如何使用 Amazon EC2 執行個體作為堡壘主機從本機電腦連線到私有 Amazon RDS 資料庫執行個體?

上次更新日期:2020 年 8 月 20 日

如何使用 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體作為堡壘 (jump) 主機從本機電腦連線到私有 Amazon Relational Database Service (Amazon RDS) 資料庫執行個體?

簡短描述

若要使用 EC2 執行個體作為跳轉伺服器從本機電腦連線到私有 RDS 資料庫執行個體,請遵循以下步驟:

  1. 啟動並設定 EC2 執行個體,然後設定執行個體的網路設定。
  2. 設定 RDS 資料庫執行個體的安全群組。
  3. 從本機電腦連接至 RDS 資料庫執行個體。

重要:若要連接至私有 Amazon RDS 或 Amazon Aurora 資料庫執行個體,最好使用 VPNAWS Direct Connect。如果您無法使用 VPN 或 Direct Connect,則使用堡壘主機。以下範例組態使用安全群組限制存取,但您也可以限制子網路的網路存取控制清單 (網路 ACL),讓連接更加安全。您也可以限制網際網路閘道的路由範圍,以使用更小的範圍,而非 0.0.0.0/0。例如,當您新增網際網路閘道時,可以在目標的路由表中僅新增所需的 CIDR 範圍。如需詳細資訊,請參閱範例路由選項

解決方案

以下範例組態適用於 Amazon Virtual Private Cloud (Amazon VPC) 中已針對 EC2 執行個體設定安全群組的 RDS MySQL 資料庫執行個體。

啟動並設定 EC2 執行個體

  1. 開啟 Amazon EC2 主控台,然後選擇啟動執行個體
  2. 選擇 Amazon Machine Image (AMI)。
  3. 選擇執行個體類型,然後選擇下一步:設定執行個體詳細資訊
  4. 針對網路,選擇 RDS 資料庫執行個體使用的 VPC。
  5. 針對子網路,選取在其路由表中有網際網路閘道的子網路。如果您還沒有網際網路閘道,可以在建立 EC2 執行個體後將其新增至子網路。
  6. 選擇下一步:新增儲存,然後按需修改儲存。
  7. 選擇下一步:新增標籤,然後按需新增標籤。.
  8. 依次選擇下一步:設定安全群組新增規則,然後輸入以下:
    類型:自訂 TCP 規則
    通訊協定:TCP
    連接埠範圍:22
    來源:輸入您本機電腦的 IP 地址。依預設,來源 IP 地址對所有人開放。但是您僅可限制對本機公有 IP 地址的存取。
  9. 選擇檢閱並發佈
  10. 選擇啟動

設定 RDS 資料庫執行個體的安全群組

  1. 開啟 Amazon RDS 主控台,然後從導覽窗格選擇資料庫
  2. 選擇 RDS 資料庫執行個體的名稱。或者,建立 RDS 資料庫執行個體 (如果您還沒有)。
  3. 選擇連線與安全性標籤。
  4. 安全性區段,選擇 VPC 安全群組 下的連結。
  5. 選取安全群組,選擇動作,然後選擇編輯傳入規則
  6. 選擇新增規則並輸入以下:
    類型:自訂 TCP 規則
    通訊協定:TCP
    連接埠範圍:輸入 RDS 資料庫執行個體的連接埠。
    來源:輸入 EC2 執行個體的私有 IP 地址
  7. 選擇儲存

安全群組的此組態允許來自 EC2 執行個體的私有 IP 地址。如果 EC2 執行個體和 RDS 資料庫執行個體使用相同的 VPC,則您無需修改 RDS 資料庫執行個體所用的路由表。如果 VPC 不同,則建立 VPC 對等互連以允許這些 VPC 之間的連線。

從您的本機電腦連接至 RDS 資料庫執行個體

視您所用的用戶端而定,連接至 RDS 資料庫執行個體的步驟有所不同。如需詳細資訊,請參閱連線至 Amazon RDS 資料庫執行個體。如果您使用 MySQL,最佳實務是使用 SSL 對用戶端應用程式和 Amazon RDS 之間的連線加密。

以下範例使用 MySQL Workbench 用戶端連接至堡壘主機:

  1. 開始新連線,然後選取標準 TCP/IP over SSH 作為連線方法
  2. 為 SSH 設定輸入以下有關 EC2 執行個體的詳細資訊:
    SSH 主機名稱:輸入 EC2 執行個體的公有 DNS 名稱。
    SSH 使用者名稱:輸入 EC2 執行個體的使用者名稱。例如,"ec2-user" 為 EC2 Linux 機器的使用者名稱。
    SSH 金鑰檔案:選取建立 EC2 執行個體時使用的私有金鑰。
  3. 為 MySQL 執行個體設定輸入以下詳細資訊:
    MySQL 主機名稱:輸入 RDS 資料庫執行個體端點
    MySQL Server 連接埠:輸入 3306 (或您使用的自訂連接埠)。
    使用者名稱:輸入 RDS 資料庫執行個體的主要使用者名稱。
    密碼:輸入 RDS 資料庫執行個體的主要密碼。
  4. 選擇測試連線
  5. 連線成功後,輸入連線名稱,然後儲存連線。

此文章是否有幫助?


您是否需要帳單或技術支援?