AWS 보안 그룹이 인바운드 트래픽을 허용하지 않음

Question

app-server 그룹의 노드가 database 그룹의 mysql 및 redis 시스템과 통신 할 수 있도록 허용하려고합니다. 그러나 입력 규칙에 대해 명시적인 IP 만 작동시킬 수 있습니다. 그룹을 정의하려고 할 때 자동 크기 조정을 쉽게하기 위해 트래픽이 차단됩니다.

가 여기 내 설정입니다 : 내가 사용 포트 6379에 연결하려고 할 때 내가

ec2-describe-group database

내가 그러나

PERMISSION  890752071609 database  ALLOWS tcp  3306 3306 FROM USER 890752071609 NAME default ID sg-5ce3766c ingress 
PERMISSION  890752071609 database  ALLOWS tcp  3306 3306 FROM USER 890752071609 NAME app-server ID sg-b81b8088 ingress 
PERMISSION  890752071609 database  ALLOWS tcp  6379 6379 FROM USER 890752071609 NAME default ID sg-5ce3766c ingress 
PERMISSION  890752071609 database  ALLOWS tcp  6379 6379 FROM USER 890752071609 NAME app-server ID sg-b81b8088 ingress 
PERMISSION  890752071609 database  ALLOWS tcp  0  65535 FROM USER 890752071609 NAME database ID sg-d262f1e2 ingress 
PERMISSION  890752071609 database  ALLOWS tcp  22  22  FROM CIDR 0.0.0.0/0  ingress 

를 얻을 실행하면

에서 레디 스를-cli를 기계가 app-server 그룹에 있으면 재 다이얼 시간 초과 오류가 발생합니다.

내가 명시 적으로

PERMISSION  890752071609 database  ALLOWS tcp  3306 3306 FROM CIDR 111.snip.25/32  ingress 
PERMISSION  890752071609 database  ALLOWS tcp  6379 6379 FROM CIDR 222.snip.25/32  ingress 

레디 스-CLI 호출 작품처럼이에서 연결하려는 서버의 탄성 IP를 추가하는 경우. 그러나보다 유연하고 전체 보안 그룹을 추가하려고합니다.

소스로 보안 그룹을 지정하여 amazon docs 상태

, 소스 보안 그룹에 속하는 모든 인스턴스에서 들어오는 트래픽을 허용합니다. 허용하는 들어오는 트래픽은 소스 보안 그룹에있는 인스턴스의 개인 IP 주소를 기반으로합니다. 3 계층 웹 서비스를 만드는 경우 계정에 다른 보안 그룹을 지정할 수 있습니다 (3 계층 웹 서비스 만들기 참조).

아니야? 내가 도대체 ​​뭘 잘못하고있는 겁니까?

Answer 1

거의 권장 시도/확인 :

1. AWS 초 그룹은 하지이 교차 영역 규칙을 허용 할. Redis 컴퓨터가 같은 지역에 있는지 여부를 알 수 없습니다.
2. AWS Web Interface 또는 Dome9 Console (www.dome9.com)에서이 설정을 만들어 표시되지 않는 숨겨진 설정이 없는지 확인하십시오. AWS 초 그룹이 사용 사례를 위해 설계되었습니다 - 이 작업해야 이런 종류의 설정 -

느슨하지 희망을 마십시오.