Ich habe nicht wirklich ein Setup, um dies zu testen, aber wenn ich einen Elasticache-Redis-Cluster mit mehr als einem Knoten erstelle, wie genau müsste eine Sicherheitsgruppe aussehen, um sehr sicher zu sein, ohne jedoch den Cluster selbst zu beschädigen?
Nehmen wir an, ich erstelle eine Sicherheitsgruppe, die eingehenden Datenverkehr von sich selbst und meinen Kubernetes-Knoten auf Port 6379 zulässt und sämtlichen ausgehenden Datenverkehr zu sich selbst und Kubernetes zulässt.
So zum Beispiel:
resource "aws_security_group" "tools_elasticache_default" {
name = "tools-elasticache-default"
description = "Allow traffic from tools cluster to elasticache instance"
vpc_id = module.tools_cluster.vpc_id
ingress {
description = "Incomming redis traffic"
from_port = 6379
to_port = 6379
protocol = "tcp"
self = "true"
security_groups = [for x in module.tools_cluster.node_security_groups : x.id ]
}
egress {
description = "Outgoing redis traffic"
from_port = 0
to_port = 0
protocol = "-1"
self = "true"
security_groups = [for x in module.tools_cluster.node_security_groups : x.id ]
}
tags = merge(var.tags, {
"shared" = "true"
})
}
Würde dies meinen Elasticache-Cluster beschädigen, da es sich im Hintergrund um EC2 handelt und die Sicherheitsgruppen auf Instanzbasis arbeiten? Da ich die Kommunikationsports für den Redis-Cluster nicht explizit angegeben habe, wie die angegebenenHier?
Meines Wissens nach sollte der Cluster unterbrochen sein, da ein Redis-Knoten über Port 3333 zu einem anderen Knoten aussteigen könnte, seine Anfrage jedoch aufgrund der fehlenden Eingangsregel für den anderen Cluster-Teilnehmer gelöscht würde.
Oder verwaltet AWS diese Regeln implizit und stellt sicher, dass die Ports für die Kommunikation zwischen Clustern immer zugelassen sind?
Für jede Hilfe wäre ich sehr dankbar. Danke!
Antwort1
Oder verwaltet AWS diese Regeln implizit und stellt sicher, dass die Ports für die Kommunikation innerhalb des Clusters immer zugelassen sind?
Ja.