我在 VPC 中有 Web服务器,偶尔会使用curl从其自身获取或发布资源,使用其中一个域与server相关联。我有一个限制性安全组分配给此服务器,因为我只想允许来自特定 IP 范围的traffic。此外,我将安全组本身添加为入站traffic的来源,以便处理卷曲调用。
不幸的是,这不起作用。 连接超时。在服务器的IP 上使用来自命令行的wget或其中一个域也会超时。修复它的唯一方法是允许来自安全组的'0.0.0.0/0'的流量,我不想这样做。
作为一种解决方法,我为domain文件的每个hosts添加了“127.0.0.1”条目,但这不是我的长期解决方案。
有任何帮助吗?
答案 0 :(得分:2)
流量基本上是流向互联网并返回,这意味着它将离开VPC,因此它不再被识别为来自安全组内。要允许来自安全组的流量,必须将该流量发送到专用IP地址,而不是公共IP或域名。
执行此操作的一种方法是像您一样添加hosts个文件条目。您还可以在Route53中创建一个私有托管区域并将其分配给VPC,然后覆盖VPC中的某些DNS记录以路由到私有IP地址。