Accessing private RDS using an EC2 instance as a bastion host
I'm Zin Lin Htet. Who love to learn and share about Linux, Cloud, Docker and K8s. Currently working as a DevOps Engineer at one of the famous Fintech Company in Myanmar.
ကျွန်တော် ဒီနေ့ Sharing လုပ်ပေးချင်တဲ့ အကြောင်းအရာကတော့ private subnets သုံးထားတဲ့ RDS Instance တစ်လုံးကို public subnets သုံးထားတဲ့ bastion host ကနေ ဘယ်လို access ရအောင်လုပ်မလဲ ဆိုတာ ကို share ချင်ပါတယ်။
ပထမဆုံး အနေနဲ့ Bastion host ဆိုတာဘယ်လိုမျိုး လဲဆိုတာကို မသိသေးတဲ့ ဆရာကြီးတွေကို အနည်းငယ် ရှင်းပြချင်ပါတယ်။ ကျွန်တော့ အမြင်ကတော့ bastion host ဆိုတာ ရောင်းသူနဲ့ ဝယ်သူကြား အလယ်မှာနေတဲ့ ပွဲစားတစ်ဦးလို့ မြင်ပါတယ်။ ရောင်းတဲ့ သူကလည်း သူ့ရောင်းချင်တဲ့ အရာကို ဝယ်သူဝယ်လာအောင် စကားပြောရတယ်ပေါ့ အဲ့မှာ ဝယ်လက်နဲ့ရောင်းတဲ့သူကြား ကြိုက်ရောင်းကြိုက်ဝယ်မဖြစ်တော့တဲ့အခါ ကြားကနေ ပွဲစားကဝင်လာပီး နှစ်ဦးနှစ်ဖက် အဆင်ပြေအောင် ချိတ်ဆက်ပေးလိုက်တယ်ပေါ့ အဲ့မှာ ရောင်းသူကော ဝယ်သူကော အဆင်ပြေသွားတယ်ပေါ့ နော်။ သူက အလယ်မှာနေပီး လုပ်စရာရှိတဲ့ task တွေကို လုပ်သွားတာမျိုးပါ။
Real world မှာဆိုရင် ကျွန်တော်တို့ ရုံးမှာ project တစ်ခုလုပ်ပီဆိုရင် ကို့ team members တွေအပြင် အခြား team က members တွေ ပါ ဝိုင်းပီး collaboration လုပ်ရတဲ့ အချိန်မျိုးမှာ server တွေကို တိုက်ရိုက် access မပေးပဲအလယ်ကနေ bastion host တစ်လုံးခံပီး bastion ကမှတစ်ဆင့် သက်ဆိုင်ရာ server တွေကို သွားပီး config လုပ်ခိုင်းတယ်ပေါ့နော်။ အဲ့တော့ အနောက်က server တွေအတွက် single point of access ဖြစ်တဲ့ bastion host ကနေလာတဲ့ ssh traffic တစ်ခုကိုပဲ လက်ခံရပါတော့မယ်။ Security point of view ကနေ ကြည့်ရင်လည်း attacking surface တစ်ခုကို လျော့ချလိုက်နိုင်တယ်။အဲ့လောက်ဆိုရင် bastion host ဆိုတာဘာလဲဆိုတာ ရှင်းမယ်လို့ မျှော်လင့်ပါတယ်။
အဲ့ပုံစံ အတိုင်းပဲ ဒီ lab မှာဆိုရင် Private subnets ထဲရောက်နေတဲ့ AWS resources တွေကို Internet ကနေ တိုက်ရိုက်သုံးချင်တဲ့ အခါမျိုးမှာဆိုရင် သုံးလို့မရပါဘူး bastion host ခံပီးမှ သုံးလို့ရပါမယ်။ အရေးကြီးတာက private subnet ထဲက resource ကော public subnet ထဲက resource ကပါ within same vpc ဖြစ်နေဖို့ လိုပါတယ်။ ဒီ lab ထဲမှာဆိုရင် RDS မှာသုံးထားတဲ့ security group ရဲ့ inbound rule မှာ MYSQL access အတွက် bastion host မှာသုံးထားတဲ့ security group ကို allow လုပ်ထားပါတယ်။ ဆိုလိုတာက ဒီ RDS ကို လှမ်းသုံးချင်ရင် အဲ့ security group နဲ့ attach တွဲထားထဲ bastion host ကနေပဲ ရမယ်လို့ ပြောချင်တာပါ။
