EC2-classic 和 VPC 伺服器之間的安全組規則
我們目前正在使用一組 Amazon EC2 經典伺服器來託管我們的實時和臨時環境。我們在每個環境中都有幾個 Web 伺服器和一個後台工作伺服器。然後,我們還有幾台伺服器用於建構和部署。
我們最近決定,因為我們的一些伺服器偶爾會遷移到 T2 伺服器類型(這是我們的建構和部署伺服器)。T2 類型只能在 VPC 中啟動。
所以我們已經建立了一個 VPC 並成功地讓它們執行,一切都很好。
問題是我們希望我們的部署伺服器能夠與特定埠上的 Web 伺服器通信。以前我們在安全組中進行了設置,因此這些 Web 伺服器只會監聽該埠上的部署伺服器,而其他人無法與之交談。
現在雖然我來到 Web 伺服器編輯他們的安全組,說允許來自 VPC 部署伺服器的該埠上的流量通過其伺服器組。然而,亞馬遜告訴我“你不能在 VPC 組和非 VPC 組之間定義規則”。但是,我想不出任何其他方式可以說允許從此 VPC 中的伺服器進行訪問。我顯然可以將我的部署伺服器的公共 IP 硬編碼到允許列表中,但我認為如果我停止並啟動部署伺服器,這可能會改變,所以這不是一個好的解決方案。
我也可以將我所有的伺服器移動到 VPC,但我寧願避免移動所有其他伺服器,包括我們的實時 Web 伺服器,只是為了讓它工作,因為這似乎需要做很多工作(考慮到它不僅需要一組安全性規則並將其轉換為 VPC 規則等)。
那麼如何定義一條規則,說明 EC2 經典伺服器只能由 VPC 中的特定伺服器連接到埠 xyz?
亞馬遜就在昨天宣布了ClassicLink 。
我還沒有時間嘗試,所以我不確定它到底能做什麼,但從那篇部落格文章中可以看出:
您現在可以為任何或所有 VPC 啟用此功能,然後 將現有 Classic 實例放入 VPC 安全組。
聽起來此功能可能非常適合解決您的問題。