无法从 VPC 中的实例连接到面向互联网的 ELB
Cant connect to internet facing ELB from instance in VPC
我有一个面向互联网的 V2 ELB。当我从笔记本电脑连接到它时,它会将请求路由到 VPC 中的实例。但是,当我尝试从同一 VPC 内的另一个实例连接到它时,安全组防火墙规则会阻止连接。
让 VPC 中的实例连接到 ELB 的唯一方法是向世界开放 https 端口 (443)。
我做错了什么?
ELB (https://elb.domain.com) 具有以下属性:
- 面向互联网,V2(非经典 ELB)
- 专有网络:vpc-aaa
- AZs: subnet-a,subnet-b
- 侦听器:443 -> 8080 实例端口
- 源安全组:my-vpc-elb,入站规则:
- 443,来源:1.2.3.170/32(我的笔记本IP)
- 443, source: sg-a (我的无法连接的vpc实例所在的sg的名称)
- 443,来源
<CIDR of vpc-aaa, 1.2.0.0/16>
我可以在我的笔记本电脑上输入 https://elb.domain.com,一切正常。
我现在有另一个具有以下属性的实例无法连接到 https://elb.domain.com:
- 子网 ID:subnet-a
- 安全组:sg-a
为什么443, source: sg-a的ELB安全组规则不允许连接?为什么只有当我在 ELB 安全组的 443 上允许入站 "All traffic" 时它才有效?
VPC 中的实例,当连接到面向 public 的负载均衡器时,将始终退出 VPC 并从 public IP 返回。在这种情况下,无法通过安全组锁定入站流量。
如果尝试连接到 ELB 的 VPC 实例不需要 public IP,您可以简单地在您的 ELB 上设置一个入站规则,只允许源是您的 VPC NAT 网关的源).
如果他们确实需要 public IP,您必须指定 AWS VPC public IP 范围,或者如果您使用 EIP,则可以指定 EIP。
我有一个面向互联网的 V2 ELB。当我从笔记本电脑连接到它时,它会将请求路由到 VPC 中的实例。但是,当我尝试从同一 VPC 内的另一个实例连接到它时,安全组防火墙规则会阻止连接。
让 VPC 中的实例连接到 ELB 的唯一方法是向世界开放 https 端口 (443)。
我做错了什么?
ELB (https://elb.domain.com) 具有以下属性:
- 面向互联网,V2(非经典 ELB)
- 专有网络:vpc-aaa
- AZs: subnet-a,subnet-b
- 侦听器:443 -> 8080 实例端口
- 源安全组:my-vpc-elb,入站规则:
- 443,来源:1.2.3.170/32(我的笔记本IP)
- 443, source: sg-a (我的无法连接的vpc实例所在的sg的名称)
- 443,来源
<CIDR of vpc-aaa, 1.2.0.0/16>
我可以在我的笔记本电脑上输入 https://elb.domain.com,一切正常。
我现在有另一个具有以下属性的实例无法连接到 https://elb.domain.com:
- 子网 ID:subnet-a
- 安全组:sg-a
为什么443, source: sg-a的ELB安全组规则不允许连接?为什么只有当我在 ELB 安全组的 443 上允许入站 "All traffic" 时它才有效?
VPC 中的实例,当连接到面向 public 的负载均衡器时,将始终退出 VPC 并从 public IP 返回。在这种情况下,无法通过安全组锁定入站流量。
如果尝试连接到 ELB 的 VPC 实例不需要 public IP,您可以简单地在您的 ELB 上设置一个入站规则,只允许源是您的 VPC NAT 网关的源).
如果他们确实需要 public IP,您必须指定 AWS VPC public IP 范围,或者如果您使用 EIP,则可以指定 EIP。