我想创建并EFS在AWS文档中说,我只能将它附加到实例,这些实例与我的VPC.
如何知道我的安全组VPC?
假设它是default并且我的实例具有不同的安全组,由不同的向导在不同的时间创建。怎么可能,该实例属于VPC但具有不同的安全组VPC?
问问题
1176 次
1 回答
3
Amazon Elastic File System (EFS) 是一项区域服务。如果您在特定区域(例如:us-east-1)创建 EFS,那么您可以在同一个 us-east-1 区域的不同可用区中创建多个 EC2 实例来访问 EFS 以读取和写入数据。
特定区域(例如:us-east-1)中的所有 EC2 实例必须属于 VPC 和子网。(除非您使用 EC2-Classic)。VPC 映射到区域,子网映射到可用区。您可以在 VPC 的可用区中设置挂载目标,以便 EC2 实例可以通过挂载目标连接到 EFS 并共享相同的文件系统。
查看 AWS 文档中的以下图片。
现在,我们如何确保我们的 EFS 只能被特定的 EC2 实例集访问,而不是来自所有子网的所有实例?
这是安全组派上用场的地方。我们可以将安全组分配给 EFS 挂载点,这样只有附加给定安全组的 EC2 才能通过挂载目标访问 EFS。位于不同安全组中的任何其他 EC2 实例都无法访问 EFS。这是我们限制对 EFS 的访问的方式。
因此,当您将 EFS 挂载到 EC2 实例时,我们必须将 EFS 的相同安全组添加到 EC2 实例。
Amazon EC2 实例和挂载目标都具有关联的安全组。这些安全组充当控制它们之间的流量的虚拟防火墙。如果您在创建挂载目标时未提供安全组,Amazon EFS 会将 VPC 的默认安全组与其关联。
无论如何,要启用 EC2 实例和挂载目标(以及文件系统)之间的流量,您必须在这些安全组中配置以下规则:
您与挂载目标关联的安全组必须允许从您要挂载文件系统的所有 EC2 实例对 NFS 端口上的 TCP 协议进行入站访问。
每个挂载文件系统的 EC2 实例都必须有一个安全组,允许对 NFS 端口上的挂载目标进行出站访问。
在此处阅读有关 EFS 安全组的更多信息。
希望这可以帮助。
于 2017-08-04T19:21:43.540 回答