Amazon web services 入站流量的AWS安全组

我有两个AWS Linux AMI服务器。 一个是Node.JS HTTPS服务器，另一个运行my Mongo DB

连接到我的Mongo DB服务器的唯一方法是通过我的Node.JS服务器

在Mongo DB服务器的AWS安全组中，我能够将Node.JS服务器的AWS安全组的名称放在“入站”选项卡的“源”列中，它允许连接，但我想知道安全组的实际设置是什么

更具体地说，这允许哪些IP地址

如果单击“源”旁边的“i”，则会显示：

---

我最初使用“专用IP地址”在AWS实例之间进行通信，因为根据

专用IP地址是无法通过网络访问的IP地址 互联网您可以使用专用IP地址在服务器之间进行通信 同一网络中的实例（EC2 Classic或VPC）

但经过一些讨论（见下面的评论），似乎更好的解决方案可能是利用AWS安全组。我最初在使用AWS安全组时的犹豫是没有根据的

我担心的是，如果我将分配给Node.js服务器的相同安全组添加到我的MongoDB服务器的入站流量选项卡的“源”，那么我的MongoDB服务器将继承相同的入站流量规则（所有流量）

---

上述担心是没有根据的，因为将入站源设置为安全组并不会继承规则，而只是允许来自已分配给该安全组的任何实例的入站流量。

我认为这是在倒退。实现这一点的首选方法是指定安全组（正如您最初所做的那样），而不是IP地址。使用IP地址不能很好地处理自动缩放之类的问题。嗯，是的，这也很有效，但如果你说这是“正确的”解决方案，那肯定是错误的，因为你以前使用的方法同样正确。将安全组id设置为源时，允许匹配该安全组中的任何实例。VPC基础设施知道哪些实例是哪些组的成员，因此这种方法非常有效，而且随着您的扩展，维护起来也简单得多。指定安全组完全等同于单独添加组成员的私有IP地址，只是不需要管理地址。@MarkB显然你键入的速度比我快。@Michael sqlbot是的，但你说得比我好。哦，我明白你的想法，但不。。。另一组的规则并不重要。另一组甚至可能没有任何规则。使用组作为源意味着允许来自引用组成员的实例的流量。与引用组中的规则无关。