AWS: группы безопасности игнорируют трафик с эластичного IP-адреса

У меня есть 2 экземпляра AWS, i-1 и i-2. Они находятся в разных группах безопасности: sg-1 и sg-2 соответственно. Обе машины имеют эластичные IP-адреса.

sg-2 настроен на разрешение всего трафика от sg-1, независимо от порта, исходного IP или протокола.

Когда i-1 пытается поговорить с i-2, его трафик блокируется. Похоже, AWS не учитывает тот факт, что трафик i-1 на самом деле поступает с его эластичного IP.

Ожидается ли это? Есть ли что-нибудь, что я можно ли обойти его, кроме ручного добавления эластичного IP i-1 к sg-2?

2 3
amazon-web-services amazon-ec2 amazon-vpc

2 ответа:

Sg-2 настроен на разрешение всего трафика от sg-1

При этом разрешен только трафик с частного IP-адреса. Однако, поскольку вы используете EIP, вам явно нужно разрешить трафик с этого ip-адреса.

Прочитайте это: https://forums.aws.amazon.com/thread.jspa?messageID=414060

Цитирую выше ссылку:

Из любопытства, возможно, вы подключаетесь с помощью публичного IP-адреса? Когда вы используете правило с группой безопасности как источник, он будет совпадать только при подключении по внутренней сети. Однако частный IP-адрес может измениться. Если у вас есть эластичный IP-адрес, связанный с экземпляром, публичное DNS-имя будет статическим и всегда будет разрешаться на текущий частный IP-адрес при использовании из того же региона EC2. Это позволяет легко подключаться к внутренней сети, не беспокоясь о каких-либо изменениях адреса.

10

Вы действительно не предоставили достаточно информации для диагностики проблемы, но есть несколько вещей, которые нужно проверить:

  1. является ли I-1 определенно в SG-1? Если вы перепутали экземпляры, правила SG будут в неправильном направлении.
  2. Есть ли на машине в SG-2 брандмауэр, который может блокировать входящий трафик, даже если правила SG разрешают это?
  3. Вы отметили это тегом VPC - есть ли у вас какие-либо сетевые настройки ACL, которые могут препятствовать транспортный поток? Являются ли машины частными, использующими устройство NAT для выхода в Интернет,или общедоступными, маршрутизируемыми через стандартный шлюз AWS? Я-1 можно увидеть в Сети? Если вы маршрутизируете через NAT, назначение EIP машине эффективно отсекает ее от Интернета, потому что EIP и NAT взаимно несовместимы,и хотя я не пробовал это, это также может испортить маршрутизацию SG.
  4. Есть ли у SG-1 какие-либо правила выхода, которые могли бы препятствовать трафику уезжаешь?
Ответ на ваш вопрос, скорее всего, будет найден в разрешении одного из этих вопросов, если ответ на любой из них будет "да".
1