ကဲဒါဆိုရင် demo လေးလုပ်ကြည့်ရအောင်ပါ။
ဒီဟာကတော့ bastion host ရဲ့ security group ကို ချိတ်ဆက်ပုံကိုပြထားတာပါ။
ဒီဟာကတော့ RDS ဆောက်တဲ့အပိုင်းပါ။ အဲ့နေရာမှာကျွန်တော်ကတော့ RDS ကို တန်း မလုပ်ပဲ RDS မှာသုံးရမဲ့ subnet group ကို အရင်လုပ်ပါတယ်။ မဆောက်ပဲ တန်းပီး RDS ကို ဆောက်လိုက်တာနဲ့ system ကနေ auto တန်းဆောက်ပေးပါလိမ့်မယ်။ အဲ့အခါကျရင် private subnet ကော public subnet ကောရောပါလာတာမျိုးကြုံရပါတယ်။ ကျွန်တော် ကတော့ သီးသန့် private subnet group တစ်ခုဆောက်ပီး အဲ့တာကိုပဲယူသုံးလိုက်ပါတယ်။ RDS ကိုလည်း public access ပိတ်ထားပါတယ်။
DB engine ကိုတော့ MySQL ကိုသုံးထားပါတယ်။
Public access ကိုပိတ်ထားလိုက်ပါပီ။ DB endpoint ရသွားရင်တောင် public access ပိတ်ထားတဲ့အတွက် လှမ်းဝင်လို့မရတော့ပါဘူး။
DB connector အနေနဲ့ MySQL Workbench ကိုသုံးထားပါတယ်။
MySQL workbench ဖွင့်ပီးပီဆိုရင် Database tab အောက်က Connect to database ဆိုတာကို နှိပ်လိုက်ပါ။ Stored Connection မှာ Local Instance ကိုမရွေးပဲ တစ်ခြားတစ်ခုကိုရွေးပါ။ Connection method မှာ Standard TCP/IP over SSH ဆိုတာကိုရွေးလိုက်ပါ။ SSH Hostname မှာ bastion host အနေနဲ့ လုပ်ထားတဲ့ EC2 Instance ရဲ့ public ip ကိုထည့်ပါ။ SSH Username က ec2-user ထည့်ပါ ။ အကယ်လို့ ကို့ Instance ရဲ့ AMI က ubuntu သုံးထားရင်တော့ ubuntu ပေါ့။ ပီးရင်အရေးကြီးတာက SSH Key File ပါ အဲ့နေရာမှာ bastion host ရဲ့ key file ကိုထည့်ရပါမယ်။ MySQL Hostname မှာ RDS ရဲ့ Endpoint ကိုထည့်ရပါမယ်။ Username က DB ဆောက်တုံးက ပေးထားတာကိုထည့်ပါ။ Password လည်းထိုနည်းလည်းကောင်းပါပဲ။
DB ထဲရောက်သွားပီဆိုတော့ စမ်းပီး new schema တစ်ခုဆောက်ကြည့်ပါမယ်။
ကဲ ဒီနေ့ lab လေးကို ဒီနားမှာပဲ အဆုံးသတ်ပါရစေ။ တကဲ့ real world မှာ လည်းကြုံခဲ့ရတဲ့ ကျွန်တော်အတွေ့အကြုံ ကို ပြန်လည် sharing လုပ်ချင်ပါ။ ဒီ lab လေးနဲ့ပတ်သတ်ပီး ထပ်သိချင်တာမျိုး ရှိရင် အချိန်မရွေးမေးမြန်း ဝေဖန် အကြုံပြုနိုင်ပါတယ်။ အဆုံးထိဖတ်ရှုပေးတဲ့ အတွက် ကျေးဇူးပါ။ နောက်ထပ်လည်း real world use cases တွေကို ထပ်ပီး ဝေမျှအုံးမှာဖြစ်တဲ့အတွက် Stay tune ပါ ဆရာကြီးတို့။
