Amazon-Web-Services

禁止在一個私有 VPC 內的兩個 ec2 實例之間進行通信

  • January 26, 2021

我們在一個私有 VPC 組中有兩個 ec2 實例。有沒有辦法禁止ec2伺服器之間的通信?

將每個 EC2 放入其自己的安全組中,並且不允許 SG 之間進行通信。

希望有幫助:)

簡單版

確保每個資源的安全組不允許進入您要阻止的埠。無論資源是在相同還是不同的安全組中,這都有效。

更多詳情

簡單地不允許訪問安全組中的每個伺服器從安全組/ CIDR 範圍另一個伺服器是有問題的埠。向子網 CIDR 或 EC2 安全組提供入口允許通信,因此您需要刪除兩者以阻止通信。如果它們位於同一安全組或不同的安全組中,則此方法有效,假設 CIDR 沒有規則。

安全組不像子網——我認為 SG 是圍繞實例的防火牆。同一個安全組中的兩個實例互不自動訪問,必須允許另一個實例的出口,另一個實例必須允許入口。

我剛才做了一個實驗,如下:

  • 僅從我的公共 IP 創建了一個具有無限出入的新安全組
  • 在這個新的安全組中創建了兩個新的 Ubuntu 20.04 EC2 實例(我將它們稱為“一個”和“兩個”)
  • SSH 進入“一”並 ping 通“二”。沒有反應。
  • 修改了安全組以允許在 ICMP 上從自身進入
  • 重複上面的 ping - 這有效。
  • 刪除了入口規則,做了一個 ping - 沒有回复
  • 添加了來自子網 CIDR 的入口規則 - ping 有效

MLU 的答案同樣有效,可能更容易理解,但如果您需要同一安全組中的伺服器,請試一試:)

引用自:https://serverfault.com/questions/1051221