link clássico EC2 - grupo de segurança

1

Se você ativar o "link clássico" para uma instância do EC2-classic, ele poderá conversar com o seu VPC.

Seu grupo de segurança EC2 existente (atribuído ao servidor clássico) - controla todo o tráfego para a instância clássica do EC2 EXCETO para o tráfego com o VPC vinculado (de acordo com o docs ).

Esse tráfego - entre a instância clássica do EC2 e o VPS - é controlado por um grupo de segurança separado que você atribui ao configurar esse "link clássico".

Agora. É seguro simplesmente permitir todo o tráfego em todas as portas neste grupo de segurança de VPC? Presumindo, ele se conecta apenas ao meu VPC privado de qualquer maneira.

Acho que minha pergunta é: quando um link clássico é ativado, ele "vincula" minha instância do EC2 ao meu e somente ao meu VPC, correto? Nenhum outro tráfego pode fisicamente passar por este link, estou certo? Obrigado.

    
por jitbit 11.06.2017 / 01:38

1 resposta

1

Essa é a ideia - o grupo de segurança VPC associado controla apenas o tráfego da VPC para a instância Classiclink e vice-versa. O acesso às instâncias do EC2 Classic por meio da infraestrutura de rede clássica é controlado apenas pelos grupos de segurança clássicos, e as conexões Classiclink não permitem nenhum tráfego de trânsito através da VPC para a instância (como do Gateway de Internet).

Naturalmente, "permitir tudo" não é uma prática recomendada, mesmo em um ambiente seguro. Apenas o que precisa ser permitido deve ser permitido, por isso, mesmo que o seu entendimento pareça correto, e neste caso "tudo" não significa "tudo", ainda não é o ideal.

Falando em não ideal, o EC2 Classic não é ideal de qualquer maneira. Planeje migrar seus serviços para o VPC. Novas contas nem oferecem mais o EC2 Classic e, quando você estiver pronto, o suporte do AWS poderá desativá-lo permanentemente para sua conta, além de fornecer VPCs padrão em todas as regiões, com algumas das mesmas comportamentos orientados do EC2 Classic. Consulte "Eu realmente quero um VPC padrão" na FAQ da VPC .

    
por 11.06.2017 / 03:52