%20de%20uma%20inst%C3%A2ncia%20EC2%20no%20firewall%2Fiptables%20de%20outra%20inst%C3%A2ncia%20EC2%3F.png)
Tenho duas instâncias do EC2 nas mesmas regiões. Vamos ligar para eles instance-1e instance-2. instance-1tem umIP elásticoendereço anexado a ele, mas instance-2não o faz.
Quero instance-1permitir o tráfego de entrada instance-2em seu arquivo iptables. Eu poderia atribuir um Elastic IP instance-2e adicionar algo como abaixo à INPUTcadeia.
ACCEPT tcp -- xx.xx.xx.xx anywhere tcp dpt:yyyy
ACCEPT tcp -- xx.xx.xx.xx anywhere tcp dpt:zzzz
Onde xx.xx.xx.xxestá o Elastic IP instance-2e yyyysão zzzzas portas de destino.
Mas como a Amazon restringe o número - cinco - de endereços Elastic IP atribuídos a uma conta, não quero que esta instância tenha um endereço Elastic IP.
Minha pergunta é: posso usar o endereço IP interno, no formato 10.xx.xx.xx, fornecido pela Amazon para instance-2in iptablesof instance-1?
Uma solução poderia ser parar de usar iptables em nível de instância e usar grupos de segurança fornecidos pelo EC2. Mas estou um pouco apreensivo com isso. Acho que é melhor proteger o sistema contra tráfego de entrada desconhecido no nível da instância, bem como no nível do grupo de segurança (aplicativo EC2).
Responder1
A solução é usar uma nuvem privada virtual da Amazon Web Services:http://aws.amazon.com/vpc/
Você poderá atribuir seu próprio endereço IP privado dentro de sua própria nuvem e controlar toda a conectividade dentro e fora da nuvem, ignorando a limitação do número de endereços IP elásticos.
Será necessário um pouco de leitura para entender completamente, mas terá retorno no longo prazo.
Você deve ser capaz de usar o endereço IP interno em seu iptables mesmo sem usar um VPC, mas seu endereço IP interno será reatribuído caso você pare e reinicie sua instância (ou se a Amazon fizer isso por você ;-), então você teria para reconstruir seu iptables a cada parada de instância. Em uma VPC você pode atribuir seu endereço IP interno.