我们希望能够从我们公司网络中的各种公共 IP 访问 VPC 中的实例。是否可以创建安全组(如 operator-security-group)并在其上设置规则,这些规则在应用于现有安全组的实例时会被继承?
我尝试了以下配置,但没有起作用:sg-operator(创建的安全组不关联任何实例)端口 3389 源我的 IP:10.10.10.10
sg-server1(安全组关联实例)端口 3389 源“sg-operator”
在我看来,安全组中添加的规则只有当它们与实例直接关联时才有效,还有其他方法吗?
答案1
安全组规则不能被其他组继承。您需要做的是创建自己的sg-运营商安全组,然后将其直接应用于一组实例,您可以在 VPC 中轻松完成此操作(而不是在 Classic 中)。
背景:将安全组的允许规则添加到现有安全组意味着实例源安全组中的实例能够通过指定的端口和协议与现有安全组中的实例进行通信。这并不意味着任何被附加安全组允许的流量都可以被关联安全组允许,这确实是一个更好的解决方案。
这样,您就可以为数据库服务器定义一个数据库服务器安全组,然后创建一条规则以允许来自 Web 服务器安全组中的实例在端口 3306 上的流量。
答案2
安全组控制对实例的访问,因此它们需要与实例关联才能执行任何操作。您可以将多个安全组与一个实例关联,这将结合与该服务器的访问有关的规则。
例如,我们的 Web 服务器有一个安全组,授予以下端口80
访问权限0.0.0.0/0
:也22
授予我们办公室 IP 端口访问权限的安全组。
答案3
找到解决方案或解决方法。
转到实例并:更改安全组
您可以将多个安全组关联到一个实例。
当然只适用于 vpc :-)