配置 Amazon 安全组以实现多层架构的首选方法是什么?
我的每个实例都有自己的安全组,我只想将其用于特定于实例的规则。我想将适用于多个实例的任何规则保存在单独的安全组中,然后可以根据需要将其分配给实例安全组。
举个例子,我设置了一个名为“admin”的组,允许从我的 IP 进行管理访问。我将“admin”组作为源添加到我的每个实例安全组中。但是,如果不将规则直接添加到实例的组中,我仍然无法从我的 IP 访问实例。
我是不是漏掉了什么?虽然多层安全架构似乎是可行的,但它似乎不起作用。
答案1
我已将其设置为:-
Group web
Perm 0.0.0.0/0 ports 80,443
Group tomcat
Perm web port 8009
Group application
Perm tomcat ports 42000-42300
Group db
Perm application 1521
Perm tomcat 1521
Group ssh
perm x.x.x.x/32 22
所有服务器都分配有 ssh,然后每台服务器都会获得完成其工作所需的资源。因此,一台服务器有 ssh、应用程序和数据库,因此 1521、42000-42300 和 22 都已打开。
看起来效果很好。
答案2
您可以尝试将管理员组添加到特定于实例的安全组。源 IP 地址规则中的部分允许您使用其他安全组的名称。这也是让不同安全组中的系统进行通信的方法。