Использование общей группы безопасности между VPC и EC2

Question

Я новичок в AWS, нужна помощь гуру!

Вопрос 1:

Мне нужно понять цель создания независимых групп безопасности для вашего экземпляра VPC и EC2. Я прочитал, что AWS рекомендует создавать независимые группы, но я не понимаю его убеждений.

Вопрос 2:

Будет ли наличие независимой группы безопасности отфильтровывать мой входящий трафик на уровне VPC и отклонять запросы, для которых не определены правила.

Вопрос 3:

Предположим, у меня есть две группы безопасности,

Группа безопасности - EC2 - Входящие правила, разрешающие трафик SSH и ICMP
Группа безопасности - VPC - Не настроены входящие правила.

Смогу ли я подключиться к экземпляру EC2, даже если в моем VPC не определены группы безопасности?

Заранее спасибо!

Answer 1

AWS предлагает только два типа групп безопасности:

• Группы безопасности VPC-EC2
• Группы безопасности EC2-Classic

Экземпляры EC2-Classic не живут в VPC, поэтому на них не влияют группы безопасности VPC-EC2.

В таблице, на которую вы ссылаетесь на странице 39 безопасности технические описания безопасности , показаны различия между старыми сервисами (EC2-Classic и VPN Classic), которые больше не предлагаются, и текущим сервисом по умолчанию (EC2 -VPC). В текущем формате ваши группы безопасности применяются на уровне экземпляров ко всем подключенным экземплярам. Вы можете повысить безопасность, используя таблицы маршрутов и списки контроля доступа к сети на уровне VPC.

если ваша учетная запись была создана после 2014 года, вам не нужно беспокоиться о классических услугах.

Надеюсь, это поможет.

РЕДАКТИРОВАТЬ 1:

Хочу уточнить, что группы безопасности работают с подключенными сервисами. Таким образом, работа группы безопасности на нескольких экземплярах возможна. Когда вы присоединяете несколько экземпляров к группе безопасности, вы отказываетесь от создания нескольких групп безопасности с одинаковыми правилами для разных экземпляров. Это экономит время, безопасный способ обеспечения связи между другими службами и организационное преимущество. Например, у вас может быть группа безопасности, которая разрешает весь входящий трафик http, но, возможно, вы просто хотите использовать трафик ssh в конкретном случае

Ниже приведена схема, которая помогла мне лучше понять это. Упомянутая ниже группа безопасности VPC - это просто еще одна группа безопасности, к которой присоединены все экземпляры. Это показывает, что все экземпляры прикреплены к нему. В этом конкретном примере группа безопасности обеспечивает связь между всеми экземплярами, подключенными к этой группе безопасности.

Вы можете найти вопрос, откуда взялся этот график здесь Проверьте мой третий источник. У этого есть хороший график для групп безопасности.

Источники:

1. Отойдя от ec2-classic - dzone

2. Amazon EC2 и виртуальное частное облако Amazon

3. Группы безопасности и списки управления доступом к сети