删除 AWS ElasticCache (Redis) 实例的安全组规则后活动连接仍然存在

问题描述 投票:0回答:1

Stack Overflow 社区您好,

我们目前面临与环境中的 AWS ElasticCache (Redis) 实例相关的令人费解的问题。我们希望就此事获得一些见解或指导。

情况如下:我们需要暂时停止某个ElasticCache实例的运行,但我们发现该实例只能终止而不能停止。为了防止传入流量到达 ElasticCache 实例,我们决定删除关联的安全组及其所有规则,假设此操作将立即终止所有活动连接。

然而,有趣的是 - 尽管删除了安全组及其规则,但在此更改之前建立的活动连接仍然存在。这意味着即使安全组理论上应该阻止这些连接,数据仍会继续流经这些连接。

我们对这种行为感到非常困惑,并且正在努力理解为什么删除安全组并没有立即切断所有活动连接。我们的主要目标是有效地停止与 ElasticCache 实例的所有通信,同时对我们的应用程序造成最小的干扰。

有人可以解释为什么在删除安全组规则后这些连接可能仍然处于活动状态吗?是否有任何特定于 AWS ElasticCache 的细微差别可以解释此行为?对于如何有效终止与 ElasticCache 实例的所有连接而不会对我们的应用程序造成不当损害的任何见解、解释或建议,我们将不胜感激。

如果需要更多详细信息,请随时询问,我们很乐意提供更多信息。

AWS ElasticCache 引擎:Redis 尝试的操作:删除关联的安全组及其规则以停止流量 预期结果:立即终止所有活动连接 当前结果:尽管删除了安全组,但活动连接仍然存在

amazon-web-services redis connection-pooling amazon-elasticache aws-security-group
1个回答
0
投票

安全组是有状态的。

这意味着,您的安全组使用连接跟踪来跟踪有关进出实例的流量的信息。根据流量的连接状态应用规则,以确定是否允许或拒绝流量。

当您更改安全组规则时,其跟踪的连接不会立即中断。安全组继续允许数据包,直到现有连接超时。

为了确保流量立即中断,或者无论跟踪状态如何,所有流量都受到防火墙规则的约束,您可以为子网使用网络 ACL。网络 ACL 是无状态的,因此不会自动允许响应流量。添加阻止任一方向流量的网络 ACL 会破坏现有连接。有关更多信息,请参阅 Amazon VPC 用户指南中的网络 ACL

© www.soinside.com 2019 - 2024. All rights reserved.