将入站规则添加到安全组 aws cdk

Question

我正在使用 AWS Opensearch (Elasticsearch 6.8) 和一个 AWS lambda。收到事件时，lambda 会将记录插入 Elasticsearch。下面是 elasticsearch 的定义：

this.loggingES = new opensearch.Domain(this, 'LogsES', {
    version: opensearch.EngineVersion.ELASTICSEARCH_6_8,
    domainName: "app-logs-es",
    vpc: this.loggingVPC,
    zoneAwareness: {
        availabilityZoneCount: 3,
    },
    enforceHttps: true,
    nodeToNodeEncryption: true,
    encryptionAtRest: {
        enabled: true
    },
    capacity: {
        masterNodes: 3,
        dataNodes: 3,
    }
});

现在发生的情况是，在同一个 VPC 下创建了两个安全组，一个用于 ES，另一个用于 lambda。 lambda 无法连接到 Elasticsearch，因为 elasticsearch 安全组没有允许来自 lambda 安全组的流量的入站规则设置。

有没有办法，我可以：

• 定义一个只有一个安全组且VPC内的所有组件都可以互相访问的VPC？
• 或者在 CDK 本身中，我可以在 Elasticsearch SG 中设置入站规则以允许来自 lambda SG 的流量。

Answer 1

@gshpychka 的回答很准确而且非常简洁。为寻找TypeScript 变体的任何人添加下面的代码。

import {Port} from "@aws-cdk/aws-ec2"

// ... other imports and code

MyOpenSearchDomain.connections.allowFrom(myLambda, Port.allTraffic(), "Allows Lambda to connect to Opensearch.")

要允许来自 Lambda 的连接，我们需要指定 Port.allTraffic()，因为 Lambda 没有默认端口。使用 allow_default_port_from 会抛出一个错误声明。

Answer 2

在CDK中可以添加入口规则，如下：

const mySecurityGroup = new ec2.SecurityGroup(this, 'SecurityGroup', {
   vpc,
   description: 'Allow ssh access to ec2 instances',
   allowAllOutbound: true   // Can be set to false
});

mySecurityGroup.addIngressRule(ec2.Peer.anyIpv4(), ec2.Port.tcp(22), 
'allow ssh access from the world');

示例取自官方文档页面： https://docs.aws.amazon.com/cdk/api/v1/docs/@aws-cdk_aws-ec2.SecurityGroup.html#example.

Answer 3

是的，CDK 使用 Connections 类（Domain exposes）使这变得非常简单。下面是一个 Python 示例：

my_domain.connections.allow_default_port_from(my_lambda)

就是这样。您不必考虑安全组，它们已被抽象出来。