我需要为 12 个 IP 块开放 20 个端口。
在这种情况下,我是否必须手动添加 240 条规则?我觉得一定有办法将 IP 列表复制并粘贴到某个地方。
我用 Google 搜索了一下,发现这是不可能的,但这很难让人相信。 https://forums.aws.amazon.com/thread.jspa?threadID=191133
答案1
WAF 支持 IP 列表,但使用它可能会增加您现在不想要/不需要的复杂性。它们不能直接在实例前面使用,需要负载均衡器或 CloudFront 分发之类的东西。
如果您不能使用 IP 范围(子网)来减少规则数量,我建议您使用 CLI 来创建/管理所需的规则。您可以手动运行命令或编写脚本从某个地方(如文本文件)读取信息。
AWS CLI 适用于大多数环境。如果您更喜欢 PowerShell,那么适用于 AWS 的 PowerShell 工具也不错,尽管我发现 CLI 有一些限制。
需要验证的一件事是安全组是否可以包含 240 条规则(检查限制)。您可能需要将其分散到几个安全组中。
答案2
根据我的搜索,解决此问题的最佳方法是使用前缀列表。 https://docs.aws.amazon.com/vpc/latest/userguide/managed-prefix-lists.html
答案3
这里有点晚了,但更快的方法是创建多个规则,每个 IP 块一个,然后使用该Copy to a new security group选项创建其他规则,这样您就不需要每次都编写规则,只需复制并粘贴 IP 地址即可。
我知道使用 CLI 更快且可重复,但这可以快速修复,因为它更容易,而且不是每个人都知道如何使用 CLI 来做到这一点:)