[AWS] Private Subnet 내부 EC2 에 MySQL 만들고 SSH 터널링을 통해 로컬에서 MySQL 접속하기

프로젝트를 진행하면서 도커로 띄운 MySQL를 EC2 MySQL로 마이그레이션을 하기로 했다.

처음에는 MySQL WorkBench에서 ssh 접속을 사용하는 Standard TCP/IP over SSH 으로 연결을 성공하였다. 하지만 스프링부트 application.yml 파일에서 원격 DB 설정에 실패했다..ㅠㅠ

당연한게 스프링부트(로컬)에서 ssh설정이 없으면 연결이 불가능했다... 스프링부트에 ssh 설정을 시도해봤지만 처참히 실패했다ㅎ

그래서 필자는 SSH 터널을 생성하여 Local Port Forwarding 으로 Private Subnet안의 EC2 MySQL에 접속하였고 방법을 공유해보고자 한다.

 

현재 서버 환경

현재 프로젝트 서버 환경은 두개의 가용영역(ap-northeast-2a, ap-northeast-2c)이 있고,  public subnet-02에는 Nat Instance가 존재하고 있다. 라우팅 테이블로 Public Subent에 접속 시 Private Subnet에 접속을 가능하게 하였다.

ap-northeast-2c 가용영역 내에 2개의 private Subnet을 만들었으며, private subent-02에는 필자의 프로젝트 EC2가 존재한다. 프로젝트는 데이터베이스와 서버 통신이 자주 일어나므로 통신 비용이 발생하지 않게 같은 가용영역내에 있는 private-subnet-04에 데이터베이스 EC2를 설치할 예정이다.

해당 서브넷에 EC2를 구축해서 MySQL를 설치해보자.

 

현재 서버의 라우팅 테이블

 

1. 새 db ec2 생성

우선 db를 위한 EC2가 없다면 하나 생성하자. 필자는 아래와 같은 세팅 환경으로 생성했다.

 

• 소프트웨어 이미지(AMI)
  • Canonical, Ubuntu, 22.04 LTS, amd64 jammy image build on 2024-02-07

• 가상 서버 유형(인스턴스 유형)
  • t2.small

• 방화벽(보안 그룹)
  • db

• 스토리지(볼륨)
  • 1개의 볼륨 – 30GiB

 

서버 다운을 예방하기 위해 t2.small, 데이터베이스 스토리지를 위해 30 GiB로 생성하였다.

추가로 해당 서버는 private subnet에 설치될거기때문에 퍼블릭 IP 할당은 비활성화하고, 탄력적 ip를 생성한 후 연결해야 한다.

(연습용으로 작업하시는 분들은 탄력적 ip 생성 후 꼭 삭제해야 합니다!!! 과금 주의!!!)

 

 

2. 보안그룹 생성

현재 mysql ec2 서버는 private subnet에 있기 때문에 http, https 등 다른 포트는  연결 안 해줘도 된다. 보안을 위해 22, 3306 포트만 열어두자. 그리고 33306 포트도 열어두자. 이 포트는 추후에 포트포워딩에 사용될 포트이다.

또한 다른 서브넷에 있는 서버 ec2와 연결됐는지 보기 위해 모든 ICMP - IPv4 유형으로 ICMP 포트를 열어두어야 한다. 해당 유형과 포트는 서버 ec2 보안그룹에도 똑같이 추가해주어야 한다.

 

인바운드 규칙

아웃바운드 규칙

 

ICMP (Internet Control Message Protocol)을 간단하게 설명하자면 네트워크 장치 간에 메시지를 교환하고 네트워크 문제를 감지하고 해결하기 위해 사용된다. ping 이랑 비슷한 역할이다. 이 포트를 열어주면 서로 ec2 간에 연결이 되었는지 확인이 가능하다. 만약 연결이 안 되었다면 해당 포트를 보안 그룹 또는 네트워크 ACL 규칙을 통해 열어줘야한다.

