Zulassen von Datenverkehr von jeder Instanz in AWS VPC

9

Ich versuche, eine Sicherheitsgruppe zu erstellen, die den gesamten eingehenden Datenverkehr aus meiner VPC zulässt. Ich dachte, ich könnte einfach meinen CIDR-Block angeben, aber das scheint nicht zu funktionieren und Anforderungen schlagen fehl, es sei denn, ich erstelle eine Regel, die eingehenden Datenverkehr von überall zulässt.

Was ist der richtige Weg, um eingehenden Datenverkehr von einer EC2-Instanz innerhalb derselben VPC zuzulassen?

amazon-ec2  amazon-web-services 
Luxusmodus
quelle
1
Sicherheitsgruppeneinträge, die auf den CIDR-Block der VPC oder eine entsprechende Teilmenge verweisen, sollten einwandfrei funktionieren, es sei denn, Ihre VPC-Computer versuchen, über öffentliche IP-Adressen aufeinander zuzugreifen. In diesem Fall ist dies nicht der Fall (und sollte es auch nicht). Verwenden Sie die private Adresse des Ziels für interne Anfragen?
Michael - sqlbot
danke @ Michael-sqlbot Ich habe bemerkt, dass ich diesen Fehler früher gemacht habe (mit der öffentlichen IP), aber ich benutze die private und habe immer noch Probleme.
LuxuryMode

Antworten:

13

Fügen Sie den CIDR-Block Ihrer VPC zu Ihren Eingangsregeln Ihrer Sicherheitsgruppe hinzu.

Sie müssen auch sicherstellen, dass die Ausgangsregeln für Ihre anderen Sicherheitsgruppen konfiguriert sind, um ausgehenden Datenverkehr von Ihren Instanzen zuzulassen. Auch hier können Sie es auf denselben CIDR-Block beschränken.

Wenn Ihr VPC-CIDR-Block beispielsweise war 10.0.0.0/16, dann:

  1. Fügen Sie in Ihrer Zielsicherheitsgruppe eine Eingangsregel für den gewünschten Port für hinzu 10.0.0.0/16.
  2. Fügen Sie für alle möglichen Quellensicherheitsgruppen eine Ausgangsregel für den gewünschten Port für hinzu 10.0.0.0/16.

Um jedoch sicherer zu sein, würde ich empfehlen, Datenverkehr basierend auf der Sicherheitsgruppe anstelle des CIDR-Blocks zuzulassen. Zum Beispiel:

  1. Fügen Sie in Ihrer Zielsicherheitsgruppe eine Eingangsregel für den gewünschten Port für die Quellensicherheitsgruppe hinzu.
  2. Fügen Sie in Ihrer Quellensicherheitsgruppe eine Ausgangsregel für den gewünschten Port für die Zielsicherheitsgruppe hinzu.
Matt Houser
quelle
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.