Что на самом деле происходит за сценой, когда другая группа безопасности добавляется в качестве источника в группу безопасности?

Question

С на странице документации написано

Когда вы указываете группу безопасности в качестве источника для правила, traffi c разрешается из связанных сетевых интерфейсов с исходной группой безопасности для указанного протокола и порта.

Это что-то конкретное c к AWS инфраструктуре?
Я могу визуализировать правила блокировки CIDR от группы безопасности до довольно хорошего брандмауэра iptables Тем не менее, я немного затрудняюсь с тем, как эта группа безопасности в качестве источника создается в контексте iptables.

Примечание. Я не являюсь продвинутым пользователем iptables, но знаю основы того, как он работает. работает.

Answer 1

Давайте разберемся с точки зрения непрофессионала.

Когда у вас есть адрес, в котором есть ПИН-код, и вы знаете, куда он вас ведет. Итак, здесь вы взяли ПИН-код, чтобы указать точное местоположение.

Аналогичным образом, когда вы добавляете другую группу безопасности в существующую группу безопасности, это просто ссылка. Поэтому, когда он ищет вашу группу безопасности, он ссылается на другую группу безопасности. Таким образом, он будет выполнять все правила Ingress, указанные в этой другой группе безопасности.

Пример: у меня есть одна группа безопасности sg-app1, а другая - sg-web, которая имеет порт 80 и порт 443 для входа в мир. Теперь, когда я присоединяю sg-web к sg-app1, экземпляр, связанный с sg-app1, будет разрешен на порт 80 и порт 443 для мира в соответствии с sg-web. (Поскольку sg-web был присоединен к sg-app1)

Надеюсь, это поможет.