Creé un clúster de Redis y creé un nuevo grupo de seguridad llamado cache-access. Si entro a un servidor ec2 e intento acceder a un nodo de caché, funciona si se cumplen dos condiciones:
- El servidor ec2 pertenece al
cache-accessgrupo de seguridad. cache-accessEl grupo de seguridad abre el puerto entrante 6379.
Para mí tiene sentido incluir en la lista blanca el acceso a ec2 a través del grupo de seguridad ( #1), considerando que es posible que un grupo deba ampliarse o reducirse, por lo que incluir direcciones IP en la lista blanca no funcionaría.
No tiene sentido por qué necesito abrir el puerto ( #2). La instancia ec2 no se está ejecutando redis-server. Los servidores de elasticache son los que escuchan en 6379.
¿Por qué el grupo de seguridad ec2 necesita el puerto 6379 abierto para funcionar?
Respuesta1
[el servidor ElastiCache] tiene grupos de seguridad asignados, en mi caso solo
cache-access
Los grupos de seguridad se aplican a los servidores ElastiCache tal como lo hacen a los servidores EC2 (incluso son EC2 bajo el capó).
No es necesario que el puerto 6379 esté abierto para los servidores EC2, pero sí para el servidor Redis. Puede colocar la caché o los servidores EC2 en grupos de seguridad separados si prefiere mantener sus reglas de firewall separadas.