如果您为 EC2-classic 实例启用“经典链接”,它将能够与您的 VPC 通信。
您现有的 EC2 安全组(分配给经典服务器)- 控制到 EC2 经典实例的所有流量除了对于与所链接 VPC 的流量(根据文档)。
EC2 经典实例和 VPS 之间的流量由您在设置此“经典链接”时指定的单独安全组控制。
现在。简单地允许此 VPC 安全组中的所有端口上的所有流量是否安全?假设它无论如何都只连接到我的私有 VPC。
我想我的问题是 - 当启用经典链接时,它会将我的 EC2 实例“链接”到我的 VPC,并且只链接我的 VPC,对吗?其他流量都无法通过此链接,对吗?谢谢。
答案1
这就是想法——关联的 VPC 安全组仅控制从 VPC 到 Classiclink 实例和返回的流量。通过经典网络基础设施访问 EC2 Classic 实例仅由经典安全组控制,并且 Classiclink 连接不允许任何通过 VPC 到实例的传输流量(例如来自 Internet 网关)。
当然,“允许所有”并不是最佳做法,即使在安全的环境中也是如此。只有需要允许的内容才应该被允许,因此,即使您的理解似乎是正确的,并且在这种情况下“所有”并不意味着“全部”,它仍然不是理想的做法。
说到不理想,EC2 Classic 无论如何都不理想。计划将您的服务迁移到 VPC。新账户甚至不再提供 EC2 Classic,一旦您完成,您可以让 AWS 支持永久禁用您的账户,并在所有地区为您提供默认 VPC,这些 VPC 具有与 EC2 Classic 相同的简单性导向行为。请参阅“我真的想要一个默认 VPC”中的VPC 常见问题解答。