%20IP-%D0%B0%D0%B4%D1%80%D0%B5%D1%81%20%D1%8D%D0%BA%D0%B7%D0%B5%D0%BC%D0%BF%D0%BB%D1%8F%D1%80%D0%B0%20EC2%20%D0%B2%20%D0%B1%D1%80%D0%B0%D0%BD%D0%B4%D0%BC%D0%B0%D1%83%D1%8D%D1%80%D0%B5%2Fiptables%20%D0%B4%D1%80%D1%83%D0%B3%D0%BE%D0%B3%D0%BE%20%D1%8D%D0%BA%D0%B7%D0%B5%D0%BC%D0%BF%D0%BB%D1%8F%D1%80%D0%B0%20EC2%3F.png)
У меня есть два экземпляра EC2 в тех же регионах. Давайте назовем их instance-1и instance-2. instance-1имеетЭластичный IPадрес к нему прикреплен, но instance-2не имеет.
Я хочу instance-1разрешить входящий трафик из instance-2в его iptables. Я мог бы назначить Elastic IP instance-2и добавить что-то вроде ниже в INPUTцепочку.
ACCEPT tcp -- xx.xx.xx.xx anywhere tcp dpt:yyyy
ACCEPT tcp -- xx.xx.xx.xx anywhere tcp dpt:zzzz
Где xx.xx.xx.xxElastic IP, instance-2а yyyyи zzzz— порты назначения.
Но поскольку Amazon ограничивает количество эластичных IP-адресов, назначаемых учетной записи, — пятью, — я не хочу, чтобы у этого экземпляра был эластичный IP-адрес.
Мой вопрос: могу ли я использовать внутренний IP-адрес в формате 10.xx.xx.xx, предоставленный Amazon instance-2для iptables?instance-1
Решением может быть прекращение использования iptables уровня экземпляра и использование групп безопасности, предоставляемых EC2. Но я немного опасаюсь этого. Я считаю, что лучше защитить систему от неизвестного входящего трафика на уровне экземпляра, а также на уровне группы безопасности (приложения EC2).
решение1
Решением является использование виртуального частного облака Amazon Web Services:http://aws.amazon.com/vpc/
Вы сможете назначить собственный частный IP-адрес в своем собственном облаке и контролировать все входящие и исходящие подключения в облаке, обходя ограничение на количество эластичных IP-адресов.
Чтобы полностью понять, придется немного почитать, но в долгосрочной перспективе это окупится.
Вы должны иметь возможность использовать внутренний IP-адрес в ваших iptables даже без использования VPC, но ваш внутренний IP-адрес будет переназначен, если вы остановите и перезапустите свой экземпляр (или если Amazon сделает это за вас ;-), поэтому вам придется перестраивать ваши iptables при каждой остановке экземпляра. В VPC вы можете назначить свой внутренний IP-адрес.