¿Por qué la CIDR/IP en el grupo de seguridad de la base de datos podría ser diferente de la IP elástica de la instancia?

Tengo una instancia de EC2, que puede conectarse a mi instancia de RDS, pero su IP elástica no aparece en el grupo de seguridad de la base de datos de IP incluidas en la lista blanca.

¿Cómo podría ser esto?

Pregunto porque he creado una nueva instancia, que también quiero incluir en la lista blanca y simplemente ingresar su IP elástica no parece la forma de hacer las cosas, ya que ninguno de los otros servidores tiene su IP elástica en la lista.

Gracias por adelantado,

preguntado el 03 de mayo de 12 a las 16:05

1 Respuestas

Puede haber dos causas aquí:

Fuentes de Tráfico

Reglas del grupo de seguridad no especifique necesariamente las direcciones IP como fuentes de tráfico únicamente, sino que también se referirá regularmente a otros grupos de seguridad:

La fuente puede ser una dirección IP individual (203.0.113.1), un rango de direcciones (por ejemplo, 203.0.113.0/24), o un grupo de seguridad EC2. El grupo de seguridad puede ser otro grupo en su cuenta de AWS, un grupo en otra cuenta de AWS o el propio grupo de seguridad.

Al especificar un grupo de seguridad como fuente, permite el tráfico entrante de todas las instancias que pertenecen al grupo de seguridad de origen. [...] Puede especificar otro grupo de seguridad en su cuenta si está creando un servicio web de tres niveles (consulte Creación de un servicio web de tres niveles).

[énfasis mío]

En consecuencia, el grupo de seguridad DB de su RDS de Amazon instancia puede hacer referencia al grupo de seguridad EC2 utilizado para su Amazon EC2 ejemplo, lo que implica derechos de acceso respectivos ya. ver mi respuesta a AWS: configuración del acceso a la instancia EC2 desde la aplicación Beanstalk para obtener más detalles sobre este concepto/enfoque.

Direcciones IP públicas y privadas

Es posible que vea el efecto de una característica poco conocida, pero no obstante importante y muy útil de la infraestructura de DNS de AWS, consulte la sección Direcciones Públicas y Privadas en la página Uso de direcciones IP de instancia:

Amazon EC2 también proporciona un nombre de DNS interno y un nombre de DNS público que se asignan a las direcciones IP públicas y privadas, respectivamente. El nombre de DNS interno solo se puede resolver dentro de Amazon EC2. El nombre de DNS público se resuelve en la dirección IP pública fuera de la red de Amazon EC2 y la dirección IP privada dentro de la red de Amazon EC2. [énfasis mío]

Es decir, está resolviendo el DNS público (por ejemplo, ec2-xxx-xxx-xxx-xxx.compute-1.amazonaws.com) a la dirección IP privada cuando lo usa dentro de la red Amazon EC2, y al público o elástico. Dirección IP cuando se utiliza fuera de la red de Amazon EC2.

En consecuencia, los diversos productos de AWS generalmente se conectan entre sí por medio de sus direcciones IP privadas en lugar de las externas por una variedad de razones, lo más importante es la velocidad y el costo de la red (consulte mi respuesta a Cargos y uso de ancho de banda de IP elásticas de AWS EC2 para más detalles).

En consecuencia, el grupo de seguridad de la base de datos de su instancia de Amazon RDS podría hacer referencia a la dirección IP privada de su instancia de Amazon EC2, lo que implica los derechos de acceso correspondientes.

contestado el 23 de mayo de 17 a las 12:05

Después de pasar una tarde y una mañana muy largas tratando de resolver esto, estoy extremadamente agradecido por esta respuesta. Consideraré nombrar a mi primogénito Steffen. - phil esturión

Por alguna razón, no funcionó agregar ni el grupo de seguridad ni la dirección IP externa. Configuración de la ip privada hizo el truco, sin embargo. - mhkeller

No es la respuesta que estás buscando? Examinar otras preguntas etiquetadas or haz tu propia pregunta.