Целевая группа AWS EC2 в общедоступной подсети будет зарегистрирована как список статических IP-адресов для MongoDB Cloud ACL.
Мы требуем, чтобы MongoDB Cloud был защищен конечным, если возможно, коротким списком IP-адресов. У нас есть экземпляры EC2 в качестве веб-серверов, каждый с общедоступными IP-адресами, в общедоступной подсети (поэтому нет необходимости быть частной) в 2 зонах доступности того же региона. У нас также есть группа автомасштабирования.
Есть NLB, обслуживающий каждую из 2 AZ с узлом, поэтому 2 общедоступных IP.
Тем не менее, когда какой-либо конкретный EC2 взаимодействует с MongoDB Cloud, TCP-пакеты появляются с IP-адресом источника = общедоступному IP-адресу этого EC2. У нас нет контроля над этими IP-адресами, поскольку они автоматически назначаются группой автоматического масштабирования при их появлении, поэтому ACL в MongoDB Cloud не может быть легко обновлен автоматически.
Кроме того, я подумал, что важно, чтобы именно тот EC2, который разговаривает с MongoDB, получал ответ... поэтому MongoDB должен видеть не IP-адрес NLB, а непосредственно IP-адрес EC2, который сделал запрос.
Мой вопрос: как лучше всего вести список IP-адресов в облаке MongoDB?
1 ответ
После оценки нескольких решений, предложенных в различных сообщениях, я думаю о создании экземпляра NAT в общедоступной подсети с прикрепленным к нему статическим IP-адресом, чтобы он отображался как статический IP-адрес SRC, который можно внести в белый список в стороннем сервисе, таком как MongoDB Cloud. .
NLB по-прежнему может балансировать входящие TCP-пакеты, если исходящие пакеты, отправленные экземпляром, который в конечном итоге заставляет вызов MongoDB возвращаться к исходному источнику.