ClassicLink - Amazon Elastic Compute Cloud

ClassicLink

我們將淘汰 EC2-Classic。建議您從 EC2-Classic 遷移至 VPC

ClassicLink 可讓您將相同區域內的 EC2-Classic 執行個體連結至您帳戶中的 VPC。如果將 VPC 安全群組與 EC2-Classic 執行個體建立關聯,則可以使用私有 IPv4 地址,實現 EC2-Classic 執行個體與 VPC 中的執行個體之間的通訊。ClassicLink 不必使用公有 IPv4 地址或彈性 IP 地址,即可啟用這些平台之間的執行個體通訊。

只要使用者具備支援 EC2-Classic 平台的帳戶,都可以使用 ClassicLink 並搭配使用任何 EC2-Classic 執行個體。使用 ClassicLink 無需額外收費。收取標準數據傳輸費和執行個體使用費。

若要使用 ClassicLink 將 EC2-Classic 執行個體連結至 VPC,需採取兩個步驟。首先,您必須為 ClassicLink 啟用 VPC。在預設情況下,為了保有隔離狀態,帳戶中的所有 VPC 都不會啟用 ClassicLink。在您為 ClassicLink 啟用 VPC 之後,即可將帳戶中執行於相同區域內的 EC2-Classic 執行個體連結至該 VPC。執行個體的連結作業包括:從 VPC 選取要與您的 EC2-Classic 執行個體建立關聯的安全群組。在您連結執行個體之後,該執行個體即可在 VPC 安全群組允許的情況下,使用私有 IP 地址與 VPC 中的執行個體通訊。當 EC2-Classic 執行個體連結 VPC 之後,並不會遺失它的私有 IP 地址。

執行個體與 VPC 的連結作業有時候也稱為連接執行個體。

連結的 EC2-Classic 執行個體可以與 VPC 中的執行個體通訊,但並不屬於 VPC 的一部分。好比說,如果您透過 DescribeInstances API 請求或使用 Amazon EC2 主控台中的 Instances (執行個體) 畫面,列出執行個體並依 VPC 篩選,在結果中不會傳回任何連結至 VPC 的 EC2-Classic 執行個體。如需如何檢視連結之 EC2-Classic 執行個體的詳細資訊,請參閱檢視已啟用 ClassicLink 的 VPC 以及連結的執行個體

在預設情況下,如果您使用公有 DNS 主機名稱從連結的 EC2-Classic 執行個體來定址 VPC 中的執行個體,主機名稱會解析為執行個體的公有 IP 地址。如果您使用公有 DNS 主機名稱從 VPC 中的執行個體來定址連結的 EC2-Classic 執行個體,也會發生一樣的情況。如果您想要使用公有 DNS 主機名稱來解析私有 IP 地址,可以為 VPC 啟用 ClassicLink DNS 支援。如需詳細資訊,請參閱 啟用 ClassicLink DNS 支援

如果您不再需要執行個體和 VPC 之間的 ClassicLink 連線,可從 VPC 解除連結 EC2-Classic 執行個體。這會讓 VPC 安全群組與 EC2-Classic 執行個體取消關聯。連結的 EC2-Classic 執行個體會在停止時自動從 VPC 解除連結。在您將所有連結的 EC2-Classic 執行個體從 VPC 解除連結之後,即可為 VPC 停用 ClassicLink。

連結的 EC2-Classic 執行個體可以存取 VPC 中的下列 AWS 服務:Amazon Redshift、Amazon ElastiCache、Elastic Load Balancing 和 Amazon RDS。不過,VPC 中的執行個體無法使用 ClassicLink 存取 EC2-Classic 平台所佈建的 AWS 服務。

如果您使用 Elastic Load Balancing,則可以向負載平衡器註冊連結的 EC2-Classic 執行個體。您必須在已啟用 ClassicLink 的 VPC 中建立負載平衡器,並啟用執行個體執行所在的可用區域。如果您終止連結的 EC2-Classic 執行個體,負載平衡器即會取消註冊執行個體。

