问题标签 [aws-security-group]

我一直在尝试将访问规则添加到安全组“测试”。以下是我一直在使用的代码：

当我运行上述命令时，会创建一个名为“test”的新安全组，其中包含两个指定的 INGRESS 规则。但是，我希望我的第二条规则（端口：5984）是 EGRESS 类型或 EGRESS 定向的。谁能帮我解决这个问题。谢谢你。

安全组“显示 UDP 端口已打开”，但它应该拒绝连接。

我有一个实例 vpn2-a

我想限制对该实例的 UDP 端口 1194 的访问，以接受来自以下私有 IP 地址的连接：

我创建了 SG 并附加到实例 vpn2-a

1.测试它是否工作：

我确实从允许的vpn1-a 55.55.55.55执行了一些“端口打开”测试

太好了，现在让我们看看，端口是否被随机 IP阻止：

^^ 怎么样？？？？应该是拒绝！！！请解释一下

2.调试：

这让我很困惑，但我确实做了一些测试：

在 vpn2-a 实例中：

如您所见 - 端口 1194 上没有任何监听

现在不，来自随机 IP 的测试

从 vpn1-a 55.55.55.55

所以 - 我只能猜测，1194连接在AWS“防火墙代理”上以某种方式打开，首先打开端口，然后检查安全组？请提供解释或修复 SG 的方法，使其在安全组中定义时显示“端口已关闭”。

我已经安装了 AWS ruby​​ sdk。

gem install aws-sdk

在 irb 内：

require aws-sdk

现在我想创建一个安全组，所有数据包都允许传入和传出。

我怎样才能做到这一点？

我正在尝试从 AWS Lambda (Java) 连接到 RDS 数据库。

我应该从 RDS 安全组规则中启用哪个 IP？

我在 AWS 和第 1 层的 Tomcat 上部署了我的 Java 代码，我有一个负载均衡器，配置了使用以下命令生成的公钥和私钥。

现在，我面临的主要困难如下：

我有调用此 REST API 的 android 应用程序，现在我想从 Android 调用 API，但这需要我将某种形式的身份验证传递给服务器。我无法理解那会是什么。如果有人能指出我真正有用的特定资源。

（注意：我已经在 AWS 论坛上发布了这个问题，但还没有回复：https ://forums.aws.amazon.com/thread.jspa?threadID=64432 ）。

我有一个 RDS 实例，我的客户坚持我不要碰它。他说创建一个副本并用它来测试新功能是可以的，所以我继续从原始副本创建了一个只读副本，完成后，我将只读副本提升为独立的实例。然后我创建了一个新的安全组（仅允许我的 IP），并在复制的实例上（仅，我已经确认）更改为使用该安全组。我的副本实例工作正常。

我的客户决定登录到原来的 MySQL RDS 实例（出于某种原因他想要这样做），并且向我抱怨说，这是 8 个月来第一次，他无法访问它。他连不上Error 60。他责备我，他这样做可能是对的。

那么首先，在这个过程中是否有任何事情看起来像是搞砸了原来的 RDS 的安全组，或者原来的安全组的入站允许设置？

其次，当我查看安全组设置时，我并不完全了解它是如何工作的。它的设置是这样的：

因此，当我读到它时，在我看来，RDS（使用 sg-001）根本无法接收任何传入流量，但 Web 服务（也在 AWS 上运行）仍然能够读取和写入到 RDS。有人可以帮助我更好地理解这一点吗？

所以我有一个 AWS 实例，它是安全组的成员。我有一个 Route53 域名设置指向实例上方的 ELB，ELB 和实例都在同一个安全组中。

当我将安全组添加到自身时，我无法 curl https://my_url/，但是当我删除安全组作为入口规则的源并将其替换为实例的公共 IP 地址时，我就能够curl 公有域名。我认为将安全组添加到它自己的入口规则中应该允许访问其公共 IP 地址上的框，我错了吗？

我是否最好将 ELB 放入一个单独的安全组并添加一条规则以允许一个 SG 路由到另一个 SG？

我需要连接到它自己的公共 IP 上的盒子的原因是，我正在使用在同一应用服务器上的另一个 docker 实例中运行的安全设备，它只会绑定到一个 URL，而且我要么必须从公共进入URL 或开始运行一个单独的 BIND 服务器，它将返回我的应用程序实例的私有 IP，这感觉比使用公共 IP 地址更糟糕。

谢谢你的帮助。

（我试图了解 ELB 网络如何在 VPC 中工作，并发布此问题）

当我们将两个子网添加到公共 ELB 时aws elb create-load-balancer --load-balancer-name my-load-balancer --listeners "Protocol=HTTP,LoadBalancerPort=80,InstanceProtocol=HTTP,InstancePort=80" --subnets subnet-15aaab61 subnet-198aab81，我假设我需要在运行此步骤之前将这两个子网设置为公共子网——这种理解是否正确？另外，我假设上述公共子网必须配置为自动为其每个实例分配公共 IP（否则，此 ELB 目标的 DNS 解析不会获得公共可寻址 IP）——这种理解是否也正确？

接下来，我在两个私有子网中运行实例，并将它们注册到上面创建的 ELB。我想我需要确保两个公共子网和两个私有子网是连接的——我需要做额外的工作才能做到这一点吗？（即，默认的 10.0.0.0/16 -> 本地规则是否足够？我想是的，但 [1] 似乎另有说法，因为它在 ELB 设置过程的上下文中添加了 NAT 规则）

感谢您帮助我了解 ELB 相关网络。

[1]关于 ELB 和路由表的博客

我的设置

我有一些在 Eureka 注册的服务。Zuul 使用此注册信息将请求路由到我的服务。这些服务中的大多数运行在 9999 或 8080 之类的端口上。每个服务都在它自己的 EC2 实例上，我有 Nginx 从端口 80 到服务器端口的路由请求，这样我就可以保持我的安全组规则简单。

我的问题

当我的服务注册到 Eureka 时，它会注册到${server.port}，最终是 8080 或 9999 等。当 Zuul 尝试路由到 时{ec2host}:8080，它会被我的安全组规则阻止。根据文档，看起来我应该能够使用 and 指定主机和eureka.instance.hostname端口eureka.instance.nonSecurePort。无论我是否使用这些属性，我的服务都会注册到它的特定端口。

有没有办法让 Eureka 客户端使用端口 80 注册我的服务，而不是服务器的端口？

我知道网络 ACL 和安全组的有状态/无状态性质；我也知道网络 ACL 与子网相关联，而安全组与实例相关联。

以上两个是最明显的区别，我们应该在其中编码我们的安全策略。

但是，有没有我们可以清楚地看到一个比另一个更好的用例？

例如，现在，我正在考虑锁定堡垒主机的网络安全。我可以将其编码为安全组 sg_A {仅允许来自一组已知 IP 范围的 22 个用于入口流量}，并将 sg_A 与堡垒实例相关联。我还可以将其编码为网络 ACL net_acl_B {仅允许来自一组已知 IP 范围的 22 个用于入口流量}，并将 net_acl_B 与堡垒实例所在的子网相关联。