Eu tenho muitas instâncias de ec2 e recentemente adicionei uma nuvem privada virtual na Amazon também. Na sub-rede VPC 10.0.0.0/8, o host 10.0.0.88 pode acessar a Internet em geral por meio de um dispositivo de gateway de Internet igw-xxxxxx, mas não sei como autorizar esse host a acessar minhas instâncias não-VPC do ec2 no regras do grupo de segurança fora do VPC.
Estou acostumado a autorizar IPs de origem específicos ou os nomes de outros grupos de segurança ec2 a se conectarem aos hosts não-VPC, mas não consigo descobrir como colocar o host VPC na lista de permissões. A lista branca 10.0.0.88 não faz sentido, já que o IP não é válido fora do VPC, o que faz com que o igw-xxxxxx não receba "nenhum grupo de segurança". Eu posso colocar na lista de permissões o host se eu atribuir um Elastic IP, mas o tráfego não vai diretamente para a estrutura aws.
As perguntas frequentes tornam este som possível:
Q. Can Amazon EC2 instances within a VPC communicate with Amazon EC2 instances not within a VPC?
A. Yes. If an Internet Gateway has been configured, Amazon VPC traffic bound for Amazon EC2 instances not within a VPC traverses the Internet Gateway and then enters the public AWS network to reach the EC2 instance.
- link
Para que a instância 10.0.0.88 acesse a Internet (ou EC2) por meio do Internet Gateway (IGW), a instância precisa ter um Endereço IP Elástico associado ou precisa estar falando por meio de uma instância NAT (que tem um endereço IP elástico).
Para bloquear um grupo de segurança do EC2 para permitir o tráfego da instância do VPC, especifique a origem permitida como o endereço IP elástico da própria instância ou da instância do NAT, como discutido acima (por exemplo, 192.0.2.25/32).