在VPC和EC2之间使用共享安全组
我是AWS的新手,需要大师的帮助!
我需要了解为您的VPC和EC2实例创建独立安全组的目的。我读过AWS建议成立独立小组,但我不理解其背后的信念。
将让独立的安全组在VPC层过滤我的传入流量,并拒绝尚未定义规则的请求。
假设我有两个安全组,
安全组-EC2-允许SSH和ICMP流量的入站规则
安全组-VPC-未配置入站规则。
即使我的VPC没有定义安全组,我还能连接到EC2实例吗?
提前谢谢你!
共有1个答案
AWS仅提供两种类型的安全组:
- VPC-EC2安全组
- EC2-经典安全组
EC2 经典实例不位于 VPC 中,因此它们不受 VPC-EC2 安全组的影响。
您在安全白皮书第 39 页上引用的表显示了不再提供的旧服务(EC2 经典和 VPN 经典)与当前默认服务 (EC2-VPC) 之间的差异。在当前格式中,您的安全组将在实例级别应用于所有附加的实例。您可以通过在 VPC 级别使用路由表和网络访问控制列表来增强安全性。
如果您的帐户是在2014年之后创建的,则无需担心经典服务。
我希望这能有所帮助。
编辑1:
我想澄清一下,安全组在附加服务上工作。因此,让一个安全组在多个实例上工作是可能的。当您将多个实例附加到一个安全组时,您是在尝试对不同实例执行具有相同规则的多个安全组。它可以节省时间,是确保其他服务之间连接的安全方式,也是组织优势。例如,您可以有一个允许所有传入 http 流量的安全组,但也许您只想将 ssh 流量插入特定实例。
下面的图表帮助我更好地理解这一点。下面提到的VPC安全组只是所有实例都附加到的另一个安全组。它显示所有实例都附加到它。在这个特定的例子中,安全组允许连接到该安全组的所有实例之间的通信。
你可以在这里找到这个图表从何而来的问题,查看我的第三个来源。它为安全组提供了一个很好的图表。
资料来源:
>
远离 ec2 经典 - dzone
Amazon EC2和Amazon专有网络
安全组与网络访问控制列表
-
问题内容: 我有一个PHP网站,为了进行实时更新和聊天,我已经安装了Node.js,并且运行良好。 PHP和Node.js都可以访问相同的MySQL数据库。 但是问题是要验证已经登录到PHP站点的用户的身份。 我不想通过任何方式(无论是否使用REST)与PHP应用程序对话。因为对我来说,这将与使用Node.js的目的相违背,因为随后每个Node.js请求都将产生一个新的PHP页面请求。 我想要的是
-
问题内容: 我只想在进程与该进程调用的dll之间共享静态/全局变量。exe和dll在相同的内存地址空间中。我不希望在其他进程之间共享该变量。 问题的阐述: 说是有一个静态/全局变量在。exe 和dll 都具有,因此变量都在两个图像中。 现在,动态加载(或静态)。然后,问题是该变量是否由exe和dll共享。 在Windows中,这两个家伙 永远不会 共享:exe和dll将具有的单独副本。但是,在Li
-
问题内容: 是否有使用节点,表达和redis / predis共享PHPSESSID的最新指南(或示例代码)? 我发现有1-2年的一些教程,它们都使用旧版本的Express或不使用Express。 Express cookie解析器也已弃用。 https://simplapi.wordpress.com/2012/04/13/php-and-node-js-session-share- redi/
-
我正在做一个phonegap应用程序,我不能在index.html和inappbrowser窗口之间共享数据。我尝试了这段代码,但它对我不起作用。 我还尝试使用localStorage,但只将inappbrowser的数据共享到index.js,而不是将index.js的数据共享到inappbrowser。
-
我有两个问题。我理解,如果我在cookie中指定域为(带前导点),那么所有子域都可以共享一个cookie。 是否可以访问在中创建的cookie(没有子域)? 如果在中创建,(没有子域)是否可以访问cookie?
-
问题内容: 有没有办法在Netbeans和Eclipse之间共享相同的* .java文件? 问题答案: 您可以将eclipse项目导入netbeans, 或者,您可以从现有资源创建Eclipse项目。