Amazon ec2 在安全组规则中将安全组用作源时,是否可以匹配公共IP?
我有两套系统,位于两个不同的可用性区域,每个区域都有各自的安全组A和B 在区域A的安全组中,我创建了一个入站规则,允许来自区域B安全组中VM的所有传入流量 这适用于专用IP:当使用A的专用IP时,B中的VM可以连接到A中的VM。但是,这不适用于公用IP 现在,我明白了为什么它不起作用(),但是有没有一种简单的方法来配置区域a安全组,以便允许与安全组B关联的所有公共IPAmazon ec2 在安全组规则中将安全组用作源时,是否可以匹配公共IP?,amazon-ec2,Amazon Ec2,我有两套系统,位于两个不同的可用性区域,每个区域都有各自的安全组A和B 在区域A的安全组中,我创建了一个入站规则,允许来自区域B安全组中VM的所有传入流量 这适用于专用IP:当使用A的专用IP时,B中的VM可以连接到A中的VM。但是,这不适用于公用IP 现在,我明白了为什么它不起作用(),但是有没有一种简单的方法来配置区域a安全组,以便允许与安全组B关联的所有公共IP 也就是说,如果不跟踪公共IP并在“安全组B”规则旁边的入站规则中手动(或通过API)维护它们,安全组就无法引用“安全组X中资源使
也就是说,如果不跟踪公共IP并在“安全组B”规则旁边的入站规则中手动(或通过API)维护它们,安全组就无法引用“安全组X中资源使用的所有公共IP地址” 公共IP地址是按资源分配的,与安全组不关联
您需要使用相关的公共IP地址手动更新安全组。或者,如果资源都在您的AWS帐户中,您可以编写一个脚本,在资源中循环,获取它们的公共IP地址并将它们添加到安全组。但是,您为什么希望它们通过公共IP连接?不确定您的具体用例是什么,但同一vpc中的ec2实例通常会通过私有IP相互通信。B可以是本地的,也可以是另一个云。因此,我必须对配置进行特殊处理,而不是使用主机的公共DNS。我知道当通过公共IP路由时,我会为流量付费,但这很好,一致性更重要。我仍然不同意如果B和A在同一个VPC中,流量应该通过互联网出去,然后再回来。安全性、成本和延迟影响是不必要的。但是,如果您决定这样做,那么您的选项将是编写安全组的更新脚本。不过,EIP不应该经常改变。另一个考虑因素是使用Cloudformation来管理这些资源,然后对脚本中的实例进行任何更新都会对安全组的规则进行类似的更改。