Je configure quelques instances EC2 dans un compte AWS partagé et je souhaite leur donner accès les uns aux autres. En même temps, je veux interdire l'accès à d'autres instances du compte.
J'ai créé un groupe de sécurité et ajouté un accès SSH à partir de "Mon IP" pour me connecter et cela fonctionne bien.
Maintenant, je dois SSH entre toutes les instances, mais je ne peux pas même si elles sont toutes dans le même groupe de sécurité .
Comment puis je faire ça?
Vous configurez donc un cluster sur AWS et avez besoin d'un accès SSH entre les nœuds, n'est-ce pas? Vous avez 2 options:
La naïve consiste à ajouter chaque IP d'instance à la liste entrante du groupe de sécurité - mais cela signifie que vous devrez mettre à jour le SG à chaque fois que vous ajoutez une nouvelle instance dans le cluster. (Si jamais vous le faites). Ne faites pas cela, je l'ai seulement mentionné pour être complet.
Il vaut bien mieux est d' utiliser le groupe de sécurité ID lui - même comme la source du trafic .
Il est important de comprendre que SG n'est pas seulement un filtre entrant, mais marque également tout le trafic sortant - et vous pouvez ensuite vous référer à l'ID SG d'origine dans le même groupe de sécurité ou d'autres.
Jetez un œil au groupe de sécurité par défaut dans votre VPC. Vous verrez très probablement quelque chose comme ceci:
Notez que la règle fait référence à l' ID du groupe de sécurité lui-même .
Avec cette règle, tout ce qui provient de tout hôte membre de votre groupe de sécurité sera accepté par tous les autres membres / instances du groupe.
Dans votre cas, vous souhaiterez peut-être le limiter à SSH, ICMP (si vous avez besoin de pingtravailler) ou à tout autre port dont vous avez besoin.
Vérifiez également l' onglet Sortant et assurez-vous qu'il a une entrée pour Tout le trafic vers 0.0.0.0/0(sauf si vous avez des besoins de sécurité spécifiques), sinon les instances ne pourront pas initier de connexions sortantes. Par défaut, il devrait être là.
J'espère que cela pourra aider :)
Dans la configuration de votre groupe de sécurité que vous souhaitez utiliser pour autoriser SSH entre les instances:
Vous devez ajouter une règle qui active SSH, la source étant l'ID de groupe lui-même.
Par exemple , si votre identifiant de groupe de sécurité est que sg-12345678vous pouvez ajouter une règle dans ce groupe même qui ouvre SSH à partir sg-12345678.
Assurez-vous également que l' onglet Outbound a une règle pour 0.0.0.0/0ou au moins pour SSH sg-12345678sinon le trafic sortant sera bloqué. Par défaut, le 0.0.0.0/0devrait être là.