我有兩臺AWS Linux AMI服務器。 一個使用Node.JS HTTPS服務器,第二個使用我的Mongo DB。入站流量的AWS安全組
連接到我的MongoDB服務器的唯一方法是通過我的Node.JS服務器。
在我的MongoDB服務器的AWS安全組中,我能夠將Node.JS服務器的AWS安全組名稱放在「入站」選項卡的「源」列中,並且允許它連通性,但我想知道安全組實際做了什麼設置?
更具體地說,這是允許什麼IP地址?
如果你點擊「我」旁邊源它指出:
我因爲根據最初使出使用「私有IP地址」爲AWS實例之間的通信AWS documentation,
私有IP地址是通過無法訪問的IP地址互聯網。您可以使用專用IP地址在同一網絡(EC2-Classic或VPC)中的 實例之間進行通信。
但經過一番討論(請參閱下面的評論),似乎更好的解決方案可能是使用AWS安全組。我最初對使用AWS安全組猶豫不決是毫無根據的。
我擔心的是,如果我將分配給我的Node.js服務器的相同安全組添加到我的MongoDB服務器的入站流量選項卡的「源」中,那麼我的MongoDB服務器將繼承相同的入站流量規則交通)。
上述擔心是毫無根據的,因爲將入站源設置爲安全組不會繼承規則,而只是允許來自已分配給該安全組的任何實例的入站流量。
我認爲你正在做這個倒退。執行此操作的首選方法是指定安全組(如您最初所做的那樣),而不是IP地址。使用IP地址在自動縮放等方面效果不佳。 –
嗯,是的,這也適用,但你說這是「正確的」解決方案肯定是錯誤的,因爲你以前的方式同樣適用。當您將安全組標識設置爲源時,您允許匹配該安全組中的任何實例。 VPC基礎設施知道哪些實例是哪些組的成員,因此這種方法非常有效,並且隨着規模的擴大而更加簡單。指定安全組完全等同於單獨添加組成員的私有IP地址,不同之處在於不需要管理地址。 –
@MarkB顯然你輸入的速度比我快。 –