我在同一區域有兩個 EC2 執行個體。讓我們稱呼他們為instance-1和instance-2。instance-1有一個彈性IP地址已附在其上,但instance-2沒有。
我希望instance-1允許來自instance-2其 的入站流量iptables。我可以指派一個彈性 IPinstance-2並將如下內容新增到INPUT鏈中。
ACCEPT tcp -- xx.xx.xx.xx anywhere tcp dpt:yyyy
ACCEPT tcp -- xx.xx.xx.xx anywhere tcp dpt:zzzz
其中xx.xx.xx.xx是彈性 IP instance-2,yyyy是zzzz目標連接埠。
但由於 Amazon 限制分配給帳戶的彈性 IP 位址的數量(五個),我不希望此執行個體具有彈性 IP 位址。
instance-2我的問題是我可以使用 Amazon 提供iptables的10.xx.xx.xx 形式的內部 IP 位址嗎instance-1?
解決方案可能是停止使用執行個體級 iptables 並使用 EC2 提供的安全性群組。但我對此有點擔心。我認為最好在實例層級以及安全性群組(EC2 應用程式)層級保護系統免受未知入站流量的影響。
答案1
解決方案是使用 Amazon Web Services 虛擬私有雲:http://aws.amazon.com/vpc/
您將能夠在自己的雲端中分配自己的私有IP位址,並控制雲內外的所有連接,繞過彈性IP位址數量的限制。
需要一點點閱讀才能完全理解,但長遠來看會得到回報。
即使不使用 VPC,您也應該能夠在 iptables 中使用內部 IP 位址,但是如果您停止並重新啟動執行個體(或 Amazon 為您執行此操作;-),您的內部 IP 位址將重新分配,因此您將在每個實例停止時重建您的iptables。在 VPC 中,您可以指派內部 IP 位址。