Amazon web services 为什么AWS安全组不允许通过sg ID进行入站http通信

我有一个EC2实例在一个安全组（我们称之为SG1）中运行HTTP服务器，另一个安全组（SG2）中有许多其他EC2实例，它们需要向第一个安全组发出请求

如果我允许0.0.0.0/0的HTTP（TCP端口80）入站流量，则没有问题

如果我通过指定允许来自SG2的入站流量来替换该规则，那么我将无法从任何地方访问服务器（包括SG2中的EC2实例）

我的ACL在这两种情况下都是足够允许的（允许所有流量），并且不管它如何都不会改变

我应该能够通过sgID允许入站流量，如配置SG1时控制台中显示的以下消息所示：

确定可以到达实例的流量。指定单个IP地址或CIDR表示法中的IP地址范围（例如，203.0.113.5/32）。如果从防火墙后面连接，则需要客户端计算机使用的IP地址范围。您可以指定同一区域中另一个安全组的名称或ID。要在另一个AWS帐户中指定安全组（仅限EC2 Classic），请使用帐户ID和正斜杠作为前缀，例如：111122223333/OtherSecurityGroup

---

SG2中的实例需要使用SG1中实例的私有IP地址访问该实例。这样，流量就留在VPC内，并与SG2中的实例保持关联，从而通过安全组规则。当您在SG1中使用其公共IP地址对实例进行寻址时，流量将离开VPC，然后进入Internet并返回，此时与安全组SG2的关联将丢失。

您缺少一个重要点-子网之间的通信。它们是公共的吗？EC2实例不能在安全组中。实例可以指定安全组。它与子网或VPC不同。