Назад | Перейти на главную страницу

правила группы безопасности между EC2-classic и VPC server

В настоящее время мы используем набор серверов Amazon EC2-classic для размещения наших живых и промежуточных сред. У нас есть пара веб-серверов и фоновый рабочий сервер в каждой среде. Кроме того, у нас есть пара серверов для сборки и развертывания.

Недавно мы решили из-за того, что некоторые из наших серверов нерегулярны, переводить их на серверы типа T2 (это наши серверы сборки и развертывания). Однако типы T2 можно запустить только в VPC.

Итак, мы настроили VPC и успешно запустили их, и все в основном хорошо.

Проблема в том, что мы хотим, чтобы наш сервер развертывания мог взаимодействовать с веб-серверами через определенный порт. Раньше у нас это было настроено в группах безопасности, чтобы эти веб-серверы слушали только сервер развертывания на этом порту, и никто другой не мог с ним разговаривать.

Теперь, хотя я прихожу к веб-серверам, чтобы отредактировать их группы безопасности, чтобы разрешить трафик на этот порт с сервера развертывания VPC через его группу серверов. Однако Amazon сообщает мне, что «Вы не можете определять правила между группой VPC и группой, не относящейся к VPC». Однако я не могу придумать другого способа разрешить доступ с серверов в этом VPC. Очевидно, я мог бы жестко закодировать общедоступный IP-адрес моего сервера развертывания в список разрешенных, но я предполагаю, что это может измениться, если я остановлю и запустю сервер развертывания, поэтому это не очень хорошее решение.

Я также мог бы переместить все свои серверы в VPC, но я бы предпочел не перемещать все другие серверы, включая наши живые веб-серверы, просто для того, чтобы заставить это работать, поскольку это кажется большой работой (учитывая, что это не просто потребует набора средств безопасности. rules и преобразовать их в правила VPC и т. д.).

Итак, как я могу определить правило, которое гласит, что сервер EC2-classic может быть подключен к порту xyz только определенным сервером в VPC?

Amazon объявила ClassicLink буквально вчера.

У меня еще не было времени попробовать это, поэтому я не совсем уверен, на что он способен, но из этого сообщения в блоге:

Теперь вы можете включить эту функцию для любого или всех ваших VPC, а затем поместите существующие экземпляры Classic в группы безопасности VPC.

Похоже, эта функция идеально подходит для решения вашей проблемы.