如果您使用 Amazon EC2 Auto Scaling,您可以建立 Amazon EC2 Auto Scaling 群組,讓內含的執行個體在啟動時自動連結至已啟用 ClassicLink 的指定 VPC。如需詳細資訊,請參閱Amazon EC2 Auto Scaling 使用者指南中的將 EC2-Classic 執行個體連結至 VPC

如果您在 VPC 中使用 Amazon RDS 執行個體或 Amazon Redshift 叢集,且它們可公開存取 (可從網際網路存取),則您從連結的 EC2-Classic 執行個體用來定址這些資源的端點預設會解析為公有 IP 地址。如果這些資源並非可公開存取,端點就會解析為私有 IP 地址。若要使用 ClassicLink 並透過私有 IP 來定址可公開存取的 RDS 執行個體或 Redshift 叢集,您必須使用其私有 IP 地址或私有 DNS 主機名稱,或是您必須為 VPC 啟用 ClassicLink DNS 支援。

如果您使用私有 DNS 主機名稱或私有 IP 地址為 RDS 執行個體地址,連結的 EC2-Classic 執行個體就無法使用適用於異地同步備份部署的容錯移轉支援。

您可以使用 Amazon EC2 主控台來尋找 Amazon Redshift、Amazon ElastiCache 或 Amazon RDS 資源的私有 IP 地址。

尋找 VPC 中 AWS 資源的私有 IP 地址

  1. https://console.aws.amazon.com/ec2/ 開啟 Amazon EC2 主控台。

  2. 在導覽窗格中,選擇 Network Interfaces (網路介面)

  3. 查看 Description (描述) 欄中的網路介面描述。Amazon Redshift、Amazon ElastiCache 或 Amazon RDS 使用的網路介面名稱為該描述中的服務名稱。例如,連接至 Amazon RDS 執行個體的網路介面具有如下描述:RDSNetworkInterface

  4. 選取所需的網路介面。

  5. 在詳細資訊窗格的 Primary private IPv4 IP (主要私有 IPv4 IP) 欄位中,取得私有 IP 地址。

預設情況下,IAM 使用者沒有使用 ClassicLink 的許可。您可以建立 IAM 政策以授予使用者下列許可:為 ClassicLink 啟用及停用 VPC、將執行個體連結至已啟用 ClassicLink 的 VPC 和從該 VPC 解除連結,以及檢視已啟用 ClassicLink 的 VPC 和連結的 EC2-Classic 執行個體。如需 Amazon EC2 的 IAM 政策之詳細資訊,請參閱 適用於 Amazon EC2 的 IAM 政策

如需 ClassicLink 的使用政策之詳細資訊,請參閱下列範例:適用於 ClassicLink 的範例 IAM 政策

將 EC2-Classic 執行個體連結至 VPC 並不會影響您的 EC2-Classic 安全群組。安全群組仍可持續控制往返執行個體的所有流量。這會排除 VPC 中執行個體的進出流量,這由與 EC2 Classic 執行個體關聯的 VPC 安全群組所控制。已連結至相同 VPC 的 EC2-Classic 執行個體無法透過 VPC 彼此互相通訊;不論它們是否與相同的 VPC 安全群組建立關聯。EC2-Classic 執行個體之間的通訊是由已經與這些執行個體建立關聯的 EC2-Classic 安全群組所控制。如需安全群組組態的範例,請參閱範例:三層 Web 應用程式的 ClassicLink 安全群組組態

在執行個體連結至 VPC 之後,您就無法變更哪些 VPC 安全群組要與執行個體建立關聯。若要將別的安全群組與執行個體建立關聯,您必須先解除連結執行個體,然後再次將其連結至 VPC,並選擇所需的安全群組。

