我有2个AWS实例,i-1
和i-2
。它们分别位于不同的安全组:sg-1
和sg-2
。两台机器都具有弹性IP。AWS:安全组忽略来自弹性IP的流量
sg-2
被配置为允许来自sg-1
的所有流量,而不管端口,源IP或协议如何。
当i-1
试图与i-2
交谈时,其流量被阻止。看起来AWS并没有考虑到i-1
的流量实际上来自其弹性IP。
这是预期吗?除了手动将i-1
的弹性IP添加到sg-2
之外,有什么方法可以解决它吗?
我有2个AWS实例,i-1
和i-2
。它们分别位于不同的安全组:sg-1
和sg-2
。两台机器都具有弹性IP。AWS:安全组忽略来自弹性IP的流量
sg-2
被配置为允许来自sg-1
的所有流量,而不管端口,源IP或协议如何。
当i-1
试图与i-2
交谈时,其流量被阻止。看起来AWS并没有考虑到i-1
的流量实际上来自其弹性IP。
这是预期吗?除了手动将i-1
的弹性IP添加到sg-2
之外,有什么方法可以解决它吗?
SG-2被配置为允许从SG-1
当你做到这一点,从私有IP地址唯一的交通允许的所有流量。但是,与使用EIP一样,您明确需要允许来自该IP地址的流量。
阅读:https://forums.aws.amazon.com/thread.jspa?messageID=414060
从上面的链接引用:
出于好奇,你可能会使用一个公共IP地址连接?当您使用具有安全组的规则作为源时,它只会在通过内部网络连接时匹配。私人IP地址可以改变。如果您有与实例关联的弹性IP,则公用DNS名称恰好是静态的,并且在同一个EC2区域内使用时,将始终解析为当前私有IP地址。这使您可以轻松地在内部进行连接,而无需担心任何地址更改。
你真的没有提供足够的信息来诊断问题,但也有几件事情要检查:
如果对其中任何一个问题的答案是'是',那么您的问题的答案很可能在其中一个问题的解决中找到。
感谢您的诊断帮助。这是在没有任何其他礼物的裸露账户上被重申的,下面是答案:1.是2.没有防火墙3.没有ACL,没有NAT,是的,我可以看到互联网。 4。没有出口规则 这些建议很有帮助,但在这种情况下没有帮助。 – 2014-09-19 16:52:22
谢谢。这样的耻辱他们没有想到这一点。如果他们允许在安全组规则中使用主机名,但我只是尝试过并且不起作用,那将会很不错。卫生署! – 2014-09-19 16:54:00