Любая помощь будет оценена
Я попытаюсь проиллюстрировать ситуацию в этом ответе, чтобы сделать его более понятным. Если я правильно понимаю ваш случай, вот что у вас есть:
Теперь, если вы попробуете порты из экземпляра Frontend EC2 в экземпляр Backend EC2, и они находятся в одной группе безопасности (node-sg), у вас будет трафик там. Если вы хотите проверить изоляцию группы, у вас должен быть один экземпляр за пределами node-sg и только в frontend-sg, предназначенный для любого экземпляра в backend-sg (предполагается, что и node-sg, и backend-sg не разрешают указанные порты для входящего трафика ) ...
Наконец, небольшая заметка ... Kubernetes по умолчанию закрывает весь трафик (и вам нужен вход, loadbalancer, прокси восходящего потока, nodePort или некоторые другие средства для фактического предоставления ваших фронтальных сервисов), поэтому традиционная точная настройка backend / Экземпляры внешнего интерфейса и группы безопасности не так уж и «чисты» при использовании k8s, тем более что вы на самом деле не хотите планировать вручную (или по меткам), какие модули будут работать (но вместо этого оставьте это для планировщика k8s для лучшего унификация ресурсов).