EFSをAWSに作成したいと考えています。文書では、私がVPCと同じセキュリティグループを持つインスタンスにのみ添付できると言われています。セキュリティグループが同じで、VPCで同じセキュリティグループを使用できないのはなぜですか?
私のVPCのセキュリティグループを知るには?
defaultとインスタンスに異なるセキュリティグループがあり、それぞれ異なるウィザードで異なる時間に作成されているとします。どのようにすることができます、そのインスタンスはVPCに属していますが、VPCよりも異なるセキュリティグループを持っていますか?
Amazon Elastic File System(EFS)は地域サービスです。特定の地域(たとえば、us-east-1)にEFSを作成する場合、us-east-1の同じ地域にある複数の可用性ゾーンに複数のEC2インスタンスを作成して、EFSにアクセスしてデータを読み書きすることができます。
特定の地域(例:us-east-1)のすべてのEC2インスタンスは、VPCとサブネットに属している必要があります(EC2-Classicを使用していない場合)。 VPCはリージョンにマップされ、サブネットは可用性ゾーンにマップされます。 VPCの可用性ゾーンにマウントターゲットを設定して、EC2インスタンスがマウントターゲット経由でEFSに接続し、同じファイルシステムを共有できるようにします。
AWSドキュメントから次の画像をご覧ください。今
、どのように我々は我々のEFSは唯一のEC2インスタンスではなく、すべてのサブネットからのすべてのインスタンスの特定のセットにアクセスできることを確認することができますか?
セキュリティグループが便利な場所です。 EFSマウントポイントにセキュリティグループを割り当てて、特定のセキュリティグループが接続されているEC2だけがマウントターゲット経由でEFSにアクセスできるようにすることができます。異なるセキュリティグループに属する他のEC2インスタンスはEFSにアクセスできません。これがEFSへのアクセスを制限する方法です。
あなたはEC2インスタンスにEFSをマウントしているときに、私たちは、EC2インスタンスにEFSの同じセキュリティグループを追加する必要があります。
Amazon EC2インスタンスとマウントターゲットの両方に、関連するセキュリティグループがあります。これらのセキュリティグループは、それらの間のトラフィックを制御する仮想ファイアウォールとして機能します。マウントターゲットの作成時にセキュリティグループを提供しないと、Amazon EFSはVPCのデフォルトセキュリティグループをそのマウントポイントに関連付けます。あなたが関連付ける
セキュリティグループ:
にかかわらず、EC2インスタンスとマウントターゲット(したがって、ファイルシステム)間のトラフィックを有効にするには、これらのセキュリティグループに次のルールを設定する必要がありますマウントターゲットは、ファイルシステムをマウントするすべてのEC2インスタンスから、NFSポート上のTCPプロトコルのインバウンドアクセスを許可する必要があります。
ファイルシステムをマウントする各EC2インスタンスには、NFSポート上のマウントターゲットへのアウトバウンドアクセスを許可するセキュリティグループが必要です。
EFSのセキュリティグループhereについてお読みください。
これが役に立ちます。
正確には、「あなたのVPCと同じセキュリティグループを持つインスタンスにのみ接続できます」ということですか? –