SSH между экземплярами EC2 не разрешен

9

Я настраиваю несколько экземпляров EC2 в общей учетной записи AWS и хочу предоставить им доступ друг к другу. В то же время я хочу запретить доступ из других экземпляров в учетной записи.

Я создал группу безопасности и добавил доступ SSH из «Мой IP» для входа, и это работает хорошо.

Теперь мне нужен SSH между всеми экземплярами, но я не могу, хотя они все находятся в одной группе безопасности .

Как я могу это сделать?

linux ssh amazon-web-services amazon-ec2 security-groups Фер Дах
источник

Ответы:

11

Итак, вы настраиваете некоторый кластер в AWS и вам нужен SSH-доступ между узлами, верно? У вас есть 2 варианта:

  1. Наивным является добавление каждого экземпляра IP в список входящих групп безопасности, но это означает, что вам нужно будет обновлять SG каждый раз, когда вы добавляете новый экземпляр в кластер. (Если вы когда-либо делаете). Не делай этого, я упомянул это только для полноты.

  2. Гораздо лучше , чтобы использовать Security Group ID непосредственно в качестве источника трафика .

    Важно понимать, что SG является не только входящим фильтром, но и маркирует весь исходящий трафик, и вы можете затем обратиться к исходному идентификатору SG в той же или других группах безопасности.

Посмотрите на группу безопасности по умолчанию в вашем VPC. Скорее всего, вы увидите что-то вроде этого:

Самостоятельная группа безопасности

Обратите внимание, что правило относится к самому идентификатору группы безопасности .

С этим правилом все, что происходит от любого хоста, который является членом вашей группы безопасности, будет принято всеми другими участниками / экземплярами в группе.

В вашем случае вы можете захотеть ограничить его SSH, ICMP (если вам нужно pingработать) или любыми другими портами, которые вам нужны.

Также проверьте Outbound вкладку и убедитесь , что у него есть запись для всех трафик на 0.0.0.0/0(если у Вас нет определенных требований к безопасности), в противном случае экземпляры не будут иметь возможность инициировать любые исходящие соединения. По умолчанию это должно быть там.

Надеюсь, это поможет :)

мМЕ
источник
4

В конфигурации для вашей группы безопасности вы хотите использовать, чтобы разрешить SSH между экземплярами:

  1. Перейти на вкладку Входящие
    1. Нажмите Редактировать
    2. Нажмите Добавить правило
    3. Для Типа выберите SSH
    4. В качестве источника введите идентификатор группы безопасности
    5. Сохранить
  2. Перейти на вкладку Oubound
    1. Нажмите Редактировать
    2. Нажмите Добавить правило
    3. Для Типа выберите SSH
    4. Для пункта назначения введите идентификатор группы безопасности
    5. Сохранить
Джейми Старк
источник
2

Вы должны добавить правило, которое включает SSH, где источником является сам идентификатор группы.

Например , если ваш идентификатор группы безопасности sg-12345678вы можете добавить правило в той самой группе , которая открывает SSH с sg-12345678.

Также убедитесь, что на вкладке Outbound есть правило для 0.0.0.0/0или, по крайней мере, снова для SSH, sg-12345678иначе исходящий трафик будет заблокирован. По умолчанию там 0.0.0.0/0должно быть.

IPX
источник
0

разрешить доступ SSH для группы безопасности, которую вы им назначили.

Майк
источник