我有许多 ec2 实例,最近还在亚马逊上添加了虚拟私有云。在 VPC 子网 10.0.0.0/8 上,主机 10.0.0.88 可以通过 Internet 网关设备 igw-xxxxxx 访问整个互联网,但我不知道如何在 VPC 外安全组规则中授权该主机访问我的非 VPC ec2 实例。
我习惯授权特定源 IP 或其他 ec2 安全组的名称连接到非 VPC 主机,但我不知道如何将 VPC 主机列入白名单。将 10.0.0.88 列入白名单没有意义,因为该 IP 在 VPC 之外无效,将 igw-xxxxxx 列入白名单会让我收到“没有这样的安全组”的信息。我能如果我为主机分配了一个弹性 IP,则将主机列入白名单,但流量不会直接进入 aws 结构内部。
常见问题解答让这听起来可能:
问:VPC 内的 Amazon EC2 实例能否与 VPC 外的 Amazon EC2 实例通信?
答:是的。如果已配置 Internet 网关,则发往不在 VPC 内的 Amazon EC2 实例的 Amazon VPC 流量将穿过 Internet 网关,然后进入公共 AWS 网络以到达 EC2 实例。
答案1
为了让 10.0.0.88 实例通过互联网网关 (IGW) 访问互联网 (或 EC2),该实例要么需要具有关联的弹性 IP 地址,要么需要通过 NAT 实例 (具有弹性 IP 地址) 进行通信。
要锁定 EC2 安全组以允许来自 VPC 实例的流量,请将允许的源指定为实例本身或 NAT 实例的弹性 IP 地址,如上所述(例如 192.0.2.25/32)。