O Que É um Security Group? Um Firewall Virtual para Recursos
Um security group é um firewall virtual stateful anexado a recursos na nuvem que decide qual tráfego de entrada e saída é permitido, com base em regras que você define.
Em uma rede de nuvem, um security group envolve um recurso e filtra o tráfego por porta, protocolo e origem. Ele é stateful, então uma requisição de entrada permitida automaticamente libera sua resposta na saída. Security groups mal configurados são um dos motivos mais comuns para um pipeline não conseguir alcançar um banco de dados ou serviço para o qual está fazendo deploy.
Regras por porta e origem
Uma regra de security group permite tráfego em uma porta ou faixa a partir de uma origem especificada, que pode ser uma faixa de IP ou outro security group. Qualquer coisa não explicitamente permitida é negada.
Filtragem stateful
Como os security groups são stateful, você só precisa de uma regra de entrada para uma requisição; a resposta é liberada de volta automaticamente. Isso difere de network ACLs stateless, que precisam de regras em ambas as direções.
Entrada e saída
- Regras de entrada controlam quem pode se conectar ao recurso.
- Regras de saída controlam onde o recurso pode chegar.
- Os padrões frequentemente permitem toda a saída e negam toda a entrada.
Security groups e acesso de CI
Um runner fazendo deploy para um banco de dados precisa de uma regra de entrada no security group do banco de dados permitindo a origem do runner na porta do banco de dados. Sem ela, a conexão atinge timeout.
Referenciando outros grupos
Configurações mais limpas permitem que um security group referencie outro em vez de codificar IPs. Isso é robusto contra endereços de runner que mudam, ao contrário de fixar um IP específico que pode rotacionar.
Um bloqueio não é um soluço
Uma negação de security group falha de forma idêntica a cada execução até você adicionar a regra, então não é passível de retry. Os runners da Latchkey fazem retry de timeouts genuinamente transitórios, mas um bloqueio de security group precisa ser corrigido abrindo a regra certa.
Principais conclusões
- Um security group é um firewall virtual stateful que controla o tráfego a um recurso.
- Requisições de entrada permitidas recebem suas respostas de volta automaticamente porque ele é stateful.
- Uma conexão bloqueada é um problema de regra a corrigir, não uma falha transitória para retry.