我们在一个私有 VPC 组内有两个 ec2 实例。有没有办法禁止 ec2 服务器之间的通信?
答案1
将每个 EC2 放入其自己的安全组并且不允许 SG 之间进行通信。
希望有帮助:)
答案2
简易版
确保每个资源的安全组不允许您想要阻止的端口进入。无论资源位于相同还是不同的安全组中,此方法都有效。
更多详情
只需不允许每个服务器从其他服务器所在的安全组/CIDR 范围访问相关端口的安全组即可。提供对子网 CIDR 或 EC2 安全组的入口允许通信,因此您需要同时删除两者以阻止通信。如果它们位于同一安全组或不同的安全组中,则此方法有效,假设 CIDR 没有规则。
安全组与子网不同 - 我认为 SG 是实例周围的防火墙。同一安全组中的两个实例不能自动访问彼此,您必须允许出口到另一个实例,另一个实例必须允许入口。
我刚才做了一个实验,如下:
- 创建了一个新的安全组,限制从我的公共 IP 的出站和入站流量
- 在这个新的安全组中创建了两个新的 Ubuntu 20.04 EC2 实例(我将它们称为“一”和“二”)
- 通过 SSH 连接到“one”,然后 ping“two”。没有响应。
- 修改了安全组以允许通过 ICMP 从其自身进入
- 重复上述 ping - 成功了。
- 删除了入口规则,执行了 ping 操作 - 没有回复
- 添加了来自子网 CIDR 的入口规则 - ping 成功
MLU 的答案同样有效,可能更容易理解,但如果您需要将服务器放在同一个安全组中,请尝试一下:)