security - grupos - El grupo de seguridad de origen no funciona como se espera en AWS

us east virginia aws (3)

Tengo un nodo EC2, node1 (grupo de seguridad SG1) que debería ser accesible desde otro nodo EC2, node2 (grupo de seguridad SG2) en el puerto 9200. Ahora, cuando agrego una regla de entrada en SG1 con el puerto 9200 y especifico SG2 como fuente. Sección de IP personalizada, no puedo acceder a node1 desde node2. Por otro lado, si especifico una regla de entrada en SG1 con origen como 0.0.0.0/0 o IP de node2, funciona bien. ¿Qué está mal en mi enfoque?

¿Está intentando conectarse a la dirección pública o privada de node1? De la documentation :

Cuando especifica un grupo de seguridad como origen o destino de una regla, la regla afecta a todas las instancias asociadas con el grupo de seguridad. Por ejemplo, el tráfico entrante se permite en función de las direcciones IP privadas de las instancias asociadas con el grupo de seguridad de origen.

Me he quemado en esto antes al intentar conectarme a la dirección pública de una instancia de EC2 ... en realidad suena muy similar a su configuración. Cuando conecta la regla de entrada para que la fuente sea un grupo de seguridad, debe comunicarse a través de la dirección privada de la instancia de la fuente.

Algunas cosas a tener en cuenta:

En EC2 Classic, las direcciones IP privadas pueden cambiar al detener / iniciar una instancia de EC2. Si está utilizando EC2 classic, es posible que desee consultar esta discusión sobre los nombres DNS elásticos para una solución de direccionamiento más estática.
Si configura su entorno en VPC, las direcciones IP privadas son estáticas . También puede cambiar la pertenencia a grupos de seguridad de instancias en ejecución.

El DNS público no funcionó para mí. Lo que hice en su lugar fue crear una regla de entrada personalizada utilizando el grupo de seguridad de la otra instancia.

Motivo: La comunicación entre grupos de seguridad funciona sobre direccionamiento privado. Si usa la dirección IP pública, la regla de firewall no reconocerá el grupo de seguridad de origen.

Solución: debe abordar sus instancias utilizando el registro de DNS público: en realidad, se apuntará a la dirección IP privada cuando una de sus instancias consulte el nombre DNS.

por ejemplo, si su instancia tiene una IP pública 203.0.113.185 y una IP privada 10.1.234.12 , se le asigna un nombre DNS público como ec2-203-0-113-185.eu-west-1.compute.amazonaws.com .

ec2-203-0-113-185.eu-west-1.compute.amazonaws.com se resolverá a 203.0.113.185 si se consulta externamente, o 10.1.234.12 si se consulta internamente. Esto permitirá que sus grupos de seguridad trabajen según lo previsto.

Esto le permitirá utilizar una IP elástica, ya que simplemente usa la entrada DNS pública de la IP elástica. Además, tener el DNS resuelto a la IP interna significa que no está incurriendo en cargos de ancho de banda para sus datos entre instancias :

Las instancias que acceden a otras instancias a través de su dirección IP pública de NAT se cobran por la transferencia de datos regionales o de Internet, dependiendo de si las instancias están en la misma región.