我在同一个地区有两个EC2实例。 让我们称他们为instance-1和instance-2 。 instance-1有一个弹性IP地址,但是instance-2没有。
我希望我的instance-1允许来自instance-2入站stream量在其iptables 。 我可以分配一个Elastic IP到instance-2并在INPUT链中添加如下所示的内容。
ACCEPT tcp -- xx.xx.xx.xx anywhere tcp dpt:yyyy ACCEPT tcp -- xx.xx.xx.xx anywhere tcp dpt:zzzz
其中xx.xx.xx.xx是instance-2弹性IP, yyyy和zzzz是目标端口。
但是,由于Amazon限制分配给帐户的弹性IP地址的数量为五,我不希望此实例具有弹性IP地址。
我的问题是,我可以使用内部IP地址,forms为10.xx.xx.xx,由Amazon提供给instance-2的iptables的instance-1 ?
解决scheme可能是停止使用实例级别的iptables并使用由EC2提供的安全组。 但是我对此有点担心。 我觉得在实例级别以及安全组(EC2应用)级别保护系统免受未知入站stream量影响会更好。
解决scheme是使用amazon web services虚拟私有云: http : //aws.amazon.com/vpc/
您将能够在自己的云中分配您自己的私有IP地址,并控制所有的云内外连接,绕过弹性IP地址数量的限制。
完全理解需要一点点阅读,但是长远来看还是会有回报的。
即使不使用VPC,你也应该可以在你的iptables中使用内部IP地址,但是如果你停止并重新启动你的实例(或者如果Amazon为你做的话),你的内部IP地址将被重新分配,以每个实例停止重build您的iptables。 在VPC中,您可以分配您的内部IP地址。