Я хочу настроить группу безопасности для экземпляра ec2 (Linux). На нем работают службы, такие как mem cached, python, dhclient, nodejs и т. Д. Как узнать, какой IP / CIDR-блок должен мой сервер прослушивать на определенном порту? Например. Если mysqld работает на порту 3306, каким должен быть исходный CIDR / IP / SG и как его узнать? (правила для входящих)
p.s. Это vpc с различными веб-серверами, серверами баз данных, CMS, Solr и т. Д. Мне нужно настроить группы безопасности для каждого из них. В частности, мне нужно знать, какой экземпляр разговаривает с другими машинами в VPC. В настоящее время установка группы безопасности открыта для всех. Мне нужно это обезопасить
Подумайте, если вы запускаете mysqld на сервере базы данных, вам просто нужно открыть порт 3306 в группе безопасности сервера базы данных для группы безопасности веб-сервера. Таким образом, все веб-серверы будут иметь доступ к серверам баз данных.
Если вы хотите настроить группы безопасности для сервера, вам необходимо сделать следующее:
1. Получите объем всех ваших серверов.
2. Входящие правила:
2.1. Укажите группы безопасности ваших серверов как источник и порт, который используется для определенной службы (3306 для mysqld).
2.2. Укажите свой IP-адрес, с которого вы будете управлять этим сервером с 22 портом для ssh.
3. Исходящие правила:
3.1 Вы можете ограничить количество IP-адресов, к которым вашему серверу будет разрешено подключаться.
Более подробная информация доступна здесь: http://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_SecurityGroups.html http://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Appendix_NACLs.html