我正在尝试配置从堡垒主机(位于公共(public)子网中)到同一 VPC 中的私有(private) Linux 实例(位于私有(private)子网中)的安全 ssh 连接。
当我为我的私有(private) linux 实例添加安全组规则时,最初它显示规则为:
请注意,在添加堡垒机的IP地址之前,水印显示“CIDR,IP或安全组”,但是当我添加堡垒机的IP地址时,它会抛出错误:
The source needs to be a CIDR block or a Security Group ID.
为什么不允许我在这里输入堡垒机的IP地址?
最佳答案
看来你的情况是:
- 您在公共(public)子网中有一个 EC2 实例(“堡垒实例”),并且您可以通过 SSH 连接到它
- 您在私有(private)子网中有一个 EC2 实例(“私有(private)实例”)
- 您正在配置与私有(private)实例关联的安全组以仅允许从 Bastion 实例进行 SSH 访问
我注意到您在安全组中输入了公共(public) IP 地址 (52.63.198.234)。您实际上应该输入 Bastion 实例的私有(private) IP 地址。这样,实例之间的流量完全在 VPC 内流动,而不是离开 VPC(以访问公共(public) IP 地址)然后再次返回。
实际上,配置此设置的推荐方式是:
- 为您的 Bastion 实例(“Bastion-SG”)创建一个安全组
- 为您的私有(private)实例(“Private-SG”)创建安全组
- 配置 Private-SG 以允许来自 Bastion-SG 的入站 SSH 流量
通过引用安全组的名称,将自动允许来自与命名安全组关联的任何 EC2 实例的流量(在这种情况下,与 Bastion 关联的任何实例-SG)。这意味着可以添加/替换实例,并且仍然会根据关联的安全组允许流量,而不必更新特定的 IP 地址。
所以,要回答您的问题...是的,可以通过三种方式来引用源代码。来自 EC2 文档 Security Group Rules :
- An individual IP address, in CIDR notation. Be sure to use the /32 prefix after the IP address; if you use the /0 prefix after the IP address, this opens the port to everyone. For example, specify the IP address 203.0.113.1 as 203.0.113.1/32.
- An IP address range, in CIDR notation (for example, 203.0.113.0/24).
- The name (EC2-Classic) or ID (EC2-Classic or EC2-VPC) of a security group.
因此,IP 地址实际上必须使用 CIDR 表示法,以 /32 结尾。如果您认为这与“IP”的提示不太相符(我倾向于同意您的看法),请随时点击控制台中的反馈 按钮并将您的反馈提供给EC2 控制台团队。
关于linux - 在 EC2 安全组规则中输入 IP 地址时使用什么格式?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/39940988/