AWS：安全组忽略来自弹性IP的流量

Question

我有2个AWS实例，i-1和i-2。它们分别位于不同的安全组：sg-1和sg-2。两台机器都具有弹性IP。

sg-2被配置为允许来自sg-1的所有流量，而不管端口，源IP或协议如何。

当i-1试图与i-2交谈时，其流量被阻止。看起来AWS并没有考虑到i-1的流量实际上来自其弹性IP。

这是预期吗？除了手动将i-1的弹性IP添加到sg-2之外，有什么方法可以解决它吗？

Answer 1

SG-2被配置为允许从SG-1

当你做到这一点，从私有IP地址唯一的交通允许的所有流量。但是，与使用EIP一样，您明确需要允许来自该IP地址的流量。

阅读：https://forums.aws.amazon.com/thread.jspa?messageID=414060

从上面的链接引用：

出于好奇，你可能会使用一个公共IP地址连接？当您使用具有安全组的规则作为源时，它只会在通过内部网络连接时匹配。私人IP地址可以改变。如果您有与实例关联的弹性IP，则公用DNS名称恰好是静态的，并且在同一个EC2区域内使用时，将始终解析为当前私有IP地址。这使您可以轻松地在内部进行连接，而无需担心任何地址更改。

Answer 2

你真的没有提供足够的信息来诊断问题，但也有几件事情要检查：

1. 是I-1绝对是SG-1？如果你的实例混淆了，SG规则将围绕错误的方式。
2. 即使SG规则允许，SG-2中的计算机是否运行了可能会阻止传入通信的防火墙？
3. 您已使用VPC标记对此进行了标记 - 您是否有可能阻止流量流的网络ACL设置？这些计算机是否是专用的，使用NAT设备通过标准AWS网关进入Internet或公共路由？我能否看到互联网？如果您通过NAT进行路由，则将EIP分配给计算机可以有效地将其从互联网上切断，因为EIP和NAT是互不兼容的，尽管我没有尝试过，但这也可能导致SG路由失败。
4. SG-1是否有任何可能阻止流量流出的出口规则？

如果对其中任何一个问题的答案是'是'，那么您的问题的答案很可能在其中一个问题的解决中找到。