为什么有相同的安全组,VPC 中怎么可能有不同的安全组?
Dim*_*ims 2 amazon-ec2 amazon-web-services amazon-vpc aws-security-group amazon-efs
我想EFS在AWS其中创建,文档中说,我只能将其附加到与我的VPC.
如何知道我的安全组VPC?
假设是这样,default并且我的实例具有不同的安全组,由不同的向导在不同的时间创建。怎么可能,该实例属于VPC但具有不同的安全组VPC?
Amazon Elastic File System (EFS) 是一项区域服务。如果您在特定区域(例如:us-east-1)创建 EFS,则可以在同一 us-east-1 区域的不同可用区创建多个 EC2 实例来访问 EFS 读写数据。
特定区域(例如:us-east-1)中的所有 EC2 实例必须属于 VPC 和子网。(除非您使用 EC2-Classic)。VPC 映射到区域,子网映射到可用区。您可以在 VPC 的可用区中设置挂载目标,以便 EC2 实例可以通过挂载目标连接到 EFS 并共享相同的文件系统。
查看 AWS 文档中的下图。
现在,我们如何确保我们的 EFS 只能由某些 EC2 实例访问,而不是所有子网中的所有实例访问?
这就是安全组派上用场的地方。我们可以将安全组分配给 EFS 挂载点,这样只有附加给定安全组的 EC2 才能通过挂载目标访问 EFS。位于不同安全组中的任何其他 EC2 实例都无法访问 EFS。这就是我们限制访问 EFS 的方式。
因此,当您将EFS挂载到EC2实例时,我们必须将EFS相同的安全组添加到EC2实例中。
Amazon EC2 实例和挂载目标都有关联的安全组。这些安全组充当虚拟防火墙,控制它们之间的流量。如果您在创建挂载目标时未提供安全组,Amazon EFS 会将 VPC 的默认安全组与其关联。
无论如何,要启用 EC2 实例与挂载目标(以及文件系统)之间的流量,您必须在这些安全组中配置以下规则:
与挂载目标关联的安全组必须允许从要挂载文件系统的所有 EC2 实例对 NFS 端口上的 TCP 协议进行入站访问。
每个挂载文件系统的 EC2 实例都必须有一个安全组,该安全组允许对 NFS 端口上的挂载目标进行出站访问。
请在此处阅读有关 EFS 安全组的更多信息。
希望这可以帮助。
| 归档时间: |
|
| 查看次数: |
1666 次 |
| 最近记录: |