предоставяне на екземпляр на Postgres RDS
Осигурете екземпляр на Postgres RDS в частната подмрежа us-west-1b. Уверете се, че публичен IP адрес НЕ е назначен.
Инсталирайте и настройте SSH тунел
SSH в екземпляра EC2 и изпълнете следните команди.
# Substitute 54.153.81.83 with your instance's public IP.
ssh [email protected]
# Create a table so Chartio has something to reflect.
# Substitute chartio.cacziwncd30i.us-west-1.rds.amazonaws.com with your instance's endpoint.
sudo apt-get update
sudo apt-get install postgresql-client
psql -h chartio.cacziwncd30i.us-west-1.rds.amazonaws.com -p 5432 -d chartio -U chartio -c "CREATE TABLE foo(id int);"
Инсталирайте autossh (или SSH тунелен мениджър по ваш избор) и настройте тунелна връзка, като използвате инструкциите.
Проверете редактора на схеми Chartio, за да се уверите, че схемата на RDS екземпляр е отразена. Ако не е, опитайте да щракнете върху бутона „Обновяване на схемата“.