當您為 ClassicLink 啟用 VPC 時,就會將目的地為 10.0.0.0/8 且目標為 local 的靜態路由新增至所有的 VPC 路由表。這可讓 VPC 中的執行個體與任何連結至 VPC 的 EC2-Classic 執行個體通訊。如果您將自訂路由表新增至已啟用 ClassicLink 的 VPC 時,就會自動新增目的地為 10.0.0.0/8 且目標為 local 的靜態路由。當您停用 VPC 的 ClassicLink 時,就會自動從所有 VPC 路由表中刪除此路由。

位於 10.0.0.0/1610.1.0.0/16 IP 地址範圍的 VPC 當中,只有當路由表中不具備 10.0.0.0/8 IP 地址範圍的現有靜態路由 (排除已在 VPC 建立時自動新增的本機路由) 時,才能為 ClassicLink 加以啟用。同樣的,如果您已為 ClassicLink 啟用 VPC,您可能無法將其他位於 10.0.0.0/8 IP 地址範圍內的特定路由新增至路由表中。

重要

如果您的 VPC CIDR 區塊是公共可路由的 IP 地址範圍,在將 EC2-Classic 執行個體連結至 VPC 之前,請先考量安全隱憂。比如說,如果已連結的 EC2-Classic 執行個體收到傳入的阻斷服務 (DoS) 請求癱瘓攻擊,而來源 IP 地址是在 VPC 的 IP 地址範圍內,就會將回應流量傳送到您的 VPC 中。強烈建議您使用私有 IP 地址範圍 (如 RFC 1918 中所指定) 來建立 VPC。

如需路由表和 VPC 路由的詳細資訊,請參閱Amazon VPC 使用者指南中的路由表

如果您在兩個 VPC 之間有 VPC 對等連線,且有一或多個 EC2-Classic 執行個體透過 ClassicLink 連結至其中一個或兩個 VPC,則您可以擴充 VPC 對等連線,讓 EC2-Classic 執行個體可以和 VPC 對等連線另一端之 VPC 中的執行個體通訊。這可讓 EC2-Classic 執行個體與 VPC 中的執行個體使用私有 IP 地址通訊。若要執行此作業,您可以讓本機 VPC 與對等 VPC 中連結的 EC2-Classic 執行個體通訊,或者您可以讓本機上連結的 EC2-Classic 執行個體與對等 VPC 中的執行個體通訊。

如果您讓本機 VPC 與對等 VPC 中連結的 EC2-Classic 執行個體通訊,就會將目的地為 10.0.0.0/8 且目標為 local 的靜態路由自動新增到路由表中。

如需詳細資訊與範例,請參閱Amazon VPC Peering Guide中的 ClassicLink 的組態

若要使用 ClassicLink 功能,您必須注意下列限制:

  • 您一次只能將一個 EC2-Classic 執行個體連結至一個 VPC。

  • 如果您停止連結的 EC2-Classic 執行個體,即會自動從 VPC 解除連結,VPC 安全群組也不會再與該執行個體保持關聯。重新啟動您的執行個體之後,您就可以再次將其連結至 VPC。

  • 您無法將 EC2-Classic 執行個體連結至位於不同區域或不同 AWS 帳戶中的 VPC。

  • 您無法使用 ClassicLink 將 VPC 執行個體連結至不同 VPC 或 EC2-Classic 資源。若要在 VPC 之間建立私有連線,您可以使用 VPC 對等連線。如需詳細資訊,請參閱 Amazon VPC 對等連線指南

  • 您無法將 VPC 彈性 IP 地址與連結的 EC2-Classic 執行個體建立關聯。

  • 您無法啟用 EC2-Classic 執行個體進行 IPv6 通訊。您可以將 IPv6 CIDR 區塊與 VPC 建立關聯,並將 IPv6 地址指派給 VPC 中的資源;不過,ClassicLinked 執行個體和 VPC 中的資源之間只會透過 IPv4 通訊。

  • 如果 VPC 含有的路由與 EC2-Classic 私有 IP 地址範圍 10/8 相衝突,就無法為 ClassicLink 加以啟用。這不包含具有 10.0.0.0/1610.1.0.0/16 IP 地址範圍且路由表中已有本機路由的 VPC。如需詳細資訊,請參閱 ClassicLink 的路由傳送

