这可能已在其他地方得到解答,但我似乎无法找到它!
我有许多AWS EC2实例,我正在使用它作为正在构建的项目的一部分,我现在正在考虑保护设置。我想锁定对某些端口的访问。
例如,我希望其中一个实例充当数据库服务器(托管mysql)。我希望这对公共访问是封闭的,但是可以通过其私有IP上的其他EC2实例进行访问。
我还使用AWS自动缩放器根据需要添加/删除实例,并且需要这些实例才能访问数据库服务器,而无需手动将其IP添加到列表中。
同样,如果可能,我想锁定某些实例,以便他们只能接受来自AWS Load Balancer的流量。因此,端口80在实例上打开,但仅适用于来自Load Balancer的流量。
我已经考虑过使用CIDR表示法指定IP,但似乎无法使其正常工作。从私有IP的外观分配到我的实例,前两个八位字节保持不变,后两个八位字节变化。但是打开所有具有相同前两个八位字节的实例似乎也不安全吗?!
谢谢
答案 0 :(得分:2)
您要做的就是所有非常标准的内容,并在针对虚拟私有云的AWS VPC文档中进行了详细记录。如果您的EC2实例未在VPC中运行,则它们应该是。
以下链接应该有所帮助,这似乎是您的情景:
场景2:具有公有和私有子网(NAT)的VPC
此方案的配置包括带公共的VPC 子网和私有子网,以及网络地址转换(NAT) 公共子网中的实例。 NAT实例启用了实例 私有子网,用于启动到Internet的出站流量。 我们 如果要运行面向公众的Web,请推荐此方案 应用程序,同时维护不公开的后端服务器 访问。一个常见的例子是带有网络的多层网站 公共子网中的服务器和私有中的数据库服务器 子网。您可以设置安全性和路由,以便Web服务器 可以与数据库服务器通信。
http://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Scenario2.html