教學課程:建立安全群組 - AWS Batch

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

教學課程:建立安全群組

安全群組就像是防火牆,用於關聯的運算環境容器執行個體,可在容器執行個體層級控制傳入及傳出流量。安全群組只能用於VPC為其建立的 。

您可以將規則新增至安全群組,讓您使用 從您的 IP 地址連線至容器執行個體SSH。您也可以新增規則,允許傳入和傳出HTTP,以及從任何地方HTTPS存取。依您的任務所需在開放連接埠新增任何規則。

請注意,如果您計劃在多個區域中啟動容器執行個體,則需要在每個區域中建立安全群組。如需詳細資訊,請參閱 Amazon EC2使用者指南 中的區域和可用區域

注意

您需要本機電腦的公有 IP 地址 (可以使用服務來取得)。例如,我們提供下列服務:http://checkip.amazonaws.com/https://checkip.amazonaws.com/。若要尋找其他能夠提供您 IP 地址的服務,請使用搜尋片語 "what is my IP address" (我的 IP 地址為何)。如果您是透過網際網路服務供應商 (ISP) 或從防火牆後方連線,而沒有靜態 IP 地址,請找出用戶端電腦使用的 IP 地址範圍。

使用主控台建立安全群組

  1. 在 開啟 Amazon VPC主控台https://console.aws.amazon.com/vpc/

  2. 在導覽窗格中,選擇 Security Groups (安全群組)。

  3. 選擇 Create Security Group (建立安全群組)。

  4. 輸入安全群組的名稱和說明。您無法在建立安全群組之後變更安全群組的名稱和說明。

  5. 從 中VPC,選擇 VPC。

  6. (選用) 根據預設,新的安全群組只會從允許所有流量離開資源的傳出規則開始。您必須新增規則啟用任何傳入流量,或是限制傳出流量。

    AWS Batch 容器執行個體不需要開啟任何傳入連接埠。不過,您可能想要新增SSH規則。如此一來,您可以使用 Docker 命令登入容器執行個體,並檢查任務中的容器。如果您想要容器執行個體託管執行 Web 伺服器的任務,也可以新增 的規則HTTP。完成下列步驟,以新增這些選用的安全群組規則。

    Inbound (內送) 標籤,建立以下規則然後選擇 Create (建立):

    • 選擇 Add Rule (新增規則)。針對類型 ,選擇 HTTP。針對 Source (來源),選擇 Anywhere (隨處) (0.0.0.0/0)。

    • 選擇 Add Rule (新增規則)。針對類型 ,選擇 SSH。針對來源 ,選擇自訂 IP ,然後在無類別網域間路由 (CIDR) 記號中指定電腦或網路的公有 IP 地址。如果您的公司會分配某個範圍的地址,請指定整個範圍 (例如 203.0.113.0/24)。若要在CIDR符號中指定個別 IP 地址,請選擇我的 IP 。這會將路由字首新增至公有 IP /32 地址。

      注意

      基於安全考量,我們不建議您允許從所有 IP 地址 (0.0.0.0/0) SSH 存取執行個體,但僅用於測試目的,且僅限短時間內。

  7. 您可以立即新增標籤,也可以稍後再新增。若要新增標籤,請選擇 Add new tag (新增標籤),然後輸入標籤的索引鍵和值。

  8. 選擇 Create Security Group (建立安全群組)

若要使用命令列建立安全群組,請參閱 create-security-group(AWS CLI)

如需安全群組的詳細資訊,請參閱使用安全群組