同じアカウント内のプライベート IP アドレスからの着信トラフィックを許可する EC2 セキュリティ グループを作成しました。
クラシック インスタンスのプライベート IP アドレスは再起動後に変更される可能性があると理解しています。そのため、このルールは再起動後に無効になる可能性があります。
(https://stackoverflow.com/questions/10733244/aws-ec2-instances のローカル IP 変更の解決策 )
本当は DNS 名をソースとして使用したいのですが、それはできないようです。セキュリティ グループが適切ではないため、他のインスタンスをそのセキュリティ グループで参照することはできません。また、Amazon ではセキュリティ グループの変更が許可されていません...
同じアカウント内の特定の IP アドレスから 1 つのインスタンスへのローカル トラフィックを堅牢な方法で許可するためのオプションは何ですか?
答え1
まず、プライベート IP アドレスは再起動後には変更されません。インスタンスが停止されてから再起動されると変更されます。これは異なることです。
AMI は、EBS でバックアップされたインスタンスから作成できます。アクション メニューの「イメージの作成」を探します。これが可能な場合は、専用のセキュリティ グループに AMI を再デプロイし、そのセキュリティ グループ ID をセカンダリ セキュリティ グループのソースとして使用します。そうすれば、IP アドレスを変更しても問題は発生しません。
「イメージの作成」オプションが表示されない場合は、インスタンス ストアでバックアップされたインスタンスがあります。これらは一時的なものであるため、移動やコピーに関しては選択肢が限られています。
サーバーを長期的に使用することを計画している場合は、サーバーを EBS バックアップインスタンスとして設定し、Classic EC2 ではなく VPC にデプロイする必要があります。
答え2
両方のインスタンスを 1 つのセキュリティ グループに追加し、このグループをソースとして指定するか、この特定のインスタンスのセキュリティ グループを指定できます。AWS ドキュメントに記載されているとおりです。
http://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-network-security.html
One or the following options for the source (inbound rules) or destination (outbound rules):
[skip]
EC2-Classic: A security group for another AWS account in the same region
(add the AWS account ID as a prefix; for example, 111122223333/sg-edcd9784)
When you specify a security group as the source or destination for a rule, the rule affects all
instances associated with the security group.
For example, incoming traffic is allowed based on the private IP addresses
of the instances that are associated with the source security group.
ps. 多少のダウンタイムはあるものの、セキュリティ グループを変更する方法はまだあります。インスタンスを停止し、AMI を作成し、新しい SG で新しいインスタンスを起動します。