在AWS中,我们的自动扩展组正在不同的可用区域中启动新的实例(以获得高可用性),而这些Web实例当然需要在端口3306上访问数据库(RDS)服务。 现在,我的RDS安全组应该允许哪些IP地址用于端口3306? 由于每个新启动的实例每次都有不同的IP地址,那么我们如何将它们添加到安全组? 顺便说一句:这不仅仅是RDS安全组的问题,而是所有安全组的问题,因为我不能限制它们。
我有一个VPC,当我点击“Edit CIDRs”时,我看到这个: …看起来不错, 10.1.0.0/16正是我想要的CIDR块。 但是,当我添加一个新的子网到这个VPC时,这个子网的路由表就自动设置成这样: 请注意,这是一个10.本地路线,而不是所需的10.1 。 我不知道如何进入我们的VPC,但我无法find一种方法来删除它(当我点击屏幕左上angular的“编辑”button时,它不可移动),如果我不能认为我唯一的select就是重新创build将成为主要事业的VPC。 是否有可能删除该路线? 我不明白为什么它没有在“编辑CIDR”对话框中列出,如果它自动与我创build的任何新的子网相关联。
在我公司的AWS云中,我们有4个VPC,每个主要的API环境(dev,test,stage,prod)都有一个。 为了使这些环境尽可能相似,他们都将CIDR块设置为10.0.0.0/16。 现在,我们需要创build这些环境之间共享的内部服务。 为了争辩,让我们假设这个新服务存储来自所有这些环境的日志数据。 该服务存在于自己的VPC中,CIDR块为10.1.1.0/24。 起初,我认为我可以简单地将来自所有环境VPC的对等连接添加到日志loggingVPC中。 当我开始设置路线表时,我遇到了一个障碍。 我做了一个路由表从开发 – >日志logging路由所有stream量目的地10.1.1.0/24。 但是我仍然无法从dev中连接到我的日志logging服务器。 看来我需要添加一个路由表的日志 – >开发路由所有stream量与目的地10.0.0.0/16。 这允许我从开发服务器连接到日志logging服务器,但是现在我无法将任何其他环境连接到日志loggingVPC。 日志logging服务器从来不必与我的API服务器发起连接,只需要接收和响应连接。 所以我的下一个想法是我可以在每个环境VPC上使用一个NAT网关,然后将这些网关路由到日志loggingVPC。 不幸的是,似乎NAT网关直接连接到互联网,我不希望我的日志loggingVPC连接到互联网。 我觉得一定有办法做这个工作,但我想不出来。 目前我觉得我唯一的select是创build4个日志loggingVPC,并在其中运行独立的日志logging服务器,但从成本angular度来看,这并不吸引我。
我的应用程序是一个利用amazon web services的SAAS。 目前,应用正在结束发展,我的公司收到了第一个客户。 我的应用程序用户需要上传具有合理机密数据的Word文档,这些数据稍后将进行分析,结果会保存到数据库中供以后查看。 现在,我没有计划为成千上万的客户服务。 我们一次只想去一个客户,然后去做大事。 但是,我们收到的第一个客户是CMM五级公司。 他们给我们发了一份安全审查调查问卷,询问我们有关物理安全,应用程序安全,数据安全和networking安全的所有事情。 我的应用程序可以运行他们整个公司的用户负载 – 这意味着我不需要多个tomcat应用程序服务器,并且在任何时间点在单个节点上运行数据库应用程序服务器来为此客户端提供服务。 所以,如果我确保以下 – 带有encryption临时存储的EC2实例,EBS存储。 EC2实例,只能访问该客户端的IP范围。 每日encryption的映像备份到EBS的S3 所有端口closures,除了443的HTTPSstream量。 这听起来好吗? 具有一个或两个节点的VPC,具有专用应用程序服务器,不同节点上的数据库。 VPC与IDS(入侵检测系统),硬化访问。 安全组定义了清晰的界限,谁可以访问什么。 VPC中的防火墙/ DMZconfiguration 用于Web服务器的SSL 用于pipe理VPC的双因素身份validation。 我们是一个小企业,试图对付这个价值十亿美元的公司。 交易规模虽小,但未来业务潜力巨大。 我们在configuration亚马逊VPC方面没有很好的经验,并加强了对潜在的威胁。 另外,聘请专业人士创造完美的VPC环境将会花费自己的时间和金钱。 此外,在这一点上,我可能听起来更像一个ASP而不是SAAS。 (我想,这就是我们现在要做的就是开始赚钱,让公司生存下来)。 我有几个问题- 从VPC开始有意义吗? 如果我不预期增加的负载,在不久的将来,如果只有一台机器可以做,甚至说两台机器,是不是VPC是一个矫枉过正? 如果我给客户一个专门的EC2实例,访问过滤到他们的公司IP范围,只有https端口打开,并且客户数据一直被encryption,这不是创buildVPC和pipe理安全的简单方法许多级别(networking,机器级别等)。 另外,如果我必须开始使用VPC,我应该只是将VPC安全性外包给一个可以为我处理这个问题的公司,我应该专注于应用程序开发? 有这么好的公司吗?