  • 如果 VPC 已設定給專用的硬體租用,就無法為 ClassicLink 加以啟用。請聯絡 Amazon Web Services Support,請求允許為 ClassicLink 啟用您的專用租用 VPC。

    重要

    EC2-Classic 執行個體是執行於共享的硬體之上。如果您已基於法規或安全要求將 VPC 的租用設為 dedicated,那麼將 EC2-Classic 執行個體連結至 VPC 可能就不符合這些要求,因為這會允許共享租用資源使用私有 IP 地址來定址您的隔離資源。如果您必須為 ClassicLink 啟用專用 VPC,請在您的 Amazon Web Services Support 請求中提供詳細原因。

  • 如果您將 EC2-Classic 執行個體連結至 172.16.0.0/16 範圍中的 VPC,且您具有執行於 VPC 內 172.16.0.23/32 IP 地址上的 DNS 伺服器,則連結的 EC2-Classic 執行個體無法存取 VPC DNS 伺服器。若要解決這個問題,請在 VPC 內的不同的 IP 地址上執行 DNS 伺服器。

  • ClassicLink 不支援 VPC 之外的轉移關係。連結的 EC2-Classic 執行個體無法存取任何與 VPC 建立關聯的 VPN 連線、VPC 閘道端點、NAT 閘道或網際網路閘道。同樣的,VPN 連線另一端的資源或網際網路閘道也無法存取連結的 EC2-Classic 執行個體。

您可以利用 Amazon EC2 和 Amazon VPC 主控台來使用 ClassicLink 功能。您可以為 ClassicLink 啟用或停用 VPC,亦能將 EC2-Classic 執行個體與 VPC 加以連結及解除連結。

注意

只有在支援 EC2-Classic 的區域或帳戶的主控台中能看見 ClassicLink 功能。

若要將 EC2-Classic 執行個體連結至 VPC,您必須先為 ClassicLink 啟用 VPC。如果 VPC 含有的路由與 EC2-Classic 私有 IP 地址範圍相衝突,您就無法為 ClassicLink 啟用該 VPC。如需詳細資訊,請參閱 ClassicLink 的路由傳送

為 ClassicLink 啟用 VPC

  1. https://console.aws.amazon.com/vpc/ 開啟 Amazon VPC 主控台。

  2. 在導覽窗格中,選擇 Your VPCs (您的 VPC)

  3. 選取 VPC。

  4. 選擇 Actions (動作)、Edit VPC settings (編輯 VPC 設定)。

  5. 針對 ClassicLink,選取 Enable (啟用)。

  6. (選用) 如果您想要使用公有 DNS 主機名稱來解析私有 IP 地址,請在連結任何執行個體之前為 VPC 啟用 ClassicLink DNS 支援。如需詳細資訊,請參閱 啟用 ClassicLink DNS 支援

為 ClassicLink 啟用 VPC 之後,您可以將 EC2-Classic 執行個體連結至 VPC。執行個體必須處於 running 狀態。

如果您想要使用公有 DNS 主機名稱來解析私有 IP 地址,請在連結執行個體之前為 VPC 啟用 ClassicLink DNS 支援。如需詳細資訊,請參閱 啟用 ClassicLink DNS 支援

將執行個體連結至 VPC

  1. https://console.aws.amazon.com/ec2/ 開啟 Amazon EC2 主控台。

  2. 在導覽窗格中,選擇 Instances (執行個體)。

  3. 選取一或多個執行中的 EC2-Classic 執行個體。

  4. 依序選擇 Actions (動作)ClassicLinkLink to VPC (連結至 VPC)

  5. 選擇 VPC。主控台只會顯示針對 ClassicLink 啟用的 VPC。

  6. 請選取要與執行個體建立關聯的一個或多個安全群組。主控台只會為針對 ClassicLink 啟用的 VPC 顯示安全群組。

  7. 選擇 Link (連結)

