Wie kann ich eine Verbindung zu einer privaten Amazon RDS-DB-Instance von einem lokalen Rechner aus herstellen, wenn ich eine Amazon-EC2-Instance als Bastion-Host verwende?

Letzte Aktualisierung: 03.12.2021

Gehen Sie folgendermaßen vor, um eine Verbindung zu einer privaten RDS-DB-Instance von einem lokalen Computer mit einer EC2-Instance als Jump-Server herzustellen:

1. Starten und konfigurieren Sie Ihre EC2-Instance und konfigurieren Sie die Netzwerkeinstellungen der Instance.
2. Konfigurieren Sie die Sicherheitsgruppen der RDS-DB-Instance.
3. Stellen Sie von Ihrem lokalen Gerät aus eine Verbindung zur RDS-DB-Instance her.

Wichtig: FÜr das Herstellen einer Verbindung zu einer privaten Amazon-RDS- oder Amazon-Aurora-DB-Instance ist es eine bewährte Methode, ein VPN oder AWS Direct Connect zu verwenden. Wenn Sie kein VPN oder Direct Connect verwenden können, verwenden Sie einen Bastion-Host. In der folgenden Beispielkonfiguration ist der Zugriff mithilfe von Sicherheitsgruppen eingeschränkt. Sie können jedoch auch die Netzwerk-Zugriffskontrollliste (Netzwerk-ACL) von Subnetzen einschränken, um die Verbindung sicherer zu machen. Sie können auch den Routbereich des Internet-Gateways einschränken, um einen kleineren Bereich anstelle von 0.0.0.0/0 zu verwenden. Beispielsweise können Sie beim Hinzufügen des Internet-Gateways nur den erforderlichen CIDR-Bereich in die Routing-Tabelle für das Ziel einfügen. Weitere Informationen finden Sie unter Beispiele für Routingoptionen.

Die folgende Beispielkonfiguration gilt für eine Amazon-RDS-for-MySQL-Instance in einer Amazon Virtual Private Cloud (Amazon VPC). Für die Instance sind Sicherheitsgruppen für eine EC2-Instance eingerichtet.

Starten und Konfigurieren der EC2-Instance

1. Öffnen Sie die Amazon-EC2-Konsole und wählen Sie dann Instance starten aus.
2. Wählen Sie ein Amazon Machine Image (AMI) aus.
3. Wählen Sie einen Instance-Typ aus, und wählen Sie dann Weiter: Instance-Details konfigurieren.
4. Wählen Sie für Netzwerk die VPC aus, welche die RDS-DB-Instance verwendet.
5. Wählen Sie für Subnet das Subnetz aus, das ein Internet-Gateway in seiner Routing-Tabelle enthält. Wenn Sie noch kein Internet-Gateway haben, können Sie es dem Subnetz hinzufügen, nachdem die EC2-Instance erstellt wurde.
6. Wählen Sie Weiter: Speicher hinzufügen und passen Sie den Speicher nach Bedarf an.
7. Wählen Sie Weiter: Tags hinzufügen und fügen Sie nach Bedarf Tags hinzu.
8. Wählen Sie Weiter: Sicherheitsgruppe konfigurieren, wählen Sie Regel hinzufügen und geben Sie Folgendes ein:
   Typ: Benutzerdefinierte TCP-Regel
   Protokoll: TCP
   Portbereich: 22
   Quelle: Geben Sie die IP-Adresse Ihres lokalen Computers ein. Standardmäßig ist die Quell-IP-Adresse für alle offen. Sie können den Zugriff jedoch auf Ihre lokale öffentliche IP-Adresse beschränken.
9. Wählen Sie Überprüfen und Starten.
10. Wählen Sie Starten.

Konfigurieren Sie die Sicherheitsgruppen der RDS-DB-Instance

1. Öffnen Sie die Amazon-RDS-Konsole und wählen Sie im Navigationsbereich Datenbanken aus.
2. Wählen Sie den Namen der RDS-DB-Instance aus. Oder erstellen Sie eine RDS-DB-Instance, falls Sie noch keine haben.
3. Wählen Sie die Registerkarte Verbindung & Sicherheit aus.
4. Wählen Sie im Abschnitt Sicherheit den Link unter VPC-Sicherheitsgruppen aus.
5. Wählen Sie die Sicherheitsgruppe aus, wählen Sie Aktionen und wählen Sie Eingangsregeln bearbeiten.
6. Wählen Sie Regel hinzufügen und geben Sie Folgendes ein:
   Typ: Benutzerdefinierte TCP-Regel
   Protokoll: TCP
   Port Range: Geben Sie den Port Ihrer RDS-DB-Instance ein
   Quelle: Geben Sie die private IP-Adresse Ihrer EC2-Instance ein
7. Wählen Sie Speichern aus.

Diese Konfiguration der Sicherheitsgruppe erlaubt Datenverkehr von der privaten IP-Adresse der EC2-Instance. Wenn die EC2-Instance und die RDS-DB-Instance dieselbe VPC verwenden, müssen Sie die von der RDS-DB-Instance verwendete Routing-Tabelle nicht ändern. Wenn die VPC unterschiedlich ist, erstellen Sie eine VPC-Peering-Verbindung, um Verbindungen zwischen diesen VPCs zu erlauben.

Stellen Sie von Ihrem lokalen Computer aus eine Verbindung zur RDS-DB-Instance her

Je nach verwendetem Client unterscheiden sich die Schritte zum Herstellen einer Verbindung mit der RDS-DB-Instance. Weitere Informationen finden Sie unter Herstellen einer Verbindung mit einer Amazon-RDS-DB-Instance. Wenn Sie MySQL verwenden, ist es eine bewährte Methode, SSL zum Verschlüsseln der Verbindung zwischen der Clientanwendung und Amazon RDS zu verwenden.

Im folgenden Beispiel wird der MySQL Workbench-Client verwendet, um eine Verbindung zum Bastion-Host herzustellen:

1. Starten Sie eine neue Verbindung und wählen Sie Standard TCP/IP über SSH als Verbindungsmethode aus.
2. Geben Sie die folgenden Details der EC2-Instance für die SSH-Einstellungen ein:
   SSH-Hostname: Geben Sie den öffentlichen DNS-Namen der EC2-Instance ein.
   SSH-Benutzername: Geben Sie den Benutzernamen für Ihre EC2-Instance ein. „ec2-user“ ist beispielsweise der Benutzername für EC2-Linux-Computer.
   SSH-Schlüsseldatei: Wählen Sie den privaten Schlüssel aus, der beim Erstellen der EC2-Instance verwendet wurde.
3. Geben Sie die folgenden Details für die MySQL-Instance-Einstellungen ein:
   MySQL-Hostname: Geben Sie den Endpunkt der RDS-DB-Instance ein
   MySQL-Server-Port: Geben Sie 3306 ein (oder den benutzerdefinierten Port, den Sie verwenden).
   Benutzername: Geben Sie den Haupt-Benutzernamen der RDS-DB-Instance ein.
   Passwort: Geben Sie das Haupt-Passwort der RDS-DB-Instance ein.
4. Wählen Sie Verbindung testen aus.
5. Geben Sie nach erfolgreicher Verbindung einen Verbindungsnamen ein und speichern Sie die Verbindung.