Блог

Я видел это сегодня, и это показалось странным. В одном регионе у меня нет VPC, но, по-видимому, у меня есть группа безопасности по умолчанию, которую нельзя удалить, потому что «Это группа безопасности по умолчанию. Группы безопасности по умолчанию нельзя удалить. «

Как эта группа безопасности по умолчанию появилась без VPC?

В какой-то момент должен был существовать VPC, который поставлялся с этой группой безопасности по умолчанию, но я подумал, что если VPC будет удален, соответствующая группа безопасности по умолчанию будет удалена вместе с ней.

Все современные учетные записи AWS предоставляются с помощью VPC. VPC можно удалить, а группу безопасности по умолчанию — нет.

Я полагаю, что это относится к началу службы EC2 (т. Е. EC2 Classic). В 2013 году и ранее пользователи могли создавать экземпляры в единой сети, которая была доступна другим клиентам, и понятия виртуальных серверов не существовало. AWS требовал, чтобы экземпляры EC2 были связаны с группой безопасности, но если ни один из них не был создан / выбран пользователем, AWS может полагаться на доступность группы безопасности по умолчанию.

Итак, причина, по которой мы можем иметь группу безопасности по умолчанию без VPC, заключается в том, что группы безопасности были фактически концепцией до VPC, и AWS по-прежнему сохраняет это требование к группе безопасности по умолчанию как побочный эффект некоторых из этих более ранних требований к инфраструктуре.

Столкнулся с этим вчера.

Использовал EC2 Classic Resource Finder и наткнулся на этот ресурс вместе с некоторыми группами безопасности (включая группы безопасности по умолчанию) и EIP. Удалил не по умолчанию SG и выпустил EIP без проблем. Не удалось удалить SG по умолчанию с ошибкой «Следующие группы безопасности не могут быть удалены. Это либо группы безопасности по умолчанию, на которые ссылаются другие группы безопасности, либо они связаны с экземплярами или сетевыми интерфейсами «.

Убедившись, что это не связано с VPC или на него ссылаются какие-либо другие ресурсы, мы обратились в службу поддержки. Служба поддержки подтвердила, что этот ресурс будет закрыт вместе с EC2 Classic в 2023 году.

Я думаю, что это должно быть так. Я вспомнил, что удалил VPC по умолчанию по соображениям безопасности, но группа безопасности по умолчанию сохранилась.

Безопасность является одним из ключевых аспектов в этом термине.

Полезно отметить, что безопасность всегда считается первоочередной задачей в AWS. Поэтому группу безопасности по умолчанию нельзя частично удалить, поскольку она является последней линией защиты от потенциально вредоносной атаки на ваши экземпляры Amazon EC2. Amazon использует группы безопасности как виртуальные брандмауэры, с которыми ваши экземпляры будут сопряжены исключительно из соображений безопасности. Именно поэтому SGS по умолчанию по умолчанию блокируют любой входящий трафик.

С другой стороны, функция защитного NACL (списки управления доступом к сети) — это только один аспект настройки VPC. VPC — это в первую очередь логические сетевые компоненты в вашей облачной инфраструктуре, и у вас есть абсолютная свобода определять их любым способом, который вы считаете нужным. Один из вариантов использования заключается в том, что у вас могут быть сложные решения для маршрутизации, которые определяют многие аспекты вашей облачной инфраструктуры, и случайное добавление экземпляров Amazon EC2 к VPC по умолчанию вашими разработчиками может привести к многочасовой отладке, почему ваш ресурс работает не так, как ожидалось.

Таким образом, безопасность и упомянутые устаревшие аспекты экземпляров Amazon EC2 Classic, связанные с концепцией VPC (EC2-Classic и VPC), являются одной из ключевых причин, по которым SGS по умолчанию нельзя удалить по сравнению с VPC по умолчанию. Тем не менее, если вы удалите VPC по умолчанию, вы не сможете восстановить его или подготовить новые экземпляры Amazon EC2, пока не создадите хотя бы один пользовательский VPC в соответствующем регионе.

Если вы удалите VPC по умолчанию, все запущенные экземпляры EC2, сетевые интерфейсы, это также автоматически удалит группу безопасности по умолчанию.

Можно ли удалить VPC по умолчанию для региона?

Вы можете удалить подсеть по умолчанию или VPC по умолчанию так же, как вы можете удалить любую другую подсеть или VPC.

Однако, если вы удалите свои подсети по умолчанию или VPC по умолчанию, необходимо явно указать подсеть в другом VPC, в котором будет запущен ваш экземпляр, поскольку вы не можете запускать экземпляры в EC2-Classic. Если у вас нет другого VPC, необходимо создать VPC без по умолчанию и подсеть без по умолчанию. Дополнительные сведения см. в разделе Создание VPC.

Ссылка: https://docs.aws.amazon.com/vpc/latest/userguide/default-vpc.html