Como posso configurair uma VPN paira users remotos paira conectair-se a um server AWS RDS?

Tenho desenvolvedores remotos que viajam e mudam constantemente os endereços IP. Gostairia que eles pudessem se conectair a uma VPN executada em uma instância no EC2. Uma vez que eles estão conectados à VPN com uma key, eles podem usair a VPN paira retransmitir o tráfego paira o server RDS. A configuration de grupo de security constantemente alterada todos os dias paira cada desenvolvedor não é uma opção.

Eu examinei OpenVPN e posso criair uma connection VPN diretamente na instância que hospeda a VPN. Eu acredito que minha rota não está funcionando porque o RDS não sabe como encaminhair as respostas de volta paira a instância do RDS.

  1. É possível configurair OpenVPN paira roteair como eu gostairia?
  2. Se 1 não for possível, quais opções eu tenho paira criair uma connection conhecida segura paira RDS de fonts remotas desconhecidas.

Uma solução muito simples seria apenas usair túneis SSH paira transportair o tráfego SQL. Você não menciona o operating system que você está executando em suas instâncias EC2, então eu vou assumir que você está executando o Linux (se você não estiview executando o Linux, basta girair uma instância t1.micro paira esse propósito. Isso irá fornecer muito cavalo-vapor paira este tipo de tráfego). Então – com o server Linux na mão, obter esta configuration será bastante fácil. Cada desenvolvedor precisairá de uma conta nesse server, e eles precisairão gerair um pair de keys paira si e fornecer a key pública paira implantair em suas contas do server.

Se eles estivessem usando um operating system unixy, eles executairiam um command semelhante a este:

 $ ssh user@ec2-host -L3306:abcd:3306 

… onde "abcd" é o endereço IP da instância RDS. Você só precisa ter certeza de que cada user tenha concessões apropriadas no database RDS paira se conectair do host ec2 que eles estão executando.

Depois de fazer isso, os desenvolvedores se conectairão ao seu localhost, porta 3306, e esse tráfego será tunalizado até a instância RDS.

(Eu realmente nunca usei o RDS, mas sendo que ele foi construído paira ser um substituto do MySQL, sinto que minha suposition é correta, que usa a porta 3306. Se ele usa uma porta diferente, então mude o número da porta no final do command acima)

Sim, você não conseguirá fazer isso sem se mexer. A solução mais fácil seria NAT o tráfego VPN quando o gateway enviá-lo paira o RDS, paira que o RDS saiba enviair o tráfego de volta ao seu gateway antes que ele destrói o NAT e o envie de volta paira a VPN. A outra maneira que pode funcionair é usair um VPC; Eu nunca usei com o RDS (ou, paira ser sincero, muito), mas como eu entendo a maneira como a networking VPC funciona, é possível que o RDS se encaixe em seu VPC e, portanto, possa usair um gateway. Penso, porém, que o NAT acabairá por ser a opção mais fácil.