我有一个ec2实例,它正在运行一个网站并关联ALB。
通常在ec2实例安全组中,会引用alb安全组,但这里客户端的配置方式是,在ec2示例中,源是安全组本身的名称。
名称为的ec2实例的安全组
sg-0bc7e4b8b0fc62ec7 - default
根据我对aws安全组的理解,在入站规则下,当涉及到源时,我们可以提到IP地址、CIDR块或reference another security group。
但这对入站规则意味着什么其中允许所有流量,但对于source=sg-0bc7e4b8b0fc62ec7 / default,则允许所有端口。
我对使用与源相同的安全组名称感到困惑,这个规则意味着什么?
每个VPC都有一个默认的安全组(SG(。在该SG中,入站规则允许来自";"本身";。这意味着
当您指定一个安全组作为规则的源时,允许来自与指定协议和端口的源安全组关联的网络接口的流量。
换句话说,如果您有两个实例使用默认的VPC SG,它们只能相互通信。任何一个实例都不允许其他入站流量。
使用SG作为源是一种很好的做法,如果经常在负载均衡器(LB(及其实例之间使用,或者在实例和RDS数据库之间使用。在第一种情况下,实例只允许来自LB的SG的传入流量,而在第二种情况下的db实例只允许从实例的SG传入连接。