Почему экземпляры в моем VPC могут пинговать экземпляры в другой подсети?

Question

Почему экземпляры в моем VPC могут пинговать экземпляры в другой подсети?

У меня есть VPC. В нем у меня есть две подсети (подсеть-1, подсеть-2).

Подсеть-1 имеет следующие экземпляры EC2: 10.0.0.66, 10.0.0.83 Подсеть-2 имеет следующие экземпляры EC2: 10.0.0.203, 10.0.0.208

Я ожидал, что смогу пинговать с 10.0.0.66 до 10.0.0.83, и я могу.

Однако я не ожидал, что смогу пинговать с 10.0.0.203 до 10.0.0.83, но смогу. Я думал, что весь смысл подсети состоит в том, чтобы держать экземпляры в ней изолированными от других подсетей? Почему тогда я могу пинговать через подсети?

0

amazon-ec2 aws-vpc

Источник

user3231690 27 фев '18 в 12:53

1 ответ

Решение

Другие вопросы по тегам amazon-ec2 aws-vpc

28 фев '18 в 08:04 2018-02-28 08:04 · Accepted Answer · 2018-02-28 08:04

Да, вы можете Ping/SSH все ваши экземпляры в вашем VPC.

Когда вы создаете свой VPC с предпочитаемым диапазоном CIDR, ваша главная таблица маршрутов будет создана автоматически и позволит вам достичь всего диапазона CIDR. Не имеет значения, сколько подсетей вы создали под VPC. Это поведение по умолчанию в AWS.

Если вы хотите заблокировать доступ из одной подсети в другую, вы можете ограничить ее. Выберите ACL, связанный с VPC Network, и отредактируйте правило Inbound. По умолчанию источником будет 0.0.0.0/0. Вы упоминаете подсеть, к которой хотите получить доступ. Вы также можете ограничить на основе протокола / порта. Изменения поста Вы не можете получить доступ из подсети, которую вы не разрешили.

Для справки: https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Subnets.html