0

我有一个 AWS VPC。我正在尝试以某种方式构建我的安全组,以便我可以允许我的所有实例之间的特定端口之间的流量。到目前为止,我有这个:

   VPC security group - >
     ingress:  allow traffic to self from all ports ( self sg-id)
     egress:   allow traffic from vpc to vpc cidr 

   Consul-instance group ->
     ingress: allow traffic to self from consul ports ( self sg-id)
     ingress: allow all traffic from vpc sg-id
     egress:  all traffic to vpc cidr

   App-instances group ->
     ingress: allow traffic to self from app-instances ( self sg-id)
     ingress: allow all traffic from vpc sg-id
     egress:  all traffic to vpc cidr

不知道我在这里做错了什么,但这似乎不适用于 consul 实例可以相互通信,应用程序实例可以相互通信但 app-instances 和 consul 不能相互通信。

是否真的需要将 vpc cidr 指定为我所有安全组的入口源?我也试过这个,但似乎没有用。不知道我错过了什么。

编辑-1:

示例:我无法从我的应用程序实例之一远程登录到端口 8085 上的 consul 实例

     telnet {consul-host} 8085
     Trying x.x.x.x........

如果我在 vpc cidr 的端口 8085 上明确打开这两组之间的端口,那么我就可以访问主机:端口。但是使用一个跨 VPC 通用的安全组来路由流量的想法是行不通的!我正在使用 terraform 来实现这一点。

编辑-2

这是考虑使用公共子网和私有子网的 vpc 的标准设置,其中内部流量通过 vpc 之间的路由表进行路由

4

0 回答 0