只是有点困惑,通常防火墙适用于外部的一切,并且所有内部服务器(实例)都可以自由地相互连接。
AWS 配备了防火墙/安全组。
这些设置是否适用于每个实例?
那么其他客户怎么办?如果我没有在每个实例上设置 iptables,他们的实例可以连接到我的实例吗?
答案1
安全组是在启动每个实例时定义的,通常使用“默认”安全组。默认组允许对同一默认安全组中的所有实例进行完全访问,仅此而已(默认拒绝),这与防火墙的通常设置方式非常相似。
安全组可以设置防火墙规则,允许从由源 IP 地址/范围 (CIDR) 和目标协议或 TCP 端口定义的位置访问组成员。除了按 IP 范围定义访问权限外,您还可以按源安全组定义访问权限:例如,在“db”组中,您可以允许“web”组的所有成员访问端口 XYZ。
这些规则适用于安全组中的每个实例(如果它们是两个或多个成员,则规则会合并),每个实例没有单独的规则。
默认情况下,安全组拒绝访问,因此您不必担心其他客户、其他组中的服务器或互联网上的主机访问您的实例。