如何配置亚马逊安全组以实现多层体系结构？

Question

配置Amazon组以实现多层体系结构的首选方法是什么？

我的每个实例都有自己的Security，我只想将它用于特定于实例的规则。我希望保留适用于单独的Security中多个实例的任何规则，这些规则可以在必要时分配给实例安全组。

例如，我已经设置了一个名为"admin“的组，它允许从我的IP进行管理访问。我向我的每个实例安全组添加了"admin“组作为源代码。但是，如果不将规则直接添加到实例组中，我仍然无法访问IP中的实例。

我是不是遗漏了什么？虽然它看起来应该是一个多层的安全体系结构，但它似乎不起作用。

Answer 1

我把它设为：-

Group web
Perm 0.0.0.0/0  ports 80,443

Group tomcat
Perm web port 8009

Group application
Perm tomcat ports 42000-42300

Group db
Perm application 1521
Perm tomcat 1521

Group ssh
perm x.x.x.x/32 22

所有的东西都分配给ssh，然后每个服务器都得到了完成它的工作所需的内容。因此，一台服务器具有ssh、application和db，因此，42000-42300和22都被打开。

似乎运作得很好。

Answer 2

可以尝试将管理组添加到特定于实例的安全组中。源IP地址规则中的部分允许您使用其他安全组的名称。这也是让不同安全组中的系统进行通信的方法。