Назад | Перейти на главную страницу

SSH между экземплярами EC2 не разрешен

Я настраиваю несколько экземпляров EC2 в общей учетной записи AWS и хочу предоставить им доступ друг к другу. В то же время я хочу запретить доступ из других экземпляров в учетной записи.

Я создал группу безопасности и добавил SSH-доступ из «Мой IP» для входа в систему, и это хорошо работает.

Теперь мне нужен SSH между все экземпляры, но я не могу, хотя они все в та же группа безопасности.

Как я могу это сделать?

Итак, вы настраиваете какой-то кластер на AWS и вам нужен SSH-доступ между узлами, верно? У вас есть 2 варианта:

  1. Наивный вариант - добавить каждый IP-адрес экземпляра в список входящей группы безопасности, но это означает, что вам нужно будет обновлять SG каждый раз, когда вы добавляете новый экземпляр в кластер. (Если вы когда-нибудь сделаете это). Не делай этого, Я упомянул это только для полноты картины.

  2. Гораздо лучше это к использовать идентификатор группы безопасности сам как источник трафика.

    Важно понимать, что SG - это не только входящий фильтр но также помечает все исходящий трафик - и затем вы можете ссылаться на исходный идентификатор SG в той же или других группах безопасности.

Взгляните на дефолт группа безопасности в вашем VPC. Скорее всего, вы увидите что-то вроде этого:

Обратите внимание, что правило относится к ID группы безопасности сам.

С помощью этого правила все, что исходит от любого хоста, входящего в вашу группу безопасности, будет принято всеми другими членами / экземплярами в группе.

В вашем случае вы можете захотеть ограничить его SSH, ICMP (если вам нужно ping рабочий) или любые другие нужные вам порты.

Также проверьте Исходящий вкладку и убедитесь, что в ней есть запись для Весь трафик к 0.0.0.0/0 (если у вас нет особых требований к безопасности), иначе экземпляры не смогут инициировать исходящие соединения. По умолчанию он должен быть там.

Надеюсь, это поможет :)

В конфигурации вашей группы безопасности, которую вы хотите использовать для разрешения SSH между экземплярами:

  1. Перейти к Входящий вкладка
    1. Нажмите редактировать
    2. Нажмите Добавить правило
    3. Для Тип Выбрать SSH
    4. Для Источник введите идентификатор группы безопасности
    5. Сохранить
  2. Перейти к Oubound вкладка
    1. Нажмите редактировать
    2. Нажмите Добавить правило
    3. Для Тип Выбрать SSH
    4. Для Место назначения введите идентификатор группы безопасности
    5. Сохранить

Вы должны добавить правило, которое включает SSH, где источником является сам идентификатор группы.

Например. если ваш идентификатор группы безопасности sg-12345678 вы можете добавить правило в ту самую группу, которая открывается SSH из sg-12345678.

Также убедитесь, что Исходящий на вкладке есть правило для 0.0.0.0/0 или, по крайней мере, снова для SSH sg-12345678 в противном случае исходящий трафик будет заблокирован. По умолчанию 0.0.0.0/0 должен быть там.

разрешить доступ по ssh для назначенной им группы безопасности.