У меня 2 VPC (default
и special
) на каждом размещается 1 экземпляр EC2.
Оба экземпляра имеют одинаковую группу безопасности (скажем, name = internal
). Группа безопасности позволяет All Traffic
из internal
(круговая ссылка для входящего трафика).
Кроме того, у меня включен пиринг VPC, однако я не могу изменить следующие настройки:
Все они отключены.
Я не могу выполнить эхо-запрос от одного экземпляра к другому (в обоих направлениях). Я могу пинговать оба экземпляра со своего ноутбука.
Если я явно разрешаю весь входящий трафик от [Instance A's IP]
тогда я могу пинговать Экземпляр B из Экземпляр А.
Короче говоря, это не удается:
но это работает (в одном направлении, если у экземпляра A есть общедоступный IP 1.2.3.4):
Как я могу позволить своим экземплярам обмениваться данными, добавляя каждый IP-адрес явно в группу безопасности?
Проблема заключалась в том, что мы использовали общедоступный IP-адрес (скорее, имя, преобразованное в общедоступный IP-адрес). Частный IP работал нормально.
В нашем случае это означало изменение некоторых записей Route53 для использования внутреннего CNAME вместо общедоступных записей A.