在VPC和EC2之间使用共享安全组
我是新来的AWS,需要大师的帮助!
问题1:
我需要理解为您的VPC和EC2实例创建独立安全组的目的。我读过AWS建议成立独立小组的文章,但我不明白其背后的信念。
问题2:
是否让独立的安全组过滤掉VPC层的传入通信量,并拒绝未为其定义规则的请求。
问题3:
我有两个保安小组,
安全组- EC2 -允许SSH和ICMP通信的入站规则
安全组- VPC -没有配置入站规则。
即使我的VPC没有定义安全组,我也能连接到EC2实例吗?
提前谢谢你!
回答 1
Stack Overflow用户
发布于 2018-04-26 17:16:35
AWS只提供两种类型的安全组:
- VPC-EC2安全组
- EC2-经典安全小组
EC2-经典实例不存在于VPC中,因此它们不受VPC-EC2安全组的影响。
您在安全安全白皮书第39页上引用的表显示了不再提供的旧服务(EC2-Classc和VPN经典)与当前默认服务(EC2-VPC)之间的区别。在当前格式中,您的安全组在实例级别应用于所有附加实例。您可以在VPC级别使用路由表和网络访问控制列表来增强安全性。
如果你的账户是在2014年之后创建的,就没有必要担心经典服务了。
我希望这能帮到你。
编辑1:
我想澄清的是,安全小组从事附加服务的工作。因此,让一个安全组处理多个实例是可能的。当您将多个实例附加到一个安全组时,您可以让自己不再使用不同实例上相同规则的多个安全组。这是一种节省时间的方法,是确保其他服务之间连接性的安全方法,也是一种组织优势。例如,您可以有一个安全组,它允许所有传入的http通信量,但您可能只希望ssh流量进入特定实例。
下面是一个图表,帮助我更好地理解这一点。下面提到的VPC安全组只是附加了所有实例的另一个安全组。它显示了所有的实例都附在它上。在这个特殊的示例中,安全组允许在附加到该安全组的所有实例之间进行通信。
您可以找到这个图来自这里的问题,请查看我的第三个源代码。它为安全小组提供了一个很好的图表。
资料来源:
https://stackoverflow.com/questions/50044661
复制相似问题
腾讯云开发者
