Откройте порт 27017 для другого EC2, работающего в том же VPC

Question

У меня есть два экземпляра ec2, работающие в одном и том же VP C Частные IP-адреса из них следующие:

• 10.0.1.74 - MongoDB intance
• 10.0.0.38 - Сервер 01
• 10.0.1.48 - Сервер 02

Существует ли способ разрешить / открыть порт 27017 экземпляра MongoDb для всех IP-адресов от 10.0.0.0/24 и 10.0.1.0 24 подсети.

Мои текущие входящие настройки следующие.

Если я использую здесь адреса Server 01/02 publi c, все работает нормально. Но я хочу разрешить доступ с уровня su bnet.

Есть ли способ сделать это?

Answer 1

Если я правильно понял, и вы хотите иметь в ACL специальное правило, разрешающее только su bnet по его su bnet id, то это невозможно. В ACL вы можете указать только диапазоны IP-адресов.

Я думаю, что вы уже знаете, но на мой взгляд, самый близкий путь к тому, что вам нужно, - это ограничение доступа с помощью групп безопасности.

Я полагаю, ваш экземпляр mon go db находится на выделенном EC2 с указанным c сетевым интерфейсом. Затем вы можете легко создать пользовательскую группу безопасности, такую ​​как db-security-group, и поместить остальную часть компьютера EC2 в другую указанную c группу безопасности с именем intr anet -security-group.

Затем разрешите db-security-group разрешает вход только из intr anet -security-group через порт 27017.

Кстати, вы уже оценили AWS DynamoDB?