我们目前正在使用一套Amazon EC2-classic服务器来托pipe我们的现场和临时环境。 我们在每个环境中都有几台Web服务器和一台后台工作服务器。 我们还有一些服务器用于构build和部署。
我们最近决定,因为我们的某些服务器偶尔会将它们移动到T2服务器types(这是我们的构build和部署服务器)。 T2types只能在VPC中启动。
所以我们build立了一个VPC,成功地让它们运行,一切都很好。
问题是,我们希望能够让我们的部署服务器能够与特定端口上的Web服务器交谈。 以前,我们在安全组中设置了这个function,所以这些Web服务器只能监听那个端口上的部署服务器,而没有其他人可以跟它通话。
现在,虽然我正在访问Web服务器来编辑其安全组,以允许通过其服务器组从VPC部署服务器上允许该端口上的stream量。 然而,亚马逊告诉我,“你不能在VPC组和非VPC组之间定义规则”。 然而,我想不出有任何其他方式可以允许从这个VPC的服务器访问。 我显然可以将我的部署服务器的公共IP硬编码到允许列表中,但是我认为如果我要停止并启动部署服务器,这可能会改变,所以这不是一个好的解决scheme。
我也可以把我所有的服务器移动到VPC,但是我宁愿避免移动所有其他服务器,包括我们的在线Web服务器,以便使其工作,因为这似乎是一个很大的工作(鉴于它不会只是一套安全规则并将其转换为VPC规则等)。
那么我怎样才能定义一个规则,说EC2-classic服务器只能通过VPC中的特定服务器连接到端口xyz上?
亚马逊刚刚宣布ClassicLink就在昨天。
我还没有时间去尝试,所以我不确定它的能力,但是从那个博客文章:
您现在可以为任何或所有VPC启用此function,然后将现有的Classic实例放入VPC安全组 。
这听起来像这个function可能非常适合解决您的问题。