我正在创建一个(非默认)vpc 并将一个(非默认)安全组(假设sg-x)与此 vpc 关联并设置以下入站规则。出站规则允许所有流量。
在上图中sg-dd3bdca1是对等的 vpc 安全组。
现在创建一个经典负载均衡器(lb-x),使用健康检查 ping 协议传输控制协议并且端口是22sg-x并与该负载均衡器连接。
现在创建一个启动配置(lc-x)并将相同的安全组sg-x与该启动配置附加。
然后创建一个自动缩放组(asg-x),关联lc-x并附加lb-x,其健康检查类型为EC2。
我的问题是,在负载均衡器和启动配置中添加相同的安全组可以吗?
目前为止它运行良好,但我担心对此有一个有效的答案。
谢谢
答案1
我对此设置的担心是无法在不影响其他部分的情况下打开端口并对系统某个部分的安全组进行更改。例如,您可能希望允许从 0.0.0.0/0 到您的 ELB(如果是公共服务)的 HTTPS,但在启动配置中不允许到 EC2 实例,因为它们可能是非面向公众的目标实例。