AWS: группы безопасности игнорируют трафик с эластичного IP-адреса
У меня есть 2 экземпляра AWS, i-1
и i-2
. Они находятся в разных группах безопасности: sg-1
и sg-2
соответственно. Обе машины имеют эластичные IP-адреса.
sg-2
настроен на разрешение всего трафика от sg-1
, независимо от порта, исходного IP или протокола.
Когда i-1
пытается поговорить с i-2
, его трафик блокируется. Похоже, AWS не учитывает тот факт, что трафик i-1
на самом деле поступает с его эластичного IP.
Ожидается ли это? Есть ли что-нибудь, что я можно ли обойти его, кроме ручного добавления эластичного IP i-1
к sg-2
?
2 ответа:
Sg-2 настроен на разрешение всего трафика от sg-1
При этом разрешен только трафик с частного IP-адреса. Однако, поскольку вы используете EIP, вам явно нужно разрешить трафик с этого ip-адреса.
Прочитайте это: https://forums.aws.amazon.com/thread.jspa?messageID=414060
Цитирую выше ссылку:
Из любопытства, возможно, вы подключаетесь с помощью публичного IP-адреса? Когда вы используете правило с группой безопасности как источник, он будет совпадать только при подключении по внутренней сети. Однако частный IP-адрес может измениться. Если у вас есть эластичный IP-адрес, связанный с экземпляром, публичное DNS-имя будет статическим и всегда будет разрешаться на текущий частный IP-адрес при использовании из того же региона EC2. Это позволяет легко подключаться к внутренней сети, не беспокоясь о каких-либо изменениях адреса.
Вы действительно не предоставили достаточно информации для диагностики проблемы, но есть несколько вещей, которые нужно проверить:
Ответ на ваш вопрос, скорее всего, будет найден в разрешении одного из этих вопросов, если ответ на любой из них будет "да".
- является ли I-1 определенно в SG-1? Если вы перепутали экземпляры, правила SG будут в неправильном направлении.
- Есть ли на машине в SG-2 брандмауэр, который может блокировать входящий трафик, даже если правила SG разрешают это?
- Вы отметили это тегом VPC - есть ли у вас какие-либо сетевые настройки ACL, которые могут препятствовать транспортный поток? Являются ли машины частными, использующими устройство NAT для выхода в Интернет,или общедоступными, маршрутизируемыми через стандартный шлюз AWS? Я-1 можно увидеть в Сети? Если вы маршрутизируете через NAT, назначение EIP машине эффективно отсекает ее от Интернета, потому что EIP и NAT взаимно несовместимы,и хотя я не пробовал это, это также может испортить маршрутизацию SG.
- Есть ли у SG-1 какие-либо правила выхода, которые могли бы препятствовать трафику уезжаешь?