Откройте порт 27017 для другого EC2, работающего в том же VPC

Question

Откройте порт 27017 для другого EC2, работающего в том же VPC

У меня есть два экземпляра ec2, работающие на одном и том же частном IP-адресе VPC:

10.0.1.74 - MongoDB intance
10.0.0.38 - Сервер 01
10.0.1.48 - Сервер 02

Есть ли способ разрешить / открыть порт 27017 экземпляра MongoDb для всех IP-адресов из подсетей 10.0.0.0/24 и 10.0.1.0/24.

Мои текущие входящие настройки следующие.

Если я использую здесь публичные адреса Server 01/02, он работает нормально. Но я хочу разрешить доступ с уровня подсети.

Есть ли способ сделать это?

0

amazon-web-services amazon-ec2 inbound-security-rule

Источник

user9187572 04 апр '20 в 08:29

1 ответ

Другие вопросы по тегам amazon-web-services amazon-ec2 inbound-security-rule

user253924 04 апр '20 в 11:43 2020-04-04 11:43 · Answer 1 · 2020-04-04 11:43

Если я правильно понял и вы хотите иметь в ACL специальное правило, разрешающее только подсеть по ее идентификатору, то это невозможно. В ACL можно указывать только диапазоны IP-адресов.

Я думаю, что вы уже знаете, но, на мой взгляд, наиболее близкий способ к тому, что вам нужно, - это ограничение доступа с помощью групп безопасности.

Я полагаю, что ваш экземпляр mongo db находится на выделенном EC2 с определенным сетевым интерфейсом. Затем вы можете легко создать настраиваемую группу безопасности, такую как db-security-group, и поместить остальную часть компьютера EC2 в другую конкретную группу безопасности с именем intranet-security-group.

Затем позвольте группе db-security-group разрешить вход только из группы безопасности intranet на порт 27017.

Кстати, вы уже оценили AWS DynamoDB?