Eu realmente não tenho uma configuração para testar isso, mas se eu criar um cluster redis do elasticache com mais de um nó, como exatamente um grupo de segurança deveria ser muito seguro, mas sem quebrar o cluster em si?
Digamos que eu crie um grupo de segurança que permita a entrada de si mesmo e de meus nós do Kubernetes na porta 6379 e permita a saída de todos para si mesmo e para o Kubernetes.
Assim, por exemplo:
resource "aws_security_group" "tools_elasticache_default" {
name = "tools-elasticache-default"
description = "Allow traffic from tools cluster to elasticache instance"
vpc_id = module.tools_cluster.vpc_id
ingress {
description = "Incomming redis traffic"
from_port = 6379
to_port = 6379
protocol = "tcp"
self = "true"
security_groups = [for x in module.tools_cluster.node_security_groups : x.id ]
}
egress {
description = "Outgoing redis traffic"
from_port = 0
to_port = 0
protocol = "-1"
self = "true"
security_groups = [for x in module.tools_cluster.node_security_groups : x.id ]
}
tags = merge(var.tags, {
"shared" = "true"
})
}
Isso quebraria meu cluster elasticache, já que ele é ec2 nos bastidores e os grupos de segurança são baseados em instância? Como não especifiquei explicitamente as portas de comunicação do cluster Redis como as indicadasaqui?
No meu entender, o cluster deveria ser quebrado, pois um nó Redis poderia sair para outro nó na porta 3333, mas sua solicitação seria descartada na regra de entrada ausente para ele no outro participante do cluster.
Ou a AWS gerencia implicitamente essas regras e garante que as portas para comunicação entre clusters sejam sempre permitidas?
Qualquer ajuda seria muito apreciada. Obrigado!
Responder1
Ou a AWS gerencia implicitamente essas regras e garante que as portas para comunicação intracluster sejam sempre permitidas?
Sim.