在AWS文档中说
安全组是有状态的-如果您从实例发送请求,则无论入站安全组规则如何,该请求的响应流量都将流入。
我不明白该行为如何被认为是有状态的?无国籍情况将如何进行?
我想响应流量取决于某种类型的规则,但这与状态有什么关系?
谢谢
答案 0 :(得分:2)
我和儿子一起去看电影。电影期间,他需要去洗手间。
门口的工作人员让他离开剧院,然后允许他重新进入剧院。这是一个有状态请求的示例-他出去并被允许回去。但是,仅仅试图进入剧院的人将被拒绝。
类似地,您在家中的计算机已连接到路由器。路由器保护它免受Internet的危害。流量无法通过路由器到达计算机。但是,如果您请求访问网站,则该请求会从路由器的中退出,并且由于有状态,因此允许允许返回。 em>。也就是说,路由器记住您向该网站发出了请求,并允许响应返回到您的计算机。
答案 1 :(得分:0)
@John在实际情况中很好地解释了这一点。
如果要使用您的应用程序对其进行测试。
在连接到数据库的EC2实例上启动应用程序,假设RDS带有一个允许您的应用程序实例/网络IP的安全组。现在,一旦建立了连接(池连接),请从安全组中删除允许您将IP实例化为DB的规则。
现在您注意到,即使删除了SG规则,您的应用程序仍然能够连接到数据库。 为什么?因为SG是有状态的,所以它们保留状态。
要进行验证,请在同一网络中的任何其他实例上启动您的应用程序,然后尝试重新连接。
希望清除您的疑问。 :)
答案 2 :(得分:0)
这只是意味着,如果您允许在特定端口协议ip地址上说出站规则,它将允许取回。因此,无论有什么结果出现。
您可以将其与NACL进行比较,因为它们是无状态的,因此您需要指定入站和出站规则,以允许请求的流量通过。