AWS：安全組忽略來自彈性IP的流量

Question

我有2個AWS實例，i-1和i-2。它們分別位於不同的安全組：sg-1和sg-2。兩臺機器都具有彈性IP。

sg-2被配置爲允許來自sg-1的所有流量，而不管端口，源IP或協議如何。

當i-1試圖與i-2交談時，其流量被阻止。看起來AWS並沒有考慮到i-1的流量實際上來自其彈性IP。

這是預期嗎？除了手動將i-1的彈性IP添加到sg-2之外，有什麼方法可以解決它嗎？

Answer 1

SG-2被配置爲允許從SG-1

當你做到這一點，從私有IP地址唯一的交通允許的所有流量。但是，與使用EIP一樣，您明確需要允許來自該IP地址的流量。

閱讀：https://forums.aws.amazon.com/thread.jspa?messageID=414060

從上面的鏈接引用：

出於好奇，你可能會使用一個公共IP地址連接？當您使用具有安全組的規則作爲源時，它只會在通過內部網絡連接時匹配。私人IP地址可以改變。如果您有與實例關聯的彈性IP，則公用DNS名稱恰好是靜態的，並且在同一個EC2區域內使用時，將始終解析爲當前私有IP地址。這使您可以輕鬆地在內部進行連接，而無需擔心任何地址更改。

Answer 2

你真的沒有提供足夠的信息來診斷問題，但也有幾件事情要檢查：

1. 是I-1絕對是SG-1？如果你的實例混淆了，SG規則將圍繞錯誤的方式。
2. 即使SG規則允許，SG-2中的計算機是否運行了可能會阻止傳入通信的防火牆？
3. 您已使用VPC標記對此進行了標記 - 您是否有可能阻止流量流的網絡ACL設置？這些計算機是否是專用的，使用NAT設備通過標準AWS網關進入Internet或公共路由？我能否看到互聯網？如果您通過NAT進行路由，則將EIP分配給計算機可以有效地將其從互聯網上切斷，因爲EIP和NAT是互不兼容的，儘管我沒有嘗試過，但這也可能導致SG路由失敗。
4. SG-1是否有任何可能阻止流量流出的出口規則？

如果對其中任何一個問題的答案是'是'，那麼您的問題的答案很可能在其中一個問題的解決中找到。