%20IP-Adresse%20einer%20EC2-Instanz%20in%20der%20Firewall%2Fden%20Iptables%20einer%20anderen%20EC2-Instanz%20an%3F.png)
Ich habe zwei EC2-Instanzen in denselben Regionen. Nennen wir sie instance-1und instance-2. instance-1hat eineElastische IPAdresse ist damit verbunden, instance-2tut es aber nicht.
Ich möchte, instance-1dass mein eingehender Datenverkehr von instance-2in zugelassen wird iptables. Ich könnte eine elastische IP zuweisen instance-2und der INPUTKette etwas wie unten hinzufügen.
ACCEPT tcp -- xx.xx.xx.xx anywhere tcp dpt:yyyy
ACCEPT tcp -- xx.xx.xx.xx anywhere tcp dpt:zzzz
Wo xx.xx.xx.xxist die elastische IP von instance-2und yyyyund zzzzsind die Zielports.
Da Amazon jedoch die Anzahl der einem Konto zugewiesenen Elastic IP-Adressen (fünf) beschränkt, möchte ich nicht, dass diese Instanz eine Elastic IP-Adresse hat.
Meine Frage lautet: Kann ich die interne IP-Adresse im Format 10.xx.xx.xx verwenden, die mir von Amazon zur Verfügung instance-2gestellt iptableswird instance-1?
Eine Lösung könnte darin bestehen, die Verwendung von iptables auf Instanzebene einzustellen und stattdessen die von EC2 bereitgestellten Sicherheitsgruppen zu verwenden. Aber ich bin diesbezüglich etwas besorgt. Ich denke, es ist besser, das System sowohl auf Instanzebene als auch auf Sicherheitsgruppenebene (EC2-Anwendung) vor unbekanntem eingehenden Datenverkehr zu schützen.
Antwort1
Die Lösung besteht darin, eine Virtual Private Cloud von Amazon Web Services zu verwenden:http://aws.amazon.com/vpc/
Sie können Ihre eigene private IP-Adresse innerhalb Ihrer eigenen Cloud zuweisen und die gesamte Konnektivität in und aus der Cloud steuern und dabei die Beschränkung der Anzahl elastischer IP-Adressen umgehen.
Um es vollständig zu verstehen, ist zwar ein wenig Einarbeitung erforderlich, aber es wird sich auf lange Sicht auszahlen.
Sie sollten die interne IP-Adresse in Ihren iptables auch ohne Verwendung einer VPC verwenden können, aber Ihre interne IP-Adresse wird neu zugewiesen, wenn Sie Ihre Instanz stoppen und neu starten (oder wenn Amazon dies für Sie tut ;-), sodass Sie Ihre iptables bei jedem Stopp der Instanz neu erstellen müssten. In einer VPC können Sie Ihre interne IP-Adresse zuweisen.