禁止一个私有VPC内的两个ec2实例之间的通信

禁止一个私有VPC内的两个ec2实例之间的通信

我们在一个私有 VPC 组内有两个 ec2 实例。有没有办法禁止 ec2 服务器之间的通信?

答案1

将每个 EC2 放入其自己的安全组并且不允许 SG 之间进行通信。

希望有帮助:)

答案2

简易版

确保每个资源的安全组不允许您想要阻止的端口进入。无论资源位于相同还是不同的安全组中,此方法都有效。

更多详情

只需不允许每个服务器从其他服务器所在的安全组/CIDR 范围访问相关端口的安全组即可。提供对子网 CIDR 或 EC2 安全组的入口允许通信,因此您需要同时删除两者以阻止通信。如果它们位于同一安全组或不同的安全组中,则此方法有效,假设 CIDR 没有规则。

安全组与子网不同 - 我认为 SG 是实例周围的防火墙。同一安全组中的两个实例不能自动访问彼此,您必须允许出口到另一个实例,另一个实例必须允许入口。

我刚才做了一个实验,如下:

  • 创建了一个新的安全组,限制从我的公共 IP 的出站和入站流量
  • 在这个新的安全组中创建了两个新的 Ubuntu 20.04 EC2 实例(我将它们称为“一”和“二”)
  • 通过 SSH 连接到“one”,然后 ping“two”。没有响应。
  • 修改了安全组以允许通过 ICMP 从其自身进入
  • 重复上述 ping - 成功了。
  • 删除了入口规则,执行了 ping 操作 - 没有回复
  • 添加了来自子网 CIDR 的入口规则 - ping 成功

MLU 的答案同样有效,可能更容易理解,但如果您需要将服务器放在同一个安全组中,请尝试一下:)

相关内容