SSH między instancjami EC2 jest niedozwolony

9

Konfiguruję kilka instancji EC2 na wspólnym koncie AWS i chcę im umożliwić dostęp. Jednocześnie chcę zabronić dostępu z innych instancji na koncie.

Utworzyłem grupę zabezpieczeń i dodałem dostęp SSH z „Mojego IP” do logowania i to działa dobrze.

Teraz muszę SSH między wszystkimi instancjami, ale nie mogę, mimo że wszystkie są w tej samej grupie zabezpieczeń .

Jak mogę to zrobić?

Fer Dah
źródło

Odpowiedzi:

11

Więc konfigurujesz klaster w AWS i potrzebujesz dostępu SSH między węzłami, prawda? Masz 2 opcje:

  1. Naiwnym jest dodawanie adresu IP każdego wystąpienia do listy przychodzących grup zabezpieczeń - ale oznacza to, że będziesz musiał aktualizować SG za każdym razem, gdy dodajesz nowe wystąpienie w klastrze. (Jeśli kiedykolwiek to zrobisz). Nie rób tego, wspomniałem o tym tylko dla kompletności.

  2. Zdecydowanie lepiej jest użyć samego identyfikatora grupy zabezpieczeń jako źródła ruchu .

    Ważne jest, aby zrozumieć, że SG to nie tylko filtr przychodzący, ale także oznacza cały ruch wychodzący - a następnie możesz odwoływać się do identyfikatora SG pochodzącego z tej samej lub innych grup zabezpieczeń.

Spójrz na domyślną grupę zabezpieczeń w swoim VPC. Najprawdopodobniej zobaczysz coś takiego:

grupa bezpieczeństwa z odnośnikami

Pamiętaj, że reguła odnosi się do samego identyfikatora grupy zabezpieczeń .

Dzięki tej regule wszystko, co pochodzi z dowolnego hosta, który jest członkiem grupy zabezpieczeń, zostanie zaakceptowane przez wszystkich innych członków / instancji w grupie.

W twoim przypadku możesz chcieć ograniczyć go do SSH, ICMP (jeśli potrzebujesz pingpracy) lub innych potrzebnych portów.

Sprawdź także kartę Wychodzące i upewnij się, że ma ona wpis Cały ruch do 0.0.0.0/0(chyba że masz określone potrzeby w zakresie bezpieczeństwa), w przeciwnym razie instancje nie będą mogły inicjować żadnych połączeń wychodzących. Domyślnie powinien tam być.

Mam nadzieję, że to pomoże :)

MLu
źródło
4

W konfiguracji grupy zabezpieczeń, której chcesz użyć, aby zezwolić na SSH między instancjami:

  1. Przejdź do zakładki Przychodzące
    1. Kliknij Edytuj
    2. Kliknij Dodaj regułę
    3. Dla typu wybierz SSH
    4. W polu Źródło wprowadź identyfikator grupy zabezpieczeń
    5. Zapisać
  2. Przejdź do zakładki Oubound
    1. Kliknij Edytuj
    2. Kliknij Dodaj regułę
    3. Dla typu wybierz SSH
    4. W polu Miejsce docelowe wprowadź identyfikator grupy zabezpieczeń
    5. Zapisać
Jamie Starke
źródło
2

Należy dodać regułę, która włącza SSH, przy czym źródłem jest sam identyfikator grupy.

Na przykład, jeśli grupa jest id bezpieczeństwa sg-12345678można dodać regułę w tej samej grupie, która otwiera SSH z sg-12345678.

Upewnij się także, że karcie Wychodzące znajduje się reguła 0.0.0.0/0dla SSH lub przynajmniej w sg-12345678przeciwnym razie ruch wychodzący zostanie zablokowany. Domyślnie 0.0.0.0/0powinno tam być.

IPX
źródło
0

zezwól na dostęp ssh dla grupy zabezpieczeń, którą im przypisałeś.

Mikrofon
źródło