根据文档 :“每个子网CIDR块中的前四个IP地址和最后一个IP地址不能供您使用…” 那么这意味着VPC不支持点对点子网吗? 我试图创build一个/ 30子网来testing,它不会让我这样我猜这是为什么,但要确认。
我们有一个要求,我们必须testing500多个港口开放规则。 所以需要在下面的点build议。 哪个是testing端口连通性的最佳工具。 Telnet就足够了 如果没有应用程序正在监听端口,则telnet将从端口获得一个resposne。 我们正在Amazon VPC中针对安全组进行检查。
我试图合并多个VPC与站点到站点的OpenVPN。 我认为这几乎是成功的,但是我面对一个奇怪的行为。 这里是设置: VPC 1:10.20.0.0/16 WebServer1:10.20.49.147(在10.20.48.0/20子网内) NATInstance1:10.20.29.239(在10.20.16.0/20子网内) VPC 2:10.250.0.0/16 WebServer2:10.250.55.41(在10.250.48.0/20子网内) NATInstance2:10.250.250.98(在10.250.224.0/20子网内) VPC 1和VPC 2在不同的地区(事实上,我试图在每个不同的地区连接4个VPC) 我将NATInstance2设置为OpenVPN服务器,将NATInstance1设置为OpenVPN客户端(通过192.168.xx虚拟IP),并且运行良好。 但是,我也想使这个环境好像整个10.0.0.0/8networking一样工作,所以WebServer1必须能够连接到WebServer2,反之亦然。 奇怪的是,NATInstance1可以通过SSH连接到WebServer2,但反过来不是。 NATInstance2也可以通过SSH连接到WebServer1,但反过来不是。 当然,WebServer1和WebServer2之间的连接也是不可能的。 既然我想把所有的连接都联系起来,那我应该怎样改变呢? 仅供参考,NATIstances的路由表设置为: NATInstance1: root@openvpn ~# route -n Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 0.0.0.0 10.20.16.1 0.0.0.0 UG 0 0 0 eth0 10.20.16.0 0.0.0.0 255.255.240.0 U 0 0 0 eth0 10.250.0.0 […]
我刚刚在我们的本地networking和Amazon VPC之间build立了一个VPN链接。 我们的本地networking有两个感兴趣的ip块: 192.168.0.0/16 – 块本地-A 10.1.1.0/24 – 块本地-B AWS VPC有一个ip块: 172.31.0.0/16 – 阻止AWS-A 我已经build立了静态路由连接到本地A和本地B IP块的VPN连接。 我可以从: 本地-A到AWS-A和 AWS-A到本地-A。 我无法连接: AWS-A到本地-B(例如,173.31.17.135到10.1.1.251) 从173.31.17.135服务器,10.1.1.251似乎是解决到亚马逊服务器,而不是我们的本地networking上的服务器。 尽pipe在VPN上设置了local-B(10.1.1.0/24)作为路由。 请参阅tracert输出… tracert 10.1.1.251 Tracing route to ip-10-1-1-251.ap-southeast-2.compute.internal [10.1.1.251] over a maximum of 30 hops: 1 <1 ms <1 ms <1 ms 169.254.247.13 2 <1 ms <1 ms <1 ms 169.254.247.21 3 33 […]
我正在运行两个Ubuntu 12.04实例,两者都无法访问对方。 机器1: eth0 – 10.0.0.20 eth1 – 10.0.0.30 netstat -nr: Destination Gateway Genmask Flags MSS Window irtt Iface 0.0.0.0 10.0.0.1 0.0.0.0 UG 0 0 0 eth0 10.0.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1 10.0.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0 机器2: eth0 – 10.0.0.100 eth1 – 10.0.0.40 netstat -nr: Destination Gateway Genmask […]
我正在尝试做的是build立一个公共的networking应用程序,但调用内部networking上的数据库。 我一直在试图build立一个公有子网,私有子网和硬件VPN访问的AWS VPC,但我似乎无法使它工作。 有人能帮我理解这里的stream程应该是什么吗? 我的理解是,我需要一个公共的子网来处理网站的请求,然后一个私人的子网连接到VPN,但我不明白的是如何发送请求下链并得到响应。 基本上我问的是如何通过该公共网站的VPN查询数据库? 我在尝试转发时尝试过,但无法成功完成此过程。 有没有人有任何build议,我可以阅读关于这个问题或关于设置这样的问题的常见问题? 这甚至有可能吗? 我在这里脱离了联盟,这不是我的专业领域,但我被要求解决这个问题。 任何帮助,将不胜感激。 谢谢