教程:创建安全组 - AWS Batch

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

教程:创建安全组

安全组用作关联的计算环境容器实例的防火墙,可在容器实例级别控制入站和出站的数据流。安全组只能在为其创建该组的 VPC 中使用。

您可以向安全组添加规则,以便使用 SSH 从您的 IP 地址连接到容器实例。您还可以添加允许来自任意位置的入站和出站 HTTP 和 HTTPS 访问的规则。向任务所需的开放端口添加任意规则。

请注意,如果您计划在多个区域中启动容器实例,则需要在每个区域中创建安全组。有关更多信息,请参阅《Amazon EC2 用户指南》中的区域和可用区

注意

您需要本地计算机的公有 IP 地址,可以使用服务获得该地址。例如,我们提供以下服务:http://checkip.amazonaws.com/https://checkip.amazonaws.com/。要查找另一项可提供您的 IP 地址的服务,请使用搜索短语“what is my IP address”。如果您正通过互联网服务提供商(ISP)连接或者在不使用静态 IP 地址的情况下从防火墙后面连接,则找出客户端计算机使用的 IP 地址范围。

使用控制台创建安全组

  1. 通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/

  2. 在导航窗格中,选择 Security Groups(安全组)。

  3. 选择Create security group(创建安全组)。

  4. 输入安全组的名称和描述。在创建安全组后,您无法更改其名称和描述。

  5. VPC 中,选择 VPC。

  6. (可选)在默认情况下,新安全组起初只有一条出站规则,即允许所有通信离开资源。您必须添加规则,以便允许任何入站数据流或限制出站数据流。

    AWS Batch 容器实例不需要打开任何入站端口。但是,您可能需要添加 SSH 规则。这样,您就可以登录容器实例并使用 Docker 命令检查作业中的容器。如果您希望容器实例托管运行 Web 服务器的作业,也可以添加适用于 HTTP 的规则。完成以下步骤可添加这些可选的安全组规则。

    Inbound 选项卡上,创建以下规则并选择 Create

    • 选择添加规则。对于类型,选择 HTTP。对于 Source,选择 Anywhere (0.0.0.0/0)。

    • 选择添加规则。对于 Type,选择 SSH。对于,选择自定义 IP,然后以无类别域间路由 (CIDR) 表示法指定计算机或网络的公有 IP 地址。如果您的公司要分配同一范围内的地址,请指定整个范围,例如 203.0.113.0/24。要采用 CIDR 表示法指定单个 IP 地址,请选择我的 IP。这会将路由前缀 /32 添加到公有 IP 地址。

      注意

      出于安全原因,我们不建议您允许从所有 IP 地址 (0.0.0.0/0) 对您的实例进行 SSH 访问,但仅用于测试目的,并且仅在短时间内进行。

  7. 您可以现在添加标签,也可以稍后再添加。要添加标签,请选择 Add new tag(添加新标签),然后输入标签键和值。

  8. 选择Create security group(创建安全组)。

要使用命令行创建安全组,请参见 create-security-group (AWS CLI)

更多有关安全组的信息,请参阅使用安全组部分。