您可以使用 Amazon EC2 主控台中的 Launch Wizard,啟動 EC2-Classic 執行個體,並立即將其連結至已啟用 ClassicLink 的 VPC。

啟動時,將執行個體連結至 VPC

  1. https://console.aws.amazon.com/ec2/ 開啟 Amazon EC2 主控台。

  2. 在 Amazon EC2 儀表板中,選擇 Launch Instance (啟動執行個體)

  3. 選取 AMI,然後選擇 EC2-Classic 上支援的執行個體類型。如需詳細資訊,請參閱 EC2-Classic 中可用的執行個體類型

  4. Configure Instance Details (設定執行個體詳細資訊) 頁面上,執行下列操作:

    1. 針對 Network (網路),選擇 Launch into EC2-Classic (啟動至 EC2-Classic)。如果此選項已停用,則 EC2-Classic 上不支援執行個體類型。

    2. 展開 Link to VPC (ClassicLink) (連結至 VPC (ClassicLink)),然後選擇 Link to VPC (連結至 VPC) 中的 VPC。主控台只會顯示 ClassicLink 已啟用的 VPC。

  5. 完成精靈中的其餘步驟,以啟動您的執行個體。如需詳細資訊,請參閱 使用舊版啟動執行個體精靈啟動執行個體

您可以在 Amazon VPC 主控台中檢視所有已啟用 ClassicLink 的 VPC,並在 Amazon EC2 主控台中檢視連結的 EC2-Classic 執行個體。

檢視已啟用 ClassicLink 的 VPC

  1. https://console.aws.amazon.com/vpc/ 開啟 Amazon VPC 主控台。

  2. 在導覽窗格中,選擇 Your VPCs (您的 VPC)

  3. 選取 VPC。

  4. 如果 ClassicLink 的值為 Enabled (已啟用),則會針對 ClassicLink 啟用 VPC。

您可以為 VPC 啟用 ClassicLink DNS 支援,以將定址於連結的 EC2-Classic 執行個體與 VPC 中的執行個體之間的 DNS 主機名稱解析為私有 IP 地址,而不是公有 IP 地址。若要使用這項功能,您必須啟用 VPC 給 DNS 主機名稱和 DNS 解析。

注意

您可以為 VPC 啟用 ClassicLink DNS 支援,連結的 EC2-Classic 執行個體即可存取任何已與 VPC 建立關聯的私有託管區域。如需詳細資訊,請參閱 Amazon Route 53 開發人員指南中的 使用私有託管區域

啟用 ClassicLink DNS 支援

  1. https://console.aws.amazon.com/vpc/ 開啟 Amazon VPC 主控台。

  2. 在導覽窗格中,選擇 Your VPCs (您的 VPC)

  3. 選取 VPC。

  4. 選擇 Actions (動作)、Edit VPC settings (編輯 VPC 設定)。

  5. 針對 ClassicLink DNS support (ClassicLink DNS 支援),選取 Enable (啟用)

  6. 選擇 Save changes (儲存變更)。

您可以為 VPC 停用 ClassicLink DNS 支援,以將定址於連結的 EC2-Classic 執行個體與 VPC 中的執行個體之間的 DNS 主機名稱解析為公有 IP 地址,而不是私有 IP 地址。

停用 ClassicLink DNS 支援

  1. https://console.aws.amazon.com/vpc/ 開啟 Amazon VPC 主控台。

  2. 在導覽窗格中,選擇 Your VPCs (您的 VPC)

  3. 選取 VPC。

  4. 選擇 Actions (動作)、Edit VPC settings (編輯 VPC 設定)。

  5. 針對 ClassicLink DNS Support (ClassicLink DNS 支援),清除 Enable (啟用)

  6. 選擇 Save changes (儲存變更)。

如果您不再需要 EC2-Classic 執行個體和 VPC 之間的 ClassicLink 連線,可從 VPC 解除連結執行個體。解除連結執行個體時會使 VPC 安全群組與該執行個體取消關聯。

