Я новичок в AWS, и у меня есть экземпляр на EC2, который я хотел бы ограничить только IP-адресами в моей домашней сети. В чем разница между подсетями и группами безопасности, связанными с VPC? Насколько я понимаю, это группа безопасности, которая выполняет разрешения IP-адреса, но я не слишком уверен, что выполняет подсеть.
Кроме того, как сетевой ACL влияет на это?
https://i.stack.imgur.com/4KYWT.png
Могу ли я указать разрешенные IP-адреса в источнике?
РЕДАКТИРОВАТЬ: информация о VPN
Поразмыслив, я решил, что вместо добавления определенных внешних IP-адресов в белый список, я хотел сделать экземпляр EC2 доступным только при подключении к VPN. Таким образом, даже компьютеры в моей домашней сети не смогут получить доступ без использования VPN. Потребуется ли для этого настроить сервер OpenVPN на EC2, который будет иметь доступ к частной подсети?
Кроме того, для экземпляра EC2 потребуется доступ в Интернет. Означает ли это, что он находится в публичной подсети?
Спасибо!
Первый вопрос - безопасность
Группы безопасности - это брандмауэр, который работает на гипервизоре экземпляра. Сетевые ACL - это брандмауэр, который работает в сети. Вы можете использовать либо то, либо другое. Теоретически NACL снижает нагрузку на хост, но это, вероятно, незначительно.
Группы безопасности отслеживают состояние, поэтому обратный трафик разрешен автоматически. Для NACL необходимо указать правила брандмауэра для каждого направления, включая временные порты. Таким образом, группы безопасности проще в использовании.
В вашем случае я предлагаю вам добавить правило группы безопасности, которое разрешает доступ с вашего / 32 IP для каждого протокола, который вам нужен. IP идет в крайний правый столбец.
Второй вопрос - VPN
OpenVPN не меняет IP-адрес чего-либо, его можно рассматривать как шлюз. Ваш компьютер подключается к экземпляру EC2, когда у него есть доступ, который есть у экземпляра EC2. Если мы знаем, чего вы пытались достичь с помощью VPN, возможно, мы сможем дать лучший совет.
Учитывая ваши обновленные требования, я бы, вероятно, использовал сервер EC2 в общедоступной подсети в качестве терминатора VPN и экземпляра NAT, а также частный экземпляр EC2 в частной подсети. Ваши NACL и группы безопасности будут настроены так, чтобы разрешать исходящий доступ в Интернет через NAT, но запрещать входящие соединения, отличные от экземпляра VPN.
Я не уверен, может ли один экземпляр быть терминатором VPN и NAT. Я подозреваю, что может.
Да, вы можете добавить либо один IP-адрес, например 98.138.253.109/32, либо блок IP-адресов, например 98.138.253.0/24, в исходный столбец на вкладке «Правила для входящих подключений», как показано на скриншоте.
Что касается вашего второго вопроса, если вы настраиваете OpenVPN на экземпляре EC2, вам все равно нужно добавить правила для входящих подключений, чтобы разрешить доступ к VPN-порту (UDP 1194) отовсюду, откуда вы подключаетесь к экземпляру EC2.
Сказав это, почему вы хотите настроить VPN? Просто добавьте правила, чтобы разрешить подключение как можно большего количества сетей / IP-адресов, которые, я уверен, конечны.
