我想为 ec2 实例 (Linux) 设置安全组。它上面运行着 mem cached、python、dhclient、nodejs 等服务。我如何知道我的服务器应该在特定端口上监听哪个 IP/CIDR 块?例如,如果 mysqld 在端口 3306 上运行,那么源 CIDR/IP/SG 应该是什么以及如何找出它?(入站规则)
ps 它是一个包含各种 Web 服务器、数据库服务器、CMS、Solr 等的 VPC。我需要为每个服务器设置安全组。具体来说,我需要知道哪个实例正在与 VPC 中的其他哪些机器通信。目前安全组设置对所有人都开放。我需要确保它的安全
答案1
假设您在数据库服务器上运行 mysqld,则只需在数据库服务器的安全组中向 Web 服务器的安全组开放 3306 端口即可。这样,所有 Web 服务器都可以访问数据库服务器。
答案2
如果您想要调整服务器的安全组,则需要执行以下操作:
1. 获取所有服务器的范围。2
. 入站规则:
2.1 指定服务器的安全组作为源以及用于特定服务的端口(mysqld 为 3306)。2.2
指定您将从中管理该服务器的 IP 地址以及 ssh 的 22 端口。3
. 出站规则:
3.1 您可以限制服务器可以连接的 IP 地址数量。
更多信息请见此处: http://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_SecurityGroups.html http://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Appendix_NACLs.html