Похоже, вы должны использовать Группа безопасности .
Группа безопасности похожа на брандмауэр вокруг каждого отдельного экземпляра Amazon EC2. Он контролирует, какие порты доступны из какого диапазона CIDR.
Допустим, у вас есть экземпляр EC2, на котором запущена служба на порту 80, и вы хотите, чтобы он был доступен только для других экземпляров в VP C. Вы просто настроите группу безопасности на , чтобы разрешить только входящие соединения через порт 80 из диапазона CIDR VP C. При этом будет использоваться частных IP-адресов , поскольку именно отсюда идет трафик c.
Давайте go на один шаг лучше ... допустим, вы хотите только указать c экземпляров, чтобы иметь возможность общаться. Вы должны:
- Создать группу безопасности на экземплярах, которым разрешен доступ к веб-серверу (назовем это
App-SG) - Создать группу безопасности на экземпляре с веб-сервером (назовем это
Web-SG) - Настроен
Web-SG для разрешения входящих подключений через порт 80 от App-SG
То есть группа безопасности специально ссылается другая группа безопасности. Это разрешит входящие соединения из любого экземпляра EC2, с которым связан App-SG.
Ни одному из перечисленных выше не требуется IP-адрес Elasti c. Только ресурс publi c -facing должен иметь IP-адрес publi c. Весьма распространено выставлять только балансировщик нагрузки и сохранять все остальное «приватным».