На экземпляре EC2 вы можете настроить группу безопасности, чтобы иметь то, что похоже, такие же, как правила брандмауэра (например, по умолчанию отбрасывает весь трафик с выборочным разрешением на основе порта, входящий или исходящий трафик). Раньше я использовал другие службы, такие как DigitalOcean, и просто добавляю некоторые правила к брандмауэру (например, UFW), как только я вошел в экземпляр.
В экземпляре EC2 я должен настраивать правила брандмауэра только через группы безопасности, а не сенсорный брандмауэр, запущенный на экземпляре (например, когда я вхожу в систему, а не настраиваю ufw или iptables)?
Я хочу убедиться, что все это настроено правильно, и что я случайно не навязываю трафик через 2 набора правил брандмауэра, если используются обе группы безопасности и брандмауэр на основе хоста.
Я предполагаю, что любой подход или их комбинация могут работать (и это было бы хорошо, если бы не повторялись правила). Это правильно? Если возможно, я хотел бы просто использовать группы безопасности. Set-VMNetworkAdapterVlan
просто может использоваться только для установки режима VLAN для всех виртуальных сетевых адаптеров в виртуальной машине, а не для конкретного.
Мне удалось обойти это, установив режим VLAN для виртуальной машины, а затем повторно добавив VNIC:
PS D:\VMs> Set-VMNetworkAdapterVlan -VMName "Sophos XG Virtual Appliance" -Trunk -AllowedVlanIdList 1000-1090 -NativeVlanId 1000
PS D:\VMs> Get-VMNetworkAdapterVlan
VMName VMNetworkAdapterName Mode VlanList
------ -------------------- ---- --------
Sophos XG Virtual Appliance LAN Trunk 1000,1000-1090
Sophos XG Virtual Appliance WAN Trunk 1000,1000-1090
PS D:\VMs> Remove-VMNetworkAdapter -VMName "Sophos XG Virtual Appliance" -VMNetworkAdapterName "WAN"
PS D:\VMs> Add-VMNetworkAdapter -VMName "Sophos XG Virtual Appliance" -Name "WAN"
PS D:\VMs> Connect-VMNetworkAdapter -VMName "Sophos XG Virtual Appliance" -Name "WAN" -SwitchName "Sophos XG WAN"
PS D:\VMs> Get-VMNetworkAdapterVlan
VMName VMNetworkAdapterName Mode VlanList
------ -------------------- ---- --------
Sophos XG Virtual Appliance LAN Trunk 1000,1000-1090
Sophos XG Virtual Appliance WAN Untagged
PS D:\VMs>
Возможно, есть лучший способ сделать это, и если он есть, то я Хотел бы узнать, но не смог найти.