我在两个区域之间建立了 VPC 对等连接(美国西部-2,欧盟中部-1)在单个 AWS 账户中。在文档中我看到:
您不能引用位于不同区域的对等 VPC 的安全组。
假设我想在 us-west-2 创建一个安全组以允许来自两个区域的端口 3306。
我是否应该让新安全组允许整个 eu-central-1 VPC CIDR 范围,然后允许 us-west-2 3306 安全组 ID?这意味着在 eu-central-1 中创建的任何实例都可以与 us-west-2 中的端口 3306 通信,即使它可能不需要这样做。
答案1
是的,但您不需要允许外部 VPC 的整个 CIDR……但是,您需要允许相关的远程 IP 地址,无论它们是什么。如果它们不是静态的,您需要通过 CIDR 允许相关的子网。这意味着,如果您需要限制流量而不包括整个远程 VPC,您可能需要更多子网。