我建立了一個 EC2 安全群組,允許來自同一帳戶中的私人 IP 位址的傳入流量。
據我了解,經典實例的私人 IP 位址可以在重新啟動後更改。所以這個規則在重啟後可能會失效。
(https://stackoverflow.com/questions/10733244/solution-for-local-ip-changes-of-aws-ec2-instances )
我真的只想使用 dns 名稱作為來源,但這似乎不可能。我無法透過安全群組引用另一個實例,因為它不是正確的群組,而且亞馬遜不允許更改安全群組...
我可以選擇哪些選項來以可靠的方式允許同一帳戶中的特定 IP 位址向一個執行個體進行本機流量?
答案1
首先,私有IP位址在重啟後不會改變;它們在實例停止然後再次啟動後發生變化。不同的東西。
您可以從任何 EBS 支援的執行個體建立 AMI。在操作選單下尋找“建立圖像”。如果您可以執行此操作,請在專用安全性群組中重新部署 AMI,然後使用該安全性群組 ID 作為輔助安全性群組中的來源。然後,更改 IP 位址就不會出現任何問題。
如果您看不到「建立映像」選項,則您有一個實例儲存支援的實例。這些是短暫的(即臨時的),因此在移動或複製它們時您的選擇有限。
如果您打算長期使用伺服器,則確實需要將其設定為 EBS 支援的實例,並將其部署在 VPC 中,而不是部署在經典 EC2 中。
答案2
您可以將兩個實例新增至一個安全性群組並指定該群組作為來源,或指定該特定實例的安全性群組。正如 AWS 文件中所述:
http://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-network-security.html
One or the following options for the source (inbound rules) or destination (outbound rules):
[skip]
EC2-Classic: A security group for another AWS account in the same region
(add the AWS account ID as a prefix; for example, 111122223333/sg-edcd9784)
When you specify a security group as the source or destination for a rule, the rule affects all
instances associated with the security group.
For example, incoming traffic is allowed based on the private IP addresses
of the instances that are associated with the source security group.
附:儘管需要一些停機時間,但仍有一種方法可以更改安全性群組:停止實例,建立 AMI,在新 SG 中啟動新實例