如何在AWS中的安全组内部配置安全组？

Question

我最近在我们的VPC中对Amazon安全组做了一些测试。

我在sg_office内部有一个LAMP堆栈服务器，端口22、80和3306向我们的办公室IP/32开放。一切都很好。

我想你可以把SG B添加到SG A中来组织IP。例如，我想创建一个sg_contractors和一个sg_office来组织可以访问到单独的安全组的远程IP，因为远程承包商的IP很容易改变，而我们的office是静态的。

以下是我遵循的步骤。

1. 我增加了一个新的sg_contractors安全组，并在22，80和3306上添加了他们的IP/32和入口，
2. 返回到sg_office，并将所有TCP添加到“自定义IP”sg_contractors中。当我输入sg.时，它出现在其他安全组的列表中，所以我想这必须是实现它的方法。

远程用户无法连接。

我再试一次，

1. 编辑sg_contractors将所有TCP设置为0.0.0.0/0

远程用户仍然无法连接。我甚至

1. 将所有TCP contractors_sg添加到contractors_sg中作为测试。

然而，远程用户仍然无法连接到服务器。

当然，如果我将远程承包商的IP/32直接放入sg_office中，并为他们的IP/32重新添加端口22、80和3306，那就很好了，这只会使sg_office规则变得更加混乱和混乱，因为没有办法给任何IP贴上标签，而且每个承包商必须有多条规则。

我错过了什么，你是怎么做到的？

Answer 1

您希望将两个安全组应用于同一个实例。

当进入到Amazon实例的连接中时，将检查与该实例关联的所有安全组。如果有任何规则允许入站访问，则允许连接。

这与引用另一个安全组的安全组不同，后者用于连接两个实例。

例如，如果您希望允许实例A与实例B通信，那么您将为两个实例(例如SG-A和SG-B)分配一个安全组。然后将SG-B配置为允许从SG对所需协议进行入站访问。这通常是为了允许Web服务器与App服务器对话。

在您的情况下，只有一个实例，您应该将sg_office和sg_contractors都关联到同一个实例。