Ответ 1
Похоже, у вас есть дескриптор того, что такое группа безопасности: брандмауэр с состоянием, который применяется к экземплярам EC2.
Когда вы вручную запускаете виртуальную машину EC2 с веб-консоли, AWS предоставит вам возможность повторно использовать существующую группу безопасности или создать новую. Когда вы создаете новое, по умолчанию используется SSH (порт 22) и имя группы безопасности по умолчанию "мастер запуска - #".
К сожалению, поскольку группа безопасности может использоваться несколькими экземплярами EC2, они не очищаются при удалении виртуальной машины. Поэтому, если вы удалили виртуальную машину, с которой был создан мастер-1, он не удаляет группу безопасности.
В "группе безопасности по умолчанию для VPC". Когда вы создаете VPC, вместе с ним создается группа безопасности по умолчанию. Когда экземпляры EC2 запускаются в подсеть VPC, у них будет назначена группа безопасности по умолчанию, если другая не указана. (http://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_SecurityGroups.html#DefaultSecurityGroup).
Так что же означает это правило, позволяющее ему говорить с самим собой? По умолчанию весь входящий трафик отклоняется группой безопасности. Это правило "поговорить с самим собой" указывает, что если у двух виртуальных машин есть это правило, назначенное им, им будет разрешено связываться друг с другом на всех портах. Следует ли использовать эту группу по умолчанию? Нет. Создайте уникальные группы безопасности, которые используют правило наименьших прав (только откройте порты, которые вам нужны, в нужные им экземпляры).
К сожалению, у меня нет большого опыта работы с фасолью, поэтому в этом мой ответ превращается в предположения. В том маленьком, что я играл с beanstalk, я помню, что он создал вспомогательные ресурсы в вашем аккаунте. Это, по-видимому, относится к вашему балансировщику эластичных нагрузок (ELB). Как показывает описание, когда Elastic Beanstalk должен запустить новый балансировщик нагрузки, балансировщик нагрузки будет использовать эту группу по умолчанию, если вы не укажете другую. Я считаю, что эта ссылка документирует, как вы это сделаете (http://docs.aws.amazon.com/elasticbeanstalk/latest/dg/using-features.managing.elb.html).
Во всех случаях я бы рекомендовал не использовать группы безопасности по умолчанию в пользу отдельных правил брандмауэра, уникальных для обеспечения безопасности этого экземпляра.
Можете ли вы изменить или удалить их?
- Мастер запуска-1: Да, вы можете удалить или изменить эту группу. Поскольку вы упомянули, что он не используется, продолжайте и уничтожайте его.
- default: VPC скупает некоторые ресурсы по умолчанию, которые он создает. Я тестировал его на своем аккаунте, и я не могу его удалить. Вы можете, конечно, изменить его, но я бы рекомендовал вместо этого просто не использовать его.
- default_elb: Если я правильно помню, эластичный beanstalk использует cloudformation для создания дополнительных ресурсов, таких как группа безопасности ELB. Вы можете изменить эту группу безопасности, но это создаст несоответствия между определением облачной информации и реальностью. Для вашего конкретного вопроса вы можете изменить диапазон допустимых IP-адресов, но если вы пишете правила на частном IP-адресе, вы не сможете пересекать среды, если среды развернуты для разделения VPC.