Ich habe einen Redis-Cluster erstellt und eine neue Sicherheitsgruppe namens erstellt cache-access. Wenn ich mich per SSH bei einem EC2-Server anmelde und versuche, auf einen Cache-Knoten zuzugreifen, funktioniert dies, wenn zwei Bedingungen erfüllt sind:
- Der EC2-Server gehört zur
cache-accessSicherheitsgruppe cache-accessSicherheitsgruppe öffnet eingehenden Port 6379
Für mich ist es sinnvoll, den EC2-Zugriff über die Sicherheitsgruppe ( #1) auf die Whitelist zu setzen, da eine Gruppe möglicherweise nach oben oder unten skaliert werden muss und das Setzen von Whitelists für IP-Adressen daher nicht funktionieren würde.
Es ergibt keinen Sinn, warum ich den Port ( #2) öffnen muss. Die EC2-Instanz läuft nicht redis-server. Die Elasticache-Server sind diejenigen, die auf 6379 lauschen.
Warum muss der Port 6379 für die Arbeit der EC2-Sicherheitsgruppe geöffnet sein?
Antwort1
[dem ElastiCache-Server] sind Sicherheitsgruppen zugewiesen, in meinem Fall nur
cache-access
Sicherheitsgruppen gelten für ElastiCache-Server genauso wie für EC2-Server (im Grunde sind sie sogar EC2).
Port 6379 muss für die EC2-Server nicht geöffnet sein, für den Redis-Server jedoch schon. Sie können den Cache oder die EC2-Server in separate Sicherheitsgruppen setzen, wenn Sie ihre Firewall-Regeln lieber getrennt halten möchten.