AWS 安全组不允许从私有 IP 访问 EC2 实例

tl;dr：当您使用其公共 IP 地址连接到实例时，您也必须使用源计算机的公共地址作为源地址（或它的 NAT 网关，如果源实例没有 publig IP），并且当你这样做时，你的流量会传到 Internet 并返回（尽管你承认你并没有远离 Internet）。

让我们举两个例子：

#1 public 203.0.113.1 private 172.31.3.1
#2 public 203.0.113.2 private 172.31.3.2

如果实例 #1 使用实例 #2 的公共 IP 203.0.113.2 连接到 #2：

• IP 数据包离开实例 #1，源 IP 为 172.31.3.1，目标地址为 203.0.113.2。
• 数据包到达 VPC 路由表，发现 203.0.113.2 不是 VPC 内部的 IP 地址，因此路由表将其发送到 Internet 网关
• Internet 网关看到源地址为 172.31.3.1 的流量，它知道它实际上是一个具有公共 IP 203.0.113.1 的 EC2 实例，因此它将源 IP 地址从 172.31.3.1 重写为 203.0.113.1 并将其发送到 Internet。
• 源 IP 现在是 203.0.113.1，目标 IP 是 203.0.113.2。
• 一个未命名的组件（可能是 Internet 网关本身，但它可能位于 Internet 网关和一个很少讨论的区域 AWS 基础设施（称为中转中心）之间，每个区域至少有两个）看到 203.0.113.2属于您的 Internet 网关，流量被发夹回您的 Internet 网关进行处理。
• Internet 网关知道 203.0.113.2 属于您的实例 #2，因此它将目标地址转换为 172.31.3.2；此时，源地址仍然是，并且将是 203.0.113.1。
• 实例 #2 及其安全组将此流量视为来自 Internet，源 IP 为 203.0.113.1，因此这是安全组必须允许的地址。

如果实例 #1 使用 172.31.3.2 连接到实例 #2，则基本上不会发生这种情况，因此 #2 的安全组会将 172.31.3.1 视为源地址。

使用目标实例的私有 IP 是可行的方法。

请注意，使用私有 IP 时，您还可以在实例 #2 的安全组规则中列出实例 #1 的安全组 ID，而不是列出实例 #1 的私有 IP 地址。它与控制台中的 IP 位于同一位置——sg在该框中键入，您应该能够选择一个。如果您将实例#1 放在一个自动缩放的“一组”中，这可能更容易维护并且运行良好——这样如果机器失败，自动缩放会替换机器。

另请注意，当两个实例使用它们的公共 IP 进行通信时，您需要为进出和返回付费。它不像 Internet 流量成本那么高，但该费率类似于区域内跨可用区的费率和区域内 VPC 对等流量。