はじめに
Docker container上で動くPythonからAWSのRDSインスタンスに接続したくなりました。
VPCのプライベートサブネットにRDSを配置しているために直接接続することができないため、
パブリックサブネットにEC2インスタンスを立ててBastion(踏み台)として機能させます。
というのが以前までのベストプラクティス?のようでした(注記参照)。
今回も上記方法で接続してみました。
前提
AWS RDSインスタンスが構築されていること。
bastionとして機能させるEC2インスタンスが立ち上がっていること。
RDSのセキュリティグループでEC2(bastion)からの接続が許可されていること(参考ページ)。
EC2(bastion)のセキュリティグループでSSH接続が許可されていること。
検証環境
Windows10 Pro
Docker for Windows 2.1.0.3
RDSインスタンス:MySQL 5.7
Bastion側の設定
SSH接続をタイムアウトしないようにする(サーバ側設定)
sshdの設定ファイルを変更します。
sudo vi /etc/ssh/sshd_config
変更前
#ClientAliveInterval 0
変更後
ClientAliveInterval 30
今回はローカルフォワーディングを実現したいので、
特に他に変更することなく接続することができます。
GatewayPorts の設定も不要です。
(リモートフォワーディングとの違いについて図解が分かりやすいです→参考サイト)
変更を反映させる
sshdを再起動しておきます。
sudo systemctl restart sshd
コンテナ側の設定
とりあえずDockerfile
Dockerfileはこのように作りました。
FROM python:3.7.3
ENV DEBIAN_FRONTEND=noninteractive
RUN apt-get update \
&& apt-get -y install --no-install-recommends apt-utils dialog 2>&1 \
&& apt-get -y install mysql-client \
&& apt-get autoremove -y \
&& apt-get clean -y \
&& rm -rf /var/lib/apt/lists/*
COPY .ssh/* /root/.ssh/
RUN chmod 600 /root/.ssh/*
RUN echo "ServerAliveInterval 15" >> /etc/ssh/ssh_config
ENV DEBIAN_FRONTEND=
以下の部分ではEC2インスタンスにSSHで接続するためのキーファイルを.sshに配置し、
パーミッションを適正値に設定するよう記述しています。
COPY .ssh/rsa_id /root/.ssh/rsa_id
RUN chmod 600 /root/.ssh/rsa_id
SSH接続をタイムアウトしないようにする(クライアント側設定)
また、SSH接続をタイムアウトさせないように、
クライアント側でも設定ファイルに記述を追加しておきます。
RUN echo "ServerAliveInterval 15" >> /etc/ssh/ssh_config
接続
コンテナでsshクライアントを立ち上げます。
このとき、ポートフォワーディングを設定するオプションとRDSのエンドポイントを入力します。
docker container exec -it [コンテナ名] ssh -L 3306:[RDSのエンドポイント]:3306 ec2-user@[EC2のパブリックIPアドレス] -i /root/.ssh/id_rsa
MySQLクライアントでリモートのRDSに接続できるか確かめます。
docker container exec -it [コンテナ名] mysql -u [mysqlのユーザ名] -p -h 127.0.0.1:3306
注記
SSMによるポートフォワーディング
参考:AWS Systems Manager のポートフォワーディング機能がリリースされました
ご指摘などありましたら大変ありがたいです!
参考サイト
RDSにSSHポートフォワーディングを利用して接続してみた
SSHポートフォワード:OpenSSH の -L と -R オプションの動作を図解