停止的執行個體會自動從 VPC 解除連結。

從 VPC 解除連結執行個體

  1. https://console.aws.amazon.com/ec2/ 開啟 Amazon EC2 主控台。

  2. 在導覽窗格中,選擇 Instances (執行個體)。

  3. 選取一或多個執行個體。

  4. 選擇 Actions (動作)ClassicLinkUnlink from VPC (取消與 VPC 的連結)

  5. 出現確認提示時,請選擇 Unlink (取消連結)

如果您不再需要 EC2-Classic 執行個體和 VPC 之間的連線,可停用 VPC 上的 ClassicLink。您必須先將所有已連結至 VPC 的 EC2-Classic 執行個體解除連結。

為 VPC 停用 ClassicLink

  1. https://console.aws.amazon.com/vpc/ 開啟 Amazon VPC 主控台。

  2. 在導覽窗格中,選擇 Your VPCs (您的 VPC)

  3. 選取您的 VPC。

  4. 選擇 Actions (動作)、Edit VPC settings (編輯 VPC 設定)。

  5. 針對 ClassicLink,取消選取 Enable (啟用)。

您可以為 ClassicLink 啟用 VPC,然後將 EC2-Classic 執行個體連結至 VPC。您也可以檢視已啟用 ClassicLink 的 VPC,以及連結至 VPC 的所有 EC2-Classic 執行個體。您可以使用 ec2:EnableVpcClassicLinkec2:DisableVpcClassicLinkec2:AttachClassicLinkVpcec2:DetachClassicLinkVpc 動作的資源層級許可建立政策,來控制使用者可如何使用這些動作。ec2:Describe* 動作不支援資源層級許可。

下列政策可授予使用者下列許可:檢視已啟用 ClassicLink 的 VPC 和連結的 EC2-Classic 執行個體、為 ClassicLink 啟用及停用 VPC,以及將執行個體連結至已啟用 ClassicLink 的 VPC 和從該 VPC 解除連結。

{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "ec2:DescribeClassicLinkInstances", "ec2:DescribeVpcClassicLink", "ec2:EnableVpcClassicLink", "ec2:DisableVpcClassicLink", "ec2:AttachClassicLinkVpc", "ec2:DetachClassicLinkVpc" ], "Resource": "*" } ] }

下列政策允許使用者為 ClassicLink 啟用及停用具有特定標籤 'purpose=classiclink' 的 VPC。使用者無法為 ClassicLink 啟用或停用任何其他 VPC。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "ec2:*VpcClassicLink", "Resource": "arn:aws:ec2:region:account:vpc/*", "Condition": { "StringEquals": { "aws:ResourceTag/purpose":"classiclink" } } } ] }

下列政策可授予使用者只在執行個體為 m3.large 執行個體類型時,才能將執行個體連結至 VPC 的許可。第二個陳述式允許使用者使用 VPC 和安全群組資源,必須有這些資源才能將執行個體連結至 VPC。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "ec2:AttachClassicLinkVpc", "Resource": "arn:aws:ec2:region:account:instance/*", "Condition": { "StringEquals": { "ec2:InstanceType":"m3.large" } } }, { "Effect": "Allow", "Action": "ec2:AttachClassicLinkVpc", "Resource": [ "arn:aws:ec2:region:account:vpc/*", "arn:aws:ec2:region:account:security-group/*" ] } ] }

下列政策可授予使用者僅連結執行個體至特定 VPC (vpc-1a2b3c4d),及僅將 VPC 中特定安全群組與執行個體 (sg-1122aabbsg-aabb2233) 建立關聯的許可。使用者無法將執行個體連結至任何其他 VPC,也無法指定任何其他 VPC 安全群組與請求中的執行個體建立關聯。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "ec2:AttachClassicLinkVpc", "Resource": [ "arn:aws:ec2:region:account:vpc/vpc-1a2b3c4d", "arn:aws:ec2:region:account:instance/*", "arn:aws:ec2:region:account:security-group/sg-1122aabb", "arn:aws:ec2:region:account:security-group/sg-aabb2233" ] } ] }

