我在一个安全组中有一个运行HTTP服务器的EC2实例(我们称其为SG1),而在第二个安全组(SG2)中有许多其他EC2实例,它们需要向第一个安全组发出请求。
如果我允许0.0.0.0/0的HTTP(TCP端口80)入站流量,则没有问题。
如果我通过指定允许来自SG2的入站流量来替换该规则,则无法从任何地方(包括SG2中的EC2实例)访问服务器。
无论哪种情况,我的ACL都足够允许(允许所有流量),无论它是否保持不变。
我应该能够通过sgID允许入站流量,如配置SG1时控制台中显示的以下消息所示:
确定可以到达您的实例的流量。指定单个IP地址或CIDR表示法的IP地址范围(例如203.0.113.5/32)。如果从防火墙后面进行连接,则需要客户端计算机使用的IP地址范围。您可以在同一区域中指定另一个安全组的名称或ID。要在另一个AWS账户(仅EC2-Classic)中指定一个安全组,请为其添加账户ID和正斜杠作为前缀,例如:111122223333 / OtherSecurityGroup。
SG2中的实例需要使用该实例的专用IP地址访问SG1中的实例。这样,流量将保留在VPC内,并仍与SG2中的实例相关联,从而通过安全组规则。当您使用实例的公用IP地址在SG1中对实例进行寻址时,流量将离开VPC并出入Internet,然后再返回,这时与安全组SG2的关联将丢失。