web-dev-qa-db-fra.com

auto-référencement des groupes de sécurité

mon application contient ELB, NGNIX et ECS dans la couche de composants Web. Je les regroupe tous dans un groupe de sécurité. Il existe une communication interne entre ELB, NGNIX et ECS. Je voulais créer des ports auto-référentiels pour la communication entre ces trois personnes. Dois-je écrire une règle d’entrée indépendante ou une règle d’externalisation automatique pour cette communication est la communication interne entre ces trois entrants ou sortants?

5
user10146200

Les groupes par défaut Sortants security autorisent tout le trafic. Par conséquent, ne les modifiez jamais sauf si vous avez une exigence réseau spécifique (telle que l'application de restrictions supplémentaires pour respecter les règles de conformité).

Vous pouvez configurer un groupe de sécurité pour autoriser les connexions entrantes à partir de lui-même (en d'autres termes, le groupe de sécurité a son propre ID en tant que source de la connexion entrante). Cela permettrait à toute instance Amazon EC2 associée au groupe de sécurité de communiquer avec toute autre instance Amazon EC2 associée au même groupe de sécurité (sur le port donné).

Il est important de noter que les groupes de sécurité sont appliqués au niveau de l'instance plutôt qu'aux pare-feu traditionnels qui fonctionnent au niveau du réseau . Ainsi, il n'y a pas de concept d'instances multiples "dans un groupe de sécurité". Au lieu de cela, le groupe de sécurité est appliqué au trafic lorsqu’il entre dans chaque instance. Ainsi, la nécessité d'autoriser les connexions entrantes à partir de "lui-même".

3
John Rotenstein

Bien sûr, vous aurez besoin d’une règle d’entrée avec le port que les applications écoutent. 

Par défaut, la sortie est tout autoriser pour le groupe de sécurité et sg est dynamique, vous n'avez donc pas besoin de règle d'entrée pour le trafic sortant.

0
Dung Nguyen