下列政策可授予使用者將任何連結的 EC2-Classic 執行個體從 VPC 解除連結的許可,但前提是執行個體具有標籤 "unlink=true"。第二個陳述式可授予使用者使用 VPC 資源的許可,必須有此資源才能將執行個體從 VPC 解除連結。

{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": "ec2:DetachClassicLinkVpc", "Resource": [ "arn:aws:ec2:region:account:instance/*" ], "Condition": { "StringEquals": { "aws:ResourceTag/unlink":"true" } } }, { "Effect": "Allow", "Action": "ec2:DetachClassicLinkVpc", "Resource": [ "arn:aws:ec2:region:account:vpc/*" ] } ] }

在本範例中,您的應用程式有三個執行個體:公開的 Web 伺服器、應用程式伺服器和資料庫伺服器。您的 Web 伺服器接受來自網際網路的 HTTPS 流量,然後透過 TCP 連接埠 6001 與應用程式伺服器通訊。您的應用程式伺服器會透過 TCP 連接埠 6004 與資料庫伺服器通訊。您正要將整個應用程式遷移到帳戶中的 VPC。您已將應用程式伺服器和資料庫伺服器遷移至 VPC。您的 Web 伺服器仍在 EC2-Classic 中,並已透過 ClassicLink 連結至 VPC。

您想要讓安全群組組態僅允許這些執行個體之間的流量。您具備四個安全群組:兩個用於 Web 伺服器 (sg-1a1a1a1asg-2b2b2b2b)、一個用於應用程式伺服器 (sg-3c3c3c3c) 還有一個用於資料庫伺服器 (sg-4d4d4d4d)。

下圖顯示您的執行個體架構以及其安全群組組態。


          使用 ClassicLink 的安全群組組態。

Web 伺服器的安全群組 (sg-1a1a1a1asg-2b2b2b2b)

您在 EC2-Classic 和 VPC 中各有一個安全群組。當您透過 ClassicLink 將執行個體連結至 VPC 時,即已將 VPC 安全群組與 Web 伺服器執行個體建立關聯。VPC 安全群組可讓您控制從 Web 伺服器到應用程式伺服器的傳出流量。

以下為 EC2-Classic 安全群組 (sg-1a1a1a1a) 的安全群組規則。

Inbound
來源 類型 連接埠範圍 評論

0.0.0.0/0

HTTPS

443

允許網際網路流量到達您的 Web 伺服器。

以下為 VPC 安全群組 (sg-2b2b2b2b) 的安全群組規則。

Outbound
目的地 類型 連接埠範圍 評論

sg-3c3c3c3c

TCP

6001

允許從 Web 伺服器到 VPC 中之應用程式伺服器 (或其他已經與 sg-3c3c3c3c 建立關聯之執行個體) 的傳出流量。

應用程式伺服器的安全群組 (sg-3c3c3c3c)

以下為已經與應用程式伺服器建立關聯之 VPC 安全群組的安全群組規則。

Inbound
來源 類型 連接埠範圍 評論

sg-2b2b2b2b

TCP

6001

允許來自 Web 伺服器 (或其他已經與 sg-2b2b2b2b 建立關聯之執行個體) 之指定的流量類型到達應用程式伺服器。

Outbound
目的地 類型 連接埠範圍 評論
sg-4d4d4d4d TCP 6004 Allows outbound traffic from the application server to the database server (or to any other instance associated with sg-4d4d4d4d).

資料庫伺服器的安全群組 (sg-4d4d4d4d)

以下為已經與資料庫伺服器建立關聯之 VPC 安全群組的安全群組規則。

Inbound
來源 類型 連接埠範圍 評論

sg-3c3c3c3c

TCP

6004

允許來自應用程式伺服器 (或其他已經與 sg-3c3c3c3c 建立關聯之執行個體) 之指定的流量類型到達資料庫伺服器。