AWS安全组在入站或出站规则中指定为源/目的地时，是否只看到私有地址？

Question

我在同一个AZ中有两个实例，并且都有公共IP地址。我在两个实例中都添加了一个安全组，允许作为同一个安全组与源进行入站ICMP平压。当我平私有IP地址时，ping成功。然而，当我平移公共IP地址时，ping失败了。

• 是作为“源”(或目的地)的安全组仅限于该组中实例的私有in吗？为什么安全组作为“源”不承认公共IP地址？

相反，当我将源更改为0.0.0.0/0时，pinging IP就成功了。

Answer 1

从技术上讲，公共IP地址不附加到EC2实例或其弹性网络接口(ENI)。在VPC内部，所有东西都只知道并使用私有IP地址。公共IP地址由Internet网关管理，该网关将公共IP转换为私有IP，反之亦然，用于输入和输出流量。

这意味着当您平平另一个实例的公共IP时，数据包会将Security转移到Internet网关，然后返回。因此，从目标实例的角度来看，它来自Internet，因此被Security阻止。

Answer 2

安全组可以对IP地址(也包括和IPv6)执行公共和私有评估。

评估只能在作为源的安全组上执行，如果它能够识别源是另一个AWS资源。

通过作为公共IP进行连接，它离开AWS网络并丢失该元数据，然后返回到AWS，从而它只是另一个公共IP地址。

如果您使用的是public hostname，那么AWS将在其离开AWS之前将其转换为私有IP地址，以便安全组评估能够工作。