Como abrir a porta do MySQL apenas para o Amazon RDS para replicação?

Question

Como abrir a porta do MySQL apenas para o Amazon RDS para replicação?

#1 resposta do (1 votos)
#2 resposta do (0 votos)

1

Eu tenho um banco de dados MySQL em um servidor dedicado, que eu quero replicar para o Amazon RDS para ter sempre um backup atualizado.

Para isso, o Amazon RDS precisa ser capaz de se conectar ao meu servidor MySQL mestre.

Eu não quero abrir a porta MySQL 3306 para o mundo inteiro, pois mesmo que o MySQL tenha suas próprias permissões, considero um risco de segurança extra se um problema de segurança for descoberto no MySQL.

Por isso, quero adicionar uma regra ao iptables para permitir todas as conexões de *.rds.amazonaws.com . Mas, até onde eu entendi, mesmo que o iptables permita que um nome de host seja especificado em vez de um endereço IP, ele é resolvido quando a regra é criada, e não quando o pacote é verificado.

E por causa da maneira como o RDS é projetado, o endereço IP por trás do nome do host de uma instância do RDS pode mudar durante sua vida útil, portanto, essa não é uma boa solução.

Quais alternativas eu tenho para apenas abrir meu servidor MySQL para o RDS?

mysql iptables firewall mysql-replication

por Benjamin 05.12.2015 / 13:22

2 respostas

Tags mysql iptables firewall mysql-replication

Catalyst 2960-X sem transferência xmodem ou tftp mod_security: Como registrar solicitações POST para um URI específico?

score 1 · Answer 1

Aqui está um link para um Unix & Pergunta do Linux Stack Exchange: UFW: Allow tráfego somente de um domínio com endereço IP dinâmico

O bloqueio de nível TCP / IP pode não funcionar bem com um endereço IP dinâmico. Embora a resposta aceita mencione um script, pode ser propenso a erros. A AWS publica uma lista de intervalos de IP , mas isso pode mudar tempo.

Infelizmente, sua melhor opção pode ser a autenticação do usuário no MySQL. Você pode limitar os privilégios pelo usuário AND hostname: Especificando nomes de conta .

score 0 · Answer 2

Acredito que o curso de ação mais correto seria usar um Grupo de segurança da VPC . Você pode gravar um grupo de segurança para permitir somente o tráfego TCP na porta 3306 de outras instâncias que tenham esse grupo de segurança:

Sevocêtiverumainstânciaquerealmentedesejaseralcançadapublicamente,adicioneoutrogrupodesegurançaqueliste"0.0.0.0/0" como a origem da porta 3306. Dessa forma, as duas regras serão sobrepostas.