 

EC2 연결방법은 아래 블로그를 들어가시면 더욱 자세하게 배울 수 있다!

https://jojoldu.tistory.com/430

서로 다른 EC2 인스턴스간에 연결하기 (feat. Ping)

 

Private subnet에 있는 EC2 끼리 연결이 잘되었는지 확인해 보자

ping [private_ip_주소]

ping private_ip_주소를 쓰면 연결된 걸 확인할 수가 있다.

 

3. EC2에 MySQL 생성

 

잘 연결되었으니 이제 생성한 EC2에 MySQL를 설치한다.

필자는 아래 블로그를 참고하여 생성했다.

 

https://blogshine.tistory.com/322

[AWS] EC2에 MySQL 설치하기

 

보안상 root 계정에 모든 권한을 부여하는 것은 피하는 게 좋다.

// 모든 ip 허용
create user '아이디'@'%' IDENTIFIED by '비밀번호'

grant all privileges on 데이터베이스명.* to '유저명'@'호스트명';

exit

exit 코드로 mysql를 나와서 EC2내 있는 mysq.conf.d 파일을 변경해 주자.

 

3-1 mysqld.cnf 파일 변경

 

Private EC2 DB에 접근하기 위해서는 db 설정 파일을 변경해줘야 한다. MySQL를 설치한 Private EC2로 가서 DB 설정파일로 이동한다.

cd /etc/mysql

sudo vi mysql.conf.d

---------- 변경 전 -----------
#bind-address = 127.0.0.1
#mysqlx-bind-address = 127.0.0.1
---------- 변경 후 -----------
bind-address = 0.0.0.0
mysqlx-bind-address = 0.0.0.0

 

bind-address란 MySQL 설정 파일에서 사용되는 옵션으로, MySQL 서버가 특정 IP 주소에 바인딩되도록 지정한다. 즉, MySQL 서버가 어떤 네트워크 인터페이스 또는 IP 주소에서 들어오는 연결을 수락할 것인지를 결정하는 것이다

mysqlx-bind-address를 설정하면 특정 IP 주소에서만 MySQL X 프로토콜을 수신할 수 있다.

 

둘 다 0.0.0.0으로 변경하거나 또는 주석처리해도 괜찮다.

mysql 버전에 따라 mysqlx-bind-address 가 없을 수도 있다.

 

설정파일을 변경해 주었으니 mysql를 재실행하자

service mysql restart

 

4. SSH 터널링 연결

Private Subnet의 EC2는 보안그룹 때문에 인터넷을 통해 접근할 수 없다. 따라서 필자의 경우 Public Subnet에 있는 NAT Instance를 통해서 거쳐서 접근이 가능하다. SSH 터널링은 SSH 프로토콜을 이용하여 터널링 기술을 통해 사내 내부망에 접속할 수 있게 한다. 로컬에서 Private EC2로 요청을 보내면, 해당 요청이 Public EC2로 전송된 뒤 포트 포워딩되어 Private EC2로 접근한다.

SSH 터널링은 크게 세 가지 유형으로 나눌 수 있다.

 

• 로컬 포트 포워딩(Local Port Forwarding)
  로컬 머신에서 원격 서버로 특정 포트를 통해 로컬 머신에서 원격 서버로 데이터가 전달되고, SSH 연결을 통해 암호화되어 전송된다. 로컬 머신에서 특정 포트로 접속하면 실제로는 원격 서버의 특정 포트와 통신하게 되는 것이다.
• 원격 포트 포워딩(Remote Port Forwarding)
  원격 서버에서 로컬 머신으로 특정 포트를 통해 원격 서버에서 시작된 데이터가 로컬 머신으로 전달되고, SSH 연결을 통해 암호화되어 전송된다. 원격 서버에서 특정 포트로 접속하면 실제로는 로컬 머신의 특정 포트와 통신하게 된다.
• 동적 포트 포워딩 (Dynamic Port Forwarding)
  로컬 머신에서 원격 서버를 경유하여 인터넷에 접속할 때 사용한다. 로컬 머신에서 특정 포트를 열어두고, 이를 통해 모든 트래픽을 SSH 터널을 통해 원격 서버로 전달한다.

