クライアントが私に触れないと主張するRDSインスタンスがあります。しかし、コピーを作成して新機能のテストに使用して、元のRead Replicaを作成し、完了したらRead Replicaをスタンドアロンに昇格させましたインスタンス。その後、私のIPだけを許可する新しいセキュリティグループを作成し、そのセキュリティグループを使用するように変更されたレプリケートされたインスタンスで(私は確認した)私のコピーインスタンスは正常に動作します。AWS RDS - オリジナルのセキュリティ設定でリード・レプリカ・スクリューを作成できますか?
私のクライアントは、元のMySQL RDSインスタンスにログインすることを決めました(何らかの理由でやりたがっているように)、8ヶ月ぶりにアクセスできないと私に苦情を申しました。彼はError 60
に接続できません。彼は私を非難しています。
したがって最初のこのプロセスでは、元のRDSのセキュリティグループまたは元のセキュリティグループの受信許可の設定が不正である可能性がありますか?
セキュリティグループの設定を見ると、どのように動作するのか正確には分かりません。これは、このようなセットアップです:
RDS uses Security Group sg-001 [real ids changed for readability]
sg-001: Inbound TCP 3306 Source: sg-002
sg-002: Inbound TCP 80 Source: sg-003
sg-003: Inbound TCP 80 Source: 0.0.0.0/0
Inbound TCP 443 Source: 0.0.0.0/0
だから私は(SG-001を使用しています)RDSはまったく着信トラフィックを持つことができる、ではないだろうと私には見える、ということ読んだとき、Webサービス(つまりAWSでも実行されています)は引き続きRDSに読み書きできます。誰かが私がこれをより良く理解するのを助けることができるか
ありがとうございました。それははるかに理にかなっています! CloudTrailは有効になっていませんでした。セキュリティグループの変更が行われたかどうかを確認する方法は他にありません。私は自分のレプリカを作った後ではなく、彼が過去8ヶ月間自分の家からMySQLにアクセスできる理由について絶対に迷っています。 –
@ルス私は過去にリモートでデータベースに接続することができれば、ある時点で誰かがセキュリティグループを変更したに違いないと思います。 –
私は同意しがちですが、私は彼と一緒にチェックして、私はレプリカを作る前にわずか2時間で接続することができました。: - /上記のように、セキュリティグループのポリシーには、遠隔からのアクセスを許可する必要があるとは言いませんが、何もありません。それは私を困惑させる。 –