我有一个具有公共 IP 的负载均衡器,它将调用委托给私人的AWS VPC 中的子网。出于冗余原因,每个子网位于单独的私有子网中。将它们表示为A1,A2。
这些 Web 服务器需要将调用传递到另一个 EC2 实例。将其表示为乙。
我希望它只接收来自A1,A2。
但是,出于内部原因,我不想为每个私有子网复制此 EC2 实例。因此,我建议的解决方案是限制乙的安全组有入站规则,仅接受来自A1,A2。
如何限制私有子网之外的 EC2 实例的入站流量,以便它只接受来自私有子网内实例的流量?
我认为我应该寻找这些私有子网的互联网网关的公共 IP,但是它似乎仅与公共子网相关联。
答案1
实例可以有多个安全组。安全组可以引用其他安全组作为源。安全组与 VPC 级别相关联。
在这种情况下,解决方案可以是:
- A1、A2在同一个安全组A中。
- B 具有不同的安全组,并持有允许来自安全组 A 的连接的入站规则。