如何在另一个EC2实例的防火墙/iptables中指定EC2实例的私有/公共(非弹性) IP地址？

Question

在相同的区域中有两个EC2实例。让我们称它们为instance-1和instance-2。instance-1有一个弹性IP地址，但instance-2没有。

我希望我的instance-1允许来自instance-2的入站流量在其iptables中。我可以为instance-2分配一个弹性IP，并向INPUT链添加类似下面的内容。

ACCEPT     tcp  --  xx.xx.xx.xx         anywhere             tcp dpt:yyyy
ACCEPT     tcp  --  xx.xx.xx.xx         anywhere             tcp dpt:zzzz

其中xx.xx.xx.xx是instance-2的弹性IP，yyyy和zzzz是目的端口。

但是由于Amazon限制了分配给帐户的五个弹性IP地址，所以我不希望这个实例有一个弹性IP地址。

我的问题是，我可以使用内部IP地址，以10.xx.xx.xx的形式，由亚马逊提供给instance-2在iptables of instance-1？

解决方案可以是停止使用实例级iptables，并使用EC2提供的安全组。但我对此有点担心。我觉得在实例级和安全组(EC2应用程序)级别上保护系统不受未知入站流量的影响更好。

Answer 1

解决方案是使用Amazon虚拟私有云：http://aws.amazon.com/vpc/

您将能够在您自己的云中分配您自己的私有IP地址，并可以绕过对弹性IP地址数量的限制，控制云中的所有连接。

需要一点阅读才能完全理解，但从长远来看会有回报。

即使不使用VPC，您也应该能够使用iptables中的内部IP地址，但是如果停止并重新启动实例(或者如果Amazon为您做了此操作;-)，则将重新分配您的内部IP地址，因此您必须使用每个实例停止来重构您的iptables。在VPC中，您可以分配内部IP地址。