%20de%20una%20instancia%20EC2%20en%20el%20firewall%2Fiptables%20de%20otra%20instancia%20EC2%3F.png)
Tengo dos instancias EC2 en las mismas regiones. Llamemoslos instance-1y instance-2. instance-1tiene unIP elásticadirección adjunta pero instance-2no la tiene.
Quiero instance-1que permita el tráfico entrante desde instance-2su iptables. Podría asignar una IP elástica instance-2y agregar algo como lo siguiente a la INPUTcadena.
ACCEPT tcp -- xx.xx.xx.xx anywhere tcp dpt:yyyy
ACCEPT tcp -- xx.xx.xx.xx anywhere tcp dpt:zzzz
¿Dónde xx.xx.xx.xxestá la IP elástica de instance-2y yyyyy zzzzson los puertos de destino?
Pero como Amazon restringe el número (cinco) de direcciones IP elásticas asignadas a una cuenta, no quiero que esta instancia tenga una dirección IP elástica.
Mi pregunta es ¿puedo utilizar la dirección IP interna, en el formato 10.xx.xx.xx, proporcionada por Amazon instance-2en iptablesde instance-1?
Una solución podría ser dejar de usar iptables a nivel de instancia y usar grupos de seguridad proporcionados por EC2. Pero estoy un poco preocupado por esto. Siento que es mejor proteger el sistema del tráfico entrante desconocido tanto a nivel de instancia como a nivel de grupo de seguridad (aplicación EC2).
Respuesta1
La solución es utilizar una nube privada virtual de Amazon Web Services:http://aws.amazon.com/vpc/
Podrás asignar tu propia dirección IP privada dentro de tu propia nube y controlar toda la conectividad dentro y fuera de la nube, evitando la limitación en el número de direcciones IP elásticas.
Se necesitará un poco de lectura para comprenderlo completamente, pero a la larga dará sus frutos.
Debería poder usar la dirección IP interna en sus iptables incluso sin usar una VPC, pero su dirección IP interna se reasignará si detiene y reinicia su instancia (o si Amazon lo hace por usted ;-), por lo que tendría para reconstruir sus iptables con cada parada de instancia. En una VPC puedes asignar tu dirección IP interna.