Realmente no tengo una configuración para probar esto, pero si creo un clúster de Elasticache Redis con más de 1 nodo, ¿cómo debería verse exactamente un grupo de seguridad para ser muy seguro pero sin romper el clúster?
Digamos que creo un grupo de seguridad que permite la entrada desde sí mismo y mis nodos de Kubernetes en el puerto 6379 y permite la salida de todos hacia sí mismo y a Kubernetes.
Como este por ejemplo:
resource "aws_security_group" "tools_elasticache_default" {
name = "tools-elasticache-default"
description = "Allow traffic from tools cluster to elasticache instance"
vpc_id = module.tools_cluster.vpc_id
ingress {
description = "Incomming redis traffic"
from_port = 6379
to_port = 6379
protocol = "tcp"
self = "true"
security_groups = [for x in module.tools_cluster.node_security_groups : x.id ]
}
egress {
description = "Outgoing redis traffic"
from_port = 0
to_port = 0
protocol = "-1"
self = "true"
security_groups = [for x in module.tools_cluster.node_security_groups : x.id ]
}
tags = merge(var.tags, {
"shared" = "true"
})
}
¿Esto rompería mi clúster de elasticache ya que es ec2 bajo el capó y los grupos de seguridad están por instancia? Como no he especificado explícitamente puertos de comunicación del clúster de Redis como los indicadosaquí?
Según tengo entendido, el clúster debería estar roto, ya que un nodo de Redis podría salir a otro nodo en el puerto 3333, pero su solicitud se descartaría debido a la regla de ingreso faltante en el otro participante del clúster.
¿O AWS administra implícitamente esas reglas y se asegura de que los puertos para la comunicación entre clústeres siempre estén permitidos?
Cualquier ayuda sería muy apreciada. ¡Gracias!
Respuesta1
¿O AWS administra implícitamente esas reglas y se asegura de que los puertos para la comunicación dentro del clúster siempre estén permitidos?
Sí.