在AWS上通过IP阻止安全组

Question

我在VPC中有一个应用程序，带有自动缩放组和应用程序负载平衡器。只有Web层可以访问RDS DB，我应该在安全组中阻止VPC CIDR阻止，Autoscaling组或应用程序负载平衡器中的哪个IP？

Answer 1

默认情况下，安全组不允许任何操作，因此所有IP均被阻止。您没有添加规则以“阻止” IP，而是添加了规则以允许流量。在您的实例中，您需要在RDS DB的安全组中添加一条规则，以允许来自自动扩展组中EC2服务器的流量。最好的方法是指定EC2实例所属的安全组作为源，而不是尝试添加IP或CIDR阻止的特定列表。

Answer 2

推荐的方法是具有三个安全组：

• 负载均衡器安全组（ELB-SG）：：此安全组定义了允许到负载均衡器的入站流量，通常是端口80（HTTP）和443（HTTPS）。该安全组应与负载均衡器关联。
• 应用程序安全组（App-SG）：：这应允许来自ELB-SG的入站连接（例如端口80）。它应该引用负载均衡器的安全组，而不是负载均衡器本身。安全组应与Auto Scaling组关联，以便所有新实例都自动与App-SG关联。
• 数据库安全组（DB-SG）：：这应允许在适当的数据库端口（例如3306）上从App-SG进行入站访问。它应该与数据库关联。

请注意，安全组可以引用另一个安全组。这将允许从与入站安全组关联的资源进行访问，而不必指定IP地址。添加到安全组的任何新资源（例如，Auto Scaling组中的新实例）将自动包含在访问权限中。

默认情况下，安全组引用的任何资源 not 都将被拒绝入站访问。