У меня есть группа безопасности приложений и группа безопасности базы данных. Экземпляры находятся в отдельных подсетях.
Если я установлю обе группы безопасности на:
входящий - весь трафик - источник: 0.0.0.0/0 исходящий - весь трафик - источник: 0.0.0.0/0
тогда я не могу заставить трафик течь. Я пытаюсь исключить группы безопасности как проблему. Достаточно ли приведенных выше правил, или мне также нужно явно указать идентификатор группы безопасности как весь входящий / исходящий трафик?
Есть две проблемы, когда экземпляры разговаривают с другими экземплярами в VPC, и похоже, что вы их запутали.
Довольно распространенный пример - размещение ваших веб-экземпляров в общедоступной подсети, а ваша база данных - в частной подсети. (Сценарий № 2: http://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Scenario2.html)
Вы можете попытаться контролировать доступ с помощью правил маршрутизации, но, вероятно, в этом нет необходимости. Поэтому убедитесь, что две подсети могут общаться друг с другом. (Правило №1: никогда не изменяйте маршрут по умолчанию)
Для ваших веб-экземпляров вы, вероятно, захотите открыть порт 80 - назовите эту группу безопасности WebAccess, которая разрешает всем доступ к порту 80, и, возможно, ssh открыт для вашего IP.
Для вашего экземпляра базы данных вы хотите, чтобы веб-экземпляры могли разговаривать с ним, но никто другой. Поэтому создайте еще одну группу безопасности, назовите ее DBAccess и откройте порт 3306 (mysql). Предоставьте доступ группе WebAccess, и теперь все готово.
Если вы хотите использовать ping для тестирования, вы можете создать собственное правило ICMP, чтобы разрешить это. По умолчанию ping не включен.