У меня есть балансировщик нагрузки с общедоступным IP-адресом, который делегирует вызовы двум веб-серверам EC2 на частный подсеть в AWS VPC. По соображениям избыточности каждый в отдельной частной подсети. Обозначим их как A1, A2.
Эти веб-серверы необходимы для передачи вызовов другому экземпляру EC2. Обозначим его как B.
Я хочу, чтобы входящие соединения были только от A1, A2.
Однако по внутренним причинам я не хочу дублировать этот экземпляр EC2 для каждой частной подсети. Поэтому я предлагаю ограничить Bгруппа безопасности должна иметь правило для входящих подключений только от A1, A2.
Как я могу ограничить входящий трафик экземпляра EC2 за пределами моих частных подсетей, чтобы он принимал трафик только от экземпляров из частных подсетей?
Я считаю, что мне следует искать общедоступный IP-адрес интернет-шлюзов этих частных подсетей, однако кажется, что он связан только с общедоступной подсетью.
Экземпляры могут иметь несколько групп безопасности. Группы безопасности могут ссылаться на другие группы безопасности как на источник. Группы безопасности связаны с уровнем VPC.
В этом случае решением может быть: