Настройка исходного CIDR/IP/ группы безопасности в правилах входящих групп безопасности
Я хочу настроить группу безопасности для экземпляра ec2 (Linux). На нем запущены службы, такие как mem cached, python, dhclient, nodejs и т. Д. Как узнать, какой IP/CIDR-блок должен прослушивать мой сервер на конкретном порту? Например. если mysqld работает на порте 3306, каким должен быть CIDR/IP/SG источника и как его выяснить? (входящие правила)
ps Это vpc с различными веб-серверами, серверами баз данных, CMS, Solr и т. д. Мне нужно настроить группы безопасности для каждого из них. В частности, мне нужно знать, какой экземпляр говорит с какими другими машинами в VPC. В настоящее время настройка группы безопасности открыта для всех. Мне нужно обеспечить это
2 ответа
Учтите, что если вы запускаете mysqld на сервере базы данных, вам просто нужно открыть порт 3306 в группе безопасности сервера базы данных для группы безопасности веб-сервера. Таким образом, все веб-серверы будут иметь доступ к серверам баз данных.
Если вы хотите настроить группы безопасности для сервера, вам нужно сделать следующее:
1. Получите область действия всех ваших серверов.
2. Входящие правила:
2.1. Укажите группы безопасности ваших серверов в качестве источника и порта, который используется для определенной службы (3306 для mysqld).
2.2 Укажите ваш IP-адрес, с которого вы будете управлять этим сервером с помощью порта 22 для ssh.
3. Исходящие правила:
3.1 Вы можете ограничить количество IP-адресов, к которым вашему серверу будет разрешено подключаться.
Более подробная информация доступна здесь: http://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_SecurityGroups.html http://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Appendix_NACLs.html