Почему одна и та же группа безопасности и как может быть не одна и та же в VPC?

Question

Почему одна и та же группа безопасности и как может быть не одна и та же в VPC?

Я хотел бы создать EFS в AWS и в документации сказано, что я могу прикрепить его только к экземплярам, которые имеют ту же группу безопасности, что и моя VPC,

Как узнать группу безопасности моего VPC?

Предположим, что это default и мои экземпляры имеют разные группы безопасности, созданные в разное время разными мастерами. Как это может быть, этот экземпляр принадлежит VPC но имеет другую группу безопасности, чем та VPC?

2

amazon-web-services amazon-ec2 amazon-vpc aws-security-group aws-elasticfilesystem

Источник

user258483 04 авг '17 в 13:50

1 ответ

Другие вопросы по тегам amazon-web-services amazon-ec2 amazon-vpc aws-security-group aws-elasticfilesystem

user1141658 04 авг '17 в 19:21 2017-08-04 19:21 · Answer 1 · 2017-08-04 19:21

Amazon Elastic File System(EFS) является региональной службой. Если вы создаете EFS в определенном регионе (например, us-east-1), то вы можете создать несколько экземпляров EC2 в разных зонах доступности в одном и том же регионе us-east-1 для доступа к EFS для чтения и записи данных.

Все экземпляры EC2 в конкретном регионе (например, us-east-1) должны принадлежать VPC и подсети (если вы не используете EC2-Classic). VPC сопоставляется с регионом, а подсеть сопоставляется с зоной доступности. Вы можете настроить цели монтирования в зонах доступности вашего VPC, чтобы экземпляры EC2 могли подключаться к EFS через цель монтирования и использовать одну и ту же файловую систему.

Посмотрите на следующее изображение из документации AWS.

Теперь, как мы можем обеспечить доступ к нашей EFS только с определенным набором экземпляров EC2, а не со всеми экземплярами из всех подсетей?

Здесь группы безопасности пригодятся. Мы можем назначить группы безопасности для точек монтирования EFS так, чтобы только EC2, к которым прикреплена данная группа безопасности, могли получить доступ к EFS через цель монтирования. Любые другие экземпляры EC2, которые находятся в другой группе безопасности, не могут получить доступ к EFS. Так мы ограничиваем доступ к EFS.

Поэтому, когда вы монтируете EFS к экземпляру EC2, мы должны добавить ту же группу безопасности EFS к экземпляру EC2.

И экземпляр Amazon EC2, и цель монтирования имеют связанные группы безопасности. Эти группы безопасности действуют как виртуальный межсетевой экран, который контролирует трафик между ними. Если вы не указали группу безопасности при создании цели монтирования, Amazon EFS свяжет с ней группу безопасности по умолчанию VPC.
В любом случае, чтобы разрешить трафик между экземпляром EC2 и целью монтирования (и, следовательно, файловой системой), необходимо настроить следующие правила в этих группах безопасности:
Группы безопасности, которые вы связываете с целью монтирования, должны разрешать входящий доступ для протокола TCP через порт NFS из всех экземпляров EC2, на которых вы хотите смонтировать файловую систему.
Каждый экземпляр EC2, который монтирует файловую систему, должен иметь группу безопасности, которая разрешает исходящий доступ к цели монтирования на порту NFS.

Узнайте больше о группах безопасности EFS здесь.

Надеюсь это поможет.