Ich richte einige EC2-Instanzen in einem freigegebenen AWS-Konto ein und möchte ihnen Zugriff aufeinander gewähren. Gleichzeitig möchte ich den Zugriff von anderen Instanzen im Konto verbieten.
Ich habe eine Sicherheitsgruppe erstellt und SSH-Zugriff von "Meine IP" zum Anmelden hinzugefügt, und das funktioniert gut.
Jetzt muss ich zwischen allen Instanzen SSH, aber ich kann nicht, obwohl sie alle in derselben Sicherheitsgruppe sind .
Wie kann ich das machen?
Sie richten also einen Cluster in AWS ein und benötigen SSH-Zugriff zwischen den Knoten, richtig? Sie haben 2 Möglichkeiten:
Die naive Möglichkeit besteht darin, jede Instanz-IP zur Liste der eingehenden Sicherheitsgruppen hinzuzufügen. Dies bedeutet jedoch, dass Sie die SG jedes Mal aktualisieren müssen, wenn Sie eine neue Instanz im Cluster hinzufügen. (Wenn Sie jemals tun). Tu das nicht, ich habe es nur der Vollständigkeit halber erwähnt.
Weitaus besser ist es , die Sicherheitsgruppen-ID selbst als Quelle des Datenverkehrs zu verwenden .
Es ist wichtig zu verstehen, dass SG nicht nur ein eingehender Filter ist, sondern auch den gesamten ausgehenden Datenverkehr markiert. Anschließend können Sie auf die ursprüngliche SG-ID in derselben oder anderen Sicherheitsgruppen verweisen.
Sehen Sie sich die Standardsicherheitsgruppe in Ihrer VPC an. Sie werden höchstwahrscheinlich so etwas sehen:
Beachten Sie, dass sich die Regel auf die Sicherheitsgruppen-ID selbst bezieht .
Mit dieser Regel wird alles, was von einem Host stammt, der Mitglied Ihrer Sicherheitsgruppe ist, von allen anderen Mitgliedern / Instanzen in der Gruppe akzeptiert.
In Ihrem Fall möchten Sie es möglicherweise auf SSH, ICMP (wenn Sie pingarbeiten müssen) oder andere Ports beschränken, die Sie benötigen.
Überprüfen Sie auch die Registerkarte " Ausgehend" und stellen Sie sicher, dass ein Eintrag für " Alle Zugriffe auf" vorhanden ist 0.0.0.0/0(es sei denn, Sie haben spezielle Sicherheitsanforderungen). Andernfalls können die Instanzen keine ausgehenden Verbindungen initiieren. Standardmäßig sollte es dort sein.
Ich hoffe, das hilft :)
In der Konfiguration für Ihre Sicherheitsgruppe möchten Sie SSH zwischen den Instanzen zulassen:
Sie sollten eine Regel hinzufügen, die SSH aktiviert, wobei die Quelle die Gruppen-ID selbst ist.
Zum Beispiel , wenn Ihre Sicherheitsgruppe - ID ist sg-12345678eine Regel in dieser sehr Gruppe, die sich öffnet hinzufügen können SSH aus sg-12345678.
Stellen Sie außerdem sicher, dass auf der Registerkarte " Ausgehend" eine Regel 0.0.0.0/0für SSH oder zumindest erneut für SSH festgelegt ist, da sg-12345678sonst der ausgehende Datenverkehr blockiert wird. Standardmäßig 0.0.0.0/0sollte das da sein.