У меня много экземпляров ec2, и недавно я добавил виртуальное частное облако на Amazon. В подсети VPC 10.0.0.0/8 узел 10.0.0.88 может получить доступ к Интернету в целом через устройство шлюза Интернета igw-xxxxxx, но я не знаю, как разрешить этому узлу доступ к моим экземплярам ec2, не относящимся к VPC, в правила группы безопасности вне VPC.
Я привык авторизовывать определенные исходные IP-адреса или имена других групп безопасности ec2 для подключения к хостам, не относящимся к VPC, но я не могу понять, как добавить хост VPC в белый список. Внесение 10.0.0.88 в белый список не имеет смысла, поскольку этот IP-адрес недействителен за пределами VPC, включение в белый список igw-xxxxxx дает мне «нет такой группы безопасности». я жестяная банка занести хост в белый список, если я назначу ему эластичный IP-адрес, но тогда трафик не будет напрямую внутренним для структуры aws.
FAQ делает возможным это звучание:
В. Могут ли инстансы Amazon EC2 в VPC взаимодействовать с инстансами Amazon EC2 вне VPC?
А. Да. Если настроен интернет-шлюз, трафик Amazon VPC, связанный с инстансами Amazon EC2, не входящими в VPC, проходит через интернет-шлюз, а затем входит в общедоступную сеть AWS для достижения инстанса EC2.
Чтобы экземпляр 10.0.0.88 мог получить доступ к Интернету (или EC2) через Интернет-шлюз (IGW), экземпляру необходимо либо иметь связанный эластичный IP-адрес, либо он должен взаимодействовать через экземпляр NAT (который имеет эластичный IP-адрес). Адрес).
Чтобы заблокировать группу безопасности EC2, чтобы разрешить трафик от экземпляра VPC, укажите разрешенный источник как эластичный IP-адрес либо от самого экземпляра, либо от экземпляра NAT, как описано выше (например, 192.0.2.25/32).