我不确定这是否适合该问题的subStackExchange,因此如有需要,可以随时将我引导到其他地方。
我正在尝试使用两台EC2服务器:一台是“工作站”,另一台是“节点”(想想厨师)。工作站的安全组仅以一条传入规则开始,该规则允许从本地计算机的IP地址访问端口22。
我希望可以从工作站服务器访问本地服务器,也可以从本地计算机访问该节点服务器。因此,我没有创建一个新的安全组,而是将规则添加到了工作站上使用的安全组,并以其自己的安全组ID作为源。用简单的英语来说,我想要的是一个安全组,该安全组允许从本地计算机的IP地址或也应用了安全组的任何计算机访问端口22 。这就是我对默认安全组的工作方式的理解(允许所有流量,来源是自引用安全组ID)。
在我看来,这也符合我发现了什么线在这里的文档:
如果一个特定端口有多个规则,我们将采用最宽松的规则。例如,如果您有一条规则允许从IP地址203.0.113.1访问TCP端口22(SSH),而另一条规则允许每个人访问TCP端口22,则每个人都可以访问TCP端口22。
我的情况显然有所不同,因为我有一条规则,允许从特定IP地址对端口22进行特定访问,还有一条规则,允许从安全组而不是从“所有人”对端口22进行特定访问,但不会一个安全组源也被认为比特定的IP地址更宽松,因此允许上述情况吗?
不幸的是,以这种方式设置安全组后,我只能从本地计算机通过SSH进入节点。当我尝试从EC2(共享相同的安全组)上的工作站进行SSH时,它超时。
关于我可能做错/遗漏的任何想法?
我刚刚向工作站上使用的安全组添加了一个规则,该规则以其自己的安全组ID作为源。
这与您需要做的相反。
您需要向节点的安全组添加一条规则,将工作站的安全组指定为源...而不是公司的安全组。安全组中的自引用入站规则意味着属于该组的计算机可以访问同一组其他成员上的端口。
我不确定为什么文档以如此复杂的方式陈述了这样一个显而易见的原则……这似乎只会使问题变得混乱。当任何流量与安全组中的任何规则匹配时,将允许该流量。在这里,规则专用性的概念似乎让人分心。
本文收集自互联网,转载请注明来源。
如有侵权,请联系[email protected] 删除。
我来说两句