No momento, estamos usando um conjunto de servidores do Amazon EC2-classic para hospedar nossos ambientes ao vivo e de preparação. Temos alguns servidores da Web e um servidor de trabalho em segundo plano em cada ambiente. Em seguida, também temos alguns servidores para criação e implantação.
Recentemente, decidimos por causa da natureza ocasional de alguns de nossos servidores para movê-los para os tipos de servidor T2 (esses são nossos servidores de criação e implantação). Os tipos T2 só podem ser iniciados em um VPC.
Portanto, configuramos um VPC e os colocamos em execução com sucesso, e tudo é muito bom.
O problema é que queremos que nosso servidor de implantação possa conversar com os servidores da Web em uma porta específica. Anteriormente, tínhamos isso configurado em grupos de segurança para que esses servidores da Web apenas ouvissem o servidor de implantação nessa porta e ninguém mais pudesse falar com ele.
Agora, estou chegando aos servidores da Web para editar seus grupos de segurança para permitir o tráfego nessa porta do servidor de implantação de VPC por meio de seu grupo de servidores. No entanto a Amazon me diz que "Você não pode definir regras entre um grupo VPC e um grupo não VPC". No entanto, não consigo pensar em nenhuma outra maneira que eu possa dizer permitir o acesso dos servidores neste VPC. Obviamente, posso codificar o IP público do meu servidor de implantação na lista de permissões, mas presumo que isso pode mudar se eu parasse e iniciasse o servidor de implantação para que essa não seja uma boa solução.
Eu também poderia mover todos os meus servidores para o VPC, mas eu preferiria evitar mover todos os outros servidores, incluindo os servidores web ao vivo, para que isso funcionasse, já que isso parece dar muito trabalho (dado que não conjunto de regras de segurança e convertê-los em regras VPC e assim por diante).
Então, como posso definir uma regra que diz que um servidor EC2-clássico só pode ser conectado na porta xyz por um servidor específico em uma VPC?
A Amazon anunciou ClassicLink literalmente ontem mesmo.
Ainda não tive tempo de experimentar, por isso não sei exatamente do que é capaz, mas a partir desse post:
You can now enable this feature for any or all of your VPCs and then put your existing Classic instances in to VPC security groups.
Parece que esse recurso pode ser ideal para solucionar seu problema.