AWS：public 子网中的 EC2 无法 ping 私有子网中的 EC2

AWS: EC2 in public subnet can't ping EC2 in private subnet

很奇怪：

public 和私有子网在同一 VPC 中。
私有子网中的EC2使用安全组开放0-65535到0.0.0.0/0。它的网络ACL也是如此。
我可以通过 RDP 从 public 子网 EC2 进入 private 子网 EC2。
我可以在私有子网 EC2 实例之间 ping。
但我无法从 public 子网 EC2 ping 到 private 子网 EC2.

找出原因：网络 ACL 没有 ICMP 出站许可。