我想在AWS 中创建EFS,文档中说我只能将它附加到与我的VPC 具有相同安全组的实例。
如何知道我的VPC的安全组?
假设它是default,我的实例有不同的安全组,由不同的向导在不同的时间创建。怎么可能,该实例属于VPC,但安全组与VPC不同?
【问题讨论】:
标签: amazon-web-services amazon-ec2 amazon-vpc aws-security-group amazon-efs
Amazon Elastic File System (EFS) 是一项区域服务。如果您在特定区域(例如:us-east-1)创建 EFS,那么您可以在同一个 us-east-1 区域的不同可用区中创建多个 EC2 实例,以访问 EFS 以读取和写入数据。
特定区域(例如:us-east-1)中的所有 EC2 实例必须属于 VPC 和子网。(除非您使用 EC2-Classic)。 VPC 映射到区域,子网映射到可用区。您可以在 VPC 的可用区中设置挂载目标,以便 EC2 实例可以通过挂载目标连接到 EFS 并共享相同的文件系统。
查看来自 AWS 文档的以下图片。
现在,我们如何确保我们的 EFS 只能被特定的 EC2 实例集访问,而不是所有子网中的所有实例?
这就是安全组派上用场的地方。我们可以将安全组分配给 EFS 挂载点,这样只有附加给定安全组的 EC2 才能通过挂载目标访问 EFS。位于不同安全组中的任何其他 EC2 实例都无法访问 EFS。这是我们限制对 EFS 的访问的方式。
因此,当您将 EFS 挂载到 EC2 实例时,我们必须将 EFS 的相同安全组添加到 EC2 实例。
Amazon EC2 实例和挂载目标都具有关联的安全组。这些安全组充当控制它们之间的流量的虚拟防火墙。如果您在创建挂载目标时未提供安全组,Amazon EFS 会将 VPC 的默认安全组与其关联。
无论如何,要启用 EC2 实例和挂载目标(以及文件系统)之间的流量,您必须在这些安全组中配置以下规则:
您与挂载目标关联的安全组必须允许从您要挂载文件系统的所有 EC2 实例对 NFS 端口上的 TCP 协议进行入站访问。
每个挂载文件系统的 EC2 实例都必须有一个安全组,允许对 NFS 端口上的挂载目标进行出站访问。
详细了解 EFS 安全组 here。
希望这会有所帮助。
【讨论】: