[AWS RDS] AWS RDS에 고정 IP 발급받기 (NLB, nginx를 이용한 proxy server 구성)

☄️ 문제

통신 구조 상의 문제로 IP로만 통신이 가능한 상황에서 RDS와 통신을 해야 한다.

RDS의 엔드포인트는 사용하지 못하고 RDS 인스턴스의 IP는 변동 가능성이 있어 고정적인 IP가 필요하다.

 

 

🌎 환경

• AWS RDS
  • Engine : SQL Server Standard Edition
  • 다중 AZ (Multi-AZ)
  • RDS 인스턴스에는 고정 IP 주소나 탄력적 IP 주소를 할당할 수 없다.

 

---

🔫 해결 방법

여러 방법이 있겠지만,

신규 프록시 서버를 구성하여 nginx를 이용한 포워딩으로 RDS 엔드포인트 통신을 하고, 프록시 서버 앞단에 NLB를 구성하여 NLB의 고정 IP를 이용하도록 해보자. (NLB의 타겟으로는 RDS 설정이 불가능하여 proxy server 용도의 nginx를 이용해보자)

To-Be 아키텍처

 

1. EC2 구성

• 고가용성을 위해 proxy server 용도의 EC2 node 2개 구성

 

2. nginx 설치

# nginx 설치 
sudo yum install nginx

• Amazon Linux 2에 yum으로 nginx을 설치하려면?
  => https://longtermsad.tistory.com/11 참고

 

3. nginx 설정

• RDS로 인입되는 TCP 트래픽을 처리하기 위해 stream block을 이용하여 설정한다.

# nginx에서 stream 지시자를 사용하기 위해 설치 
sudo yum install nginx-mod-stream

# /etc/nginx/nginx.conf
user nginx;
worker_processes auto;
error_log /var/log/nginx/error.log;
pid /run/nginx.pid;

# Load dynamic modules. See /usr/share/nginx/README.dynamic.
include /usr/share/nginx/modules/*.conf;

events {
    worker_connections 1024;
}

stream {
    upstream db {
        server { RDS-endpoint }:1433;
    }
    server {
        listen 1433;
        proxy_pass db;
    }
}

# 변경된 설정파일(nginx.conf)을 적용하기 위해 nginx 시작
sudo nginx -s reload
sudo systemctl restart nginx

# nginx 서비스가 정상적으로 구동되는지 확인
sudo systemctl status nginx

# 서버를 재시작하는 경우에도 nginx 자동으로 서비스하도록 enable
sudo systemctl enable nginx

🚨 중요 🚨 Nginx에서 RDS-endpoint로 트래픽을 전달하도록 설정하였지만, rds의 real ip가 변경되는 경우 nginx가 이를 인지하지 못하고 변경 전의 ip로 트래픽을 전달하여 에러가 발생하였다. ⇒ 추정 원인: nginx 내부의 DNS caching ⇒ 해결 방법: ⭐️ resolver 옵션 적용 필수 ⭐️ ⇒ 참고 링크: NGINX Dynamic IP address upstream - DNS Cache issue | How to solve

 

 

 

3. RDS 보안그룹 설정

• RDS 보안그룹의 Inbound 규칙에 Proxy Server에 대해 1433 포트를 허용하는 규칙을 추가한다.

 

4. 타겟 그룹 생성

• 대상 : 인스턴스 (프록시 서버)
• 프로토콜 : TCP
• 포트 : 1433 (proxy server가 1433을 listen 하도록 설정했기 때문)
• 타겟으로 1에서 구성한 EC2 2대를 추가.

 

5. NLB 구성

• 교차영역 로드밸런싱 활성화 (
• 1433 포트에 대해 들어온 요청을 5에서 생성한 타겟 그룹으로 전달하는 리스너 추가

 

6. proxy server의 보안그룹 설정

• 1에서 생성한 EC2 보안그룹의 inbound 규칙에 NLB와 Source로부터 1433 포트를 허용하는 규칙을 추가한다.

 

 

🙌 6번까지의 설정을 완료하면 소스에서 NLB의 고정 IP로 1433으로 RDS와 통신 가능~!

---

🔗 참고 링크

1. Amazon RDS DB 인스턴스에 할당된 IP 주소에 대해 알아야 할 사항은 무엇입니까?
2. EC2 proxy to RDS for a static IP address
3. Using a TCP proxy to connect to SQL Database over VPN