Chr*_*ris 4 security amazon-ec2 amazon-web-services amazon-vpc
我们目前正在使用一组 Amazon EC2-classic 服务器来托管我们的实时和登台环境。我们在每个环境中都有几个 Web 服务器和一个后台工作服务器。然后,我们还获得了几台用于构建和部署的服务器。
我们最近决定,因为我们的一些服务器的偶然性质将它们移动到 T2 服务器类型(这是我们的构建和部署服务器)。但是,T2 类型只能在 VPC 中启动。
所以我们已经建立了一个 VPC 并成功地让它们运行,一切都很好。
问题是我们希望能够让我们的部署服务器能够与特定端口上的 Web 服务器通信。以前我们在安全组中设置了这个,所以那些 web 服务器只会监听那个端口上的部署服务器,没有其他人可以与之交谈。
现在,虽然我来到 Web 服务器来编辑它们的安全组,以说允许来自 VPC 部署服务器的流量通过其服务器组在该端口上进行。但是亚马逊告诉我“您不能在 VPC 组和非 VPC 组之间定义规则”。但是,我想不出任何其他方式可以说允许从此 VPC 中的服务器进行访问。我显然可以将我的部署服务器的公共 IP 硬编码到允许列表中,但我认为如果我要停止和启动部署服务器,这可能会改变,所以这不是一个好的解决方案。
我也可以将我所有的服务器移动到 VPC,但我宁愿避免移动所有其他服务器,包括我们的实时 Web 服务器只是为了让它工作,因为这看起来工作量很大(考虑到它不仅需要一组安全性规则并将它们转换为 VPC 规则等)。
那么我如何定义一个规则,表明 EC2-classic 服务器只能通过 VPC 中的特定服务器连接到端口 xyz?
亚马逊就在昨天刚刚宣布了ClassicLink。
我还没有时间尝试它,所以我不确定它到底能做什么,但从那篇博客文章中可以看出:
您现在可以为您的任何或所有 VPC 启用此功能,然后 将您现有的经典实例放入 VPC 安全组。
听起来此功能可能非常适合解决您的问题。
| 归档时间: |
|
| 查看次数: |
2719 次 |
| 最近记录: |