Tun*_*yen 9 amazon-ec2 mongodb amazon-web-services amazon-vpc aws-security-group
情况就是这样:
X能够连接到YTCP端口上的实例27017(EC2安全组允许)X 有mongo shellYMongoDB正在运行,接受来自X端口的连接27017X,使用mongo shell连接到数据库实例YX,查询Y和插入到Y.一切都很成功.Y:删除27017#1中提到的端口规则X仍然可以从/ insert查询到托管的数据库Y.这不是预期的.X期望EC2网络防火墙将终止违反规则的连接(安全组策略).
你能解释一下上面的#7是怎么回事吗?那怎么可以避免(那时候X什么都做不了Y)?
谢谢.
期望EC2网络防火墙将终止违反规则的连接
你在这里做一个假设.这可能是您对它应该如何工作的期望,但在官方AWS文档中备份的位置是什么?我建议阅读文档,而不是假设这将如何工作.
从文档:
删除启用该流的安全组规则时,可能不会中断现有的流量.相反,当您或其他主机停止至少几分钟(或建立的TCP连接最多5天)时,流会中断.对于UDP,这可能需要在流的远程端终止操作.如果删除或修改启用流的规则,则会立即中断未跟踪的流量流.例如,如果删除允许所有入站SSH流量(0.0.0.0/0)到该实例的规则,则会立即删除与该实例的现有SSH连接.
如果要确保在删除安全组规则时立即中断流量,则可以为子网使用网络ACL - 网络ACL是无状态的,因此不会自动允许响应流量.有关更多信息,请参阅Amazon VPC用户指南中的网络ACL.
| 归档时间: |
|
| 查看次数: |
323 次 |
| 最近记录: |