 

필자는 첫 번째 유형인 로컬 포트 포워딩을 사용하여 터널링을 생성해 볼 것이다.

아래 블로그를 참고하여 생성하였는데 도움이 많이 되었다.

참고하시면 좋을 것 같다.

 

https://velog.io/@fcfargo/AWS-Private-Database-구축하기3-SSH-Tunneling-으로-Private-DB-접속하기-Mac

AWS - Private Database 구축하기(3) - SSH Tunneling 으로 Private DB 접속하기(Mac)

 

 

4-1. 우선 Public EC2에 접속해서 SSH 터널을 생성해 준다.

 # 명령어 형식
 ssh -i [pem키 경로] -CNf -L [local port]:[database host]:[remote port] [username]@[remote host]
 
 # 예시
 ssh -i [pem키 경로] -CNf -L 3307:127.0.0.1:3306 ubuntu@[EC2 프라이빗 IPv4 주소 or 호스트 이름]

 

 

• [local port] :Private DB와 연결할 Public EC2의 포트 번호. 필자의 경우 Public EC2 내부에 설치된 MariaDB가 3306번을 사용 중이었기 때문에, 임의의 번호인 33306번을 지정했다.
• [database host]: Private DB의 IP 주소나 호스트 이름을 적어주면 된다. Private DB가 Private EC2 안에서 localhost로 존재한다면 127.0.0.1을 입력한다.
• [remote port]: Private DB가 사용 중인 포트 번호를 입력한다.
• [username]: remote host의 username
• [remote host]: tunnel을 연결할 Private Instance(EC2)의 프라이빗 IPv4 주소나 호스트 이름을 입력한다. 필자의 경우 프라이빗 IPv4 주소를 입력했다.
• N : 서버에 대한 포트 포워딩 접속을 유지
• F : background에 ssh 터널을 등록. 주기적으로 터널링 명령어를 입력할 필요가 없어진다.
• L: Private EC2로 접속한 후, 127.0.0.1 서버의 3306에 접속하는 터널을 33306 포트에 등록
• C: 이에 대한 모든 데이터를 압축하여 명령을 요청

해당 코드를 입력해서 터널링을 생성한다.

 

터널이 잘 생성되었는지 확인해 보자.

 # 터널 생성 확인
 lsof -i :[local port]
 
 # 예시
 lsof -i :33306 

 

 

 

 

4-2.로컬(local)과 Private DB 사이에 터널(Tunnel) 생성

 

터널이 잘 생성되었으면 로컬에서 로컬과 Private EC2 사이 터널을 생성할 것이다. 

 # 명령어 형식
 ssh -f -N -L [local port]:[Private EC2 host name]:[remote port] -i [pem키 경로] [username]@[Public EC2 host name OR public IP]
 
 # 예시
 ssh -f -N -L 33306:ip-172-xx-xx-xxx.ap-northeast-2.compute.internal:3306 -i  xxx-xxxxxxx-xxxx.pem ubuntu@52.xx.xx.xxx

 

 

터널이 잘 생성되었는지 확인해 보자.

 # 터널 생성 확인
 lsof -i :[local port]
 
 # 예시
 lsof -i :33306 

 

 

 

이제 MySQL WorkBench를 열어 33306 포트로 Private EC2 DB와 연결해 보자

 

연결 성공!!!!!

인텔리제이에서도 DB url를 알맞게 변경하면 스프링부트와도 잘 연결이 된다!

 

끝!

 

 

 

 

 

 

 

 

 

 

 

참고해보면 좋을 자료

 

https://nice-engineer.tistory.com/entry/SSH-ProxyTunneling-개념-및-종류

SSH Proxy/Tunneling 개념 및 종류

 

https://deep-jin.tistory.com/entry/SSH-로컬-포트-포워딩-SSH-터널링

SSH 로컬 포트 포워딩 (SSH 터널링)

 

https://neverfadeaway.tistory.com/42

ssh 포트포워딩(터널링) 뚫기 (feat. 로컬에서 AWS VPC내 RDS 접속하기)