Как проверить связь с экземпляром EC2, работающим в одной и той же подсети vpc, но с другой группой безопасности в AWS

Как выполнить эхо-запрос экземпляра EC2 A из экземпляра B, работающего в том же VPC, той же подсети, но с другой группой безопасности в AWS, оба работают в общедоступной подсети, я могу выполнить эхо-запрос экземпляра A частного IP-адреса из B, если я добавлю Диапазон блокировки CIDR для VPC, но не для общедоступного IP-адреса, и я хочу использовать общедоступный IP-адрес


amazon-web-services amazon-ec2 amazon-vpc aws-security-group
person Vatsal Rahul    schedule 11.09.2020    source источник
comment
Каковы правила входа и выхода на SG?   -  person Marcin    schedule 11.09.2020
comment
значит правила входа? я поместил весь трафик icmp, но не поставил 0.0.0.0, я только что поместил в него группу безопасности экземпляра B   -  person Vatsal Rahul    schedule 11.09.2020
comment
Экземпляр B может продолжать меняться, но группа безопасности останется прежней.   -  person Vatsal Rahul    schedule 11.09.2020
comment
Я не понимаю. Если вы не разрешите 0.0.0.0/0, как пинг по общедоступному IP-адресу точно получит доступ к экземпляру?   -  person Marcin    schedule 11.09.2020
comment
Но если я разрешаю 0.0.0.0, любой через Интернет может пинговать, но я хочу разрешить только те экземпляры, которые принадлежат определенной группе безопасности.   -  person Vatsal Rahul    schedule 11.09.2020
comment
Я даже прикрепил группу безопасности B к экземпляру A, поэтому теперь A и B находятся в одной группе безопасности, но все еще не работает   -  person Vatsal Rahul    schedule 11.09.2020
comment
Трафик SG-SG предназначен только для частных сетей, а не через Интернет. Вместо 0.0.0.0/0 просто разрешите общедоступный IP-адрес первого экземпляра.   -  person Marcin    schedule 11.09.2020
comment
Это работает, я проверил, но экземпляры будут продолжать меняться, поэтому их общедоступный IP-адрес также изменится.   -  person Vatsal Rahul    schedule 11.09.2020
comment
Настройте эластичный IP-адрес на исходном экземпляре. Но если они находятся в одном VPC, почему бы просто не использовать частную сеть?   -  person Marcin    schedule 11.09.2020
comment
Также, если вы не возражаете, я хотел бы дать ответ для использования в будущем на основе комментариев.   -  person Marcin    schedule 11.09.2020
comment
Подсказка: Использование PING для диагностики сетевых проблем обычно не является хорошей идеей, поскольку сети часто блокируют трафик ICMP. Было бы лучше протестировать сетевой порт, который вы на самом деле хотите использовать. Например, если это веб-сервер, протестируйте HTTP-запрос на порту 80. Если вы хотите войти в экземпляр, протестируйте SSH на порту 22. Использование Ping просто приводит к дополнительной работе, потенциально бесполезной.   -  person John Rotenstein    schedule 11.09.2020
comment
Почему вы хотите проверить общедоступный IP-адрес из VPC?   -  person jarmod    schedule 11.09.2020
comment
Я запускаю эластичный поиск на этом общедоступном IP-адресе, и я не хочу, чтобы все имели к нему доступ, поэтому вот почему   -  person Vatsal Rahul    schedule 11.09.2020

Ответы (1)


arrow_upward
0
arrow_downward

На основании комментариев.

Проблема была вызвана блокировкой 0.0.0.0/0 на экземпляре B. Решение заключалось в добавлении правила в группу безопасности B, разрешающего трафик с его общедоступного IP-адреса.

В случае интернет-трафика правила не могут ссылаться друг на друга по группам безопасности. Трафик SG-SG предназначен только для частных IP-адресов.

person Marcin    schedule 11.09.2020