Amazon ec2 EC2：通过自动缩放跨多个区域的安全组防火墙规则

出于地理冗余和性能方面的原因，我们将在多个地区设置大量EC2服务器，这些服务器将使用Amazon的AutoScaling按需扩展。但是，我们有一个独特的要求，即所有地区的每台服务器都需要能够相互通信。虽然在单个区域中设置防火墙来实现这一点非常简单，但由于不支持在防火墙中引用来自其他区域的安全组，因此不清楚如何跨区域实现这一点

---

有人知道确保我们的所有服务器都可以在特定端口上相互访问的最佳方法是什么吗？请记住，亚马逊的自动缩放功能将添加和删除服务器，因此手动输入IP地址很快就会过时。我希望有一种通过配置实现这一点的方法，而不是每次通过自动缩放添加或删除服务器时都必须进行API调用。

我认为这是不可能的。您可以尝试使用安全组id而不是名称，但我不确定这些是否跨区域工作。我只是试了一下，没法用。该规则创建得很好，但不能保证我添加的安全组实际上来自我的帐户，因为您实际上可以跨帐户添加安全组。如果你有VPN连接的话，这很可能是因为VPN可以让你更好地控制防火墙规则，但是我从来没有尝试过

所有这些都已经说过了。我认为你应该重新审视你的申请要求。我不知道你为什么需要连接这两个地区，我知道你的目标是实现地理冗余。但是，在考虑容错时，要求两个环境相互连接会给我带来危险。如果您的环境以任何方式连接，则即使一个环境出现故障，您也有完全失败的风险。除了延迟或容错之外，在两个区域中启动实例还提供什么用途？我的观点是，如果服务器在安全组中需要一个规则，那么您的环境可能连接太多，并且您没有从两个地理位置中获益

---

每个EC2区域都是孤立的，以帮助提供强有力的架构设计决策。他们还希望将任何问题隔离到单个区域，这也是您应该努力的方向。

这都是关于延迟的，也是我们添加区域的主要原因之一。在每个区域中连接的客户机需要实时接收来自其他区域的消息，因此不幸的是，完全隔离这些区域毫无意义。我们内置了容错功能，消除了一个区域对另一个区域的依赖性，但每个区域中的每个服务器都必须在可用时连接到另一个区域。因此，不幸的是，您的回答根本没有帮助，因为这些实例具有这种访问级别是有充分理由的。“如果您的环境以任何方式连接”-它们可能必须连接，例如用于数据存储复制。如果你有一个很好的配置管理设置，在另一个地区按需复制infra是很容易的，但是对于数据复制来说，情况就不同了，因为它必须是连续的，数据才能有任何有效性。是的，有时候你无法避免它。如果您需要这种高可用性，希望您的数据库使用支持多区域复制的软件。除了数据存储/数据库之外，您还应该尽量避免区域内通信。您找到解决方案了吗？我有一个类似的要求+碰到同样的问题。或者通过ip添加是唯一的方法吗？不幸的是不是。我们研究了许多解决方案，其中一个是vCider，但最终我们决定使用签名证书和STunnel来安全地打开服务器之间的端口。我相信AmazonEC2的构建方式是有意配置的，这样每个区域都完全独立于其他区域，因此区域之间的这些类型的依赖关系是不可能的。