【问题标题】:AWS security group that allows instances within VPC to connect doesn't work over public IP允许 VPC 中的实例进行连接的 AWS 安全组无法通过公共 IP 运行
【发布时间】:2017-08-13 08:51:53
【问题描述】:
我在 AWS 中设置了一个 VPC,并有一个安全组允许来自 VPC 的 CIDR 块的入站连接,并将其分配给我的实例。 SSH 和 TCP 在使用私有 IP 地址时工作正常。但是,在实例上使用公共 IP 地址时,连接失败。为什么呢?为什么安全组不知道连接来自 VPC 内部,即使它是针对公共 IP 的?
【问题讨论】:
标签:
amazon-web-services
networking
amazon-vpc
vpc
aws-security-group
【解决方案1】:
当您使用公共 IP 时,流量会离开 VPC 并重新进入 VPC。此时,安全组会看到来自另一个公共 IP 的流量,而没有任何可用的 VPC/安全组信息。
【解决方案2】:
当您连接到公共 IP 时,即使实例在同一个子网中,流量仍然会从 VPC 通过 Internet 网关进入 Internet,然后再进入 VPC。因此它是 NAT,源私有 IP 被公共 IP 隐藏,根据您的设置,没有安全组规则允许这种流量。
顺便说一句,如果您使用公共 IP 连接到同一 VPC 中的另一台主机,AWS 将向您收取网络流量费用。