2016-07-19 15 views
0

Ich weiß, dass die Sicherheitsgruppe STATEFUL ist, was bedeutet, dass, wenn entweder eingehender oder ausgehender Verkehr geregelt wird, eine Associate-Regel in der anderen Grenze den Verkehr senden wird.ec2 security group erlaubt kein Ping outbound

In Anbetracht dessen habe ich eine benutzerdefinierte VPC und ein öffentliches Subnetz erstellt. Ich habe ssh-ed erfolgreich zu einer der öffentlichen Instanzen von meinem Netzwerk. Aber ich kann nicht von einem öffentlichen Rechner zum anderen im selben Subnetz pingen! auch wenn ich hinzufügen, um diese eingehende Regel, dass

Alle Zugriffe ALL sg-xxx All

die obige Regel automatisch ein Outbound für jede Instanz in der gleichen Sicherheitsgruppe in Betracht ziehen sollte. Aber es funktioniert nicht

Also, ich habe wieder manuell eine ausgehende Regel hinzuzufügen, mit:

den gesamten Verkehr ALLE ALLE sg-xxx

warum ist das passiert?

+0

Ermöglicht die Sicherheitsgruppe eingehenden ICMP-Datenverkehr? Ping kann keine Antwort erhalten, es sei denn Pakete können in beide Richtungen gehen. –

+0

Ja, die eingehende Regel akzeptiert den gesamten Datenverkehr von derselben Sicherheitsgruppe. aber dies muss auch geschrieben werden, damit die ausgehende Regel funktioniert. Erwähnung nur, da die Eingangsregel die Aufgabe nicht erfüllt! – Sam

Antwort

1

Es scheint, dass Ihre Situation ist:

  • Zwei Instanzen (nennen wir sie A und B) im selben Subnetz
  • A Sicherheitsgruppe an beide Instanzen angewendet worden
  • Die Sicherheitsgruppe wurde mit einer Eingangsregel konfiguriert, die allen Verkehr erlaubt
  • Sie sind Instance B, ist das Folgende notwendig ping unfähig von einer Instanz auf einem anderen

zB A ping:

  • Eine ausgehende Regel auf der Sicherheitsgruppe, die mit Instanz A, das ermöglicht ICMP-Verkehr
  • Eine Eingangsregel auf die Sicherheitsgruppe, die Instance B zugeordnet ist, die ICMP ermöglicht Verkehr
  • Die Rückkehr Verkehr von Instanz B zu Instanz A wird erlaubt sein läßt Instanz B aufgrund der Stateful-Art der Sicherheitsgruppe
  • Die Rückkehr Verkehr von Instanz B zu Instanz A wird zulässig Instanz betreten Eine aufgrund der Stateful-Art der Sicherheitsgruppe

Da Sie die gleichen Sicherheitsgruppe für beiden Instanzen verwenden, müssen Sie eingehenden und ausgehenden Zugriff ermöglichen.Alternativ können Sie zwei verschiedene Sicherheitsgruppen verwenden:

  • Eine Sicherheitsgruppe auf Instanz A der Outbound-Verkehr
  • Eine Sicherheitsgruppe auf Instanz B ermöglicht die eingehende Verkehr

Das wichtige Konzept ermöglicht Zu verstehen ist, dass eine Sicherheitsgruppe eingehende/ausgehende Regeln definiert. Für mehrere Instanzen, die derselben Sicherheitsgruppe zugeordnet sind, gelten die Regeln für jede Instanz einzeln. Im Gegensatz zu Netzwerk-Subnetzen befinden sich Instanzen mit derselben Sicherheitsgruppe nicht innerhalb der Sicherheitsgruppe - sie haben lediglich die gleichen Regeln.

+0

Ich kann das nicht: Im Gegensatz zu Netzwerk-Subnetzen sind Instanzen mit derselben Sicherheitsgruppe nicht "innerhalb" der Sicherheitsgruppe – Sam

+0

Wenn sich Instanzen im selben Subnetz befinden, können sie miteinander kommunizieren, ohne von Netzwerk-ACLs beeinflusst zu werden. Eine Netzwerk-ACL funktioniert nur bei Verkehr, der in ein Subnetz ein- oder ausgeht. Dies ist vergleichbar mit der Art und Weise, in der Sicherheitsgruppen mit dem Verkehr arbeiten, der in eine Instanz hinein/ausgeht. Instanzen mit derselben Sicherheitsgruppe kommunizieren jedoch nicht miteinander innerhalb einer Sicherheitsgruppe. Stattdessen gelten die Sicherheitsgruppenregeln für jede Instanz einzeln. –