为什么 AWS 安全组不允许 sg-ID 的入站 http 流量

Question

我有一个 EC2 实例在一个安全组（我们称之为 SG1）中运行 HTTP 服务器，在第二个安全组 (SG2) 中运行许多其他 EC2 实例，这些实例需要向第一个安全组发出请求。

如果我允许 0.0.0.0/0 的 HTTP（TCP 端口 80）入站流量，则没有问题。

如果我通过指定允许来自 SG2 的入站流量来替换该规则，我将无法从任何地方访问服务器（包括 SG2 中的 EC2 实例）。

我的 ACL 在任何一种情况下都足够宽松（允许所有流量）并且不管它是否改变。

我应该能够通过 sgID 允许入站流量，如配置 SG1 时控制台中显示的以下消息所示：

确定可以到达您的实例的流量。 以 CIDR 表示法指定单个 IP 地址或 IP 地址范围（例如，203.0.113.5/32）。 如果从防火墙后面连接，您将需要客户端计算机使用的 IP 地址范围。 您可以指定同一地域的其他安全组的名称或ID。 要在另一个 AWS 账户（仅限 EC2-Classic）中指定安全组，请在其前面加上账户 ID 和正斜杠，例如：111122223333/OtherSecurityGroup。

Answer 1

SG2 中的实例需要使用该实例的私有 IP 地址访问 SG1 中的实例。 这样，流量将保留在 VPC 内，并将与 SG2 中的实例保持关联，从而通过安全组规则。 当您使用其公共 IP 地址对 SG1 中的实例进行寻址时，流量离开 VPC 并传到 Internet 并返回，此时与安全组 SG2 的关联将丢失。

Answer 2

如果将路由配置为通过中间盒设备在不同 su.net 中的两个实例之间转发流量，则必须确保两个实例的安全组允许流量在实例之间流动。 每个实例的安全组必须引用其他实例的私有 IP 地址，或包含其他实例的 su.net 的 CIDR 范围，作为源。 如果将其他实例的安全组引用为源，则不允许流量在实例之间流动。

https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#SecurityGroupRules