我们目前使用一组 Amazon EC2-classic 服务器来托管我们的实时和暂存环境。我们在每个环境中都有几台 Web 服务器和一台后台工作服务器。然后,我们还有几个服务器用于构建和部署。
由于某些服务器的偶然性,我们最近决定将它们移至 T2 服务器类型(这是我们的构建和部署服务器)。但 T2 类型只能在 VPC 中启动。
因此,我们已经建立了 VPC 并成功运行它们,并且一切基本顺利。
问题是我们希望我们的部署服务器能够与特定端口上的 Web 服务器通信。之前我们在安全组中设置了此功能,因此这些 Web 服务器只会侦听该端口上的部署服务器,其他任何服务器都无法与其通信。
现在,我要进入 Web 服务器来编辑其安全组,以允许通过其服务器组从 VPC 部署服务器在该端口上进行流量传输。但是,Amazon 告诉我“您可能无法在 VPC 组和非 VPC 组之间定义规则”。但是,我想不出任何其他方法可以允许从此 VPC 中的服务器进行访问。我显然可以将部署服务器的公共 IP 硬编码到允许列表中,但我认为如果我停止并启动部署服务器,这可能会发生变化,所以这不是一个好的解决方案。
我也可以将所有服务器移动到 VPC,但我宁愿避免移动所有其他服务器(包括我们的实时 Web 服务器)以使此功能正常工作,因为这似乎需要大量工作(因为它不仅需要一组安全规则并将它们转换为 VPC 规则等等)。
那么,我如何定义一条规则,规定 EC2-classic 服务器只能由 VPC 中的特定服务器在端口 xyz 上连接?
答案1
亚马逊宣布经典链接就在昨天。
我还没有时间尝试它,所以我不确定它到底能做什么,但是从那篇博客文章中可以看出:
您现在可以为任何或所有 VPC 启用此功能,然后 将现有的 Classic 实例放入 VPC 安全组。
听起来这个功能可能非常适合解决您的问题。