Amazon web services AWS上的IP安全组阻止

我在VPC中有一个应用程序，带有自动缩放组和应用程序负载平衡器。只有web层应该访问RDS DB，我应该在安全组中阻止哪个IP—VPC CIDR block或Autoscaling group或Application Load Balancer？

通过取消构建，安全组不允许任何内容，因此所有IP都被阻止。添加规则不是为了“阻止”IP，而是为了允许流量。在您的实例中，您需要在RDS DB的安全组中添加一条规则，以允许来自自动缩放组中EC2服务器的流量。执行此操作的最佳方法是将EC2实例所属的安全组指定为源，而不是尝试添加IP或CIDR块的特定列表。

建议的方法是使用三个安全组：

• 负载平衡器安全组（ELB-SG）：此安全组定义到负载平衡器的允许入站流量，通常为端口80（HTTP）和443（HTTPS）。安全组应与负载平衡器关联
• 应用程序安全组（应用程序SG）：这应允许来自ELB-SG的入站连接（例如端口80）。它应该引用负载平衡器的安全组，而不是负载平衡器本身。安全组应与自动缩放组关联，以便任何新实例都自动与App SG关联
• 数据库安全组（DB-SG）：这应允许App SG在适当的数据库端口（如3306）上进行入站访问。它应该与数据库相关联

请注意，一个安全组可以引用另一个安全组。这将允许从与入站安全组关联的资源进行访问，而不必指定IP地址。然后，添加到安全组的任何新资源（例如自动缩放组中的新实例）将自动包含在访问权限中

---

默认情况下，未被安全组引用的任何资源都将被拒绝入站访问。

安全组规则不会阻止通信；他们允许交通。另外，请参见