AK
на самом деле на OVH меня ещё ни разу не динамили, на SYS бывает игнорят
но там разные команды поддержки
но там разные команды поддержки
Size: a a a
2016 July 27
y
SYS это so you start?
IB
В сус ни разу в саппорт не писал
y
это, а в security group если у меня все в одной, мне надо прямо явно указать какой трафик между нодами можно?
AK
это, а в security group если у меня все в одной, мне надо прямо явно указать какой трафик между нодами можно?
если все в одной и там нет ограничений на внутреннее хождение, то они будут связываться друг с другом
если наоборот надо изолировать, то ноды надо поместить в разные группы и правилами разрешить доступ между группами
если наоборот надо изолировать, то ноды надо поместить в разные группы и правилами разрешить доступ между группами
y
ага
y
тоесть я могу сделать группу private, поместить туда и не добавлять правил, они между собой смогут, а наружу не будут, а тем которым надо наружу, просто добавить ещё одну группу в которой какие-то там порты открыты?
AK
точнее, по умолчанию в той единой группе лучше сделать allow на ingress/egress для конкретной этой общей security group в источнике
AK
тоесть я могу сделать группу private, поместить туда и не добавлять правил, они между собой смогут, а наружу не будут, а тем которым надо наружу, просто добавить ещё одну группу в которой какие-то там порты открыты?
надо будет добавить ingress/egress allow на общение в пределах группы, там в качестве цели можно указывать не блоки адресов, а security group'ы
y
да, это видел, хотел уточнить надо ли по мимо дефлотных правил ещё явно разрешать трафик
AK
в принципе дефолтные правила уже разрешают
те, что существовали в default группе
те, что существовали в default группе
AK
чего-то больше делать не нужно
AK
тоесть я могу сделать группу private, поместить туда и не добавлять правил, они между собой смогут, а наружу не будут, а тем которым надо наружу, просто добавить ещё одну группу в которой какие-то там порты открыты?
да, наружных в ещё одну группу с портами
AK
действующие сейчас allow/deny можно посмотреть нажав на ноду
там пишется действующая таблица правил, сгенеренная на основе правил security group
там пишется действующая таблица правил, сгенеренная на основе правил security group
y
получается я просто делаю вот так: https://yopp.in/Uzq
y
и дальше бастион кладу в default, ноды в private, а те которые будут торчать наружу и в private и во frontend
AK
ща, там по-моему ещё проще можно
AK
и такой же для all UDP, если надо UDP тоже