Блог

У меня есть сервер лицензий со статическим IP-адресом, настроенным внутри той же группы безопасности и VPC, что и EC2, которые я запускаю с помощью terraform. В принципе, я хочу, чтобы сервер лицензий и эти EC2 могли взаимодействовать. На данный момент они не могут, потому что служба безопасности не добавляет EC2 в качестве правила для входящих сообщений, чтобы сервер лицензий также получал его в качестве правила для входящих сообщений (та же группа безопасности). Мне интересно, как добавить IP-адрес EC2, который я запускаю в terraform, во входящую группу безопасности, чтобы он мог общаться с сервером лицензий?

Не существует такого понятия, как быть «внутри одной и той же группы безопасности». Правила групп безопасности применяются к каждому экземпляру индивидуально.

Правильная конфигурация-это:

• Создайте группу безопасности для экземпляров EC2 ( EC2-SG ), которая разрешает соответствующий входящий доступ для использования экземпляра, и
• Создайте группу безопасности для сервера лицензирования ( License-SG ), которая разрешает входящий доступ к порту лицензирования с EC2-SG

То есть вам нужны ДВЕ группы безопасности. License-SG разрешит входящий доступ из любого экземпляра EC2, с которым связан EC2-SG . Вы можете создать дополнительную группу безопасности по мере необходимости для своих экземпляров-просто добавьте их в качестве источников License-SG .

Группы безопасности также могут ссылаться на самих себя. В вашей текущей ситуации, когда экземпляры и сервер лицензирования связаны с одной и той же группой безопасности, вы можете добавить правило, разрешающее входящие подключения от самого себя. Однако это также означает, что экземпляры разрешают входящие подключения с сервера лицензирования, что было бы неправильной конфигурацией.

Пожалуйста, обратите внимание, что вся связь внутри VPC должна осуществляться через частные IP-адреса, в противном случае трафик выходит из VPC, а затем поступает снова, что не позволяет Группам безопасности работать правильно (а также стоит вам больших денег!).